Language of document : ECLI:EU:C:2012:748

РЕШЕНИЕ НА СЪДА (трети състав)

22 ноември 2012 година(*)

„Електронни комуникации — Директива 2002/58/ЕО — Член 6, параграфи 2 и 5 — Обработка на лични данни — Данни за трафик, отнасящи се до изготвянето и събирането на сметката на абоната — Събиране на вземания от трето дружество — Лица, действащи под ръководството на доставчиците на публични комуникационни мрежи и публично достъпни електронни комуникационни услуги“

По дело C‑119/12

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Bundesgerichtshof (Германия) с акт от 16 февруари 2012 г., постъпил в Съда на 6 март 2012 г., в рамките на производство по дело

Josef Probst

срещу

mr.nexnet GmbH,

СЪДЪТ (трети състав),

състоящ се от: г‑н K. Lenaerts (докладчик), изпълняващ функцията на председател на трети състав, г‑н E. Juhász, г‑н G. Arestis, г‑н T. von Danwitz и г‑н D. Šváby, съдии,

генерален адвокат: г‑н P. Cruz Villalón,

секретар: г‑н A. Calot Escobar,

предвид изложеното в писмената фаза на производството,

като има предвид становищата, представени:

–        за mr.nexnet GmbH, от P. Wassermann, Rechtsanwalt,

–        за Европейската комисия, от г‑н F. Wilman и г‑н F. Bulst, в качеството на представители,

предвид решението, взето след изслушване на генералния адвокат, делото да бъде разгледано без представяне на заключение,

постанови настоящото

Решение

1        Преюдициалното запитване се отнася до тълкуването на член 6, параграфи 2 и 5 от Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, стр. 37; Специално издание на български език, 2007 г., глава 13, том 36, стр. 63).

2        Запитването е отправено в рамките на спор между mr.nexnet GmbH (наричано по-нататък „nexnet“), цесионер на вземания за услуги по предоставяне на достъп до интернет от страна на Verizon Deutschland GmbH (наричано по-нататък „Verizon“), и г‑н Probst, получател на тези услуги.

 Правна уредба

 Директива 95/46/ЕО

3        Член 16 от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10) гласи:

„Всяко лице, действащо под ръководството на администратора или на обработващия данни, включително самият обработващ данни, и което има достъп до личните данни, може да ги обработва, само по указание на администратора, освен ако не е задължено да извърши това по закон“.

4        Член 17 от Директива 95/46 предвижда:

„1.      Държавите членки предвиждат, че администраторът трябва да прилага подходящи технически и организационни мерки за защита на личните данни срещу случайно или неправомерно унищожаване или случайна загуба, промяна, неразрешено разкриване или достъп, в частност когато обработването включва предаване на данните по мрежа, както и срещу всякакви други незаконни форми на обработка.

Като се взима под внимание съвременното ниво на развитие и разходите за осъществяването им, тези мерки гарантират такова ниво на сигурност, което съответства на рисковете, свързани с обработването и с естеството на данните, които следва да бъдат защитени.

2.      Държавите членки предвиждат, че администраторът трябва, когато обработването се извършва от негово име, да избере обработващ данните, който осигурява достатъчни гаранции по отношение на мерките за техническа безопасност и организационните мерки, регулиращи обработването, което следва да се извърши, и да осигури спазването на тези мерки.

3.      Осъществяването на обработването от обработващ данните трябва да е уредено с договор или правен акт, който обвързва обработващия данни с администратора и постановява, в частност, че:

–        обработващият данни действа само по указания на администратора,

–        задълженията, посочени в параграф 1 и определени от законодателството на държавата членка, в която е установен обработващият данни, също са възложени на обработващия данни.

4.      За целите на съхраняване на доказателства, частите от договора или от правния акт, които се отнасят до защитата на данните, както и изискванията, свързани с мерките, посочени в параграф 1, са в писмена или в друга равностойна форма“.

 Директива 2002/58/ЕО

5        Член 1, параграфи 1 и 2 от Директива 2002/58 предвижда:

„1.      Настоящата директива хармонизира разпоредбите на държавите членки, нeобходими за осигуряване на еквивалентно ниво на защита на основни права и свободи, и по-специално правото на неприкосновеност на личен живот по отношение на обработката на лични данни в електронно комуникационния сектор и да се осигури свободно движение на такива данни и оборудване за електронни съобщения и услуги в [Европейския съюз].

2.      Разпоредбите на настоящата директива конкретизират и допълват [Директива 95/46] за целите, упоменати в параграф 1. […]“.

6        Член 2, втора алинея, буква б) от тази директива определя „данни за трафик“ като „всякакви данни, обработени с цел пренасяне на комуникация през електронни комуникационни мрежи или за изготвяне на сметка за това“.

7        Член 5, параграф 1 от Директива 2002/58 уточнява:

„Държавите членки гарантират конфиденциалност на съобщенията и свързания трафик на данни през публични комуникационни мрежи и публично достъпни електронни комуникационни услуги, чрез националното си законодателство. […]“.

8        Член 6 от същата директива гласи:

„1.      Данни за трафик, отнасящи се до абонати и потребители, обработени и съхранени от доставчика на публични комуникационни мрежи или публично достъпни електронни комуникационни услуги, трябва да бъдат изтрити или да се направят анонимни, когато не са необходими повече за целите на предаване на комуникация, без да се накърнява[т] параграф[и] 2, 3 и 5 от настоящия член […].

2.      Могат да бъдат обработени данни за трафик, необходими за целите на изготвяне на сметката на абоната и плащания при взаимна връзка. Такава обработка е допустима само до края на периода, през който сметката може законно да бъде оспорена или плащането търсено.

[…]

5.      Обработка на данни за трафик, в съответствие с параграфи 1, 2, 3 и 4, трябва да бъде ограничена до лица, действащи под ръководството на доставчиците на публични комуникационни мрежи и публично достъпни електронни комуникационни услуги, които отговарят за изготвянето на сметки или управлението на трафика, за запитванията на клиенти, за разкриването на измами, за търговията с електронни комуникационни услуги или за обезпечаването на услуга с добавена стойност и трябва да бъде ограничена до това, което е необходимо за целите на тези дейности.

[…]“.

 Германското право

9        Член 97, параграф 1, трето и четвърто изречение от германския Закон за далекосъобщенията (Telekommunikationsgesetz) от 22 юни 2004 г. (BGBl. 2004 I, стр. 1190, наричан по-нататък „TKG“) гласи следното:

„Определяне и изчисляване на възнаграждението на доставчика на услуги

[…] Ако доставчикът на услуги е сключил с трето лице договор за събиране на вземане за услуга, той може да му изпрати данните [относно трафика], доколкото това изпращане е необходимо за получаването на вземането и за изготвянето на подробна сметка. Третото лице следва да поеме договорното задължение за опазване тайната на далекосъобщенията съгласно член 88 и за защита на данните съгласно членове 93, 95, 96, 97, 99 и 100.

[…]“.

10      Според запитващата юрисдикция предвиденото в член 97, параграф 1, трето изречение от TKG право за предоставяне на данни се отнася не само да договорите за събиране на вземания, когато тези вземания остават в имуществото на първоначалните си титуляри, а и до другите договори за цесия, и по-специално до договорите, които имат за предмет изкупуване на вземания и предвиждат, че прехвърленото право окончателно принадлежи както правно, така и икономически на цесионера.

 Спорът по главното производство и преюдициалният въпрос

11      Г‑н Probst притежава телефонна линия на Deutsche Telekom AG, посредством която компютърът му е свързан с интернет. В периода 28 юни—6 септември 2009 г. за достъп до някои страници в интернет той използва номер на дружеството Verizon Deutschland GmbH. Най-напред цената за този достъп е включена в сметката, изпратена на г‑н Probst от Deutsche Telekom AG, в рубриката „суми, дължими на други доставчици“. Вследствие на неплащане от страна на г‑н Probst nexnet, цесионер на това вземане съгласно договор за факторинг, сключен между праводателите на Verizon и на nexnet, изисква от него заплащането на начислените суми, увеличени с различни разноски. Съгласно договора за факторинг nexnet носи отговорността за евентуална неплатежоспособност на длъжника.

12      Праводателите на nexnet и на Verizon освен това са сключили „Споразумение за защита на данните и поверителността“, което предвижда:

„I.      Защита на данните

[…]

(5)      Договарящите се страни се задължават да обработват и използват защитените данни само в рамките на съвместната им работа единствено за преследваната с договора цел и по посочения в договора начин;

(6)      Когато запознаването със защитените данни вече не е необходимо за постигане на споменатата цел, всички съществуващи в тази връзка защитени данни следва да бъдат безвъзвратно унищожени или върнати. […]

(7)      Всяка от договарящите се страни може да провери дали другата страна спазва установените в договора правила за сигурност и защита на данните. […]

II.      Поверителност

[…]

(2)      Договарящите се страни трябва да обработват и използват поверителните документи и информация само за целите на изпълнение на сключения помежду им договор. Те могат да ги предоставят единствено на служители, които се нуждаят от тях за изпълнението на договора. Договарящите се страни трябва да наложат на служителите си задължение за поверителност като предвиденото в настоящото споразумение.

(3)      По искане на някоя от страните или най-късно към момента на прекратяване на съвместната им работа цялата съществуваща в тази връзка поверителна информация следва да бъде безвъзвратно унищожена или върната […]

[…]“.

13      Г‑н Probst счита, че договорът за цесия е нищожен, доколкото с него се нарушава по-специално член 97, параграф 1 от TKG. Amtsgericht отхвърля исканията на nexnet за плащане, докато второинстанционният съд ги уважава по същество. Пред Bundesgerichtshof е подадена ревизионна жалба.

14      Запитващата юрисдикция счита, че член 6, параграфи 2 и 5 от Директива 2002/58 е релевантен за тълкуването на член 97, параграф 1 от TKG. Тя подчертава, от една страна, че фактът, че са „изготв[ени] сметките“ — което представлява една от целите, поради които член 6, параграфи 2 и 5 от Директива 2002/58/ЕО позволява обработката на данни за трафик, — не обхваща непременно събирането на посочените в сметките суми. Следователно от гледна точка на защита на данните няма каквото и да било обективно основание за различно третиране на изготвянето на сметки и на събирането на вземания. От друга страна, съгласно член 6, параграф 5 от посочената директива обработката на данни за трафик е ограничена само до лицата, действащи „под ръководството“ на доставчик на публични комуникационни мрежи и на публично достъпни електронни комуникационни услуги (наричан по-нататък „доставчикът на услуги“). Според запитващата юрисдикция това понятие не позволява да се установи дали доставчикът на услуги трябва да може конкретно да определя как да се използват данните, в това число и във всеки конкретен случай, по време на целия период на обработка на данните, или пък е достатъчно да бъдат предвидени общи правила относно зачитането на тайната в далекосъобщенията и относно защитата на данните, подобно на тези, установени в случая в договорните клаузи, така че да бъде възможно унищожаването или връщането на данните да бъде извършено единствено при поискване.

15      При тези обстоятелства Bundesgerichtshof решава да спре производството и да постави на Съда следния преюдициален въпрос:

„Позволява ли член 6, параграфи 2 и 5 от Директива 2002/58 на доставчика на услуги да предоставя данни за трафик на цесионер на вземане за извършени далекосъобщителни услуги, когато цесията, целяща събиране на сторнирани вземания, освен от общите задължения за зачитане на тайната на далекосъобщенията и за защита на данните в съответствие с действащите правни норми, се урежда и от следните договорни разпоредби:

–        доставчикът на услуги и цесионерът се задължават да обработват и използват защитените данни само в рамките на съвместната им работа единствено за преследваната с договора цел и по посочения в договора начин;

–        когато запознаването със защитените данни вече не е необходимо за постигане на споменатата цел, всички съществуващи в тази връзка защитени данни следва да бъдат безвъзвратно унищожени или върнати;

–        всяка от договарящите се страни може да провери дали другата страна спазва установените в договора правила за сигурност и защита на данните;

–        достъп до предоставените поверителни документи и информация следва да имат единствено служителите, които се нуждаят от тях за изпълнението на договора;

–        договарящите се страни трябва да наложат на служителите си задължение за поверителност като предвиденото в договора;

–        по искане на някоя от страните или най-късно към момента на прекратяване на съвместната им работа цялата съществуваща в тази връзка поверителна информация следва да бъде безвъзвратно унищожена или върната?“.

 По преюдициалния въпрос

16      С въпроса си запитващата юрисдикция иска по същество да установи дали член 6, параграфи 2 и 5 от Директива 2002/58 позволява на доставчик на услуги да предоставя данни за трафик на цесионера на неговите вземания и на последния — да обработва посочените данни.

17      От една страна, по смисъла на член 6, параграф 2 от Директива 2002/58 могат да бъдат обработени данните за трафик, необходими за целите на изготвяне на сметката на абоната и плащания. Както подчертават nexnet и Европейската комисия, тази разпоредба от посочената директива позволява обработката на данни за трафик не само с цел изготвянето на сметки, но и за тяхното събиране. Всъщност, допускайки обработката на данни за трафик „до края на периода, през който сметката може законно да бъде оспорена или плащането търсено“, посочената разпоредба визира не само обработката на данни към момента на изготвяне на сметките, но и обработката, необходима за получаване на плащанията по тях.

18      По силата, от друга страна, на член 6, параграф 5 от Директива 2002/58 обработката на данни за трафик, допустим съгласно член 6, параграф 2 от същата, „трябва да бъде ограничена до лица, действащи под ръководството на доставчиците на [услуги], които отговарят за изготвянето на сметки“, и „трябва да бъде ограничена до това, което е необходимо“ за целите на тези дейности.

19      От тълкуването на тези разпоредби на Директива 2002/58 в тяхната взаимовръзка следва, че доставчик на услуги може да предава данни за трафик на цесионера на неговите вземания за целите на тяхното събиране, като на последния е позволено да обработва тези данни, при положение че на първо място, това се извършва „под ръководството“ на доставчика на услуги, що се отнася до обработката на тези данни, и на второ място, той се ограничи до обработването на данните за трафика, необходими за събирането на тези вземания.

20      В това отношение следва да се констатира, че нито Директива 2002/58, нито релевантните документи за тълкуването ѝ, каквито са подготвителните работи, внасят яснота относно точния обхват на понятието „под ръководството“. Поради това съгласно практиката на Съда за определянето на значението на тези термини трябва да се прибегне до обичайното им значение в разговорния език, като се държи сметка за контекста, в който те се използват, и за целите, преследвани от правната уредба, от която те са част (вж. в този смисъл Решение от 10 март 2005 г. по дело easyCar, C‑336/03, Recueil, стр. I‑1947, точки 20 и 21 и Решение от 5 юли 2012 г. по дело Content Services, C‑49/11, точка 32).

21      По отношение на обичайното значение на това понятие в разговорния език следва да се вземе предвид, че дадено лице действа под ръководството на друго лице, когато първото извършва действия съгласно инструкциите и под контрола на второто.

22      Що се отнася до контекста, част от който е член 6 от Директива 2002/58, следва да се припомни, че член 5, параграф 1 от нея предвижда, че държавите членки гарантират конфиденциалност на съобщенията и свързания трафик през публични комуникационни мрежи и публично достъпни електронни комуникационни услуги.

23      Член 6, параграфи 2 и 5 от Директива 2002/58 предвижда изключение от конфиденциалността на съобщенията, уредена в член 5, параграф 1, като позволява обработката на данни за трафика с оглед на нуждите, свързани с дейността по изготвяне на сметките за услуги (вж. в този смисъл Решение от 29 януари 2008 г. по дело Promusicae, C‑275/06, Сборник, стр. I‑271, точка 48). В качеството си на изключение тази разпоредба от посочената директива и съответно също понятието „под ръководството“ следва да се тълкуват стриктно (вж. Решение от 17 февруари 2011 г. по дело The Number (UK) и Conduit Enterprises, C‑16/10, Сборник, стр. I‑691, точка 31). Такова тълкуване предполага, че доставчикът на услуги разполага с ефективно право на контрол, позволяващо му да провери съблюдаването от цесионера на вземанията на наложените му условия с оглед обработката на данните за трафик.

24      Това тълкуване се подкрепя от целта на Директива 2002/58 като цяло и от член 6, параграф 5 в частност. Съгласно член 1, параграфи 1 и 2 от Директива 2002/58 тя конкретизира и допълва Директива 95/46 в сектора на електронните комуникации с цел по-конкретно да гарантира на държавите членки еквивалентно равнище на защита на основните права и свободи, и по-специално на правото на неприкосновеност на личния живот по отношение на обработката на лични данни в сектора на електронните комуникации.

25      С оглед на тези условия член 6, параграф 5 от Директива 2002/58 трябва да се тълкува в светлината на сходните разпоредби от Директива 95/46. От членове 16 и 17 от тази последна директива, конкретизираща нивото на контрол, което администраторът трябва да упражнява спрямо определения от него обработващ данни, следва, че последният действа единствено съгласно инструкциите на администратора и че посоченият администратор следи за съблюдаването на мерките, приети за защита на личните данни от всякакви форми на незаконна обработка.

26      Що се отнася до преследваната конкретно с член 6, параграф 5 от Директива 2002/58 цел, следва да се заключи, че въпреки че тази разпоредба допуска обработката на данни за трафик от някои трети спрямо доставчика на услуги лица с оглед по-специално събиране на вземанията на последния, като по този начин му позволява да се концентрира върху предоставянето на електронни комуникационни услуги, предвиждайки, че извършваната обработка на данни за трафик трябва да бъде ограничена до лицата, действащи „под ръководството“ на доставчика на услуги, посочената разпоредба цели да гарантира, че такова „изнасяне“ на дейността навън не засяга нивото на защита на личните данни, с което ползувателят разполага.

27      От горното следва, че независимо от квалифицирането на договора за цесия на вземания за целите на тяхното събиране цесионерът на вземане във връзка със заплащането за комуникационни услуги действа „под ръководството“ на доставчика на тези услуги съгласно член 6, параграф 5 от Директива 2002/58, когато за обработката на данни за трафик, каквато предполага подобна дейност, цесионерът действа единствено съгласно инструкциите и под контрола на този доставчик. По-конкретно договорът, сключен между доставчика на услуги, преотстъпил своите вземания, и техния цесионер, трябва да съдържа разпоредби, които могат да гарантират законната обработка на данните за трафик от последния, и трябва да позволява на доставчика на услуги по всяко време да бъде сигурен, че спазването на тези разпоредби от цесионера му е гарантирано.

28      Националният съд следва да провери с оглед на всички материали по преписката дали тези условия са изпълнени в случая по главното производство. Фактът, че договор за факторинг притежава описаните в отправения въпрос характеристики, говори в полза на това, че този договор отговаря на тези условия. Всъщност този договор позволява обработката на данни за трафик от цесионера на вземанията единствено доколкото тази обработка е необходима за събирането на тези вземания и налага на посочения цесионер задължението да унищожи или върне незабавно и безвъзвратно посочените данни от момента, в който запознаването с тях престане да бъде необходимо за събирането на съответните вземания. Освен това той позволява на доставчика на услуги да контролира спазването на правилата за сигурност и защита на данните от цесионера, който при поискване може да бъде задължен да унищожи или да върне данните за трафик.

29      С оглед на горепосочените съображения на поставения въпрос следва да се отговори, че член 6, параграфи 2 и 5 от Директива 2002/58 трябва да се тълкува в смисъл, че той позволява на доставчика на услуги да предава данни за трафик на цесионера на неговите вземания, свързани с предоставянето на комуникационни услуги за целите на събирането на тези вземания, и на този цесионер — да обработва посочените данни, при условие, на първо място, че той действа под ръководството на доставчика на услуги, що се отнася до обработката на същите тези данни, и на второ място, че посоченият цесионер се ограничи до обработването на данните за трафика, които са необходими за събирането на отстъпените вземания.

30      Независимо от квалифицирането на договора за цесия, предполага се, че цесионерът действа под ръководството на доставчика на услуги по смисъла на член 6, параграф 5 от Директива 2002/58, когато за обработката на данните за трафик той действа единствено съгласно инструкциите и под контрола на този доставчик. По-конкретно сключеният между тях договор трябва да съдържа разпоредби, които могат да гарантират законната обработка на данните за трафик от цесионера и да позволят на доставчика на услуги по всяко време да бъде сигурен, че спазването на тези разпоредби от посочения цесионер му е гарантирано.

 По съдебните разноски

31      С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (трети състав) реши:

Член 6, параграфи 2 и 5 от Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) трябва да се тълкува в смисъл, че той позволява на даден доставчик на публични комуникационни мрежи и публично достъпни електронни комуникационни услуги да предава данни за трафик на цесионера на неговите вземания, свързани с предоставянето на комуникационни услуги за целите на събирането на тези вземания, и на този цесионер — да обработва посочените данни, при условие, на първо място, че той действа под ръководството на доставчика на услуги, що се отнася до обработката на същите тези данни, и на второ място, че посоченият цесионер се ограничи до обработването на данните за трафика, които са необходими за събирането на отстъпените вземания.

Независимо от квалифицирането на договора за цесия, предполага се, че цесионерът действа под ръководството на доставчика на услуги по смисъла на член 6, параграф 5 от Директива 2002/58, когато за обработката на данните за трафик той действа единствено съгласно инструкциите и под контрола на този доставчик. По-конкретно сключеният между тях договор трябва да съдържа разпоредби, които могат да гарантират законната обработка на данните за трафик от цесионера и да позволят на доставчика на услуги по всяко време да бъде сигурен, че спазването на тези разпоредби от посочения цесионер му е гарантирано.

Подписи

* Език на производството: немски.