Language of document : ECLI:EU:C:2019:772

Неокончателна редакция

РЕШЕНИЕ НА СЪДА (голям състав)

24 септември 2019 година(*)

„Преюдициално запитване — Лични данни — Защита на физическите лица при обработването на тези данни — Директива 95/46/ЕО — Регламент (ЕС) 2016/679 — Търсачки в интернет— Обработване на данни, които са на уебстраници — Териториален обхват на правото на премахване от резултатите при търсене“

По дело C‑507/17

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Conseil d’État (Държавен съвет, Франция) с акт от 19 юли 2017 г., постъпил в Съда на 21 август 2017 г., в рамките на производство по дело

Google LLC, правоприемник на Google Inc.,

срещу

Commission nationale de l’informatique et des libertés (CNIL),

в присъствието на:

Wikimedia Foundation Inc.,

Fondation pour la liberté de la presse,

Microsoft Corp.,

Reporters Committee for Freedom of the Press и др.,

Article 19 и др.,

Internet Freedom Foundation и др.,

Défenseur des droits,

СЪДЪТ (голям състав),

състоящ се от: K. Lenaerts, председател, Aл. Арабаджиев, E. Regan, T. von Danwitz, C. Toader и F. Biltgen, председатели на състави, M. Ilešič (докладчик), L. Bay Larsen, M. Safjan, D. Šváby, C. G. Fernlund, C. Vajda и S. Rodin, съдии,

генерален адвокат: M. Szpunar,

секретар: V. Giacobbo-Peyronnel, администратор,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 11 септември 2018 г.,

като има предвид становищата, представени:

–        за Google LLC, от P. Spinosi, Y. Pelosi и W. Maxwell, avocats,

–        за Commission nationale de l’informatique et des libertés (CNIL), от I. Falque-Pierrotin, J. Lessi и G. Le Grand, в качеството на представители,

–        за Wikimedia Foundation Inc., от C. Rameix-Seguin, avocate,

–        за Fondation pour la liberté de la presse, от T. Haas, avocat,

–        за Microsoft Corp., от E. Piwnica, avocat,

–        за Reporters Committee for Freedom of the Press и др., от F. Louis, avocat, както и от H.‑G. Kamann, C. Schwedler и M. Braun, Rechtsanwälte,

–        за Article 19 и др., от G. Tapie, avocat, G. Facenna, QC, и E. Metcalfe, barrister,

–        за Internet Freedom Foundation и др, от T. Haas, avocat,

–        за Défenseur des droits, от J. Toubon, в качеството на представител,

–        за френското правителство, от D. Colas, R. Coesme, E. de Moustier и S. Ghiandoni, в качеството на представители,

–        за Ирландия, от M. Browne, G. Hodge, J. Quaney и A. Joyce, в качеството на представители, подпомагани от M. Gray, BL,

–        за гръцкото правителство, от E.‑M. Mamouna, G. Papadaki, E. Zisi и S. Papaioannou, в качеството на представители,

–        за италианското правителство, от G. Palmieri, в качеството на представител, подпомагана от R. Guizzi, avvocato dello Stato,

–        за австрийското правителство, от G. Eberhard и G. Kunnert, в качеството на представители,

–        за полското правителство, от B. Majczyna, M. Pawlicka и J. Sawicka, в качеството на представители,

–        за Европейската комисия, от A. Buchet, H. Kranenborg и D. Nardi, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 10 януари 2019 г.,

постанови настоящото

Решение

1        Преюдициалното запитване се отнася до тълкуването на Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10).

2        Запитването е отправено в рамките на спор между Google LLC, правоприемник на Google Inc., и Commission nationale de l’informatique et des libertés (Национална комисия по информационни въпроси и свободи) (CNIL) (Франция) по повод санкцията от 100 000 EUR, наложена от нея на Google, поради това че когато изпълнило искане за премахване от резултатите при търсене (дерефериране), това дружество отказало да го приложи за всички разширения на имена на домейни от своята интернет търсачка.

 Правна уредба

 Правото на Съюза

 Директива 95/46

3        Съгласно член 1, параграф 1 от Директива 95/46 тя има за цел защитата на основните права и свободи на физическите лица, и в частност правото им на личен живот, при обработването на лични данни, както и премахването на пречките пред свободното движение на тези данни.

4        Съображения 2, 7, 10, 18, 20 и 37 от Директива 95/46 гласят:

„(2)      като имат предвид, че системите за обработка на данни са създадени с цел да служат на хората; като имат предвид, че независимо от националността или местожителството на физическите лица, те трябва да зачитат техните основни права и свободи и по-конкретно правото на личен живот, и да допринасят за […] благосъстоянието на хората;

[…]

(7)      като имат предвид, че различните степени на защита на правата и свободите на лицата и по-конкретно правото на личен живот при обработването на лични данни, разрешено в държавите членки, могат да предотвратят предаването на такива данни от територията на една държава членка до територията на друга държава членка; като има предвид, че тези различия могат поради това да се превърнат в препятствие за осъществяването на множество икономически дейности на равнище Общност […]

[…]

(10)      като имат предвид, че предмет на националните законодателства, отнасящи се до обработването на [лични] данни, е осигуряване спазването на основните права и свободи и по-конкретно правото на личен живот, което се признава както в член 8 на Европейската конвенция за защита на правата на човека и основните свободи, [подписана в Рим на 4 ноември 1950 г.,] така и от общите принципи на правото на Общността; като имат предвид, че поради тази причина сближаването на тези законодателства не трябва да доведе до намаляване степента на защита, която те осигуряват, а обратно — да има за цел гарантиране на висока степен на защита в Общността;

[…]

(18)      като имат предвид, че с оглед да се гарантира, че лицата няма да бъдат лишени от защитата, която им се полага по силата на настоящата директива, всяко обработване на лични данни в Общността се извършва в съответствие със законодателството на една от държавите членки; […]

[…]

(20)      като имат предвид, че фактът, че обработването на данни се извършва от лице, установено в трета страна, не трябва да възпрепятства защитата на лицата, предвидена от настоящата директива; като имат предвид, че в тези случаи обработването следва да се урежда от законите на държавата членка, в която се намират средствата, използвани за обработването на данни, и че следва да има гаранции за действително спазване на правата и задълженията, предвидени в настоящата директива;

[…]

(37)      като имат предвид, че обработването на лични данни за целите на журналистиката или за цели, свързани с литературно или художествено изразяване, и по-конкретно в областта на аудиовизията, трябва да отговарят на условията за освобождаване от изискванията на някои разпоредби на настоящата директива, доколкото това е необходимо, за да се постигне баланс между основните права на лицето и свободата на информация, и по-конкретно на правото на всяко лице да получава и предава информация, както е гарантирано изрично в член 10 от Европейската конвенция за защита на правата на човека и основните свободи; като имат предвид, че държавите членки са длъжни поради тази причина да приемат изключения и дерогации, необходими за постигането на равновесие между основните права по отношение на общите мерки за законосъобразност на обработването на данни, […]“.

5        Член 2 от тази директива гласи:

„По смисъла на настоящата директива:

а)      „лични данни“ означава всяка информация, свързана с идентифицирано или подлежащо на идентификация лице („съответно физическо лице“); […]

б)      „обработване на лични данни“ („обработване“) означава всяка операция или набор от операции, извършвани или не с автоматични средства, прилагани към личните данни, като събиране, запис, организиране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, актуализиране или комбиниране, блокиране, изтриване или унищожаване;

[…]

г)      „администратор“ означава физическо или юридическо лице, държавен орган, агенция или друг орган, който сам или съвместно с други определя целите и средствата на обработка на лични данни; […]

[…]“.

6        Член 4 от тази директива, озаглавен „Приложимо национално право“, предвижда:

„1.      Всяка държава членка прилага националните разпоредби, които приема в съответствие с настоящата директива, по отношение на обработването на лични данни, когато:

a)      обработването се извършва в контекста на дейностите на [установен] на територията на държавата членка [обект на администратора]; когато същият администратор е установен на територията на няколко държави членки, той трябва да вземе необходимите мерки, за да гарантира, че всеки от тези [негови обекти] спазва задълженията, установени от националното право;

б)      администраторът не е установен на територията на държава членка, но се намира на място, в което националното право е приложимо по силата на международното публично право;

в)      администраторът не е установен на територията на Общността, и за целите на обработването на лични данни използва автоматизирано или друго оборудване, намиращо се на територията на дадената държава членка, освен ако оборудването се използва само за целите на транзитното преминаване през територията на Общността.

2.      При обстоятелствата, посочени в параграф 1, буква в), администраторът трябва да посочи представител, установен на територията на тази държава членка, без това да засяга съдебни искове, които биха могли да бъдат предявени срещу самия администратор“.

7        Член 9 от Директива 95/46, озаглавен „Обработка на личните данни и свобода на словото“, гласи:

„Държавите членки предвиждат изключения или дерогации от разпоредбите на настоящата глава, глава IV и глава VI относно обработването на лични данни, когато то се извършва единствено за целите на журналистическа дейност или на литературно или художествено изразяване, само ако са необходими за съгласуване на правото на личен живот и правилата, регулиращи свободата на словото“.

8        Член 12 от тази директива е озаглавен „Право на достъп“ и предвижда:

„Държавите членки гарантират на всяко физическо лице правото да получи от администратора:

[…]

б)      според случая, поправянето, изтриването или блокирането на данните, чиято обработка не е в съответствие с разпоредбите на настоящата директива, и по-конкретно поради непълнота или неточност на самите данни;[…]“.

9        Член 14 от посочената директива е озаглавен „Право на съответното физическо лице на възражение“ и в него се предвижда следното:

„Държавите членки предоставят на съответното физическо лице правото:

a)      най-малкото в случаите, упоменати в член 7, букви д) и е), на възражение по всяко време, въз основа на неопровержими законови основания, свързани с неговото конкретно положение[, срещу обработването на отнасящи се до него] данни, освен ако националното законодателство не е предвидило друго. В случаите, когато възражението е оправдано, обработването, започнато от администратора, не може вече да съдържа посочените данни;

[…]“.

10      Член 24 от Директива 95/46 е озаглавен „Определения“ и предвижда:

„Държавите членки вземат подходящи мерки, за да гарантират пълното прилагане на разпоредбите на настоящата директива и в частност определят санкциите, които се налагат в случай на нарушаване на разпоредбите, приети в съответствие с настоящата директива“.

11      Текстът на член 28 от посочената директива, озаглавен „Надзорен орган“, е следният:

„1.      Всяка държава членка предвижда, че на нейната територия един или повече държавни органи отговарят за контрола на прилагането на разпоредбите, приети от държавите членки, съгласно настоящата директива.

[…]

3.      В частност, на всеки орган са предоставени:

–        правомощия по разследване, като право на достъп до данните, съставляващи предмет на операциите по обработка, както и право на събиране на цялата информация, необходима за изпълнението на функциите по надзора,

–        ефективни правомощия на намеса, като например […] право на разпореждане на блокиране, изтриване или унищожаване на данни, на въвеждане на временна или окончателна забрана върху обработването[…]

[…]

Решенията на надзорния орган, [които причиняват вреди], могат да бъдат обжалвани по съдебен ред.

4.      Всеки надзорен орган разглежда [искания], подадени от което и да е лице, от [сдружение], представляващо това лице, отнасящи се до защита на неговите права и свободи при обработването на лични данни. Лицето се уведомява за хода на [искането].

[…]

6.      Независимо от националното право, приложимо към въпросната обработка, всеки надзорен орган може да упражнява на територията на своята държава членка правомощията, предоставени в съответствие с параграф 3. От всеки орган може да бъде поискано да упражни своите правомощия от страна на орган от друга държава членка.

Надзорните органи си сътрудничат, доколкото е необходимо за изпълнението на техните функции, в частност, чрез обмен на полезна информация.

[…]“.

 Регламент (ЕС) 2016/679

12      Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1 и поправка ОВ L 127, 2018 г., стр. 2), основан на член 16 ДФЕС, съгласно член 99, параграф 2 от същия регламент е приложим, считано от 25 май 2018 г. Съгласно член 94, параграф 1 от този регламент, считано от същата дата, се отменя Директива 95/46.

13      Съображения 1, 4, 9—11, 13, 22—25 и 65 от посочения регламент гласят:

„(1)      Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 от [ДФЕС] предвиждат, че всеки има право на защита на личните му данни.

[…]

(4)      Обработването на лични данни следва да е предназначено да служи на човечеството. Правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност. Настоящият регламент е съобразен с всички основни права и в него се спазват свободите и принципите, признати от Хартата, както са залегнали в Договорите, и по-специално зачитането на личния и семейния живот […] защитата на личните данни, свободата на мисълта, съвестта и религията, свободата на изразяване на мнение и свободата на информацията, свободата на стопанската инициатива, […]

[…]

(9)      […] Директива 95/46[…] не предотврати фрагментирането на прилагането на защитата на данни в Съюза […]. Разликите в осигуреното в държавите членки ниво на защита […] могат да възпрепятстват свободното движение на лични данни в рамките на Съюза. Поради това тези разлики може да представляват препятствие за осъществяването на икономически дейности на равнището на Съюза[…].

(10)      За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в Съюза, нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. […]

(11)      Ефективната защита на личните данни в рамките на Съюза изисква укрепване и подробно описание на правата на субектите на данните и задълженията на онези, които обработват и определят обработването на личните данни, както и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни и еквивалентни санкции за нарушенията в държавите членки.

[…]

(13)      За да се гарантира съгласувано ниво на защита на физическите лица в целия Съюз и да се попречи на различията да възпрепятстват свободното движение на лични данни в рамките на вътрешния пазар, е необходим регламент, който да осигурява правна сигурност и прозрачност за икономическите оператори […] и да предоставя на физическите лица във всички държави членки еднакви по степен законно приложими права и задължения и отговорности за администраторите и обработващите лични данни, както и да осигури последователно наблюдение на обработването на лични данни, еквивалентни санкции във всички държави членки и ефективно сътрудничество между надзорните органи на различните държави членки. За доброто функциониране на вътрешния пазар е необходимо свободното движение на лични данни в рамките на Съюза да не се ограничава, нито забранява по причини, свързани със защитата на физическите лица във връзка с обработването на лични данни. […]

[…]

(22)      Всякакъв вид обработване на лични данни в контекста на дейностите на мястото на установяване на администратор или на обработващ лични данни в Съюза следва да се извършва в съответствие с настоящия регламент, независимо от това дали самото обработване се извършва в рамките на Съюза. […]

(23)      За да се гарантира, че физическите лица не са лишени от защитата, на която те имат право по силата на настоящия регламент, обработването на лични данни на субекти на данни, които се намират в Съюза, [за] администратор или обработващ лични данни, който не е установен в Съюза, следва да [се прилагат] разпоредбите на настоящия регламент в случаите, когато дейностите по обработване на данни са свързани с предлагането на стоки или услуги на такива субекти на данни, независимо дали това е свързано с плащане. За да се установи дали този администратор или обработващ лични данни предлага стоки или услуги на субекти на данни, които се намират в Съюза, следва да бъде уточнено дали е очевидно, че администраторът или обработващият данни възнамерява да предлага услуги на субекти на данни в една или повече държави членки в Съюза. […]

(24) Обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, следва също да се урежда от настоящия регламент, когато е свързано с наблюдението на поведението на такива субекти на данни, доколкото тяхното поведение се проявява в рамките на Съюза. С цел да се определи дали дадена дейност по обработване може да се смята за наблюдение на поведението на субектите на данни, следва да се установи дали физическите лица се следят в [И]нтернет, включително да се установи евентуално последващо използване на техники за обработване на лични данни, които се състоят в профилиране на дадено физическо лице, по-специално с цел да се вземат отнасящи се до него решения или да се анализират или предвиждат неговите лични предпочитания, поведение и начин на мислене.

(25)       Когато правото на дадена държава членка се прилага по силата на международното публично право, настоящият регламент следва да се прилага и спрямо администратор, който не е установен в Съюза, например ако е установен в дипломатическа мисия или консулска служба на държава членка.

[…]

(65)      Субектът на данни следва да има […]правото „да бъде забравен[…]“, когато запазването на тези данни е в нарушение на настоящия регламент или на правото на Съюза или правото на държава членка, под чиято юрисдикция е администраторът. […]По-нататъшното запазване на личните данни обаче следва да бъде законно, ако е необходимо за упражняване на правото на свобода на изразяване на мнение и правото на информация[…]“.

14      Член 3 от Регламент 2016/679, озаглавен „Териториален обхват“, гласи следното:

„1.      Настоящият регламент се прилага за обработването на лични данни в контекста на дейностите на дадено място на установяване на администратор или обработващ лични данни в Съюза, независимо дали обработването се извършва в Съюза или не.

2.      Настоящият регламент се прилага за обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, когато дейностите по обработване на данни са свързани със:

a)      предлагането на стоки или услуги на такива субекти на данни в Съюза, независимо дали от субекта на данни се изисква плащане; или

б)      наблюдението на тяхното поведение, доколкото това поведение се проявява в рамките на Съюза.

3.      Настоящият регламент се прилага за обработването на лични данни от администратор, който не е установен в Съюза, но е установен на място, където се прилага правото на държава членка по силата на международното право“.

15      Член 4, точка 23 от този регламент определя понятието „трансгранично обработване“ по следния начин:

„a)      обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, [когато] администраторът или обработващият лични данни е установен в повече от една държава членка; или

б)      обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка“.

16      Текстът на член 17 от този регламент, озаглавен „Право на изтриване (право „да бъдеш забравен“)“, е следният:

„1.      Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:

a)      личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

б)      субектът на данните оттегля своето съгласие, върху което се основава обработването на данните съгласно член 6, параграф 1, буква а) или член 9, параграф 2, буква а), и няма друго правно основание за обработването;

в)      субектът на данните възразява срещу обработването съгласно член 21, параграф 1 и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването съгласно член 21, параграф 2;

г)      личните данни са били обработвани незаконосъобразно;

д)      личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора;

е)      личните данни са били събрани във връзка с предлагането на услуги на информационното общество по член 8, параграф 1.

[…]

3.      Параграфи 1 и 2 не се прилагат, доколкото обработването е необходимо:

a)      за упражняване на правото на свобода на изразяването и правото на информация;

[…]“.

17      Член 21 от този регламент е озаглавен „Право на възражение“ и параграф 1 от него предвижда:

„Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции“.

18      Член 55, параграф 1 от Регламент 2016/679, озаглавен „Компетентност“, който се намира в глава VI от същия, наречена „Независими надзорни органи“, предвижда:

„Всеки надзорен орган е компетентен да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с настоящия регламент, на територията на своята собствена държава членка“.

19      Член 56 от посочения регламент, озаглавен „Компетентност на водещия надзорен орган“, гласи:

„1.      Без да се засяга член 55, надзорният орган на основното място на установяване или на единственото място на установяване на администратора или обработващия лични данни е компетентен да действа като водещ надзорен орган за трансграничното обработване, извършвано от посочения администратор или обработващ лични данни в съответствие с процедурата по член 60.

2.      Чрез дерогация от параграф 1 всеки надзорен орган е компетентен да разглежда внесена при него жалба или евентуални нарушения на настоящия регламент, ако случаят се отнася единствено до място на установяване в държавата членка на надзорния орган или засяга в значителна степен субекти на данни единствено в тази държава членка.

3.      В посочените в параграф 2 от настоящия член случаи надзорният орган незабавно уведомява за тях водещия надзорен орган. В срок от три седмици след като е бил уведомен, водещият надзорен орган взема решение за това дали той самият ще разгледа или не случая в съответствие с процедурата, предвидена в член 60, като отчита дали администраторът или обработващият лични данни е установен в държавата членка на надзорния орган, който го е уведомил.

4.      Когато водещият надзорен орган реши да разгледа случая, се прилага процедурата по член 60. Надзорният орган, уведомил водещия надзорен орган, може да му предостави на проект за решение. Водещият надзорен орган отчита в максимална степен този проект при изготвянето на проекта за решение, посочен в член 60, параграф 3.

5.      Ако водещият надзорен орган реши да не разгледа случая, надзорният орган, уведомил водещия надзорен орган, го разглежда в съответствие с членове 61 и 62.

6.      За трансграничното обработване, което извършва, администраторът или обработващият лични данни комуникира единствено с водещия надзорен орган“.

20      Член 58 от същия регламент, озаглавен „Правомощия“, в параграф 2 предвижда:

„Всеки надзорен орган има всички […]посочени[…] по-долу корективни правомощия:

[…]

ж)      да разпорежда […] изтриването на лични данни […] съгласно членове […] 17 […];

[…]

и)      да налага административно наказание „глоба“ или „имуществена санкция“ […]в допълнение към мерките, посочени в настоящия параграф, или вместо тях, в зависимост от особеностите на всеки отделен случай“.

21      В глава VII от Регламент  2016/679, озаглавена „Сътрудничество и съгласуваност“, раздел I, озаглавен „Сътрудничество“, включва членове 60—62. Член 60, озаглавен „Сътрудничество между водещия надзорен орган и другите засегнати надзорни органи“, гласи:

„1.      Водещият надзорен орган си сътрудничи с другите засегнати надзорни органи в съответствие с настоящия член и се стреми към постигането на консенсус. Водещият надзорен орган и засегнатите надзорни органи обменят всяка имаща отношение информация помежду си.

2.      Водещият надзорен орган може да поиска по всяко време от другите засегнати надзорни органи да предоставят взаимопомощ съгласно член 61 и може да провежда съвместни операции съгласно член 62, по-специално за да извършва разследвания или да наблюдава изпълнението на мярка, засягаща администратор или обработващ лични данни, установен в друга държава членка.

3.      Водещият надзорен орган незабавно предава информация за това на другите засегнати надзорни органи. Водещият надзорен орган незабавно представя на другите засегнати надзорни органи проект за решение, за да получи тяхното становище и да вземе надлежно предвид вижданията им.

4.      Ако някой от другите засегнати надзорни органи изрази относимо и обосновано възражение срещу проекта за решение в срок от четири седмици, след като е било поискано мнението му в съответствие с параграф 3 от настоящия член, водещият надзорен орган, в случай че не приема относимото и обосновано възражение или счита, че това възражение не е относимо или обосновано, отнася въпроса до механизма за съгласуваност, посочен в член 63.

5.      Ако водещият надзорен орган възнамерява да приеме направено относимо и обосновано възражение, той изпраща на другите засегнати надзорни органи преработен проект за решението, за да получи тяхното становище. За този преработен проект на решението се следва процедурата, посочена в параграф 4, за срок от две седмици.

6.      Когато нито един от другите засегнати органи не е възразил срещу проекта на решение, представен от водещия надзорен орган в посочения в параграфи 4 и 5 срок, се счита, че водещият надзорен орган и засегнатите надзорни органи са съгласни с този проект на решение и са обвързани от него.

7.      Водещият надзорен орган приема решението и уведомява за него основното място на установяване или единственото място на установяване на администратора или обработващия лични данни, според случая, и информира другите засегнати надзорни органи и Комитета за въпросното решение, като включва резюме на съответните факти и основания. Надзорният орган, до когото е била подадена жалбата, информира жалбоподателя за решението.

8.      Чрез дерогация от параграф 7, когато дадена жалба е оставена без разглеждане или отхвърлена, надзорният орган, до който е била подадена жалбата, приема решението и уведомява жалбоподателя за него, като информира и администратора.

9.      Когато водещият надзорен орган и засегнатите надзорни органи постигнат съгласие определени части от жалбата да бъдат оставени без разглеждане или отхвърлени, а по други части от тази жалба да се предприемат действия, за всяка от тези части се приема отделно решение. […]

10.      След като е бил уведомен за решението на водещия надзорен орган съгласно параграфи 7 и 9, администраторът или обработващият лични данни взема необходимите мерки, за да осигури съответствие с решението по отношение на дейностите по обработването на всички места, на които е установен в Съюза. Администраторът или обработващият лични данни уведомява водещия надзорен орган за мерките, взети с цел осигуряване на съответствие с решението, а водещият орган информира другите засегнати надзорни органи.

11.      Когато при изключителни обстоятелства засегнат надзорен орган има основания да счита, че са необходими спешни действия, за да се защитят интересите на субекти на данни, се прилага процедурата по спешност по член 66.

[…]“.

22      Член 61 от посочения регламент, озаглавен „Взаимопомощ“, предвижда в параграф 1:

„Надзорните органи си предоставят взаимно значима информация и помощ, за да изпълняват и прилагат настоящия регламент по съгласуван начин, и въвеждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща по-специално искания за информация и мерки за надзор, например искания за предоставяне на предварителни разрешения или провеждане на предварителни консултации, проверки и разследвания“.

23      Член 62 от същия регламент, озаглавен „Съвместни операции на надзорни органи“, предвижда:

„1.      Когато е целесъобразно, надзорните органи провеждат съвместни операции, включително съвместни разследвания и съвместни мерки за изпълнение, в които участват членове или персонал на надзорни органи от други държави членки.

2.      Когато администраторът или обработващият лични данни е установен в няколко държави членки или когато има вероятност от операции по обработване на данни да бъдат засегнати съществено значителен брой субекти на данни в повече от една държава членка, надзорният орган на всяка от тези държави членки има право да участва в съвместни операции. […]“.

24      Раздел 2, озаглавен „Съгласуваност“, от глава VII от Регламент 2016/679 включва членове 63—67. Член 63, озаглавен „Механизъм за съгласуваност“, гласи следното:

„С цел да допринесат за съгласуваното прилагане на настоящия регламент в целия Съюз, надзорните органи си сътрудничат помежду си и, ако е целесъобразно, с Комисията чрез механизъм за съгласуваност, както е определено в настоящия раздел“.

25      Член 65 от посочения регламент, озаглавен „Разрешаване на спорове от Комитета“, предвижда в параграф 1:

“С цел да осигури правилно и последователно прилагане на настоящия регламент в отделните случаи, Комитетът приема решение със задължителен характер в следните случаи:

a)      когато в случаи по член 60, параграф 4 засегнат надзорен орган е повдигнал относимо и обосновано възражение срещу проект за решение на водещия надзорен орган и водещият надзорен орган не е приел възражението или е отхвърлил възражението като неотносимо или необосновано. Решението със задължителен характер се отнася за всички въпроси, които са предмет на относимото и обосновано възражение, особено когато има нарушение на настоящия регламент.

б)      когато има противоречиви виждания за това кой от засегнатите надзорни органи е компетентен за основното място на установяване;

[…]“.

26      Член 66 от същия регламент, озаглавен „Процедура по спешност“, в параграф 1 гласи:

„При извънредни обстоятелства, когато засегнат надзорен орган счита, че е налице спешна необходимост да се действа в защита на правата и свободите на субектите на данни, той може чрез дерогация от механизма за съгласуваност, предвиден в членове 63, 64 и 65, или процедурата, предвидена в член 60, да приеме незабавно временни мерки, водещи до правни последици на собствената му територия, с определен срок на валидност, който не надвишава три месеца. Надзорният орган съобщава незабавно тези мерки и мотивите за приемането им на другите засегнати надзорни органи, на Комитета и на Комисията“.

27      Член 85 от Регламент 2016/679, озаглавен „Обработване и свобода на изразяване и информация“, гласи:

„1.      Държавите членки съгласуват със закон правото на защита на личните данни в съответствие с настоящия регламент с правото на свобода на изразяване и информация, включително обработването за журналистически цели и за целите на академичното, художественото или литературното изразяване.

2.      За обработването, извършвано за журналистически цели и за целите на академичното, художественото или литературното изразяване, държавите членки предвиждат изключения или дерогации от глава II (принципи), глава III (права на субекта на данни), глава IV (администратор и обработващ лични данни), глава V (предаване на лични данни на трети държави и[ли] международни организации), глава VI (независими надзорни органи), глава VII (сътрудничество и съгласуваност) и глава IX (особени ситуации на обработване на данни), ако те са необходими за съгласуване на правото на защита на личните данни със свободата на изразяване и информация.

[…]“.

 Френското право

28      Директива 95/46 е транспонирана във френското право с Loi no 78‑17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés (Закон № 78‑17 от 6 януари 1978 г. за информационните технологии, компютърните файлове и гражданските свободи (наричан по-нататък „Законът от 6 януари 1978 г.“) в редакцията му, приложима към фактите по главното производство.

29      Член 45 от този закон уточнява, че когато администратор на лични данни не изпълнява задълженията, произтичащи от същия закон, председателят на CNIL може да го прикани да прекрати установеното неизпълнение в определен от него срок. Ако администратор на лични данни не се съобрази с отправената му покана, след провеждане на състезателно производство CNIL, заседаваща в ограничен състав, може да му наложи по-специално имуществена санкция.  

 Спорът в главното производство и преюдициалните въпроси

30      С решение от 21 май 2015 г. председателят на CNIL приканва Google, когато изпълнява искане на физическо лице за заличаване на хипервръзки към уебстраници от списъка на резултатите, който се показва след търсене въз основа на неговото име, да приложи това заличаване за всички разширения на имена на домейни от своята интернет търсачка.

31      Google отказва да изпълни тази покана, а само заличава въпросните връзки единствено в резултатите, показвани в отговор на търсения, извършвани от имената на домейни, съответстващи на вариантите на търсачката му в държавите членки.

32      Освен това CNIL счита за недостатъчно допълнителното предложение, наречено „геоблокиране“, което Google направило след изтичането на срока на поканата за изпълнение и което се състои в премахване на възможността за достъп до спорните резултати, които се показват след търсене по името на субекта на данните от IP адреса (адрес по интернет протокола), за който се смята, че се намира в държавата по пребиваване на този субект, при това независимо в кой вариант на търсачката е търсил интернет потребителят.

33      След като установява, че Google не е изпълнило в определения срок тази покана, с решение от 10 март 2016 г. CNIL му налага оповестена публично санкция в размер на 100 000 EUR.

34      С жалба, подадена пред Conseil d’État (Франция), Google иска отмяната на това решение.

35      Conseil d’État посочва, че обработването на лични данни, извършвано от управляваната от Google интернет търсачка, попада в приложното поле на Закона от 6 януари 1978 г. с оглед дейностите по рекламиране и продажба на рекламни пространства, които във Франция осъществява неговото дъщерно дружество Google France.

36      Освен това Conseil d’État отбелязва, че управляваната от Google интернет търсачка има разклонения под различни имена на домейни посредством географски разширения, с цел да пригоди показваните резултати с оглед на особеностите, по-специално езикови, на различните държави, в които това дружество извършва дейността си. Когато търсенето се извършва от „google.com“, Google по принцип автоматично го пренасочва към името на домейна, съответстващ на държавата, от която се счита — чрез идентифицирането на IP адреса на интернет потребителя — че е извършено. Все пак, независимо от местонахождението му, интернет потребителят може да продължи да търси в останалите имена на домейни на интернет търсачката. Освен това, при все че резултатите може да се различават в зависимост от името на домейна, от който се извършва търсенето в търсачката, безспорно е, че показваните в отговор на търсене хипервръзки се извличат от общи бази данни и са резултат от обща работа по индексиране.

37      Conseil d’État счита, че като се има предвид, от една страна, че всички имена на домейни на интернет търсачката на Google са достъпни от територията на Франция и от друга, че са налице портали, свързващи различните имена на домейни — което се илюстрира по-специално с автоматичното пренасочване и с наличието на идентификатори, и по-конкретно „cookies“ („бисквитки“) в други разширения на търсачката, различни от това, на което те първоначално са били разположени — тази търсачка, която впрочем е била декларирана само веднъж пред CNIL, трябва да се разглежда като извършваща единно обработване на лични данни за целите на прилагането на Закона от 6 януари 1978 г. Следователно обработването на лични данни от управляваната от Google интернет търсачка се извършва в рамките на едно от неговите образувания, Google France, установено на територията на Франция, и поради това за него се прилага Законът от 6 януари 1978 г.

38      Пред Conseil d’État Google поддържа, че спорната санкция се основава на неправилно тълкуване на разпоредбите на Закона от 6 януари 1978 г., които транспонират член 12, буква б) и член 14, първа алинея, буква а) от Директива 95/46, на основание на които в решение Google Spain и Google (C‑131/12, EU:C:2014:317) Съдът признава „право на премахване от резултатите при търсене“. Според Google това право не означава непременно, че спорните хипервръзки трябва да бъдат заличени, без ограничение на географски принцип, за всички имена на домейни на интернет търсачката му. Освен това, възприемайки подобно тълкуване, CNIL нарушила принципите на взаимно зачитане и ненамеса, признати в международното публично право, и накърнила непропорционално свободата на изразяване на мнение, свободата на информация, свободата на разпространяване на информация и свободата на печата, гарантирани по-специално с член 11 от Хартата.

39      След като констатира, че тези доводи повдигат редица сериозни затруднения при тълкуването на Директива 95/46, Conseil d’État решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      Трябва ли „правото на премахване от резултатите при търсене“, изведено от [Съда] в неговото решение от 13 май 2014 г., [Google Spain и Google (C‑131/12, EU:C:2014:317),] на основание на разпоредбите на член 12, буква б) и член 14, [първа алинея,] буква а) от Директива [95/46], да се тълкува в смисъл, че когато изпълнява искане за премахване от резултатите при търсене, лицето, което управлява интернет търсачка, е длъжно да извърши това премахване за всички имена на домейни на своята интернет търсачка, така че спорните хипервръзки да не се показват повече, независимо откъде се извършва търсенето по името на подалото искането лице, дори ако търсенето се извършва извън териториалния обхват на Директива [95/46]?

2)      При отрицателен отговор на първия въпрос, трябва ли „правото на премахване от резултатите при търсене“, изведено от [Съда] в посоченото по-горе решение, да се тълкува в смисъл, че когато изпълнява искане за премахване от резултатите при търсене, лицето, което управлява интернет търсачка, е длъжно да заличи единствено спорните хипервръзки от показаните резултати при търсене, извършено по името на подалото искането лице, в името на домейна, съответстващ на държавата, в която се счита, че е направено искането, или по-общо, в имената на домейни на интернет търсачката, съответстващи на националните ѝ разширения за всички държави членки […]?

3)      Освен това, в допълнение към посоченото в[ъв втория въпрос] задължение, трябва ли „правото на премахване от резултатите при търсене“, изведено от [Съда] в посоченото по-горе решение, да се тълкува в смисъл, че когато изпълнява искане за премахване от резултатите при търсене, лицето, което управлява интернет търсачка, е длъжно, чрез така наречената техника „геоблокиране“, да заличи спорните резултати от търсенията, извършени по името на лицето с „право на премахване от резултатите при търсене“ от IP адрес, за който се смята, че се намира в държавата, в която пребивава това правоимащо лице, или дори по-общо, от IP адрес, за който се счита, че се намира в една от държавите членки, за които се прилага Директива [95/46], при това независимо от името на домейна, използван от извършващия търсенето интернет потребител?“.

 По преюдициалните въпроси

40      Главното производство е образувано по спор между Google и CNIL по въпроса как лицето, което управлява интернет търсачка, трябва да приложи правото на премахване от резултатите при търсене, когато установи, че субектът на данните има право една или няколко хипервръзки към уебстраници, които съдържат отнасящи се до него лични данни, да бъдат изтрити от списъка на резултатите, който се показва при търсене въз основа на неговото име. Към датата, на която е отправено преюдициалното запитване, е приложима Директива 95/46, но тя е отменена, считано от 25 май 2018 г., датата, от която е приложим Регламент 2016/679.

41      Съдът ще разгледа поставените въпроси с оглед както на тази директива, така и на този регламент, за да гарантира, че отговорите му при всички случаи ще бъдат полезни на запитващата юрисдикция.

42      В хода на производството пред Съда Google посочва, че след като е отправено преюдициалното запитване, то въвело ново оформление на националните версии на интернет търсачката си, при което въведеното от интернет потребителя име на домейн вече не определяло до коя национална версия на търсачката той осъществява достъп. По този начин интернет потребителят вече автоматично бил насочван към националната версия на интернет търсачката на Google, съответстваща на мястото, от което се предполага, че потребителят извършва търсенето, а резултатите от него били показвани според това място, определяно от Google с помощта на средство за установяване на географското положение.

43      При това положение поставените въпроси, които е необходимо да бъдат разглеждани заедно, по същество следва да се разбират така: трябва ли член 12, буква б) и член 14, първа алинея, буква а) от Директива 95/46, както и член 17, параграф 1 от Регламент 2016/679 да се тълкуват в смисъл, че когато в приложение на тези разпоредби лицето, управляващо интернет търсачка, изпълнява искане за премахване от резултатите при търсене, то е длъжно да извърши такова премахване във всички версии на своята търсачка, или обратно, да направи това само в нейните версии, съответстващи на всички държави членки, или дори единствено във версията, съответстваща на държавата членка, в която е подадено искането за премахване от резултатите при търсенe, евентуално като използва и техниката, наричана „геоблокиране“, за да се гарантира, че независимо от използваната национална версия на търсачката, интернет потребителят няма да има достъп до хипервръзките, предмет на премахването от резултатите при търсене, извършено от IP адрес, за който се смята, че се намира в държавата членка, в която пребивава лицето с право на това премахване, или по-общо, в държава членка.

44      В началото е важно да се припомни вече постановеното от Съда, че член 12, буква б) и член 14, първа алинея, буква a) от Директива 95/46 трябва да се тълкуват в смисъл, че за да зачита правата, предвидени в тези разпоредби, и доколкото действително са изпълнени предвидените в тях условия, лицето, което управлява интернет търсачка, е длъжно да заличи от списъка на резултатите, който се показва след търсене въз основа на име на лице, връзки към уебстраници, които са публикувани от трети лица и съдържат информация относно последното, също и в хипотезата, в която това име или тази информация не са заличени предварително или едновременно от тези уебстраници, при това дори когато евентуално самото им публикуване на посочените страници е законосъобразно (решение от 13 май 2014 г. Google Spain и Google, C‑131/12, EU:C:2014:317, т. 88).

45      Освен това Съдът е уточнил, че при преценката на условията за прилагане на тези разпоредби следва по-специално да се провери дали съответното лице има право въпросната информация, отнасяща се до него, да не се свързва повече с името му към настоящия момент посредством списък на резултатите, който се показва след търсене въз основа на неговото име, без обаче констатацията за наличие на такова право да предполага, че включването на въпросната информация в този списък причинява вреда на този субект. Тъй като с оглед на основните си права по членове 7 и 8 от Хартата съответното лице може да поиска въпросната информация да не се предоставя повече на разположение на широката общественост посредством включването ѝ в подобен списък на резултатите, тези права имат по принцип предимство не само пред икономическия интерес на лицето, което управлява интернет търсачката, но и пред интереса на тази общественост да има достъп до посочената информация при търсене, отнасящо се до името на въпросното лице. Такъв не би бил случаят обаче, ако по конкретни причини, като ролята на посоченото лице в обществения живот, е видно, че вмешателството в неговите основни права е обосновано поради приоритетния интерес на посочената общественост да има вследствие на това включване достъп до въпросната информация (решение от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 99).

46      В рамките на Регламент 2016/679 това право на субекта на данни на премахване от резултатите при търсене вече намира своето основание в член 17 от него, специално уреждащ „правото на изтриване“, което в заглавието на този член е наречено още „право „да бъдеш забравен“.

47      Съгласно член 17, параграф 1 от Регламент 2016/679 субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от изброените в тази разпоредба основания. Член 17, параграф 3 от този регламент уточнява, че посоченият член 17, параграф 1 не се прилага, доколкото въпросното обработване е необходимо на някое от изброените в първата разпоредба основания. Съгласно член 17, параграф 3, буква а) от същия регламент тези основания обхващат по-специално упражняването на правото, свързано по-конкретно със свободата на интернет потребителя на информация.

48      От член 4, параграф 1, буква а) от Директива 95/46 и от член 3, параграф 1 от Регламент 2016/679 следва, че както директивата, така и регламентът позволяват на субектите на данни да предявят правото си на премахване от резултатите при търсене пред управляващото интернет търсачка лице, което разполага с едно или повече места на установяване на територията на Съюза и което в контекста на дейностите на тези места обработва лични данни на тези субекти, при това независимо дали обработването се извършва в Съюза или не.

49      В това отношение Съдът е постановил, че обработване на лични данни се извършва в контекста на дейностите на установен на територията на държава членка обект на администратора, когато лицето, което управлява интернет търсачка, създава в държава членка клон или дъщерно дружество, чието предназначение е да осигури рекламирането и продажбата на рекламните пространства, предлагани от търсачката, и чиято дейност е насочена към жителите на тази държава членка (решение от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 60).

50      Всъщност при подобни обстоятелства дейностите на лицето, което управлява интернет търсачката, и тези на неговия обект, установен в Съюза, са неразделно свързани, тъй като дейностите, свързани с рекламните пространства, представляват средството, даващо икономическа рентабилност на разглежданата търсачка, и тази търсачка е същевременно средството, което позволява осъществяването на тези дейности, тъй като самото показване в списъка на резултатите от търсене се придружава от показване на същата страница на реклами, свързани с търсените думи и изрази (вж. в този смисъл решение от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 56 и 57).

51      При това положение обстоятелството, че тази търсачка се управлява от предприятие на трета държава, не може да изключи обработването на лични данни — извършвано за нуждите на функционирането на посочената търсачка в контекста на рекламната и търговската дейност на установен на територията на държава членка обект на администратора — от обхвата на предвидените в Директива 95/46 и в Регламент 2016/679 задължения и гаранции (вж. в този смисъл решение от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 58).

52      В конкретния случай от сведенията, предоставени с акта за преюдициално запитване, е видно, от една страна, че мястото на установяване на Google на френска територия извършва дейности, по-специално търговски и рекламни, които са неразривно свързани с обработването на лични данни, извършвано за нуждите на функционирането на съответната интернет търсачка, и от друга страна, че по-специално поради наличието на портали между различните ѝ национални версии тази интернет търсачка трябва да се разглежда като извършваща единно обработване на лични данни. Запитващата юрисдикция счита, че при тези условия посоченото обработване се извършва в контекста на мястото на установяване на Google на френска територия. Следователно подобно положение попада в териториалния обхват на Директива 95/46 и на Регламент 2016/679.

53      С въпросите си запитващата юрисдикция иска да се определи какъв трябва да е при това положение териториалният обхват на премахването от резултатите при търсене.

54      В това отношение от съображение 10 от Директива 95/46 и от съображения 10, 11 и 13 от Регламент 2016/679, който е приет на основание член 16 ДФЕС, следва, че целта на тази директива и на този регламент е да гарантира високо ниво на защита на личните данни в целия Съюз.

55      Няма съмнение, че премахване от резултатите при търсене във всички версии на една търсачка е в състояние да осъществи напълно тази цел.

56      Всъщност интернет е глобална мрежа без граници и търсачките придават повсеместен характер на информацията и връзките, съдържащи се в списъка на резултатите, който се показва след търсене въз основа на името на физическо лице (вж. в този смисъл решения от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 80 и от 17 октомври 2017 г., Bolagsupplysningen и Ilsjan, C‑194/16, EU:C:2017:766, т. 48).

57      Така в един глобализиран свят достъпът на интернет потребителите, и особено тези извън Съюза, до включена в резултатите при търсене хипервръзка, която препраща към информация за лице, чийто център на интереси е в Съюза, може да има незабавни и съществени последици за него в рамките на самия Съюз.

58      Подобни съображения могат да обосноват наличието на компетентност на законодателя на Съюза да предвиди, че когато управляващият интернет търсачка изпълнява подадено от такова лице искане за премахване от резултатите при търсене, той е длъжен да извърши това премахване във всички версии на своята търсачка.

59      Следва обаче да се подчертае, че редица трети държави не познават правото на премахване от резултатите при търсене или възприемат различен подход по отношение на това право.

60      Освен това правото на защита на личните данни не е абсолютно, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде претеглено спрямо други основни права, в съответствие с принципа на пропорционалност (вж. в този смисъл решение от 9 ноември 2010 г., Volker und Markus Schecke и Eifert, C‑92/09 и C‑93/09, EU:C:2010:662, т. 48 и становище 1/15 (Споразумението PNR между ЕС и Канада) от 26 юли 2017 г., EU:C:2017:592, т. 136). Към това се добавя и фактът, че балансът между правото на зачитане на личния живот и на защита на личните данни, от една страна, и свободата на интернет потребителите на информация, от друга, може да варира значително по света.

61      При все това, макар в член 17, параграф 3, буква a) от Регламент 2016/679 законодателят на Съюза да претегля това право и тази свобода, що се отнася до Съюза (вж. в този смисъл днешното решение GC и др. (Премахване от резултатите при търсене на чувствителни данни), C‑136/17, т. 59), от друга страна, обаче следва да се отбележи, че до момента той не е извършил такова претегляне, що се отнася до обхвата на премахването от резултатите при търсене извън Съюза.

62      По-конкретно, от текста на член 12, буква б) и на член 14, първа алинея, буква a) от Директива 95/46 или на член 17 от Регламент 2016/679 изобщо не следва, че за да се гарантира постигането на целта, посочена в точка 54 от настоящото решение, законодателят на Съюза е избрал да предостави на правата, залегнали в тези разпоредби, обхват, който излиза извън територията на държавите членки, и че е имал намерение да наложи на оператор като Google, който попада в приложното поле на тази директива или на този регламент, задължение за премахване от резултатите при търсене също и в националните версии на неговата търсачка, които не съответстват на държавите членки.

63      Освен това, макар че в своите членове 56 и 60—66 Регламент 2016/679 предоставя на надзорните органи на държавите членки инструментите и механизмите, благодарение на които евентуално да си сътрудничат, за да стигнат до общо решение, основано на претегляне между, от една страна, правото на субекта на данни да се зачита личният му живот и да се защитават личните му данни и от друга, интереса на обществеността в различните държави членки да има достъп до информация, следва да се отбележи, че понастоящем правото на Съюза не предвижда такива инструменти и механизми за сътрудничество, що се отнася до обхвата на премахването от резултатите при търсене извън Съюза.

64      Следователно към момента за лицето, което управлява интернет търсачка и изпълнява подадено от субекта на данни искане за премахване от резултатите при търсене, евентуално след разпореждане на надзорен орган или съдебен орган на държава членка, не съществува задължение, произтичащо от правото на Съюза, да извършва такова премахване във всички версии на своята интернет търсачка.

65      С оглед на всички тези съображения, по силата на член 12, буква б) и на член 14, първа алинея, буква а) от Директива 95/46, както и на член 17, параграф 1 от Регламент 2016/679 лицето, което управлява интернет търсачка, не може да бъде задължено да извърши премахване от резултатите при търсене във всички версии на своята търсачка.

66      Що се отнася до въпроса дали такова премахване от резултатите при търсене трябва да се извършва във версиите на интернет търсачката, съответстващи на държавите членки, или само във версията ѝ, съответстваща на държавата членка по пребиваване на лицето с право на такова премахване, видно е — по-специално от обстоятелството, че законодателят на Съюза понастоящем вече е избрал да определи правилата относно защитата на данните в регламент, който е пряко приложим във всички държави членки, и то, както се подчертава в съображение 10 от Регламент 2016/679, за да се гарантира последователно и високо ниво на защита в целия Съюз и да се премахнат в него препятствията пред движението на данни — че по принцип въпросното премахване трябва да се извърши за всички държави членки.

67      Важно е обаче да се отбележи, че дори в рамките на Съюза интересът на обществеността от достъп до информация може да варира в различните държави членки, така че резултатът от извършваното претегляне между този интерес, от една страна, и правата на субекта на данни да се зачита личният му живот и да се защитават личните му данни, от друга страна, не е непременно един и същ за всички държави членки, още повече като се има предвид, че съгласно член 9 от Директива 95/46 и член 85 от Регламент 2016/679 държавите членки трябва да предвидят, по-специално когато обработването на лични данни се извършва само за журналистически цели или за целите на художественото или литературното изразяване, изключенията и дерогациите, необходими за съгласуване на тези права по-специално със свободата на информация.

68      По-специално от членове 56 и 60 от Регламент 2016/679 следва, че що се отнася до трансграничното обработване по смисъла на член 4, точка 23 от него и при спазване на посочения член 56, параграф 2, различните съответни национални надзорни органи трябва да си сътрудничат съгласно предвидената в тези разпоредби процедура, за да постигнат консенсус и единно задължително за всички тях решение, а администраторът трябва да осигури неговото съответствие по отношение на дейностите по обработването на всички места, на които е установен в Съюза. Освен това член 61, параграф 1 от Регламент 2016/679 задължава надзорните органи по-специално да си предоставят взаимно значима информация и помощ, за да изпълняват и прилагат същия регламент по съгласуван начин в целия Съюз, а член 63 от посочения регламент уточнява, че механизмът за съгласуваност, установен в членове 64 и 65 от същия, е предвиден именно с тази цел. Накрая, процедурата по спешност, предвидена в член 66 от Регламент 2016/679, позволява при извънредни обстоятелства на засегнат надзорен орган, който счита, че е налице спешна необходимост да се действа в защита на правата и свободите на субектите на данни, да приеме незабавно временни мерки, водещи до правни последици на собствената му територия, с определен срок на валидност, който не надвишава три месеца.

69      Така тази регулаторна уредба предоставя на националните надзорни органи необходимите инструменти и механизми за съгласуване, от една страна, на правото на субекта на данни да се зачита личният му живот и неговото право да се защитават личните му данни с интереса на цялата общественост в държавите членки от достъп до въпросната информация, от друга страна, и така, за да могат тези органи да приемат евентуално решение за премахване от резултатите при търсене, което обхваща всички търсения, извършени въз основа на името на този субект на територията от територията на Съюза.

70      Освен това лицето, което управлява интернет търсачката, трябва да предприеме, ако е необходимо, достатъчно ефикасни мерки, за да осигури ефективна защита на основните права на субекта на данни. Тези мерки трябва сами по себе си да отговарят на всички законови изисквания и да имат за резултат да възпрат или поне сериозно да разколебаят интернет потребителите в държавите членки да осъществяват достъп до съответните хипервръзки чрез търсене, извършено въз основа на името на този субект (вж. по аналогия решения от 27 март 2014 г., UPC Telekabel Wien, C‑314/12, EU:C:2014:192, т. 62 и от 15 септември 2016 г., Mc Fadden, C‑484/14, EU:C:2016:689, т. 96).

71      Запитващата юрисдикция трябва да провери дали с оглед и на изложените в точка 42 от настоящото решение неотдавнашни изменения в неговата интернет търсачка, приетите или предложени от Google мерки отговарят на тези изисквания.

72      Накрая е важно да се подчертае, че макар, както бе посочено в точка 64 от настоящото решение, в настоящия си етап на развитие правото на Съюза да не изисква допуснатото премахване от резултатите при търсене да се отнася до всички версии на съответната интернет търсачка, то обаче и не забранява това. Следователно, надзорен орган или съдебен орган на държава членка запазва компетентността си да извърши съгласно националните стандарти за защита на основните права (вж. в този смисъл решения от 26 февруари 2013 г., Åkerberg Fransson, C‑617/10, EU:C:2013:105, т. 29 и от 26 февруари 2013 г., Melloni, C‑399/11, EU:C:2013:107, т. 60) претегляне между, от една страна, правото на субекта на данни на зачитане на личния му живот и на защита на личните му данни и от друга, правото на свобода на информация и след това да изиска евентуално от управляващото интернет търсачката лице да извърши премахване от резултатите при търсене във всички нейни версии.

73      С оглед на всичко изложено по-горе на поставените въпроси следва да се отговори, че член 12, буква б) и член 14, първа алинея, буква a) от Директива 95/46, както и член 17, параграф 1 от Регламент 2016/679 трябва да се тълкуват в смисъл, че когато в приложение на тези разпоредби изпълнява искане за премахване от резултатите при търсене, управляващото интернет търсачка лице е длъжно да извърши премахването не във всички версии на своята търсачка, а във версиите ѝ, съответстващи на всички държави членки, включително, ако е необходимо, като използва мерки, които отговарят на законовите изисквания и същевременно дават действително възможност да бъдат възпрени или поне сериозно разколебани интернет потребителите, които извършват търсене въз основа на името на субекта на данни от една от държавите членки, да осъществяват достъп до хипервръзките, предмет на искането, чрез списъка на резултатите, който се показва след това търсене.

 По съдебните разноски

74      С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (голям състав) реши:

Член 12, буква б) и член 14, първа алинея, буква a) от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, както и член 17, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) трябва да се тълкуват в смисъл, че когато в приложение на тези разпоредби изпълнява искане за премахване от резултатите при търсене, управляващото интернет търсачка лице е длъжно да извърши премахването не във всички версии на своята търсачка, а във версиите ѝ, съответстващи на всички държави членки, включително, ако е необходимо, като използва мерки, които отговарят на законовите изисквания и същевременно дават действително възможност да бъдат възпрени или поне сериозно разколебани интернет потребителите, които извършват търсене въз основа на името на субекта на данни от една от държавите членки, да осъществяват достъп до хипервръзките, предмет на искането, чрез списъка на резултатите, който се показва след това търсене.

Подписи


*      Език на производството: френски.