Language of document : ECLI:EU:C:2023:874

РЕШЕНИЕ НА СЪДА (пети състав)

16 ноември 2023 година(*)

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Директива (ЕС) 2016/680 — Член 17 — Упражняване на правата на субекта на данните чрез надзорния орган — Проверка дали обработването на данните е законосъобразно — Член 17, параграф 3 — Минимално задължение за информиране на субекта на данните — Обхват — Валидност — Член 53 — Право на ефективна съдебна защита срещу надзорния орган — Понятието „правнообвързващо решение“ — Харта на основните права на Европейския съюз — Член 8, параграф 3 — Контрол от независим орган — Член 47 — Право на ефективна съдебна защита“

По дело C‑333/22

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Сour d’appel de Брюксел (Белгия) с акт от 9 май 2022 г., постъпил в Съда на 20 май 2022 г., в рамките на производство по дело

Ligue des droits humains ASBL

BA

срещу

Organe de contrôle de l'information policière

СЪДЪТ (пети състав),

състоящ се от: E. Regan, председател на състава, Z. Csehi, M. Ilešič, I. Jarukaitis и D. Gratsias (докладчик), съдии,

генерален адвокат: L. Medina,

секретар: M. Siekierzyńska, администратор,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 29 март 2023 г.,

като има предвид становищата, представени:

–        за Ligue des droits humains ASBL и BA, от C. Forget, avocate,

–        за Organe de contrôle de l’information policière (OCIP), от J. Bosquet и J.‑F. De Bock, advocaten,

–        за белгийското правителство, от P. Cottin, J.‑C. Halleux, C. Pochet и A. Van Baelen, в качеството на представители, подпомагани от N. Cariat, C. Fischer, B. Lombaert и J. Simba, адвокати,

–        за чешкото правителство, от O. Serdula, M. Smolek и J. Vláčil, в качеството на представители,

–        за френското правителство, от J. Illouz, в качеството на представител,

–        за Европейския парламент, от S. Alonso de León, O. Hrstková Šolcová, P. López-Carceller и M. Thibault, в качеството на представители,

–        за Европейската комисия, от A. Bouchagiar, H. Kranenborg и A.‑C. Simon и F. Wilman, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 15 юни 2023 г.,

постанови настоящото

Решение

1        Преюдициалното запитване се отнася, от една страна, до тълкуването на член 8, параграф 3 и на член 47 от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“), и от друга страна, до валидността с оглед на посочените по-горе разпоредби на Хартата, на член 17 от Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ L 119, 2016 г., стр. 89).

2        Запитването е отправено в рамките на спор между Ligue des droits humains ASBL и BA, от една страна, и Оrgane de contrôle de l’information policière (Орган за контрол на полицейската информация, OCIP, Белгия), от друга страна, по повод на упражняването чрез този орган на правата на BA във връзка с отнасящите се до него лични данни, обработвани от белгийските полицейски служби, въз основа на които Autorité nationale de sécurité (Национален орган за сигурност, Белгия) е отхвърлил искане на това лице за разрешение за достъп.

 Правна уредба

 Правото на Съюза

3        Съображения 7, 10, 43, 46, 48, 75, 82, 85 и 86 от Директива 2016/680 гласят:

„(7)      Осигуряването на хомогенно и високо ниво на защита на личните данни на физическите лица и улесняването на обмена на лични данни между компетентните органи на държавите членки са от решаващо значение за осигуряването на ефективно съдебно сътрудничество по наказателноправни въпроси и полицейско сътрудничество. За тази цел нивото на защита на правата и свободите на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, следва да бъде еднакво във всички държави членки. Ефективната защита на личните данни навсякъде в [Европейския съюз] изисква укрепване на правата на субектите на данни и на задълженията на обработващите лични данни, но също и укрепване на правомощията за наблюдение и гарантиране на спазването на правилата за защита на личните данни в държавите членки.

[…]

(10)      В Декларация № 21 относно защитата на личните данни в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, приложена към заключителния акт на Междуправителствената конференция, която прие Договора от Лисабон, конференцията признава, че може да са необходими специални правила относно защитата на личните данни и свободното движение на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество въз основа на член 16 от [ДФЕС], поради специфичното естество на тези области.

[…]

(43)      Всяко физическо лице следва да има право на достъп до събраните данни, които го засягат, и да упражнява това право лесно и на разумни интервали, за да бъде осведомено за обработването и да провери законосъобразността му. […]

[…]

(46)      Всяко ограничаване на правата на субекта на данни трябва да бъде в съответствие с Хартата и с [Европейската конвенция за защита на правата на човека и основните свободи, подписана в Рим на 4 ноември 1950 г.], както се тълкуват съответно в практиката на Съда и от Европейския съд по правата на човека, и по-специално като се зачита същността на тези права и свободи.

[…]

(48)      Когато администраторът отказва на субекта на данни право на информация, достъп до или коригиране или изтриване на лични данни, или ограничаване на обработването, субектът на данни следва да има правото да поиска от националния надзорен орган да провери законосъобразността на обработването. […]

[…]

(75)      Създаването в държава членка на надзорни органи, които могат да изпълняват функциите си при пълна независимост, е съществен елемент от защитата на физическите лица по отношение на обработването на личните им данни. Надзорните органи следва да наблюдават прилагането на разпоредбите, приети съгласно настоящата директива, и следва да допринасят за тяхното съгласувано прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни. […]

[…]

(82)      За да се гарантира ефективно, надеждно и съгласувано наблюдение на спазването и привеждането в изпълнение на настоящата директива навсякъде в Съюза в съответствие с [Договора за функционирането на Европейския съюз] съгласно тълкуването на Съда, надзорните органи следва да имат във всяка държава членка еднакви задачи и ефективни правомощия, включително разследващи, корективни и консултативни правомощия, които представляват необходими средства за изпълнение на техните задачи. […]

[…]

(85)      Всеки субект на данни следва да има право да подаде жалба до един-единствен надзорен орган, както и право на ефективна съдебна защита в съответствие с член 47 от Хартата, ако субектът на данните счита, че са нарушени правата му, предвидени в разпоредбите, приети съгласно настоящата директива, или ако надзорният орган не предприема действия по подадена жалба, изцяло или частично отхвърля или оставя без разглеждане жалба или не предприема действия, когато такива са необходими, за да се защитят правата на субекта на данните. […]

(86)      Всяко физическо или юридическо лице следва да има право на ефективна съдебна защита пред компетентния национален съд срещу решение на надзорен орган, което поражда правни последици за това лице. Подобно решение се отнася по-специално за упражняването на правомощията за разследване, даване на разрешение и корективните правомощия на надзорния орган или оставянето без разглеждане или отхвърлянето на жалби. Същевременно това право не обхваща други мерки на надзорните органи, които не са с правно задължителен характер, като становища или консултации, предоставени от надзорния орган. Производствата срещу надзорния орган следва да се завеждат пред съдилищата на държавата членка, в която е установен надзорният орган, и следва да се водят в съответствие с правото на тази държава членка. Тези съдилища следва да разполагат с пълна компетентност, която следва да включва компетентност за разглеждане на всички фактически и правни въпроси, свързани с разглеждания спор“.

4        Член 1 от тази директива, озаглавен „Предмет и цели“, предвижда в параграфи 1 и 2:

„1.      С настоящата директива се установяват правилата във връзка със защитата на физическите лица по отношение на обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване.

2.      В съответствие с настоящата директива държавите членки:

а)      защитават основните права и свободи на физическите лица и по-специално правото им на защита на личните данни; и

б)      гарантират, че обменът на лични данни от компетентните органи в Съюза, когато такъв обмен се изисква по силата на правото на Съюза или на държава членка, не се ограничава, нито забранява по причини, свързани със защитата на физическите лица по отношение на обработването на лични данни“.

5        Посочената директива съдържа глава III, озаглавена „Права на субекта на данни“, която включва, по-специално членове 13—17 от нея. Член 13, озаглавен „Информация, до която се осигурява достъп или която се предоставя на субекта на данните“, определя в параграф 1 задължението за държавите членки да предвидят, че администраторът предоставя на субектите на данни определена минимална информация, като например, по-специално, данни за идентифициране и координатите за връзка на администратора. Освен това в параграф 2 се изброява допълнителната информация, която държавите членки трябва да изискват със закон от администратора да предоставя на субекта на данните, с цел да му се даде възможност да упражни правата си. Параграфи 3 и 4 от него гласят:

„3.      Държавите членки могат да приемат законодателни мерки, които забавят, ограничават или водят до пропускане на предоставянето на информация на субекта на данните съгласно параграф 2, до такава степен и за толкова време, за колкото тази мярка е необходима и пропорционална в едно демократично общество, като надлежно се вземат под внимание основните права и легитимните интереси на засегнатото физическо лице, за да:

а)      се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури,

б)      не се допусне неблагоприятно влияние върху предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания,

в)      се защити обществената сигурност;

г)       се защити националната сигурност;

д)      се защитят правата и свободите на други лица.

4.      Държавите членки могат да приемат законодателни мерки, за да определят категориите обработване, които могат изцяло или частично да попадат в обхвата на всяка една от буквите на параграф 3“.

6        Член 14 от същата директива, озаглавен „Право на достъп на субекта на данни“, гласи следното:

„При спазване на член 15 държавите членки предвиждат право за субекта на данните да получи от администратора потвърждение дали се обработват лични данни, които го засягат, и ако случаят е такъв, да получи достъп до личните данни […]“.

7        Съгласно член 15 от Директива 2016/680, озаглавен „Ограничения на правото на достъп“:

„1.      Държавите членки могат да приемат законодателни мерки, които ограничават изцяло или частично правото на достъп на субекта на данните, до степен и срок, при които такова частично или пълно ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и легитимните интереси на засегнатото физическо лице, за да:

а)      се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б)      не се допусне неблагоприятно влияние върху предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;

в)      се защити обществената сигурност;

г)      се защити националната сигурност;

д)      се защитят правата и свободите на други лица.

2.      Държавите членки могат да приемат законодателни мерки, за да определят категориите обработване, които могат изцяло или частично да попадат в обхвата на параграф 1, букви а)—д).

3.      В случаите, посочени в параграфи 1 и 2, държавите членки предвиждат администраторът да информира без излишно забавяне в писмена форма субекта на данните за всеки отказ на достъп или ограничаване на достъпа и за причините за отказа или ограничаването. Тази информация може да бъде пропусната, когато предоставянето на такава информация би възпрепятствало постигането на някоя от целите, посочени в параграф 1. Държавите членки предвиждат администраторът да информира субекта на данните за възможността за подаване на жалба до надзорен орган или за търсене на защита по съдебен ред.

4.      Държавите членки предвиждат администраторът да документира фактическите или правните основания, на които се основава решението. Тази информация се предоставя на надзорните органи“.

8        Член 16 от тази директива, озаглавен „Право на коригиране или изтриване на лични данни и ограничаване на обработването“, гласи:

1.      Държавите членки предвиждат правото на субекта на данните да поиска администраторът да коригира без излишно забавяне неточните лични данни, свързани с него. Като се има предвид целта на обработването, държавите членки предвиждат субектът на данните да има право да поиска непълните лични данни да бъдат попълнени […].

2.      Държавите членки изискват администраторът да изтрие личните данни без излишно забавяне и предвиждат правото на субекта на данните да поиска администраторът да изтрие без излишно забавяне личните данни, които го засягат, когато обработването нарушава разпоредбите, приети съгласно член 4, член 8 или член 10, или когато личните данни трябва да бъдат изтрити с цел спазване на правно задължение, което се прилага спрямо администратора.

3.      Вместо да извърши изтриване администраторът ограничава обработването, когато:

а)      точността на личните данни се оспорва от субекта на данните и тяхната точност или неточност не може да бъде проверена; или

б)      личните данни трябва да бъдат запазени за доказателствени цели.

[…]

4.      Държавите членки предвиждат администраторът да информира в писмена форма субекта на данните за всеки отказ за коригиране или изтриване на лични данни, или ограничаване на обработването и за причините за отказа. Държавите членки могат да приемат законодателни мерки, които ограничават изцяло или частично задължението за предоставяне на такава информация, в степен, при която такова ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и легитимните интереси на засегнатото физическо лице, за да:

а)      се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б)      не се допусне неблагоприятно влияние върху предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;

в)      се защити обществената сигурност;

г)      се защити националната сигурност;

д)      се защитят правата и свободите на други лица.

Държавите членки предвиждат администраторът да информира субекта на данните за възможността за подаване на жалба до надзорен орган или за търсене на защита по съдебен ред.

[…]“.

9        Член 17 от посочената директива, озаглавен „Упражняване на правата от субекта на данните и проверка от надзорния орган“, предвижда:

„1.      В случаите, посочени в член 13, параграф 3, член 15, параграф 3 и член 16, параграф 4, държавите членки приемат мерки, които предвиждат правата на субекта на данните да могат да бъдат упражнявани и чрез компетентния надзорен орган.

2.      Държавите членки предвиждат администраторът да информира субекта на данните за възможността да упражни правата си чрез надзорния орган съгласно параграф 1.

3.      Когато е упражнено правото по параграф 1, надзорният орган информира субекта на данните най-малко за това, че е извършил всички необходими проверки или нужния преглед. Надзорният орган също така информира субекта на данните за неговото право да потърси защита по съдебен ред“.

10      Член 42 от същата директива, озаглавен „Независимост“, предвижда в параграф 1:

„Всяка държава членка гарантира, че всеки надзорен орган действа напълно независимо при изпълнението на задачите си и при упражняването на правомощията си в съответствие с настоящата директива“.

11      Член 46 от Директива 2016/680, озаглавен „Задачи“, предвижда в параграф 1:

„Всяка държава членка, на своята територия, предвижда всеки надзорен орган да:

а)      наблюдава и гарантира прилагането на разпоредбите, приети съгласно настоящата директива, и мерките за изпълнението ѝ;

[…]

е)      разглежда жалбите, подадени от субект на данни […], разследва предмета на жалбата, доколкото това е целесъобразно, и информира жалбоподателя за напредъка и резултатите от разследването в разумен срок […];

ж)      проверява законосъобразността на обработването съгласно член 17 и информира в разумен срок субекта на данните за резултата от проверката съгласно параграф 3 от посочения член, или за причините, поради които проверката не е била извършена;

[…]“.

12      Съгласно член 47 от тази директива, озаглавен „Правомощия“:

„1.      Всяка държава членка урежда със закон, че всеки надзорен орган притежава ефективни разследващи правомощия. Тези правомощия включват най-малко правомощието да получава от администратора или обработващия лични данни достъп до всички лични данни, които се обработват, и до цялата информация, необходима за изпълнението на неговите задачи.

2.      Всяка държава членка урежда със закон, че всеки надзорен орган притежава ефективни корективни правомощия, например:

а)      да отправя предупреждения до администратора или обработващия лични данни, когато има вероятност планираните операции по обработване на данни да нарушат разпоредбите, приети съгласно настоящата директива;

б)      да разпорежда на администратора или на обработващия лични данни да приведат операциите по обработване на данни в съответствие с разпоредбите, приети съгласно настоящата директива, ако е уместно, по указан начин и в определен срок, по-специално като разпорежда коригирането, изтриването на лични данни или ограничаването на обработването съгласно член 16;

в)      да налага временно или окончателно ограничаване, включително забрана, на обработването.

[…]

4.      Упражняването на правомощията, предоставени на надзорния орган по силата на настоящия член, се осъществява при осигуряване на подходящи гаранции, в т.ч. ефективни средства за съдебна защита и справедлив съдебен процес, определени в правото на Съюза и на държавите членки в съответствие с Хартата.

[…]“.

13      Член 52 от тази директива, озаглавен „Право на подаване на жалба до надзорен орган“, предвижда в параграф 1:

„Без да се засягат другите административни или съдебни средства за защита, държавите членки предвиждат, че всеки субект на данни има право да подаде жалба до един надзорен орган, ако субектът на данни счита, че отнасящото се до него обработване на лични данни нарушава разпоредбите, приети съгласно настоящата директива“.

14      Член 53 от същата директива, озаглавен „Право на ефективна съдебна защита срещу надзорен орган“, гласи в параграф 1:

„Без да се засягат другите средства за административна или извънсъдебна защита, държавите членки предвиждат правото на всяко физическо или юридическо лице на ефективна съдебна защита срещу правно обвързващо решение на надзорен орган, което го засяга“.

15      Член 54 от Директива 2016/680, озаглавен „Право на ефективна съдебна защита срещу администратор или обработващ лични данни“, гласи следното:

„Без да се засягат наличните средства за административна или извънсъдебна защита, включително правото да се подаде жалба до надзорен орган съгласно член 52, държавите членки предвиждат правото на субектите на данни на ефективна съдебна защита, ако считат, че правата им, установени в разпоредби, приети съгласно настоящата директива, са нарушени вследствие на обработването на личните им данни при неспазване на посочените разпоредби“.

 Белгийското право

16      Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (Закон за защита на физическите лица във връзка с обработването на лични данни) от 30 юли 2018 г. (Moniteur belge от 5 септември 2018 г., стр. 68616, наричан по-нататък „ЗЗЛД“) транспонира в дял 2 Директива 2016/680. Правата, посочени в членове 13—16 от тази директива, са предвидени в глава III от посочения дял, и по-конкретно в членове 37—39 от този закон.

17      Член 42 от ЗЗЛД предвижда:

„Искането за упражняване на правата, посочени в настоящата глава по отношение на полицейските служби […] или на Inspection générale de la police fédérale (Обща инспекция на федералната полиция и на местната полиция), се отправя до надзорния орган по член 71.

В случаите по член 37, параграф 2, член 38, параграф 2 [и] член 39, параграф 4 […] надзорният орган, посочен в член 71, информира субекта на данните само за това, че са извършени необходимите проверки.

Независимо от предвиденото в алинея 2 надзорният орган по член 71 може да съобщи на субекта на данни определена съпътстваща информация.

След получаване на становище от надзорния орган по член 71 кралят определя категорията съпътстваща информация, която този орган може да съобщи на субекта на данни“.

18      Според Сour d’appel de Bruxelles (Апелативен съд, Брюксел, Белгия), запитващата юрисдикция, не е приет кралски указ за прилагането на член 42, четвърта алинея от ЗЗЛД.

19      Член 71, параграф 1 от ЗЗЛД предвижда:

„Към Chambre des représentants (Камарата на представителите) се създава независим орган за контрол на полицейската информационна система, наречен Organe de contrôle de l’information policière (Орган за контрол на полицейската информационна система).

[…]

Възложено му […] е:

1°      да осъществява надзор за прилагането на настоящия дял […]

2°      да контролира обработването на информацията и личните данни, посочени в членове 44/1—44/11/13 от Закона от 5 август 1992 г. за полицията, в това число и включените в базите данни, посочени в член 44/2 от същия закон;

3°      всяка друга задача, организирана от или по силата на други закони“.

20      Глава I от дял 5 на ЗЗЛД е озаглавена „Искове за преустановяване на нарушение“. Член 209 от нея гласи следното:

„Без да се изключва всяко друго съдебно, административно или извънсъдебно средство за защита, в рамките на приравнено на обезпечително производство председателят на първоинстанционния съд установява, че е налице обработване, което представлява нарушение на законовите или подзаконовите разпоредби относно защитата на физическите лица във връзка с обработването на техните лични данни и разпорежда преустановяването му.

В рамките на приравнено на обезпечително производство председателят на първоинстанционния съд разглежда всяко искане относно правото, предоставено от или по силата на закона за получаване на информация за лични данни и всяко искане за коригиране, заличаване или забрана за използване на всякакви неточни лични данни или като се има предвид целта на обработването, непълни или ирелевантни или чието записване, предоставяне или съхраняване са забранени, или срещу чието обработване субектът на данните е възразил, или които са били съхранявани след изтичане на разрешения срок“.

21      Член 240, параграф 4 от ЗЗЛД гласи, че:

„[OCIP]

[…]

4°      разглежда жалби по административен ред, извършва разследване относно предмета на тези жалби в рамките на необходимото и уведомява техния подател за хода и за резултата от разследването в разумен срок, по-специално дали е необходимо допълнително разследване или съгласуване с друг надзорен орган. […]“.

 Спорът в главното производство и преюдициалните въпроси

22      През 2016 г. BA, който по това време работи на непълно работно време в сдружение с нестопанска цел, иска разрешение за достъп от Autorité nationale de sécurité, за да може да участва в монтирането и демонтирането на инсталациите на десетото издание на „Европейски дни на развитието“ в Брюксел (Белгия).

23      С писмо от 22 юни 2016 г. този орган отказва да издаде на BA разрешение за достъп с мотива, че видно от предоставените му лични данни, това лице е участвало в десет демонстрации между 2007 г. и 2016 г. и че поради тези обстоятелства не може да му бъде издадено такова разрешение съгласно приложимата правна уредба, по-специално по съображения, свързани с държавната сигурност и запазването на демократичния конституционен ред. Това решение не е обжалвано.

24      На 4 февруари 2020 г. правният съветник на BA иска от OCIP да идентифицира администраторите на въпросните лични данни и да им разпореди да предоставят на клиента му достъп до цялата засягаща го информация, за да може той да упражни правата си в подходящ срок.

25      С имейл от 6 февруари 2020 г. OCIP потвърждава, че е получил това искане. Той посочва, че BA има само право на непряк достъп до тези данни, като същевременно уверява, че сам ще провери законосъобразността на евентуално обработване на данни в Banque de données nationale générale (Обща национална база данни), а именно базата данни, използвана от всички национални полицейски служби. Освен той уточнява, че е компетентен да разпореди на полицията, ако е необходимо, да заличи или да измени данни, и че след като бъде извършен контролът, ще уведоми BA за факта, че са били извършени необходимите проверки.

26      С имейл от 22 юни 2020 г. OCIP уведомява правния съветник на BA:

„[…]

В съответствие с член 42 от [ЗЗЛД] Ви уведомявам, че [OCIP] извърши необходимите проверки.

Това означава, че личните данни на Вашия клиент бяха проверени в полицейските бази данни, за да се гарантира законосъобразността на евентуално обработване.

Ако е било необходимо, личните данни са били изменени или заличени.

Както Ви обясних в имейла ми от [2] юни тази година, член 42 от ЗЗЛД не позволява на [OCIP] да предоставя повече информация“.

27      На 2 септември 2020 г. Ligue des droits humains и BA подават на основание член 209, втора алинея от ЗЗЛД молба за допускане на обезпечение пред Tribunal de première instance francophone de Bruxelles (Френскоезичен първоинстанционен съд Брюксел, Белгия).

28      На първо място, жалбоподателите в главното производство искат от този съд да обяви молбата им за допускане на обезпечение за допустима и при условията на евентуалност да постави на Съда по същество въпроса дали член 47, параграф 4 във връзка със съображения 85 и 86 от Директива 2016/680 и във връзка с член 8, параграф 3 и член 47 от Хартата не допуска членове 42 и 71 от ЗЗЛД, доколкото последните не предвиждат никаква възможност за защита по съдебен ред срещу решенията, взети от OCIP.

29      На второ място, по същество те искат достъп до всички лични данни на BA чрез OCIP, както и този орган да идентифицира администраторите и евентуалните получатели на тези данни.

30      В случай че сезираният съд приеме, че член 42, параграф 2 от ЗЗЛД позволява системно да се ограничава достъпът до личните данни, обработвани от полицейските служби, при условията на евентуалност те искат Съдът да бъде сезиран по същество с въпроса дали членове 14, 15 и 17 от Директива 2016/680 във връзка с членове 8, 47 и член 52, параграф 1 от Хартата трябва да се тълкуват в смисъл, че не допускат национална правна уредба, която позволява общо и системно дерогиране на правото на достъп до лични данни, при положение че, от една страна, това право се упражнява чрез надзорния орган, и от друга страна, той може просто да уведоми субекта на данните, че е извършил всички необходими проверки, без да го информира за обработваните лични данни, нито кои са получателите, независимо от преследваната цел.

31      С определение от 17 май 2021 г. Tribunal de première instance francophone de Bruxelles (Френскоезичен първоинстанционен съд Брюксел) обявява, че „не е компетентен“ да разгледа тази молба за допускане на обезпечение.

32      На 15 юни 2021 г. жалбоподателите в главното производство обжалват това определение пред Cour d’appel de Bruxelles (Апелативен съд Брюксел). По същество те повтарят исканията, които са направили в първоинстанционното производство.

33      В този контекст запитващата юрисдикция отбелязва по-специално по същество, че когато едно лице не разполага с правото лично да упражни правата, предвидени в Директива 2016/680, искът за преустановяване на нарушение, предвиден в член 209 и сл. от ЗЗЛД, не може да бъде предявен. Всъщност, най-напред, такъв иск може да бъде предявен срещу администратора, но не и срещу самия надзорен орган. По-нататък, той не може да бъде упражнен и от това лице, в случая BA, срещу администратора, тъй като упражняването на правата му е възложено на посочения орган. Накрая, особено кратката информация, предоставена от OCIP на BA, не позволява нито на последния, нито на съд да прецени дали този надзорен орган е упражнил правилно правата на посоченото лице. Запитващата юрисдикция добавя, че макар ЗЗЛД да предвижда, че този иск за преустановяване на нарушение не изключва всяко друго съдебно, административно или извънсъдебно средство за защита, такова друго средство за защита, използвано от BA, би срещнало същите трудности.

34      При тези условия Cour d’appel de Bruxelles (Апелативен съд, Брюксел) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      Изискват ли член 47 и член 8, [параграф] 3 от [Хартата] да се предвиди съдебна защита срещу независим надзорен орган като [OCIP], когато той упражнява правата на субекта на данни по отношение на администратора?

2)      Съответства ли член 17 от Директива 2016/680 на член 47 и на член 8, [параграф] 3 от [Хартата], както са тълкувани от [Съда], доколкото задължава надзорния орган — който упражнява правата на субекта на данни спрямо администратора — само да информира това лице, „че е извършил всички необходими проверки или нужния преглед“ и „за неговото право да потърси защита по съдебен ред“, въпреки че подобна информация не позволява никакъв контрол a posteriori върху действията и преценката на надзорния орган с оглед на личните данни на субекта на данни и на възложените на администратора задължения?“.

 По преюдициалните въпроси

 По първия въпрос

35      В самото начало, от акта за преюдициално запитване е видно, че въпросите на запитващата юрисдикция се отнасят до това дали на основание член 53, параграф 1 от Директива 2016/680 в светлината на член 47 от Хартата съществува задължение за държавите членки да предвидят право на ефективна съдебна защита срещу компетентния национален надзорен орган, когато се прилага разпоредба на националното право, транспонираща член 17 от тази директива, според който в случаите, посочени в член 13, параграф 3, член 15, параграф 3 и член 16, параграф 4, правата на субекта на данните могат да бъдат упражнявани чрез такъв надзорен орган.

36      Освен това следва да се отбележи, че отговорът на този въпрос зависи от естеството и обхвата на задачата и правомощията на надзорния орган във връзка с упражняването на правата на субекта на данни, предвидено в член 17 от Директива 2016/680. Те са уточнени в член 46, параграф 1, буква ж) и в член 47, параграфи 1 и 2 от тази директива и трябва да бъдат анализирани в светлината на член 8, параграф 3 от Хартата, който изисква спазването на правилата за защита на личните данни, прогласени в член 8, параграфи 1 и 2, да подлежи на контрол от независим орган.

37      При това положение следва да се приеме, че с първия си въпрос запитващата юрисдикция по същество иска да се установи дали член 17 във връзка с член 46, параграф 1, буква ж), член 47, параграфи 1 и 2 и член 53, параграф 1 от Директива 2016/680, както и във връзка с член 8, параграф 3 и член 47 от Хартата, трябва да се тълкува в смисъл, че когато правата на едно лице са били упражнени в приложение на посочения член 17 чрез компетентния надзорен орган, то трябва да разполага с право на ефективна съдебна защита срещу този орган.

38      В самото начало следва да се припомни, че по силата на член 53, параграф 1 от Директива 2016/680 държавите членки трябва да предвидят правото на всяко физическо или юридическо лице на ефективна съдебна защита срещу правно обвързващо решение на надзорен орган, което го засяга.

39      Ето защо следва да се определи дали даден надзорен орган приема такова решение, когато в приложение на член 17 от тази директива прогласените в нея права на субектите на данни се упражняват чрез този надзорен орган.

40      В това отношение следва да се отбележи, че съгласно член 17, параграф 1 от Директива 2016/680 „в случаите, посочени в член 13, параграф 3, член 15, параграф 3 и член 16, параграф 4“ от тази директива, държавите членки са длъжни да приемат мерки, „които предвиждат правата на субекта на данните да могат да бъдат упражнявани и чрез компетентния надзорен орган“.

41      Както посочва употребата на съюза „и“ и както по същество отбелязва генералният адвокат в точки 41 и 42 от заключението си, предвиденото в тази разпоредба непряко упражняване на правата на субекта на данни чрез компетентния надзорен орган е предложена на това физическо лице допълнителна гаранция, че личните му данни се обработват законосъобразно, когато национални законови разпоредби ограничават прякото упражняване пред администратора на правото да се получи допълнителна информация, посочено в член 13, параграф 2 от Директива 2016/680, на правото на достъп до тези данни, предвидено в член 14 от същата директива, или на правото да изиска тяхното поправяне или изтриване или ограничаване на обработването при условията на член 16, параграфи 1—3 от посочената директива.

42      Всъщност предвид специфичното естество на целите, за които се извършва обработването на данни от обхвата на същата директива, подчертани по-специално в съображение 10 от нея, член 13, параграф 3 и член 15, параграф 1 от Директива 2016/680 разрешават на националния законодател да ограничи прякото упражняване, от една страна, на правото на информация, и от друга страна, на правото на достъп, „до такава степен и за толкова време, за колкото тази мярка е необходима и пропорционална в едно демократично общество, като надлежно се вземат под внимание основните права и легитимните интереси на засегнатото физическо лице“, за да „се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури“, да „не се допусне неблагоприятно влияние върху предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания“, да „се защити обществената сигурност“, да „се защити националната сигурност“ или да „се защитят правата и свободите на други лица“. Освен това член 15, параграф 3 от тази директива предвижда, че администраторът може да не информира субекта на данните за всеки отказ на достъп или ограничаване на достъпа, както и за причините за отказа или ограничаването, когато предоставянето на тази информация би възпрепятствало постигането на някоя от посочените по-горе цели от обществен интерес.

43      Също така член 16, параграф 4 от посочената директива разрешава на националния законодател да ограничи задължението на администратора да „информира в писмена форма субекта на данните за всеки отказ за коригиране или изтриване на лични данни, или ограничаване на обработването и за причините за отказа“ поради същите цели от обществен интерес, „в степен, при която такова ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и легитимните интереси на засегнатото физическо лице“.

44      Ето защо в този контекст, както личи от съображение 48 от същата директива, трябва да се приеме, че непрякото упражняване на посочените в точка 41 от настоящото решение права чрез компетентния надзорен орган е необходимо за защитата на тези права, тъй като прякото им упражняване пред администратора се оказва трудно или дори невъзможно.

45      За тази цел член 46, параграф 1, буква ж) от Директива 2016/680 изисква на всеки компетентен национален орган да бъде възложена задачата да проверява законосъобразността на обработването съгласно член 17 от тази директива, а именно след искане, основано на последната разпоредба.

46      Освен това от член 47, параграфи 1 и 2 от тази директива по-специално става ясно, че съгласно националното законодателство всеки надзорен орган трябва да притежава не само „ефективни разследващи правомощия“, но и „ефективни корективни правомощия“.

47      Тези разпоредби трябва да се разглеждат в светлината на изискването по член 8, параграф 3 от Хартата, съгласно което спазването на предвидените в параграфи 1 и 2 от този член правила относно правото на всеки на защита на личните данни трябва да „подлежи на контрол от независим орган“, и по-специално правилото, предвидено във второто изречение от посочения параграф 2, съгласно което „всеки има право на достъп до събраните данни, отнасящи се до него, както и правото да изиска поправянето им“. Всъщност, както се потвърждава от постоянната съдебна практика, учредяването на независим надзорен орган цели да осигури ефективността и надеждността на надзора за спазване на разпоредбите в областта на защитата на физическите лица при обработване на лични данни и трябва да се тълкува в светлината на тази цел (вж. в този смисъл становище 1/15 (Споразумение PNR ЕС—Канада) от 26 юли 2017 г., EU:C:2017:592, т. 229 и цитираната съдебна практика).

48      Така, когато такъв надзорен орган действа, за да осигури упражняването на правата на субекта на данни на основание член 17 от Директива 2016/680, задачата му се вписва изцяло в определението на ролята му от първичното право на Съюза, тъй като това определение включва по-специално надзор дали са спазени правата на субекта на данни на достъп и на коригиране. От това следва, че при изпълнението на тази специфична задача, както и при всяка друга задача, надзорният орган трябва да е в състояние да упражнява правомощията, възложени му съгласно член 47 от тази директива, като действа при пълна независимост, в съответствие с Хартата и както се посочва в съображение 75 от същата директива.

49      Освен това, след като провери законосъобразността на обработването, компетентният надзорен орган трябва съгласно член 17, параграф 3, първо изречение от същата директива да информира субекта на данни „най-малко“, „че е извършил всички необходими проверки или нужния преглед“.

50      Както по същество отбелязва генералният адвокат в точка 65 от заключението си, от всички тези разпоредби трябва да се заключи, че когато компетентният надзорен орган информира субекта на данни за резултата от извършените проверки, той го уведомява за решението, което е приел спрямо него, да прекрати процеса на проверка, което решение неизбежно засяга правното положение на това лице. Следователно по отношение на него това решение представлява „правно обвързващо решение“ по смисъла на член 53, параграф 1 от Директива 2016/680, независимо от това дали и в каква степен този орган е установил законосъобразността на обработването на неговите данни и е приел корективни мерки.

51      Впрочем съображение 86 от тази директива гласи, че понятието „правно обвързващо решение“ по смисъла на посочената директива трябва да се разбира като решение, което поражда правни последици за субекта на данни, по-конкретно решение относно упражняването на правомощията за разследване, даване на разрешение и корективните правомощия на надзорния орган или относно оставянето без разглеждане или отхвърлянето на жалби.

52      При това положение субектът на данни трябва да може да поиска на основание член 53, параграф 1 от Директива 2016/680 да бъде осъществен съдебен контрол по въпроса дали такова решение е правилно, и по-конкретно относно начина, по който надзорният орган е изпълнил задължението си, произтичащо от член 17 от тази директива, към който препраща член 46, параграф 1, буква ж) от посочената директива, да „извърш[и] всички необходими проверки“ и евентуално е упражнил корективните си правомощия.

53      Този извод впрочем се потвърждава от съображение 85 от Директива 2016/680, от което произтича, че всеки субект на данни следва да има право на ефективна съдебна защита срещу надзорен орган, ако този орган „не предприема действия, когато такива са необходими, за да се защитят правата на субекта на данните“.

54      Накрая, такова тълкуване е в съответствие с член 47 от Хартата, при положение че, както следва от постоянната съдебна практика, това право трябва да бъде признато на всяко лице, което се позовава на права или свободи, гарантирани от правото на Съюза, срещу акт с неблагоприятни за него последици, който може да засегне тези права или свободи (вж. в този смисъл решение от 26 януари 2023 г., Министерство на вътрешните работи (Регистрация на биометрични и генетични данни от полицията), C‑205/21, EU:C:2023:49, т. 87 и цитираната съдебна практика).

55      С оглед на всички изложени по-горе съображения на първия въпрос следва да се отговори, че член 17 във връзка с член 46, параграф 1, буква ж), член 47, параграфи 1 и 2 и член 53, параграф 1 от Директива 2016/680, както и във връзка с член 8, параграф 3 и член 47 от Хартата, трябва да се тълкува в смисъл, че когато правата на едно лице са били упражнени в приложение на посочения член 17 чрез компетентния надзорен орган и той го информира за резултата от извършените проверки, това лице трябва да разполага с право на ефективна съдебна защита срещу решението на посочения орган да прекрати процеса на проверка.

 По втория въпрос

56      С втория си въпрос запитващата юрисдикция по същество иска да се установи дали член 17, параграф 3 от Директива 2016/680 е валиден предвид член 8, параграф 3 и член 47 от Хартата, доколкото задължава само надзорния орган да информира субекта на данните, от една страна, че е извършил всички необходими проверки или нужния преглед, и от друга страна, че този субект разполага с право да потърси защита по съдебен ред, при положение че подобна информация не позволява съдебен контрол върху действията и преценките на надзорния орган с оглед на обработваните данни и на задълженията на администратора.

57      В това отношение, от една страна, следва да се припомни, че съгласно един от общите принципи за тълкуване акт на Съюза трябва, доколкото е възможно, да се тълкува по начин, който не поставя под съмнение неговата валидност, и в съответствие с цялото първично право, и в частност с разпоредбите на Хартата. В този смисъл, когато текст от вторичното право на Съюза може да бъде тълкуван по различни начини, следва да се предпочете това тълкувание, съгласно което разпоредбата съответства на първичното право, а не онова, което води до установяване на несъвместимост с последното (решение от 21 юни 2022 г., Ligue des droits humains, C‑817/19, EU:C:2022:491, т. 86 и цитираната съдебна практика).

58      От друга страна, правото на ефективна съдебна защита, гарантирано в член 47 от Хартата, по принцип изисква заинтересованото лице да може да се запознае с мотивите за взетото по отношение на него решение, за може то да защити правата си при възможно най-добрите условия и да реши, разполагайки с цялата необходима информация, дали е необходимо да сезира компетентния съд, както и за да се предостави на този съд пълна възможност за упражняване на контрол за законосъобразността на това решение (вж. в този смисъл решение от 4 юни 2013 г., ZZ, C‑300/11, EU:C:2013:363, т. 53 и цитираната съдебна практика).

59      Това право не е абсолютно и съгласно член 52, параграф 1 от Хартата могат да се въвеждат ограничения, но при условие че са предвидени в закон, че зачитат основното съдържание на съответните права и свободи и че при спазване на принципа на пропорционалност са необходими и действително отговарят на признати от Съюза цели от общ интерес или на необходимостта да се защитят правата и свободите на други хора (решение от 26 януари 2023 г., Министерство на вътрешните работи (Регистрация на биометрични и генетични данни от полицията), C‑205/21, EU:C:2023:49, т. 89 и цитираната съдебна практика).

60      В случая следва да се отбележи, че що се отнася до решението на компетентния надзорен орган, посочено в точка 50 от настоящото решение, член 17, параграф 3 от Директива 2016/680 въвежда по отношение на този надзорен орган минимално задължение за информиране, като предвижда, че той информира субекта на данните „най-малко“ за това, „че е извършил всички необходими проверки или нужния преглед“ и за „неговото право да потърси защита по съдебен ред“.

61      От това следва, че тъй като тази разпоредба допуска, в определени случаи и в съответствие с правилата, приети от националния законодател за нейното прилагане, надзорният орган да може да има възможността и дори задължението да се ограничи до минималната информация, посочена в предходната точка, без други уточнения, по-конкретно когато целта на тези правила е да се избегне възпрепятстването на целите от обществен интерес, прогласени в член 13, параграф 3, член 15, параграф 1 и в член 16, параграф 4 от посочената директива, както бе изложено в точки 42 и 43 от настоящото решение, посочената разпоредба може да доведе до ограничаване на правото на ефективна съдебна защита, гарантирано в член 47 от Хартата.

62      При това положение, на първо място, следва да се констатира, че такова ограничение е изрично предвидено в Директива 2016/680 и следователно то отговаря на условието по член 52, параграф 1 от Хартата всяко ограничаване на упражняването на основно право да бъде „предвидено в закон“.

63      На второ място, фактът, че член 17, параграф 3 от Директива 2016/680 позволява на държавите членки в определени случаи да ограничат мотивите на това решение до минималните обстоятелства, посочени в тази разпоредба, не означава, както по същество отбелязва генералният адвокат в точка 89 от заключението си, че е възможно във всички случаи информацията за субекта на данните да се сведе само до тази обстоятелства.

64      Всъщност тази разпоредба трябва да се тълкува в светлината на член 52, параграф 1 от Хартата, така че да са изпълнени другите посочени в разпоредбата критерии. Това означава да се приеме, че тя изисква от държавите членки да гарантират, че разпоредбите на националното право, които я прилагат, от една страна, зачитат основното съдържание на правото на лицето на ефективна съдебна защита, и от друга страна, се основават на претегляне на целите от обществен интерес, които оправдават ограничаването на тази информация, както и на основните права и легитимните интереси на това лице, при спазване на принципите на необходимост и на пропорционалност, подобно на претеглянето, което националният законодател трябва да извърши, когато налага ограниченията, предвидени в член 13, параграф 3, член 15, параграф 3 и член 16, параграф 4 от посочената директива.

65      По-конкретно, когато, от една страна, защитата на правото на субекта на данните на ефективна съдебна защита срещу решението за прекратяване на процеса на проверка изисква това, и от друга страна, целите от обществен интерес, посочени в член 13, параграф 3, член 15, параграф 3 и член 16, параграф 4 от Директива 2016/680 го допускат, държавите членки следва да предвидят, че информацията за субекта на данните може да надхвърли минималната информация, предвидена в член 17, параграф 3 от тази директива, така че да му позволи да защити правата си и да реши, разполагайки с цялата необходима информация, дали има смисъл да сезира компетентния съд.

66      Също така националните мерки за прилагане на последната разпоредба трябва, доколкото е възможно, да оставят на компетентния надзорен орган в съответствие с независимостта, която го характеризира по силата на член 8, параграф 3 от Хартата, известна свобода на преценка, за да реши дали рамката, определена от националното законодателство в съответствие с изискванията, посочени в точка 65 от настоящото решение, допуска той да съобщи на този субект поне накратко резултата от своите проверки, както и евентуално корективните мерки, които е предприел. В това отношение, както по същество отбелязва генералният адвокат в точки 73 и 74 от заключението си, при спазване на посочената национална законодателна рамка този орган трябва да започне с администратора поверителен диалог, след който да реши каква е информацията, необходима на субекта на данните, за да упражни правото си на ефективна съдебна защита, която той може да му съобщи, без да възпрепятства целите от обществен интерес, посочени в точка 65 от настоящото решение.

67      Освен това, когато посочената рамка изисква предоставената от надзорния орган информация да бъде ограничена до предвиденото в член 17, параграф 3 от Директива 2016/680, в контекста на процесуалната си автономия държавите членки все пак следва да въведат необходимите мерки, за да гарантират в съответствие с член 53, параграф 1 от тази директива ефективен съдебен контрол както относно наличието и основателността на причините, обосновали ограничаването на тази информация, така и относно правилното изпълнение от надзорния орган на задачата му да провери законосъобразността на обработването. В това отношение понятието „ефективна съдебна защита“, посочено в последната разпоредба, трябва да се тълкува в светлината на съображение 86 от тази директива, съгласно което съдилищата, пред които са образувани производствата срещу надзорен орган, „следва да разполагат с пълна компетентност, която следва да включва компетентност за разглеждане на всички фактически и правни въпроси, свързани с разглеждания спор“.

68      По-конкретно държавите членки трябва да гарантират, че компетентният съд притежава и прилага механизми и процесуалноправни норми, позволяващи да бъдат съвместени, от една страна, легитимните съображения, свързани с целите от обществен интерес, посочени в член 13, параграф 3, член 15, параграф 3 и член 16, параграф 4 от Директива 2016/680, които националното законодателство е взело предвид, за да ограничи информацията, предоставяна на субекта на данните, и от друга страна, необходимостта на частноправния субект да бъде в достатъчна степен гарантирано зачитането на неговите процесуални права като правото на изслушване, както и състезателното начало (вж. в този смисъл решение от 4 юни 2013 г., ZZ, C‑300/11, EU:C:2013:363, т. 57 и цитираната съдебна практика).

69      В рамките на съдебния контрол за правилното прилагане на член 17 от тази директива от надзорния орган държавите членки следва да предвидят правила, които позволяват на компетентния съд да се запознае както с всички съображения, така и свързаните с тях доказателства, на които този орган е основал в посочения контекст проверката на законосъобразността на разглежданото обработване на данни, както и изводите, които е направил въз основа на нея (вж. в този смисъл решение от 4 юни 2013 г., ZZ, C‑300/11, EU:C:2013:363, т. 59 и цитираната съдебна практика).

70      В това отношение, както отбелязва Европейският парламент в становището си, член 15, параграф 4 от Директива 2016/680 предвижда, че администраторът документира фактическите или правните основания, на които основава решението си да ограничи изцяло или отчасти правата на достъп на субекта на данните, и че тази информация се предоставя на надзорните органи. Както изтъква тази институция, посочената разпоредба, разглеждана във връзка с членове 17 и 53 от Директивата, както и с оглед на член 47 от Хартата, тълкувана в припомнената в точки 68 и 69 от настоящото решение съдебна практика, предполага, че тази информация трябва да бъде предоставена и на съда, сезиран с жалба срещу надзорния орган за проверка относно правилното прилагане на посочения член 17.

71      Така от точки 63—70 от настоящото решение следва, че предвиденото в член 17 от Директива 2016/680 ограничение зачита съдържанието на правото на субекта на данните на ефективна съдебна защита срещу решението на надзорния орган да прекрати предвидената в тази разпоредба процедура, както и принципите на необходимост и на пропорционалност в съответствие с член 52, параграф 1 от Хартата.

72      По изложените по-горе съображения се налага изводът, че при разглеждането на втория въпрос не се установяват никакви обстоятелства, които могат да засегнат валидността на член 17, параграф 3 от Директива 2016/680.

 По съдебните разноски

73      С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (пети състав) реши:

1)      Член 17 от Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета във връзка с член 46, параграф 1, буква ж), член 47, параграфи 1 и 2 и член 53, параграф 1 от тази директива, както и във връзка с член 8, параграф 3 и член 47 от Хартата на основните права на Европейския съюз,

трябва да се тълкува в смисъл, че

когато правата на едно лице са били упражнени в приложение на посочения член 17 чрез компетентния надзорен орган и той го информира за резултата от извършените проверки, това лице трябва да разполага с право на ефективна съдебна защита срещу решението на посочения орган да прекрати процеса на проверка.

2)      При разглеждането на втория въпрос не се установяват никакви обстоятелства, които могат да засегнат валидността член 17, параграф 3 от Директива 2016/680.

Подписи

*      Език на производството: френски.