Language of document : ECLI:EU:C:2024:216

РЕШЕНИЕ НА СЪДА (шести състав)

7 март 2024 година(*)

„Преюдициално запитване — Защита на личните данни — Регламент (ЕС) 2016/679 — Членове 2, 4, 6, 10 и 86 — Съхранявани от съд данни във връзка с присъдите на физическо лице — Устно съобщаване на такива данни на търговско дружество поради организиран от него конкурс — Понятие за обработване на лични данни — Национална правна уредба, която урежда достъпа до посочените данни — Съвместяване на правото на достъп на обществеността до официални документи и защитата на личните данни“

По дело C‑740/22

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Itä-Suomen hovioikeus (Апелативен съд Източна Финландия, Финландия) с акт от 30 ноември 2022 г., постъпил в Съда на 2 декември 2022 г., в рамките на производство по дело

Endemol Shine Finland Oy

СЪДЪТ (шести състав),

състоящ се от: T. von Danwitz (докладчик), председател на състава, P. G. Xuereb и I. Ziemele, съдии,

генерален адвокат: T. Ćapeta,

секретар: A. Calot Escobar,

предвид изложеното в писмената фаза на производството,

като има предвид становищата, представени:

–        за финландското правителство, от A. Laine и M. Pere, в качеството на представители,

–        за португалското правителство, от P. Barros da Costa, J. Ramos и C. Vieira Guerra, в качеството на представители,

–        за Европейската комисия, от A. Bouchagiar, H. Kranenborg и I. Söderlund, в качеството на представители,

предвид решението, взето след изслушване на генералния адвокат, делото да бъде разгледано без представяне на заключение,

постанови настоящото

Решение

1        Преюдициалното запитване се отнася до тълкуването на член 2, параграф 1, член 4, точка 2 и член 86 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“).

2        Запитването е отправено в рамките на производство във връзка с отказ на национална юрисдикция да предостави на Endemol Shine Finland Oy данни за присъди по отношение на трето лице.

 Правна уредба

 Правото на Съюза

3        Съображения 4, 10, 11, 15, 19 и 154 от ОРЗД гласят следното:

„4.      Обработването на лични данни следва да е предназначено да служи на човечеството. Правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност. Настоящият регламент е съобразен с всички основни права и в него се спазват свободите и принципите, признати от [Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“)], както са залегнали в Договорите, и по-специално зачитането на личния и семейния живот, […] защитата на личните данни, свободата на мисълта, съвестта и религията, свободата на изразяване на мнение и свободата на информацията, свободата на стопанската инициатива, правото на ефективни правни средства за защита и на справедлив съдебен процес […].

[…]

10.      За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в [Европейския съюз], нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. По отношение на обработването на лични данни, необходимо за спазване на правно задължение, за изпълнение на задача от обществен интерес или при упражняване на официалните правомощия, предоставени на администратора на лични данни, на държавите членки следва да се позволи да запазят или да въведат национални разпоредби, които да уточняват по-нататък реда за прилагане на правилата на настоящия регламент. Наред с общите и хоризонтални актове относно защитата на данните, с които се прилага Директива 95/46/ЕО [на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 1; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10)], държавите членки имат и специално секторно законодателство в области, които се нуждаят от по-специфични разпоредби. Настоящият регламент оставя и известна свобода на действие на държавите членки да конкретизират съдържащите се в него правила, включително по отношение на обработването на специални категории лични данни („чувствителни данни“). В този смисъл настоящият регламент не изключва право на държавите членки, което определя обстоятелствата за специални случаи на обработване, включително по-точно определяне на условията, при които обработването на лични данни е законосъобразно.

11.      Ефективната защита на личните данни в рамките на Съюза изисква укрепване и подробно описание на правата на субектите на данните и задълженията на онези, които обработват и определят обработването на личните данни, както и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни и еквивалентни санкции за нарушенията в държавите членки.

[…]

15.      За да се избегне създаването на сериозен риск от заобикаляне на закона, защитата на физическите лица следва да бъде технологично неутрална и следва да не зависи от използваната техника. Защитата на физическите лица следва да се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако личните данни се съхраняват или са предназначени да се съхраняват в регистър с лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в обхвата на настоящия регламент.

[…]

19.      Защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, както и свободното движение на такива данни, са предмет на специален правен инструмент на Съюза. Следователно настоящият регламент не следва да се прилага за дейности по обработване на лични данни за такива цели. Обработването на лични данни от страна на публичните органи по силата на настоящия регламент, когато е за тези цели, обаче следва да бъде уредено с по-специфичен правен акт на Съюза, а именно с Директива (ЕС) 2016/680 на Европейския парламент и на Съвета [от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ L 119, 2016 г., стр. 89)]. Държавите членки могат да възлагат на компетентните органи по смисъла на Директива (ЕС) 2016/680 други задачи, чието изпълнение не е свързано задължително с целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от заплахи за обществената сигурност и предотвратяването им, така че обработването на лични данни за тези цели, доколкото то е в обхвата на правото на Съюза, попада в приложното поле на настоящия регламент.

По отношение на обработването на лични данни от тези компетентни органи за цели, попадащи в обхвата на настоящия регламент, държавите членки следва да могат да запазят или да въведат по-конкретни разпоредби, за да адаптират прилагането на разпоредбите на настоящия регламент. Подобни разпоредби могат да определят по-точно специфичните изисквания относно обработването на личните данни от тези компетентни органи за посочените други цели, като се взема предвид конституционната, организационната и административната структура на съответната държава членка. Когато обработването на лични данни от частни структури попада в приложното поле на настоящия регламент, регламентът следва да предвижда възможност при определени условия държавите членки да наложат със закон ограничения върху определени задължения и права, ако такова ограничение представлява необходима и пропорционална мярка в едно демократично общество за защита на конкретни значими интереси, включително обществената сигурност и предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от заплахи за обществената сигурност и предотвратяването им. Това е от значение например в рамките на дейностите срещу изпирането на пари или на дейностите на съдебномедицинските лаборатории.

[…]

154.      Настоящият регламент дава възможност при прилагането му да се взема предвид принципът на публичен достъп до официални документи. Публичният достъп до официални документи може да се счита, че е в обществен интерес. Личните данни в документи, съхранявани от публичен орган или публична структура, следва да могат да бъдат разкрити от този орган или структура, ако правото на Съюза или правото на държава членка, чийто субект е публичният орган или публичната структура, предвижда това. Такова законодателство следва да съвместява публичния достъп до официални документи и повторната употреба на информацията в обществения сектор с правото на защита на личните данни и поради това може да осигури необходимото съгласуване с правото на защита на личните данни съгласно настоящия регламент. Във връзка с това позоваването на публични органи и структури следва да включва всички органи или други структури, обхванати от правото на държавата членка относно публичния достъп до документи. Директива 2003/98/ЕО на Европейския парламент и на Съвета [от 17 ноември 2003 година относно повторната употреба на информацията в обществения сектор (ОВ L 345, 2003 г., стр. 90; Специално издание на български език, 2007 г., глава 13, том 41, стр. 73)] оставя непроменено и по никакъв начин не засяга нивото на защита на физическите лица що се отнася до обработката на лични данни съгласно разпоредбите на Съюза и на националното право и по-специално не променя задълженията и правата, установени в настоящия регламент. По-специално, посочената директива не следва да се прилага за документи, достъпът до които е изключен или ограничен по силата на режимите за достъп на основание защита на личните данни, както и за части от документи, достъпни по силата на тези режими и съдържащи лични данни, чиято повторна употреба е определена от правото като несъвместима с правото за защита на физическите лица по отношение на обработката на лични данни“.

4        Член 2 от ОРЗД е озаглавен „Материален обхват“ и гласи:

„1.      Настоящият регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни.

2.      Настоящият регламент не се прилага за обработването на лични данни:

a)      в хода на дейности, които са извън приложното поле на правото на Съюза;

б)      от държавите членки, когато извършват дейности, които попадат в приложното поле на дял V, глава 2 от [Договора за ЕС];

в)      от физическо лице в хода на чисто лични или домашни занимания;

г)      от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност.

3.      При обработването на лични данни от институциите, органите, службите и агенциите на Съюза се прилага Регламент (ЕО) № 45/2001 [на Европейския парламент и на Съвета от 18 декември 2000 година относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 2001 г., стр. 1; Специално издание на български език, 2007 г., глава 13, том 30, стр. 142)]. Регламент (ЕО) № 45/2001 и другите правни актове на Съюза, приложими към подобна обработка на лични данни, се адаптират към принципите и правилата на настоящия регламент в съответствие с член 98.

4.      Настоящият регламент не засяга прилагането на Директива 2000/31/ЕО [на Европейския парламент и на Съвета от 8 юни 2000 година за някои правни аспекти на услугите на информационното общество, и по-специално на електронната търговия на вътрешния пазар (Директива за електронната търговия) (ОВ L 178, 2000 г., стр. 1; Специално издание на български език, 2007 г., глава 13, том 29, стр. 257)], и по-специално разпоредбите относно отговорностите на междинните доставчици на услуги в членове 12—15 от посочената директива“.

5        Член 4 от ОРЗД е озаглавен „Определения“ и точки 1, 2, 6 и 7 от него предвиждат:

„За целите на настоящия регламент:

1)      „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

2)      „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

[…]

6)      „регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

7)      „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

6        Член 5 от този регламент е озаглавен „Принципи, свързани с обработването на лични данни“ и гласи:

„1.      Личните данни са:

a)      обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б)      събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; („ограничение на целите“);

в)      подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

г)      точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

д)      съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; […] („ограничение на съхранението“);

е)      обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“).

[…]“.

7        Член 6 от посочения регламент е озаглавен „Законосъобразност на обработването“ и параграфи 1—3 от него предвиждат:

„1.      Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

a)      субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

б)      обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

в)      обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

г)      обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

д)      обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

е)      обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Буква е) на първа алинея не се прилага за обработването, което се извършва от публични органи при изпълнението на техните задачи.

2.      Държавите членки могат да запазят или въведат по-конкретни разпоредби, за да адаптират прилагането на правилата на настоящия регламент по отношение на обработването, необходимо за спазването на параграф 1, букви в) и д), като установят по-конкретно специални изисквания за обработването и други мерки, за да се гарантира законосъобразно и добросъвестно обработване, включително за други особени случаи на обработване на данни, предвидени в глава IX.

3.      Основанието за обработването, посочено в параграф 1, букви в) и д), е установено от:

a)      правото на Съюза или

б)      правото на държавата членка, което се прилага спрямо администратора.

Целта на обработването се определя в това правно основание или доколкото се отнася до обработването по параграф 1, буква д), то трябва да е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора. Това правно основание може да включва конкретни разпоредби за адаптиране на прилагането на разпоредбите на настоящия регламент, inter alia общите условия, които определят законосъобразността на обработването от администратора, видовете данни, които подлежат на обработване, съответните субекти на данни; образуванията, пред които могат да бъдат разкривани лични данни, и целите, за които се разкриват; ограниченията по отношение на целите на разкриването; периодът на съхранение и операциите и процедурите за обработване, включително мерки за гарантиране на законосъобразното и добросъвестно обработване, като тези за други конкретни случаи на обработване съгласно предвиденото в глава IX. Правото на Съюза или правото на държавата членка се съобразява с обществения интерес и е пропорционално на преследваната легитимна цел“.

8        Член 10 от ОРЗД е озаглавен „Обработване на лични данни, свързани с присъди и нарушения“, и гласи:

„Обработването на лични данни, свързани с присъди и нарушения или със свързаните с тях мерки за сигурност, въз основа на член 6, параграф 1, се извършва само под контрола на официален орган или когато обработването е разрешено от правото на Съюза или правото на държава членка, в което са предвидени подходящи гаранции за правата и свободите на субектите на данни. Пълен регистър на присъдите по наказателни дела се поддържа само под контрола на официален орган“.

9        Член 23 от този регламент е озаглавен „Ограничения“ и гласи следното:

„1.      В правото на Съюза или правото на държава членка, което се прилага спрямо администратора или обработващия лични данни, чрез законодателна мярка може да се ограничи обхватът на задълженията и правата, предвидени в членове 12—22 и в член 34, както и в член 5, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 12—22, когато подобно ограничение е съобразено със същността на основните права и свободи и представлява необходима и пропорционална мярка в едно демократично общество с цел да се гарантира:

[…]

е)      защитата на независимостта на съдебната власт и съдебните производства;

[…]“.

10      Член 85 от посочения регламент е озаглавен „Обработване и свобода на изразяване и информация“ и параграф 1 от него предвижда:

„Държавите членки съгласуват със закон правото на защита на личните данни в съответствие с настоящия регламент с правото на свобода на изразяване и информация, включително обработването за журналистически цели и за целите на академичното, художественото или литературното изразяване“.

11      Член 86 от ОРЗД е озаглавен „Обработване и публичен достъп до официални документи“ и гласи:

„Лични данни в официални документи, държани от публичен орган или публична или частна структура за изпълнение на задача от обществен интерес могат да бъдат разкривани от този орган или структура в съответствие с правото на Съюза или правото на държавата членка, на което се подчинява публичният орган или структура, за да се съгласува публичният достъп до официални документи с правото на защита на личните данни в съответствие с настоящия регламент“.

 Финландското право

 Законът за защита на личните данни (1050/2018)

12      В член 1 от Tietosuojalaki (1050/2018) (Закон за защита на личните данни (1050/2018) се предвижда следното:

„Настоящият закон изяснява и допълва ОРЗД и прилагането му на национално равнище“.

13      Член 28 от този закон гласи следното:

„По отношение на правото да се получат данни от персонален регистър към публичен орган и всяко друго разкриване на лични данни от такъв регистър се прилагат правилата за публичността в дейността на публичните органи“.

 Закон за публичността в дейността на публичните органи (621/1999)

14      Laki viranomaisten toiminnan julkisuudesta (621/1999) (Закон за публичността в дейността на публичните органи (621/1999) предвижда в член 13:

„Заявлението за предоставяне на информация за съдържанието на даден официален документ трябва да е достатъчно точно, за да може органът да разбере до кой документ се отнася. Съответният орган подпомага заявителя посредством входящата книга и другите описи за целите на индивидуализирането на документа, от който заявителят иска да получи информация. Заявителят не е длъжен да разкрива самоличността си, нито да мотивира заявлението си, освен ако това е необходимо за упражняването на предоставено на органа право на преценка или за изясняването на въпроса дали заявителят има право на информация за съдържанието на съответния документ.

Освен ако в специална разпоредба не е предвидено друго, в заявлението за информация от поверителен документ, от персонален регистър към публичен орган или от друг документ, информацията от който се предоставя само при определени условия, заявителят е длъжен да посочи целта, за която ще използва информацията, да изложи другите обстоятелства, необходими за изясняване на предпоставките за предоставяне на информацията, и при необходимост да декларира как ще осигури защитата на информацията“.

15      Член 16 от този закон гласи:

„Информацията за съдържанието на документ, съхраняван от публичен орган, се дава устно или чрез предоставяне на документа за справка, копиране или прослушване в помещенията на публичния орган или съответно чрез предоставяне на копие или разпечатка от него. Информацията за публичното съдържание на документа се предоставя по поискания начин, освен ако това не създава прекомерна тежест за административната дейност поради големия брой на документите, поради трудностите за копирането на даден документ или друга сходна причина.

[…]

Освен ако изрично не е предвидено друго в закона, лични данни от персонален регистър към публичните органи може да се предоставят под формата на копие или разпечатка или в електронна форма, ако получателят има право да съхранява и използва такива данни съгласно правилата за защитата на личните данни. Въпреки това личните данни могат да бъдат съобщавани за целите на директния маркетинг и проучването на общественото мнение или пазара само ако това е изрично предвидено или ако субектът на данните е дал съгласието си.

[…]“.

 Законът за публичността на производството пред общите съдилища (370/2007)

16      Съгласно член 1 от Laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007) (Закон за публичността на производството пред общите съдилища (370/2007):

„Производството и процесуалните документи са публични, освен ако в настоящия или в друг закон не е предвидено друго“.

 Законът за обработването на лични данни във връзка с наказателни дела и във връзка с опазването на националната сигурност (1054/2018)

17      В член 1, параграф 1 от Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018) (Закон за обработването на лични данни във връзка с наказателни дела и във връзка с опазването на националната сигурност (1054/2018) се предвижда, че този закон се прилага при обработването на лични данни от компетентните органи в частност когато въпросът се отнася до наказателно производство пред съд. По силата на параграф 4 от него посоченият закон се прилага по отношение на обработването на лични данни по смисъла на параграф 1 само когато то се извършва изцяло или частично с автоматични средства или обработваните данни са част от регистър или са предназначени да съставляват част от регистър.

18      Съгласно член 2, параграф 2 от посочения закон:

„По отношение на правото да се получат данни от персонален регистър към публичен орган и всяко друго разкриване на лични данни от такъв регистър се прилагат правилата за публичността в дейността на публичните органи“.

 Спорът в главното производство и преюдициалните въпроси

19      Endemol Shine Finland, жалбоподателят в главното производство, подава заявление до Etelä-Savon käräjäoikeus (Първоинстанционен съд Южна Савония, Финландия) за устна справка относно евентуалните висящи или приключили наказателни дела по отношение на определено физическо лице, участващо в конкурс, организиран от това дружество, за да се направи проверка за съдимост по отношение на това лице.

20      Etelä-Savon käräjäoikeus (Първоинстанционен съд Южна Савония) отхвърля заявлението на жалбоподателя в главното производство, като същевременно приема, че това заявление се отнася до публични решения или информация по смисъла на Закона за публичността на производството пред общите съдилища. Според тази юрисдикция изтъкнатата от жалбоподателя в главното производство причина не е сред основанията за обработване на данни за присъди и нарушения по член 7 от Закона за защита на личните данни. Извършването на търсене в информационните системи на посочената юрисдикция също би представлявало обработване на лични данни, така че дори и устното разкриване на поисканата информация е недопустимо.

21      Жалбоподателят в главното производство обжалва това решение пред Itä-Suomen hovioikeus (Апелативен съд Източна Финландия, Финландия), който е запитващата юрисдикция, като твърди, че устното съобщаване на исканата от него информация не представлява обработване на лични данни по смисъла на член 4, точка 2 от ОРЗД.

22      Запитващата юрисдикция иска да се установи дали член 2, параграф 1 и член 4, точка 2 от ОРЗД следва да се тълкуват в смисъл, че устното съобщаване на информация за евентуални висящи или приключили наказателни дела срещу дадено физическо лице представлява обработване на лични данни по смисъла на този регламент. В това отношение юрисдикцията отбелязва, че обработването на лични данни от финландските публични органи се урежда от Закона за защита на личните данни. Според запитващата юрисдикция обичайно свързаните с обработването на такива данни ограничения обаче не са приложими поради публичността на съхраняваните от тези органи данни, а и поради член 28 от този закон и член 2, параграф 2 от Закона за обработването на лични данни във връзка с наказателни дела и във връзка с опазването на националната сигурност (1054/2018).

23      За да се съгласува защитата на личните данни с публичния достъп до информация, член 16 от Закона за публичността в дейността на публичните органи (621/1999) предвижда ограничения за предоставянето на лични данни от персоналните регистри към публичните органи под формата на копие, разпечатка или в електронна форма. Все пак, тъй като този член не обхваща устното съобщаване на лични данни от персоналните регистри към публичните органи, следва да се постави въпросът по какъв начин да се осигури такова съгласуване и да се отчитат важните аспекти на защитата на личните данни, когато такива данни, намиращи се в персоналния регистър към публичния орган, се съобщават устно.

24      При тези условия Itä-Suomen hovioikeus (Апелативен съд Източна Финландия) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      Устното съобщаване на лични данни представлява ли обработване на лични данни по смисъла на член 2, параграф 1 и член 4, точка 2 от [ОРЗД]?

2)      Може ли публичният достъп до официални документи да се съгласува с правото на защита на личните данни по реда на член 86 от [ОРЗД], като се предвиди възможност неограничено да се получава информация от персоналния регистър към съда за присъдите и нарушенията на физическите лица, когато е поискано информацията да се съобщи на заявителя устно?

3)      Има ли значение за отговора на втория въпрос дали заявителят е дружество или физическо лице?“.

 По преюдициалните въпроси

 По първия въпрос

25      С първия си въпрос запитващата юрисдикция по същество иска да се установи дали член 2, параграф 1 и член 4, точка 2 от ОРЗД трябва да се тълкуват в смисъл, че устното съобщаване на информация за евентуални висящи или приключили наказателни дела срещу дадено физическо лице представлява обработване на лични данни по смисъла на член 4, точка 2 от този регламент, и при утвърдителен отговор — дали това обработване попада в материалното приложно поле на посочения регламент, определено в член 2, параграф 1 от него.

26      В самото начало, от една страна, следва да се припомни, че за тълкуването на тези разпоредби от правото на Съюза трябва да се вземе предвид не само техният текст, но и контекстът, в който те се вписват, и целите на правната уредба, от която те са част (решение от 12 януари 2023 г., Österreichische Post (Информация относно получателите на лични данни), C‑154/21, EU:C:2023:3, т. 29).

27      От друга страна, важно е да се подчертае, че в главното производство е безспорно, че информацията, чието предоставяне иска жалбоподателят в главното производство, представлява лични данни по смисъла на член 4, точка 1 от ОРЗД.

28      Член 4, точка 2 от този регламент определя понятието „обработване“ като „всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства“.

29      По-специално от израза „всяка операция“ следва, че законодателят на Съюза е искал да придаде широк обхват на понятието „обработване“, което се потвърждава от неизчерпателния характер на изброените в тази разпоредба операции, изразен с думата „като“ (вж. в този смисъл решения от 24 февруари 2022 г., Valsts ieņēmumu dienests (Обработване на лични данни за данъчни цели), C‑175/20, EU:C:2022:124, т. 35, и от 22 юни 2023 г., Pankki S, C‑579/21, EU:C:2023:501, т. 46).

30      Това изброяване включва по-специално разкриване чрез предаване, разпространяване или „друг начин, по който данните стават достъпни“, като тези операции могат да се извършват чрез автоматични или други средства. В това отношение член 4, точка 2 от ОРЗД не поставя никакво условие относно формата на обработване „с други средства“. Следователно понятието „обработване“ обхваща устното съобщаване.

31      Това тълкуване на понятието „обработване“ се подкрепя от целта на ОРЗД, който по-специално цели, както следва от член 1 и съображения 1 и 10 от него, да се гарантира висока степен на защита на основните права и свободи на физическите лица, в частност на правото им на личен живот, при обработването на лични данни, закрепено в член 8, параграф 1 от Хартата и в член 16, параграф 1 ДФЕС (вж. в този смисъл решение от 4 май 2023 г., Bundesrepublik Deutschland (Електронна кутия на съда), C‑60/22, EU:C:2023:373, т. 64). Всъщност възможността да се заобиколи прилагането на този регламент, като личните данни се предоставят в устна форма, вместо това да се направи в писмена форма, би била явно несъвместима с тази цел.

32      При тези условия понятието „обработване“, посочено в член 4, точка 2 от ОРЗД, непременно обхваща и устното съобщаване на лични данни.

33      Възниква обаче и въпросът дали такова обработване попада в материалното приложно поле на ОРЗД. Член 2 от този регламент, който определя това приложно поле, предвижда в параграф 1, че посоченият регламент се прилага за обработването „изцяло или частично с автоматични средства“, както и за „обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни“.

34      В това отношение от текста на последната разпоредба, както и от съображение 15 от ОРЗД следва, че този регламент се прилага както за автоматичното обработване на лични данни, така и за ръчното обработване на такива данни, за да не зависи предоставяната от този регламент защита на лицата, чиито данни се обработват, от използваните техники и за да се избегнат сериозни рискове от заобикаляне на тази защита. От това следва обаче и че посоченият регламент се прилага за ръчното обработване на лични данни само ако обработваните данни „са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни“ (вж. по аналогия решение от 10 юли 2018 г., Jehovan todistajat, C‑25/17, EU:C:2018:551, т. 53).

35      Поради това че устното съобщаване само по себе си представлява обработване с други средства, данните, които са предмет на това обработване, трябва да „са част“ или да „са предназначени да съставляват част“ от „регистър с лични данни“, за да попада посоченото обработване в материалното приложно поле на ОРЗД.

36      Що се отнася до понятието „регистър с лични данни“, член 4, точка 6 от ОРЗД гласи, че то обхваща „всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип“.

37      В това отношение Съдът вече е постановил, че в съответствие с целта, припомнена в точка 34 от настоящото решение, тази разпоредба определя широко понятието „регистър с лични данни“, по-специално визирайки „всеки“ структуриран набор от лични данни. Освен това с изискването наборът от лични данни да е „структуриран съгласно определени критерии“ се цели единствено данните, отнасящи се до дадено лице, да бъдат лесно откриваеми. Извън това изискване, член 4, точка 6 от ОРЗД не установява нито начините за структуриране на даден регистър, нито формата, която той трябва да има. По-специално, нито от посочената, нито от която и да е друга разпоредба от този регламент следва, че въпросните лични данни трябва да са част от картотеки или специфични списъци или пък други подобни класификационни системи, за да може да се заключи, че е налице регистър с лични данни по смисъла на посочения регламент (вж. по аналогия решение от 10 юли 2018 г., Jehovan todistajat, C‑25/17, EU:C:2018:551, т. 56—58).

38      В конкретния случай от преюдициалното запитване е видно, че исканите от жалбоподателя в главното производство данни се съдържат в „персонален регистър към съда“. Ето защо изглежда, че тези данни се съдържат в регистър с лични данни по смисъла на член 4, точка 6 от ОРЗД, което обаче запитващата юрисдикция следва да провери, без да е от значение дали посочените данни се съдържат в електронни бази данни, или във физически съществуващи преписки или регистри.

39      При това положение на първия въпрос следва да се отговори, че член 2, параграф 1 и член 4, точка 2 от ОРЗД трябва да се тълкуват в смисъл, че устното съобщаване на информация за евентуални висящи или приключили наказателни дела срещу дадено физическо лице представлява обработване на лични данни по смисъла на член 4, точка 2 от този регламент, което попада в материалното приложно поле на посочения регламент, щом тази информация е част или е предназначена да съставлява част от регистър с лични данни.

 По втория и третия въпрос

40      С втория и третия въпрос, които следва да се разгледат заедно, запитващата юрисдикция по същество иска да се установи дали разпоредбите на ОРЗД, в частност член 86 от него, трябва да се тълкуват в смисъл, че не допускат данните за присъдите на физическо лице, съдържащи се в персоналния регистър към съда, да могат да се съобщават устно на всяко лице, за да се гарантира публичен достъп до официални документи, без да е необходимо лицето, което иска съобщаването им, да доказва наличието на специфичен интерес от получаването на посочените данни, и дали отговорът на този въпрос е различен в зависимост от това дали това лице е търговско дружество, или физическо лице.

41      Този въпрос се основава на разглежданата в главното производство национална правна уредба, доколкото тя не изисква спазването на националните разпоредби относно защитата на личните данни, когато такива данни се съобщават устно.

42      В това отношение следва да се припомни, че по силата на член 288, втора алинея ДФЕС регламентът е задължителен в своята цялост и се прилага пряко във всички държави членки. Ето защо с оглед на самото естество на регламентите и на тяхната функция в системата от източници на правото на Съюза разпоредбите на регламентите по общо правило имат непосредствено действие в националните правни системи, без да е необходимо националните власти да приемат мерки за прилагането им (решения от 16 юни 2022 г., Port de Bruxelles и Région de Bruxelles-Capitale, C‑229/21, EU:C:2022:471, т. 47, и от 30 март 2023 г., Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, т. 77).

43      Така националният съд е длъжен да приложи изискванията на ОРЗД в неговата цялост, дори да не съществува специфична разпоредба в приложимото национално право, която позволява да се вземат предвид интересите на лицето, за чиито лични данни става въпрос (вж. в този смисъл решение от 2 март 2023 г., Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, т. 44 и 59).

44      От гореизложените съображения следва, че устното съобщаване на данни за присъдите на физическо лице може да се извършва само ако са изпълнени поставените от ОРЗД условия, при положение че тези данни са част или са предназначени да съставляват част от регистър с лични данни.

45      Във връзка с това следва да се припомни, че съгласно постоянната практика на Съда всяко обработване на лични данни трябва, от една страна, да съответства на установените в член 5 от ОРЗД принципи във връзка с обработването на такива данни и от друга страна, предвид в частност принципа за законосъобразност на обработването, посочен в параграф 1, буква а) от този член, да отговаря на някое от условията за законосъобразно обработване, изброени в член 6 от този регламент (вж. в този смисъл решения от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 96, и от 7 декември 2023 г., SCHUFA Holding и др. (Scoring), C‑634/21, EU:C:2023:957, т. 67).

46      По-специално разглежданото в главното производство обработване на лични данни, а именно публичното устно съобщаване на данни във връзка с престъпления, може да попадне в обхвата на член 6, параграф 1, буква д) от ОРЗД, по силата на който обработването е законосъобразно, ако и доколкото е „необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора“ (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 99).

47      Освен това, що се отнася по-специално до данните, свързани с присъди и нарушения, член 10 от ОРЗД предвижда допълнителни ограничения за тяхното обработване. Съгласно тази разпоредба обработването във връзка с тези данни „се извършва само под контрола на официален орган“, освен ако е „разрешено от правото на Съюза или правото на държава членка, в което са предвидени подходящи гаранции за правата и свободите на субектите на данни“ (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 100).

48      Съдът вече е постановил, че нито член 6, параграф 1, буква д) от ОРЗД, нито член 10 от този регламент забраняват по общ и абсолютен начин възможността публичен орган да бъде оправомощен и дори задължен да съобщава лични данни на лицата, които са поискали това (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 103).

49      В този смисъл ОРЗД допуска лични данни да се съобщават на обществеността, когато това съобщаване е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия по смисъла на член 6, параграф 1, буква д) от този регламент. Това е така дори когато въпросните данни попадат в приложното поле на член 10 от ОРЗД, стига законодателството, разрешаващо такова съобщаване, да предвижда подходящи гаранции за правата и свободите на субектите на данни (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 104).

50      В случая от акта за преюдициално запитване, както и от представеното от финландското правителство писмено становище е видно, че националната правна уредба за публичността в дейността на публичните органи и за публичността на производството пред общите съдилища цели изпълнението на задачата от обществен интерес, позволяваща осигуряването на публичен достъп до официални документи.

51      При тези условия запитващата юрисдикция иска да установи по-специално дали разглежданото в главното производство обработване на лични данни може да се счита за законосъобразно от гледна точка на принципа на пропорционалност, по-конкретно с оглед на претеглянето, което трябва да се извърши между, от една страна, правото на публичен достъп до официални документи, посочено в член 86 от ОРЗД, и от друга страна, основните права на зачитане на личния живот и на защита на личните данни, закрепени в членове 7 и 8 от Хартата.

52      Във връзка с последното трябва да се припомни, че основните права на зачитане на личния живот и на защита на личните данни не са абсолютни прерогативи, както е посочено в съображение 4 от ОРЗД, а трябва да се вземат предвид във връзка с тяхната социална функция и да бъдат претеглени спрямо други основни права. Поради това е възможно да се налагат ограничения, стига в съответствие с член 52, параграф 1 от Хартата те да са предвидени в закон и да зачитат основното съдържание на основните права, както и принципа на пропорционалност. Освен това при спазване на последния посочен принцип ограничения могат да бъдат налагани само ако са необходими и ако действително отговарят на признати от Съюза цели от общ интерес или на необходимостта да се защитят правата и свободите на други хора. Те трябва да се въвеждат в границите на строго необходимото и правната уредба, включваща намесата, трябва да предвижда ясни и точни правила, уреждащи обхвата и прилагането на съответната мярка (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 105).

53      За да се определи дали публичното съобщаване на лични данни във връзка с присъди е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия по смисъла на член 6, параграф 1, буква д) от ОРЗД и дали законодателството, разрешаващо такова съобщаване, предвижда подходящи гаранции за правата и свободите на субектите на данни по смисъла на член 10 от ОРЗД, следва да се провери по-конкретно дали предвид тежестта на предизвиканата с посоченото съобщаване намеса в основните права на зачитане на личния живот и на защита на личните данни, тази намеса е обоснована, и по-специално пропорционална с оглед на реализиране на преследваните цели (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 106).

54      Що се отнася до тежестта на намесата в тези права, Съдът вече е постановил, че обработването на данни във връзка с присъди и нарушения или със свързаните с тях мерки за сигурност може да представлява, поради особената чувствителност на тези данни, особено тежко вмешателство в основните права на зачитане на личния живот и на защита на личните данни, гарантирани от членове 7 и 8 от Хартата. Всъщност, след като такива данни се отнасят до поведение, предизвикващо неодобрение в обществото, предоставянето на достъп до същите данни може да доведе до заклеймяване на съответното лице и да доведе до сериозна намеса в личния или професионалния му живот (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 74, 75 и 112).

55      Както следва от съображение 154 от ОРЗД, макар изтъкнатият от запитващата юрисдикция публичен достъп до официални документи да представлява обществен интерес, който може да обоснове съобщаването на съдържащите се в такива документи лични данни, този достъп все пак трябва да бъде съгласуван с основните права на зачитане на личния живот и на защита на личните данни, както впрочем изрично изисква член 86 ОРЗД. С оглед по-специално на чувствителността на данните, свързани с присъдите, и на тежестта на намесата в основните права на зачитане на личния живот и на защита на личните данни на субектите на данни, която предизвиква разкриването на тези данни, трябва обаче да се приеме, че посочените права имат предимство пред интереса на обществеността от достъп до официални документи (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 120).

56      По същата причина правото на свобода на информация, посочено в член 85 от ОРЗД, не може да се тълкува в смисъл, че обосновава личните данни, свързани с присъди, да бъдат съобщавани на всяко лице, подало заявление за това (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 121).

57      В това отношение е без значение дали лицето, което иска достъп до данните, свързани с присъди, е търговско дружество, или физическо лице, и дали съобщаването на такива данни се извършва в писмена или устна форма.

58      С оглед на гореизложените съображения на втория и третия преюдициален въпрос следва да се отговори, че разпоредбите на ОРЗД, по-специално член 6, параграф 1, буква д) и член 10 от него, трябва да се тълкуват в смисъл, че не допускат данните за присъдите на физическо лице, съдържащи се в персоналния регистър към съда, да могат да се съобщават устно на всяко лице, за да се гарантира публичен достъп до официални документи, без да е необходимо лицето, което иска съобщаването им, да доказва наличието на специфичен интерес от получаването на посочените данни, като в това отношение не е от значение обстоятелството дали това лице е търговско дружество, или физическо лице.

 По съдебните разноски

59      С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (шести състав) реши:

1)      Член 2, параграф 1 и член 4, точка 2 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните)

трябва да се тълкуват в смисъл, че

устното съобщаване на информация за евентуални висящи или приключили наказателни дела срещу дадено физическо лице представлява обработване на лични данни по смисъла на член 4, точка 2 от този регламент, което попада в материалното приложно поле на този регламент, щом тази информация е част или е предназначена да съставлява част от регистър с лични данни.

2)      Разпоредбите на Регламент 2016/679, по-специално член 6, параграф 1, буква д) и член 10 от него,

трябва да се тълкуват в смисъл, че

не допускат данните за присъдите на физическо лице, съдържащи се в персоналния регистър към съда, да могат да се съобщават устно на всяко лице, за да се гарантира публичен достъп до официални документи, без да е необходимо лицето, което иска съобщаването им, да доказва наличието на специфичен интерес от получаването на посочените данни, като в това отношение не е от значение обстоятелството дали това лице е търговско дружество, или физическо лице.

Подписи

*      Език на производството: фински.