ЗАКЛЮЧЕНИЕ НА ГЕНЕРАЛНИЯ АДВОКАТ
J. KOKOTT
представено на 20 юли 2017 година(1)
Дело C‑434/16
Peter Nowak
срещу
Data Protection Commissioner
(Преюдициално запитване, отправено от Supreme Court (Върховен съд, Ирландия)
„Преюдициално запитване — Директива 95/46/ЕО — Обработване на лични данни — Понятие „лични данни“ — Достъп до собствена писмена изпитна работа — Коментари на проверителя“
I. Въведение
1. Състои ли се писмената изпитна работа от лични данни, така че поради това кандидатът на изпита евентуално да може да иска от организатора на изпита достъп до собствената си работа на основание на Директивата за защита на данните(2)? За това става дума в настоящото преюдициално запитване от ирландския Supreme Court (Върховен съд). Главното производство обаче не се отнася пряко до достъпа до писмената изпитна работа, а до отказа на предишния ирландски Комисар за защита на личните данни да разгледа жалба срещу отказа да се даде достъп.
2. Централно място заема въпросът дали съдържащoто се в писмена изпитна работа изложение на кандидата на изпита може да представлява лични данни. В допълнение обаче може да се изясни и въпросът дали има значение фактът, че работата е ръкописна и дали коментарите на проверителя върху работата също са лични данни на кандидата на изпита.
3. Действително предстои Директивата за защита на данните да бъде отменена от все още неприложимия Общ регламент относно защитата на данните(3), но понятието „лични данни“ не се променя. Следователно това преюдициално запитване е от значение и за бъдещото прилагане на правото на Съюза относно защитата на данните.
II. Правна уредба
4. Член 2, буква а) от Директивата за защита на данните определя различни понятия, и по-специално какво се разбира под „лични данни“:
„По смисъла на настоящата директива:
a) „лични данни“ означава всяка информация, свързана с идентифицирано или подлежащо на идентификация лице („съответно физическо лице“); за подлежащо на идентифициране лице се смята това лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификационен номер или един или повече специфични признаци, отнасящи се до неговата физическа, физиологическа, психологическа, умствена, икономическа, културна или социална самоличност;
б) „обработване на лични данни“ („обработване“) означава всяка операция или набор от операции, извършвани или не с автоматични средства, прилагани към личните данни, като събиране, запис, организиране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, актуализиране или комбиниране, блокиране, изтриване или унищожаване;
в) „файл с лични данни“ („файл“) означава всеки структуриран набор от лични данни, достъпен по определени критерии, централизиран, децентрализиран или разпределен по функционален или географски принцип“.
5. Приложното поле на Директивата е посочено в член 3:
„1. Настоящата директива се прилага към пълната или частична обработка на лични данни с автоматизирани средства, както и към обработката със средства, които не са автоматизирани, на лични данни, съставляващи част от файлова система, или които са предназначени да съставляват част от файлова система.
2. […]“.
6. Член 12 от Директивата за защита на данните урежда правото на достъп:
„Държавите членки гарантират на всяко физическо лице правото да получи от администратора:
a) без принуда, на разумни интервали от време и без прекалено забавяне или разходи:
– потвърждение за това, дали отнасящи се до него данни се обработват, както и информация най-малкото за целите на тази обработка, категориите данни и получателите или категориите получатели, на които данните се разкриват,
– съобщение до него в разбираема форма относно данните, които се обработват, както и за всяка налична информация за техния източник,
– познания за логиката на всяка автоматизирана обработка на данни, отнасяща се до него, най-малкото за автоматизираните решения, упоменати в член 15, параграф 1;
б) според случая, поправянето, изтриването или блокирането на данните, чиято обработка не е в съответствие с разпоредбите на настоящата директива, и по-конкретно поради непълнота или неточност на самите данни“.
7. Съображение 41 пояснява целта на правото на достъп:
„[…] всяко лице трябва да може да упражнява правото си на достъп до данните, свързани с него, които се обработват, за да провери, в частност, точността на данните и законосъобразността на обработването […]“.
8. Член 13, параграф 1 от Директивата за защита на данните е основание за изключения от определени разпоредби:
„1 Държавите членки могат да приемат законодателни мерки за ограничаване на обхвата на правата и задълженията, предвидени в член 6, параграф 1, член 10, член 11, параграф 1, член 12 и член 21, ако подобно ограничаване представлява необходима мярка за гарантиране на:
a) националната сигурност;
б) отбраната;
в) обществената сигурност;
г) предотвратяването, разследването, разкриването и преследването на […] престъпления или за нарушения на етичните кодекси при регламентираните професии;
д) важни икономически и финансови интереси на държавата членка или на Европейския съюз, включително валутни, бюджетни и данъчни въпроси;
е) функции по наблюдение, проверка или регламентиране, свързани, дори случайно, с упражняването на официални правомощия в случаите, посочени в букви в), г) и д);
ж) защитата на съответното физическо лице или на правата и свободите на други лица“.
III. Фактите и преюдициалното запитване
9. Г‑н Nowak е Trainee Accountant (стажант счетоводител/данъчен консултант) и успешно полага различни изпити в Institute of Chartered Accountants of Ireland (Професионална организация на счетоводителите/данъчните консултанти в Ирландия, наричана по-нататък: „CAI“). Той обаче четири пъти се явява безуспешно на изпита Strategic Finance and Management Accounting (Стратегическо финансово и управленско счетоводство). Това е изпит, при който е разрешено ползване на помощни материали („open book exam“).
10. След четвъртото явяване на изпита през есента на 2009 г. г‑н Nowak оспорва резултата, но в крайна сметка през май 2010 г. решава да подаде молба за достъп до информация съгласно ирландското право за защита на данните, изисквайки достъп до всички „лични данни“ съхранявани от CAI.
11. С писмо от 1 юни 2010 г. CAI изпраща на г‑н Nowak 17 документа, но отказва да му предостави писмената му изпитна работа, и то с мотив, че CAI бил предупреден, че писмените изпитни работи не представляват „лични данни“ по смисъла на Законите за защита на данните.
12. Впоследствие г‑н Nowak се свързва с Office of the Data Protection Commissioner, Службата на ирландския комисар за защита на данните, моли за подкрепа и изразява становището, че неговата изпитна работа представлява лични данни. През юни 2010 г. комисарят за защита на данните изпраща електронно съобщение на г‑н Nowak, с което наред с останалото го уведомява, че „писмените изпитни работи […] обикновено не се вземат предвид [за целите на защита на данните], […] тъй като тези материали по принцип не представляват лични данни“.
13. Кореспонденцията между г‑н Nowak и тогавашния комисар за защита на личните данни продължава до 1 юли 2010 г., когато г‑н Nowak подава официална жалба. На 21 юли 2010 г. комисарят за защита на личните данни уведомява писмено г‑н Nowak, че е проверил информацията и не е установил никакво материалноправно нарушение на Законите за защита на данните. Освен това в писмото се отбелязва, че материалите, по отношение на които г‑н Nowak иска да упражни „право на поправка“, „не представляват лични данни, за които се прилага [законодателството за защита на данните]“. Поради това комисарят за защита на личните данни не разглежда повече жалбата.
14. Г‑н Nowak обжалва това решение пред ирландските съдилища, където в момента производството е висящо пред Supreme Court. Той отправя следните въпроси до Съда:
„1) Може ли информацията, записана в/като отговори, дадени от кандидат по време на изпит за професионални умения, да се квалифицира като лични данни по смисъла на Директивата за защита на данните?
2) При отговор на първия въпрос в смисъл, че цялата или част от информацията може да бъде квалифицирана като лични данни по смисъла на тази директива, какви фактори са релевантни, за да се прецени дали в конкретен случай такава писмена работа представлява лични данни, и каква тежест трябва да се придаде на тези фактори?“.
15. В производството пред Съда писмени становища представят страните в главното производство, г‑н Nowak и настоящият ирландски комисар за защита на личните данни, както и Република Гърция, Ирландия, Република Полша, Португалската република, Република Австрия, Унгария, Чешката република и Европейската комисия. В съдебното заседание на 22 юни 2017 г. участие вземат, освен г‑н Nowak и ирландския комисар за защита на личните данни, още Ирландия и Европейската комисия.
IV. Правен анализ
16. Централно място в преюдициалното запитване заема въпросът дали писмена изпитна работа може да се квалифицира като лични данни (по този въпрос вж. A). Освен това някои участници в производството разискват въпроса дали евентуални коментари на проверяващия са лични данни на кандидата на изпита (по този въпрос вж. Б). И накрая по-специално Комисията изразява становище относно други предпоставки за правото на достъп в контекста на законодателството относно защитата на данните (по този въпрос вж. В).
1. По писмената изпитна работа
17. С двата въпроса, на които следва да се отговори едновременно, Supreme Court иска да разбере дали писмената изпитна работа попада в определението за лични данни съгласно член 2, буква а) от Директивата за защита на данните. Този въпрос произтича от обстоятелството, че г‑н Nowak, който е кандидат на посочения изпит, иска достъп до писмената си изпитна работа на основание на правото на достъп, уредено в член 12 от Директивата за защита на данните и във връзка с това подава жалба, оставена без уважение от тогавашния ирландски комисар за защита на личните данни.
1. По определението за лични данни
18. Приложното поле на Директивата за защита на данните е много широко и обхванатите от Директивата лични данни са многообразни(4). Съгласно член 2, буква а) всяка информация, свързана с физическо лице с установена или подлежаща на установяване самоличност, е лични данни.
1) По квалификацията на писмена изпитна работа
19. Според настоящия ирландски комисар за защита на личните данни писмената изпитна работа не съдържа лични данни, особено когато се допуска използване на собствени помощни материали. По принцип, при изолирано разглеждане на решението на изпитните задачи, това становище може да е основателно. Тъй като в нормалния случай изпитните задачи са формулирани абстрактно или се отнасят до фиктивни факти(5), решаването им всъщност не би следвало да има за предмет информация за физическо лице с установена или подлежаща на установяване самоличност.
20. Макар като че ли въпросите на Supreme Court да се отнасят действително само до решението, а именно „информацията, записана в/като отговори, дадени от кандидат […]“, не би било целесъобразно анализът да приключи тук.
21. Всъщност, както основателно посочват почти всички други участници в производството, писмената изпитна работа съдържа не само информация за решението на определени задачи, а и свързва тази информация с личността на кандидат, който съставя изпитната работа. Изпитната работа документира обстоятелството, че това лице е взело участие в определен изпит и какви резултати е постигнало. Връзката на тези постижения с лицето, наред с другото, се вижда и от това, че участниците в изпити редовно вписват в автобиографиите си най-важните изпитни резултати.
22. За квалификацията на писмена изпитна работа като съдържаща лични данни е без значение дали тя включва самостоятелно дадени отговори или избор между различни отговори съгласно метода Multiple Choice или, както е в настоящия случай — дадената възможност за използване на определени материали („open book exam“).
23. Всъщност връзката на съответното постижение с кандидата на изпита нараства с увеличаването на броя на отговорите, които той трябва да развие самостоятелно. Всъщност самостоятелното развиване на решение не се изчерпва с възпроизвеждането на научена информация, а показва и как кандидатът на изпита мисли и работи.
24. Във всички случаи обаче, за разлика от представителната анкета, изпитът не е насочен към придобиване на информация, която е независима от лицето. Той по-скоро трябва да установи и документира постижението на специално лице, а именно на кандидата на изпита. Всеки изпит е насочен към проверка на личното и индивидуално постижение на кандидата на изпита. Неслучайно неправомерното ползване на чужди постижения при изпити се санкционира строго като опит за измама.
25. Следователно писмената изпитна работа съдържа информация за кандидата на изпита и в този смисъл е набор от лични данни.
26. Основателността на това заключение се илюстрира между другото и с факта, че кандидатът има законен интерес, обоснован със защита на личната му сфера, да може да възрази срещу обработването извън изпитния процес на определената като негова писмена изпитна работа. Всъщност кандидатът не трябва да търпи неговата работа да се предава на трето лице или дори да се публикува без негово съгласие.
27. Противно на изложеното от ирландския комисар за защита на личните данни, съдържащите се в писмената изпитна работа лични данни не се изчерпват с резултата от изпита, постигнатата оценка или дори точките, които са били дадени за определени части от изпита. Тези стойности само обобщават резултатите от изпита, които в подробности са документирани в самата писмена изпитна работа.
28. Квалификацията на писмената изпитна работа като съдържаща лични данни не се променя, ако работата вместо с името на кандидата е обозначена с номер или баркод. Всъщност съгласно член 2, буква а) от Директивата за защита на данните, за да е налице лична информация, е достатъчно съответното лице да подлежи поне на непряко идентифициране(6). И поне доколкото кандидатът изисква от организацията, която е провела изпита, да може да идентифицира изпитната му работа с помощта на номера.
2) По значението на почерка
29. Г‑н Nowak, Полша и Чешката република също основателно считат, че ръкописно дадените отговори съдържат допълнителна информация за кандидата, а именно за неговия почерк. По този начин ръкописната изпитна работа на практика е образец от почерка, който поне потенциално в по-късен момент може да се използва като сравнителен материал, за да се провери дали друг текст също е бил написан с почерка на кандидата. Той може да даде и информация за идентичността на съставителя на работата.
30. За квалифицирането му като лични данни няма значение дали подобен образец от почерка е подходящ, за да бъде идентифициран пишещият по несъмнен начин. Всъщност и много други лични данни, изолирани сами по себе си, не позволяват несъмнено идентифициране на едно лице. Поради това не е и необходимо да се решава дали почеркът представлява биометрична информация.
2. По целта на правото на достъп
31. Противно на становището на Ирландия, посочената в съображение 41 от Директивата за защита на данните цел на правото на достъп до лични данни също не променя съответната квалификация на писмената изпитна работа. Според него всяко лице трябва да може да упражнява правото си на достъп до данните, свързани с него, които се обработват, за да провери, в частност, точността на данните и законосъобразността на обработването. Ирландия се опасява, че на това основание във връзка с предвиденото в член 12, буква б) право на поправка кандидатът ще поиска корекция на грешните изпитни отговори.
1) По тълкуването на понятието „лични данни“ с оглед на целта
32. Първо следва да се напомни, че в настоящия случай едва на второ място става дума за правото на достъп, а на първо място — за тълкуването на понятието „лични данни“. Както Комисията основателно посочва в съдебното заседание, на това понятие стъпват много други изисквания на Директивата за защита на данните. Така член 6, параграф 1, буква а) предвижда, че личните данни се обработват справедливо и законно, а буква б) предвижда, че събирането на лични данни е за конкретна цел.
33. Във връзка с настоящия случай от особен интерес е, че съгласно член 8, параграф 3 от Хартата на основните права член 16, параграф 2 ДФЕС и член 28 от Директивата за защита на данните контролни органи при пълна независимост трябва да осъществяват контрол по спазването на правилата на Съюза относно защитата на физическите лица при обработването на такива данни(7). Във връзка с това член 8, параграфи 1 и 3 от Хартата и член 28, параграф 4 от Директивата за защита на данните гарантират на лицата право да сезират националните надзорни органи с искане, за да защитят основните си права при обработването на лични данни(8).
34. Поради това квалификацията на информацията като лични данни не следва да е в зависимост от това дали има специфични правила за достъп до тази информация, които евентуално биха важали наред с правото на достъп или вместо него. Освен това не може за установяването дали са налице лични данни да са решаващи проблемите във връзка с правото на достъп. Всъщност при пълно съобразяване на тези фактори определени лични данни биха могли да се отграничат от общата система за защита, уредена в Директивата за защита на данните, макар че приложимите на нейно място правила не предоставят същата, а най-много фрагментарна защита.
2) По поправянето на данни
35. Ако обаче вниманието се концентрира върху правото на достъп и въпроса за поправянето, следва да се признае, че по отношение на писмена изпитна работа това право очевидно не може да се упражни, за да се поиска съгласно член 12, буква б) от Директивата за защита на данните, в допълнение към достъпа, и поправяне на съдържанието на писмената работа, т.е. на решението, което кандидатът е дал на хартия(9). Всъщност, както основателно посочва Полша, точността и пълнотата на личните данни съгласно член 6, параграф 1, буква г) трябва да се преценяват с оглед на целта, за която се съхраняват и ще бъдат обработвани данните. Целта на писмената изпитна работа е да се установят знанията и уменията на кандидата към момента на изпита, което е видно именно от неговите изпитни резултати, и по-специално от съдържащите се в тях грешки. Поради това грешките в решението не означават, че съдържащите се в писмената работа лични данни не са точни.
36. Поправяне обаче може да се направи, ако се окаже, че писмената работа не документира изпитните резултати точно или пълно. Подобен случай би бил налице, ако — както отбелязва Гърция — като изпитна работа на засегнатото лице се определи работата на друг кандидат, което наред с другото може да се докаже и с помощта на почерка, или ако части от работата се изгубят.
37. Впрочем не е изключено кандидатът да има законен интерес съгласно член 12, буква б) от Директивата за защита на данните да бъдат изтрити негови лични данни, които се съдържат в писмената изпитна работа, т.е. писмената му работа да бъде унищожена. Следва да се приеме, че подобен интерес е налице най-късно към момента, в който поради изтичане на срокове писмената изпитна работата е загубила всякаква доказателствена стойност с оглед на контрола относно изпитния резултат. Предпоставка за упражняване на това право на изтриване е и признаването на писмената изпитна работа за лични данни.
38. В крайна сметка поправянето и другите права съгласно член 12, буква б) от Директивата за защита на данните, блокирането и изтриването не са единствената цел на правото на достъп.
39. Действително съображение 41 описва целта на правото на достъп в смисъл, че засегнатото лице трябва да може да провери в частност точността на данните и законосъобразността на обработването им. С използването на израза „в частност“ в текстовете на повечето езици(10) законодателят все пак вече е показал, че целта е по-далечна. Всъщност, независимо от поправянето, изтриването или блокирането, засегнатите лица по правило имат законен интерес да узнаят каква информация за тях обработва администраторът.
40. Вярно е наистина, че нуждата на кандидата от информация относно писмената му изпитна работа в началото ще бъде съвсем ограничена. Всъщност принципно той ще си спомня относително добре съдържанието на отговорите си и ще може да счита, че изпитващата организация все още съхранява работата му.
41. Няколко години по-късно обаче споменът ще бъде вече значително по-слаб, така че евентуалното искане за достъп ще е породено от действителна нужда от информация — независимо поради какви причини възниква. Освен това с изминаване на време — особено след изтичането на различни срокове за обжалване и контрол — ще расте и несигурността дали писмената изпитна работа все още се съхранява. В тази ситуация кандидатът трябва поне да може да научи дали неговата писмена работа още се съхранява. Предпоставка за упражняване на това право също е признаването на писмената изпитна работа за лични данни на кандидата.
3) По злоупотребата с правото на достъп
42. В допълнение следва да се разгледа въпросът относно злоупотребата с права, свързани с лични данни, защото жалбата на г‑н Nowak се квалифицира като злоупотреба на национално равнище — от комисаря за защита на личните данни, а в настоящото производство упражняването на правото му на достъп — от Чешката република. Този упрек изглежда е свързан с обстоятелството, че г‑н Nowak не се позовава на процедурата за контрол върху изпитните резултати, а предявява претенция за достъп на основание на правото за защита на личните данни.
43. Във връзка с това следва да се подчертае, че е недопустимо позоваването на правните норми на Съюза с цел злоупотреба или измама(11).
44. За да се установи наличието на злоупотреба, са необходими обективен и субективен елемент. От една страна, що се отнася до обективния елемент, за установяването е необходимо от определена съвкупност от обективни обстоятелства да следва, че въпреки формалното спазване на предвидените в правната уредба на Съюза условия целта, преследвана с тази правна уредба, не е постигната. От друга страна, за извършването на такова установяване е необходим субективен елемент в смисъл, че от множество обективни обстоятелства трябва да е видно, че основната цел на съответните операции е получаването на недължимо предимство. Всъщност забраната на злоупотребите е ирелевантна, когато за извършването на съответните операции може да има причина, различна от простото получаване на (неоснователно) предимство(12).
45. Според доводите на Комисаря за защита на личните данни и Ирландия, ако писмената изпитна работа съдържа лични данни, ще се наруши целта на Директивата за защита на данните, поради факта че упражняването на правото на достъп в контекста на правото за защита на данните би позволило да се заобиколят правилата на изпитната процедура и на възразяване срещу решенията от изпита.
46. Евентуално заобикаляне на изпитната процедура и на правото на възражение срещу изпитните резултати посредством упражняване на правото на достъп до лични данни обаче следва да се предотврати чрез инструментариума на Директивата за защита на данните. В този смисъл следва да се има предвид по-специално член 13, който позволява да се предвидят изключения от правото на достъп, за да се защитят определени, посочени в разпоредбата интереси.
47. Доколкото тези основания в определени случаи, като евентуално във връзка с изпити, не обосновават изключения, следва да се признае, че законодателят дава предимство на изискванията на правото за защита на данните, подкрепени със съображения, свързани с основните права пред конкретно засегнати други интереси.
48. Все пак следва да се посочи, че в Общия регламент за защита на данните, който ще се прилага в бъдеще, тези отношения не са толкова обтегнати. От една страна, съгласно член 15, параграф 4 от Регламента правото на получаване на копие не може да влияе неблагоприятно върху правата и свободите на други лица. От друга страна, член 23 от Регламента посочва малко по-широки основания за ограничаване на гаранциите за защита на данните в сравнение с член 13 от Директивата, тъй като съгласно член 23, параграф 1, буква д) може да се обосноват в частност ограничения с цел защита на други важни цели от широк обществен интерес за Съюза или за държава членка.
49. Противно на това, самото съществуване на други национални правила, които също уреждат правото на достъп до писмени изпитни работи, не е достатъчно, за да се приеме, че е нарушена целта на Директивата.
50. Дори и да можеше да се приеме, че има нарушение на целта обаче, не е видно, в какво се състои недължимото предимство, ако кандидатът в резултат от упражняване на правото на достъп получи такъв до писмената си работа. Не може да се приеме, че има злоупотреба по-специално в обстоятелството, че упражнявайки правото на достъп, се придобива информация, до която лицето иначе няма достъп. Всъщност, ако вече имаше достъп до информация, свързана с лични данни, нямаше да има нужда да се въвежда право на достъп като част от правото за защита на личните данни. По-скоро функция на правото на достъп като част от правото за защита на личните данни е лицето да има достъп до собствените си данни — при спазване на изключенията въз основа на член 13 от Директивата за защита на данните, тъй като в противен случай липсва право на достъп.
3. Междинно заключение
51. В обобщение следва да се установи, че ръкописна писмена изпитна работа, за която може да се определи, че е на кандидат на изпита, представлява лични данни по смисъла на член 2, буква а) от Директивата за защита на данните.
2. По коментарите на проверителя върху писмената изпитна работа
52. Участниците в производството донякъде, и по-специално г‑н Nowak, повдигат въпроса дали евентуални коментари на проверителя върху писмената изпитна работа също представляват лични данни относно кандидата на изпита.
53. Отговорът на този въпрос обаче не е необходим за решаването на спора в главното производство, тъй като в него не става въпрос за това дали евентуални коментари на проверителя представляват информация относно г‑н Nowak. Предмет на производството е по-скоро въпросът дали тогавашният ирландски Комисар за защита на личните данни основателно е можел да отхвърли жалбата на г‑н Nowak с мотивите, че неговата писмена изпитна работа изначално не представлява лични данни. Доколко коментарите на проверителя могат също да се квалифицират като данни относно кандидата на изпита, би трябвало да е въпрос, който ще реши не Supreme Court, а — при успех на иска — първо настоящият ирландски Комисар за защита на личните данни. Аз ще го разясня все пак, в случай че Съдът въпреки това реши да се занимае с този аспект.
54. За разлика от писмената изпитна работа, като цяло по отношение на коментарите на проверителя трудно може да се допусне, че съществува обоснована с правото на защита на данните претенция за поправяне, изтриване или блокиране на неточни данни. Всъщност изглежда изключено направените върху писмената изпитна работа коментари да се отнасят в действителност до друга работа или да не отразяват становището на проверителя. В тях обаче трябва да се документира именно това становище. По смисъла на Директивата за защита на данните те следователно не биха били грешни и нуждаещи се от поправяне, дори ако документираната в коментарите оценка обективно не е обоснована.
55. Поради това евентуални възражения срещу коментарите би следвало да се третират в рамките на процедура на възражение срещу оценката на писмената изпитна работа.
56. Все пак може да има хипотеза, при която споменатата по-горе претенция за изтриване на писмената работа, да включва и коментарите на проверителя.
57. Същевременно правото на достъп по отношение на коментарите на проверителя би имало за първостепенна цел да информира кандидата за оценката на определени пасажи от неговата работа.
58. В този смисъл настоящият случай е подобен на този, в който Съдът отхвърля разпростирането на правото на достъп до проект на правен анализ на молба за предоставяне на убежище, защото това в действителност би обслужвало не целта на Директивата за защита на данните, а би послужило да се обоснове право на достъп до административни документи(13). В настоящия случай може да се приеме, че достъпът до информация относно оценката на писмена изпитна работа трябва да се получи преди всичко в рамките на изпитната процедура, съответно на специална процедура за възражение срещу изпитните решения, а не на основание на правото за защита на данните. Доколкото обаче изпитната процедура не се определя от правото на Съюза, евентуални претенции за информация в нейните рамки зависят само от националното право.
59. Освен това в посоченото решение Съдът установява, че този тип правен анализ представлява не информация, свързана с поискалото разрешение за пребиваване лице, а най-много информация за преценката на компетентния орган и за прилагането на правото от негова страна към случая на въпросното лице(14). На пръв поглед тази констатация също може да се прехвърли към коментарите на проверителя. Те само биха показали впоследствие как проверителят оценява отговорите.
60. В действителност в никакъв случай не е необходимо при проверката на дадена писмена изпитна работа проверителят да знае кой е авторът ѝ. Напротив, в много писмени изпитни процедури, както и в главното производство, се държи проверителите да не са уведомени за идентичността на участниците, за да се изключат изначално конфликти на интереси. Както и при изпита, предмет на спора в главното производство, при това положение техните коментари най-напред нямат отношение към личността на кандидата на изпита.
61. Същевременно такива коментари целят оценяване на изпитното постижение и в този смисъл се отнасят индиректно до кандидата на изпита. Провеждащата изпита организация може също да го идентифицира безпроблемно и да го свърже с коригираната работа, след като тя се върне от проверителя.
62. Както посочва в допълнение Австрия, за разлика от кратките рецензии относно писмената работа, намиращите се върху писмената работа коментари в типичния случай по правило са неразделни от писмената работа, защото без нея те не носят смислено послание. Както вече беше споменато обаче, самата изпитна работа съдържа лични данни на кандидата. А тези данни се събират и обработват именно с цел да се направи възможно отразеното в коментарите на проверителя оценяване на постижението на кандидата.
63. Дори само на основание на тази тясна връзка между писмената изпитна работа и направените върху нея коментари на проверителя може да се заключи, че последните също представляват лични данни на кандидата на изпита съгласно член 2, буква а) от Директивата за защита на данните.
64. От друга страна, възможността да се заобиколи процедурата за обжалване на изпита не може да изключи прилагането на правото за защита на данните. Всъщност обстоятелството, че евентуално съществуват и успоредни други правила относно достъпа до определена информация, не може да измести правото относно защита на данните. Най-много може да се счете за допустимо да се укаже на засегнатите лица, че имат успоредно съществуващи права на достъп, стига те да могат да се упражнят ефективно.
65. За пълнота следва да се посочи, че коментарите на проверителя представляват същевременно и лични данни на проверителя. Неговите права принципно могат да обосноват ограничения на правото на достъп съгласно член 13, параграф 1, буква ж) от Директивата за защита на данните, ако те имат повече тежест спрямо законните интереси на кандидата на изпита. Окончателното решение на този потенциален конфликт на интереси обаче принципно може да се намери, като се унищожи коригираната писмена изпитна работа, след като вече не е възможен последващ контрол в изпитната процедура поради изтичане на срока.
3. По условията за прилагане на Директивата за защита на данните
66. Комисията основателно посочва, че прилагането на Директивата за защита на данните и на правото на достъп относно наличието на лични данни в допълнение зависи от други условия, както и че са позволени ограничения на правото на достъп.
67. Тези други условия и възможности за ограничения обаче не са предмет на запитването, така че Съдът не следва да се произнася по тях. Разясняването им не изглежда и необходимо, за да може Supreme Court да реши дали тогавашният ирландски Комисар за защита на личните данни с основание е отказал по-нататъшното разглеждане на жалбата на г‑н Nowak.
68. В случай че Съдът в допълнение иска да се произнесе и по тези въпроси, на пръв поглед от интерес би бил по-специално член 3, параграф 1 от Директивата за защита на данните. Според него Директивата се прилага към пълната или частична обработка на лични данни с автоматизирани средства, както и към обработката със средства, които не са автоматизирани, на лични данни, съставляващи част от файлова система, или които са предназначени да съставляват част от файлова система.
69. Не изглежда задължително писмената изпитна работа на г‑н Nowak да е обработвана с автоматизирани средства, като например да бъде четена или запаметена в устройство за обработка на данни. Същевременно следва да се приеме, че тя поне е част от „файлова система“. Всъщност съгласно член 2, буква в) от Директивата за защита на данните не е задължително данните да се запаметяват в устройство за обработка на данни. Това понятие по-скоро обхваща всяко структурирано събиране на лични данни, до които има достъп на основание на различни критерии. Дори подреден по азбучен ред или по друг критерий физически набор от писмени изпитни работи на хартия би изпълнил тези изисквания.
V. Заключение
70. Поради това предлагам на Съда да постанови следното:
Ръкописната изпитна работа, която може да се определи като съставена от конкретен кандидат на изпит, представлява лични данни по смисъла на член 2, буква а) от Директива 95/46/ЕО за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, включително заедно с евентуални коментари на проверители.