Cauzele conexate C‑313/23, C‑316/23 și C‑332/23

Inspektorat kam Visshia sadeben savet

(cerere de decizie preliminară formulată de Sofiyski rayonen sad)

Hotărârea Curții (Camera întâi) din 30 aprilie 2025

„Trimitere preliminară – Stat de drept – Independența judecătorilor – Articolul 19 alineatul (1) al doilea paragraf TUE – Protecție jurisdicțională efectivă în domeniile reglementate de dreptul Uniunii – Organ judiciar competent să propună inițierea unor proceduri disciplinare împotriva magistraților în vederea aplicării unor sancțiuni disciplinare – Menținerea funcțiilor membrilor organului judiciar după încheierea mandatului lor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Securitatea datelor – Accesul unui organ judiciar la datele privind conturile bancare ale magistraților și ale membrilor familiilor lor – Autorizație jurisdicțională în scopul ridicării secretului bancar – Instanță care autorizează ridicarea secretului bancar – Articolul 4 punctul 7 – Noțiunea de «operator» – Articolul 51 – Noțiunea de «autoritate de supraveghere»”

1. Întrebări preliminare – Sesizarea Curții – Instanță națională în sensul articolului 267 TFUE – Noțiune – Determinare în temeiul unor criterii structurale și funcționale – Instanță sesizată de un organ judiciar cu o cerere de acces la datele privind conturile bancare ale magistraților și ale membrilor familiilor lor – Autorizație jurisdicțională în scopul ridicării secretului bancar – Instanță care exercită funcții de natură jurisdicțională – Includere

   [art. 19 alin. (1) al doilea paragraf TUE; art. 267 TFUE; Carta drepturilor fundamentale a Uniunii Europene, art. 7 și 8]

   (a se vedea punctele 59-63)

2. Întrebări preliminare – Competența Curții – Limite – Obligația statelor membre de a stabili căile de atac necesare pentru asigurarea unei protecții jurisdicționale efective – Întrebări referitoare la normele naționale privind organizarea și funcționarea unui organ judiciar – Includere

   [art. 19 alin. (1) al doilea paragraf TUE; art. 267 TFUE]

   (a se vedea punctele 71-73)

3. State membre – Obligații – Stabilirea căilor de atac necesare pentru asigurarea unei protecții jurisdicționale efective – Respectarea principiului independenței judecătorilor – Menținerea în funcție a membrilor unui organ judiciar competent să propună inițierea unor proceduri disciplinare împotriva magistraților după încheierea mandatului lor – Lipsa unui temei juridic explicit sau a unei limitări în timp a acestei prelungiri – Inadmisibilitate

   [art. 2 și art. 19 alin. (1) al doilea paragraf TUE; Carta drepturilor fundamentale a Uniunii Europene, art. 47]

   (a se vedea punctele 81-97 și dispozitiv 1)

4. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Domeniu de aplicare – Derogări – Prelucrare de date în cadrul unei activități care nu intră sub incidența dreptului Uniunii – Noțiune – Divulgarea către un organ judiciar a unor date cu caracter personal protejate de secretul bancar și care privesc magistrați și membri ai familiilor lor – Divulgare în contextul verificării declarațiilor referitoare la avere – Excludere

   [Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 2 alin. (1), alin. (2) lit. (a) și alin.(3)]

   (a se vedea punctele 99-106 și dispozitiv 2)

5. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Noțiunea de operator – Instanță competentă să autorizeze, la cererea unui organ judiciar, divulgarea de către o bancă acestui organ a unor date referitoare la conturile bancare ale magistraților, precum și ale membrilor familiilor lor – Excludere

   (Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 4 pct. 7)

   (a se vedea punctele 108-117 și dispozitiv 3)

6. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Autorități naționale de supraveghere – Noțiune – Instanță competentă să autorizeze, la cererea unui organ judiciar, divulgarea de către o bancă acestui organ a unor date referitoare la conturile bancare ale magistraților, precum și ale membrilor familiilor lor – Excludere

   [art. 16 TFUE; Carta drepturilor fundamentale a Uniunii Europene, art. 8 alin. (3); Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 51 alin. (1), (2) și (4), art. 57 alin. (1) lit. (a) și (g) și art. 58]

   (a se vedea punctele 119-123 și dispozitiv 4)

7. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Căi de atac – Instanță competentă să autorizeze divulgarea datelor cu caracter personal unui organ judiciar – Instanță sesizată cu o cerere de acces la aceste date introdusă de acest organ, iar nu cu o cale de atac introdusă împotriva unui operator – Obligația de a asigura din oficiu respectarea normelor referitoare la securitatea datelor – Inexistență – Încălcarea în trecut a acestor norme de către organul menționat – Lipsa incidenței

   [Carta drepturilor fundamentale a Uniunii Europene, art. 47; Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 79 alin. (1)]

   (a se vedea punctele 128-138 și dispozitiv 5)

Rezumat

Sesizată cu titlu preliminar de Sofiyski rayonen sad (Tribunalul de Raion din Sofia, Bulgaria), Curtea statuează că principiul independenței judecătorilor se opune practicii unui stat membru care permite membrilor unui organ judiciar competent să propună inițierea unor proceduri disciplinare împotriva judecătorilor să rămână în funcție peste durata legală a mandatului lor în lipsa unui temei juridic explicit sau a unei limitări în timp a acestei prelungiri. În plus, Curtea precizează conținutul noțiunilor de „operator” și de „autoritate de supraveghere”, prevăzute de Regulamentul general privind protecția datelor ( 1 ), în contextul divulgării unor date cu caracter personal protejate de secretul bancar referitoare la magistrați, precum și la membrii familiei lor, care este autorizată de o instanță națională în urma unei cereri a acestui organ judiciar.

În luna mai 2023, după expirarea termenului prevăzut pentru depunerea declarațiilor anuale de avere ale magistraților și ale familiilor acestora pentru anul 2022, Inspektorat kam Visshia sadeben savet (Inspectoratul de pe lângă Consiliul Judiciar Suprem, Bulgaria, denumit în continuare „Inspectoratul”) a sesizat instanța de trimitere cu o cerere de ridicare a secretului bancar privind conturile bancare ale mai multor magistrați și ale membrilor familiilor lor ( 2 ).

Instanța de trimitere arată că Inspectoratul a fost creat în 2007, în urma unei modificări a Constituției bulgare și, în calitate de organ judiciar, acesta are sarcina de a investiga exercitarea unor influențe nejustificate asupra magistraților, de a verifica declarațiile de avere ale acestora și de a identifica eventuale conflicte de interese, precum și atingeri aduse independenței puterii judecătorești. Pe de altă parte, ea precizează că mandatele membrilor Inspectoratului, aleși de parlamentul național pentru o perioadă cuprinsă între patru și cinci ani, s‑ar fi încheiat în cursul anului 2020, fără ca noi membri să fie aleși. Cu toate acestea, în temeiul unei jurisprudențe a Konstitutsionen sad (Curtea Constituțională, Bulgaria), membrii Inspectoratului continuă să își exercite funcțiile până la alegerea unor noi membri, menținerea misiunii încredințate acestui organ fiind considerată mai importantă decât riscurile de abuz din partea membrilor săi.

În aceste împrejurări, instanța de trimitere ridică problema dacă o prelungire a mandatelor membrilor Inspectoratului poate aduce atingere garanțiilor de independență ale acestei autorități și, în cazul unui răspuns afirmativ, care sunt criteriile care permit să se aprecieze dacă o astfel de prelungire este admisibilă și pentru ce durată.

În plus, instanța de trimitere ridică problema rolului și a obligațiilor instanțelor naționale atunci când acestea încuviințează accesul Inspectoratului la datele cu caracter personal ale magistraților. Mai concret, ea se întreabă dacă activitatea sa constând în autorizarea Inspectoratului să aibă acces la date cu caracter personal supuse secretului bancar intră în domeniul de aplicare al RGPD și, în cazul unui răspuns afirmativ, care ar fi efectele asupra controlului pe care trebuie să îl exercite. În această privință, instanța de trimitere ridică problema dacă controlul pe care trebuie să îl efectueze înainte de a autoriza accesul Inspectoratului la datele în discuție ar trebui să fie pur formal și să se limiteze la a verifica dacă persoanele în privința cărora se solicită ridicarea secretului bancar au calitatea de persoane supuse obligației de declarare, și anume dacă sunt magistrați sau persoane care au o relație familială sau o altă relație cu aceștia din urmă, sau dacă ea ar trebui mai degrabă să asigure securitatea datelor în cauză în temeiul RGPD.

Aprecierea Curții

Curtea consideră în primul rând că articolul 19 alineatul (1) al doilea paragraf TUE, citit în lumina dreptului la protecție jurisdicțională efectivă ( 3 ), și mai precis principiul independenței judecătorilor se opun practicii unui stat membru potrivit căreia membrii unui organ judiciar, aleși de parlamentul acestuia pentru mandate cu o durată determinată și care sunt competenți să controleze activitatea magistraților în exercitarea funcției lor, integritatea lor și lipsa conflictelor de interese în privința acestora, precum și să propună unui alt organ judiciar deschiderea unei proceduri disciplinare în vederea impunerii de sancțiuni disciplinare în privința lor, continuă să își exercite atribuțiile peste durata legală a mandatului lor, stabilită de Constituția statului membru respectiv, până când acest parlament alege noi membri. Cele de mai sus se aplică atunci când prelungirea mandatelor expirate nu are la bază un temei juridic explicit în dreptul național care să cuprindă norme clare și precise de natură să încadreze exercitarea acestor funcții și fără a se asigura că această prelungire este în practică limitată în timp.

În această privință, Curtea amintește jurisprudența sa constantă potrivit căreia cerința de independență a instanțelor ( 4 ) impune ca regimul disciplinar al judecătorilor să prezinte garanțiile necesare pentru a evita ca acesta să fie utilizat ca sistem de control politic al conținutului deciziilor judiciare. Pe acest temei, adoptarea unor norme care definesc atât comportamentele constitutive de abateri disciplinare, cât și sancțiunile aplicabile în mod concret, care prevăd intervenția unei autorități independente în conformitate cu o procedură care garantează pe deplin dreptul la o cale de atac efectivă și dreptul la apărare ( 5 ), și care consacră posibilitatea de a contesta în justiție deciziile organelor disciplinare constituie astfel de garanții.

Astfel, este esențial ca asemenea organe să acționeze, în exercitarea atribuțiilor lor, în mod obiectiv și imparțial și să fie, în acest scop, protejate de orice influență exterioară. Acest lucru este valabil în special în cazul unui organ judiciar care, precum Inspectoratul, dispune de o largă putere de a controla activitatea magistraților în exercitarea funcției lor, integritatea lor și lipsa conflictelor de interese în privința acestora, precum și de a propune, în urma unor astfel de controale, unui alt organ judiciar (în speță, Consiliul Judiciar Suprem bulgar) deschiderea unei proceduri disciplinare în vederea impunerii unor sancțiuni disciplinare în privința lor. De aceea toate normele care reglementează organizarea și funcționarea unui asemenea organ, inclusiv cele care guvernează procedura de numire a membrilor săi, trebuie să fie concepute astfel încât să nu poată da naștere, în percepția justițiabililor, niciunei îndoieli legitime cu privire la utilizarea prerogativelor și a funcțiilor unui asemenea organ ca instrument de presiune asupra activității judiciare sau de control politic al acestei activități.

În ceea ce privește mandatele membrilor Inspectoratului, care au expirat fără ca parlamentul național să fi procedat la alegerea noilor săi membri, Curtea subliniază că reglementarea națională nu pare să cuprindă nicio normă cu privire la o posibilă continuare a exercitării funcțiilor lor peste durata mandatului lor. Deși este adevărat că, în temeiul jurisprudenței Curții Constituționale, membrii Inspectoratului continuă să își exercite funcțiile până la alegerea noilor membri, este la fel de adevărat că această reglementare națională nu cuprinde norme de natură să încadreze exercitarea acestor funcții astfel prelungite și nici dispoziții legale care să permită să se pună capăt unui eventual blocaj în procesul de numire a noilor membri ai Inspectoratului. Astfel, prelungirea mandatelor foștilor membri ai Inspectoratului pare, în practică, ca fiind susceptibilă să fie nelimitată în timp.

În acest context, revine exclusiv statelor membre sarcina de a decide dacă autorizează sau nu exercitarea funcțiilor membrilor unui organ judiciar, competent să controleze activitatea magistraților și să propună inițierea unor proceduri disciplinare în privința lor, peste durata legală a mandatelor lor pentru a asigura continuitatea funcționării acestui organ. Cu toate acestea, atunci când optează pentru o astfel de prelungire a mandatelor, aceste state membre sunt obligate să se asigure că exercitarea funcțiilor după expirarea mandatului se bazează pe un temei juridic explicit în dreptul intern, care cuprinde norme clare și precise de natură să încadreze această exercitare. Ele trebuie de asemenea să se asigure că condițiile și modalitățile cărora le este supusă o astfel de exercitare sunt concepute astfel încât să permită membrilor vizați ai unui astfel de organ judiciar să acționeze, în îndeplinirea misiunilor lor, în mod obiectiv și imparțial. Prin urmare, dacă, în anumite circumstanțe, prelungirea mandatelor se poate dovedi necesară, având în vedere importanța funcțiilor exercitate de organul judiciar în cauză, prelungirea menționată poate fi avută în vedere numai cu titlu excepțional și cu condiția să fie încadrată de norme clare și precise care să excludă în practică posibilitatea ca aceasta să fie nelimitată în timp.

În al doilea rând, Curtea constată că divulgarea către un organ judiciar a unor date cu caracter personal care sunt protejate de secretul bancar și care privesc magistrați, precum și pe membrii familiilor lor, în vederea verificării declarațiilor acestor magistrați referitoare la averea lor, precum și la cea a membrilor familiei lor, aceste declarații făcând obiectul unei publicări, constituie o prelucrare de date cu caracter personal care intră în domeniul de aplicare material al RGPD.

Pentru a ajunge la această concluzie, Curtea observă că, deși adoptarea unor norme aplicabile statutului magistraților și exercitării funcțiilor lor ține de competența statelor membre, nu este mai puțin adevărat că o prelucrare de date care are ca obiectiv controlul integrității magistraților, precum și verificarea existenței unor eventuale conflicte de interese nu intră în sfera excepțiilor de la domeniul de aplicare material al RGPD ( 6 ), în măsura în care nu este vorba despre o activitate care urmărește să protejeze securitatea națională și nici despre o activitate care poate fi încadrată în aceeași categorie. Astfel, divulgarea către un organ judiciar a unor date cu caracter personal protejate de secretul bancar și referitoare la magistrați, precum și la membrii familiilor lor constituie o punere la dispoziție a acestor date cu caracter personal în favoarea acestui organ.

În al treilea rând, Curtea se pronunță cu privire la interpretarea noțiunilor de „operator” și de „autoritate de supraveghere”, în sensul RGPD ( 7 ).

În ceea ce privește noțiunea de „operator”, Curtea consideră că nu intră sub incidența acestei noțiuni o instanță competentă să autorizeze, la cererea unui alt organ judiciar, divulgarea de către o bancă acestui organ a unor date referitoare la conturile bancare ale magistraților, precum și la cele ale membrilor familiei lor.

În temeiul reglementării naționale, Inspectoratul este competent să efectueze printre altele controale privind integritatea și lipsa conflictelor de interese în privința magistraților, precum și declarațiile lor de avere. În acest scop, această reglementare oferă Inspectoratului, pe de o parte, posibilitatea de a solicita accesul la datele referitoare la conturile bancare ale magistraților, precum și la cele ale membrilor familiei lor și, pe de altă parte, competența de a solicita o autorizație jurisdicțională prealabilă în vederea accesului la aceste date, atunci când persoanele vizate nu și‑au dat consimțământul la un astfel de acces. Instanța sesizată cu o cerere de autorizare a divulgării nu intervine, așadar, decât la cererea Inspectoratului și se limitează să verifice dacă sunt îndeplinite condițiile de legalitate stabilite de dreptul național. De asemenea, Inspectoratul, nu această instanță, este cel care stabilește, în funcție de normele naționale aplicabile, persoanele la ale căror date intenționează să acceadă în scopul exercitării competențelor sale și în raport cu care introduce o cerere de autorizare la instanța menționată. Astfel, deși instanța examinează dacă și în ce măsură condițiile de legalitate a prelucrării sunt îndeplinite într‑un anumit caz, ea nu stabilește din proprie inițiativă nici scopul prelucrării, nici persoanele și datele vizate. În aceste condiții, nu această instanță este operatorul, ci organul competent pentru realizarea scopurilor urmărite.

În ceea ce privește noțiunea de „autoritate de supraveghere”, o instanță competentă să autorizeze divulgarea de date cu caracter personal unui alt organ judiciar nu se încadrează, în opinia Curții, în această noțiune în cazul în care această instanță nu este însărcinată de statul membru de care aparține să monitorizeze aplicarea RGPD pentru a proteja în special drepturile și libertățile fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal.

În ultimul rând, Curtea apreciază că o instanță competentă să autorizeze divulgarea de date cu caracter personal unui alt organ judiciar nu este obligată, atunci când nu este sesizată cu o cale de atac formulată împotriva unui operator ( 8 ), să asigure din oficiu protecția persoanelor ale căror date sunt vizate în ceea ce privește respectarea dispozițiilor acestui regulament referitoare la securitatea datelor cu caracter personal. Situația este aceeași în cazul în care acest organ a săvârșit, în trecut, o încălcare a acestor dispoziții.

Astfel, Curtea precizează că o instanță națională care nu este sesizată cu o acțiune introdusă împotriva unei autorități de supraveghere sau împotriva unui operator ( 9 ) nu este obligată, în lipsa normelor care îi conferă în mod explicit competențe de supraveghere, să asigure respectarea dispozițiilor materiale ale RGPD. Pentru a garanta efectivitatea unei astfel de căi de atac, statele membre trebuie să se asigure că modalitățile concrete de exercitare a căilor de atac prevăzute de RGPD îndeplinesc efectiv cerințele care decurg din dreptul la o cale de atac efectivă ( 10 ). În acest scop, operatorul, și anume organul judiciar competent căruia i s‑a acordat accesul la datele cu caracter personal, trebuie să furnizeze persoanelor ale căror date sunt vizate informațiile enumerate la articolul 14 alineatele din RGPD ( 11 ), aceste informații fiind necesare pentru a permite persoanelor menționate să își exercite, eventual, dreptul de a se opune prelucrării datelor lor cu caracter personal ( 12 ), precum și dreptul lor la o cale de atac în cazul în care suferă un prejudiciu ( 13 ).

( 1 ) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).

( 2 ) În temeiul articolului 62 alineatul (6) punctul 12 din Zakon za kreditnite institutsii (Legea privind instituțiile de credit) (DV nr. 59 din 21 iulie 2006).

( 3 ) Articolul 47 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).

( 4 ) Astfel cum rezultă din articolul 19 alineatul (1) al doilea paragraf TUE.

( 5 ) Articolele 47 și 48 din cartă.

( 6 ) Și în special a excepției prevăzute la articolul 2 alineatul (2) litera (a) din RGPD, care prevede că acest regulament nu se aplică prelucrărilor de date cu caracter personal efectuate „în cadrul unei activități care nu intră sub incidența dreptului Uniunii”. Această excepție urmărește să excludă din domeniul de aplicare al RGPD prelucrările de date cu caracter personal efectuate de autoritățile de stat în cadrul unei activități care vizează apărarea securității naționale sau al unei activități care poate fi încadrată în aceeași categorie.

( 7 ) În sensul articolului 4 punctul 7 și al articolului 51 alineatul (1) din RGPD.

( 8 ) În temeiul articolului 79 alineatul (1) din RGPD.

( 9 ) Articolul 78 alineatul (1) și articolul 79 alineatul (1) din RGPD.

( 10 ) Articolul 47 din cartă.

( 11 ) Mai precis, la alineatele (1) și (2) ale acestei dispoziții.

( 12 ) Articolul 21 din RGPD.

( 13 ) Articolele 79 și 82 din RGPD.