Verzoek om een prejudiciële beslissing, ingediend door de Sofiyski rayonen sad (Bulgarije) op 12 september 2023 – Teritorialna direktsia na Natsionalnata agentsia za prihodite – Sofia
(Zaak C-563/23, Natsionalnata agentsia za prihodite)
Procestaal: Bulgaars
Verwijzende rechter
Sofiyski rayonen sad
Partijen in het hoofdgeding
Teritorialna direktsia na Natsionalnata agentsia za prihodite – Sofia
Prejudiciële vragen
1. Moet artikel 4, punt 7, van verordening 2016/6791 (hierna: „algemene verordening gegevensbescherming”) aldus worden uitgelegd dat een gerechtelijke autoriteit die een andere overheidsinstantie toegang verleent tot gegevens over de rekeningsaldi van belastingplichtigen, beslist over het doel van of de middelen voor de verwerking van persoonsgegevens en dus de „verwerkingsverantwoordelijke” voor de persoonsgegevens is?
2. Indien de eerste vraag ontkennend wordt beantwoord, moet artikel 51 van de algemene verordening gegevensbescherming dan aldus worden uitgelegd dat een gerechtelijke autoriteit die een andere overheidsinstantie toegang verleent tot gegevens over de rekeningsaldi van belastingplichtigen, verantwoordelijk is voor het toezicht op [de toepassing van] die verordening en dus met betrekking tot die gegevens als „toezichthoudende autoriteit” moet worden aangemerkt?
3. Indien een van de bovenstaande vragen bevestigend wordt beantwoord, moet artikel 32, lid 1, onder b), van de algemene verordening gegevensbescherming of artikel 57, lid 1, onder a), van deze verordening dan aldus worden uitgelegd dat een gerechtelijke autoriteit die een andere overheidsinstantie toegang verleent tot gegevens over de rekeningsaldi van belastingplichtigen, verplicht is om, wanneer er gegevens zijn over een inbreuk in verband met persoonsgegevens die in het verleden is begaan door de instantie waaraan die toegang moet worden verleend, informatie in te winnen over de ter bescherming van de gegevens genomen maatregelen en bij haar beslissing om toegang te verlenen de toereikendheid van deze maatregelen te beoordelen?
4. Moet, ongeacht de antwoorden op de [tweede] en de [derde] vraag, artikel 79, lid 1, van de algemene verordening gegevensbescherming juncto artikel 47 van het Handvest van de grondrechten van de Europese Unie aldus worden uitgelegd dat wanneer volgens het nationale recht van een lidstaat bepaalde categorieën van gegevens slechts na toestemming van een rechterlijke instantie mogen worden verstrekt, de daartoe bevoegde rechterlijke instantie ambtshalve rechtsbescherming moet verlenen aan de personen van wie de gegevens worden verstrekt, door van de overheidsinstantie die om toegang tot de gegevens heeft verzocht en waarvan bekend is dat zij na een inbreuk in verband met persoonsgegevens bindende instructies heeft ontvangen vanwege de in artikel 51, lid 1, van de algemene verordening gegevensbescherming bedoelde autoriteit, te verlangen dat zij informatie verstrekt over de uitvoering van de haar bij administratief besluit bevolen maatregelen op grond van artikel 58, lid 2, onder d), van die verordening?
____________
1 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (PB 2016, L 119, blz. 1).