Неокончателна редакция
ЗАКЛЮЧЕНИЕ НА ГЕНЕРАЛНИЯ АДВОКАТ
PRIIT PIKAMÄE
представено на 11 април 2024 година(1)
Дело C‑768/21
TR
срещу
Land Hessen
(Преюдициално запитване, отправено от Verwaltungsgericht Wiesbaden (Административен съд Висбаден, Германия)
„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 57, параграф 1, букви a) и е) — Задачи на надзорния орган — Член 58, параграф 2 — Правомощия на надзорния орган — Член 77, параграф 1 — Право на подаване на жалба — Нарушение на сигурността на личните данни — Задължение на надзорния орган да предприеме мерки“
I. Въведение
1. Настоящото преюдициално запитване, отправено от Verwaltungsgericht Wiesbaden (Административен съд Висбаден, Германия) на основание член 267 ДФЕС, се отнася до тълкуването на член 57, параграф 1, букви а) и е), член 58, параграф 2 и член 77, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните)(2) (наричан по-нататък „ОРЗД“).
2. Запитването е отправено в рамките на спор между TR и Land Hessen (провинция Хесен, Германия), представлявана от Hessischer Beauftragte für Datenschutz und Informationsfreiheit (длъжностното лице за защита на данните и свобода на информацията на провинция Хесен, наричано по-нататък „HBDI“), по повод отказа на последната да предприеме действия срещу Sparkasse [спестовна каса] поради нарушение на сигурността на личните данни. Запитващата юрисдикция иска да се установи дали когато констатира обработване на данни, което нарушава правата на субекта на данни, надзорният орган при всички положения е длъжен да предприеме действия в рамките на правомощията си по член 58, параграф 2 от ОРЗД, или в конкретен случай може — въпреки наличието на нарушение — да не предприема действия.
3. Настоящото дело повдига няколко неразглеждани досега правни въпроси, които изискват задълбочен размисъл. Съдът по същество ще трябва да се произнесе относно ролята на принципите на законосъобразност и целесъобразност в административната практика на надзорните органи, и по-специално при изпълнението на задачата им да наблюдават и осигуряват прилагането на ОРЗД. Тълкувателните насоки, произтичащи от практиката на Съда, ще повлияят на тази административна практика, допринасяйки по този начин за последователното прилагане на този регламент в рамките на Съюза.
II. Правна уредба
4. Съображения 129, 141, 148 и 150 от ОРЗД гласят следното:
„(129) За да се гарантира последователно наблюдение и прилагане на настоящия регламент навсякъде в Съюза, надзорните органи следва да имат еднакви задачи и ефективни правомощия във всяка държава членка, включително правомощия за разследване, корективни правомощия и правомощия за налагане на санкции, правомощия за даване на разрешения и становища, особено в случаи на жалби от физически лица, и без да се засягат правомощията на прокуратурата съгласно правото на държавата членка — правомощието да довеждат нарушения на настоящия регламент до знанието на съдебните органи и да встъпват в съдебни производства. Тези правомощия следва да включват и правомощието за налагане на временно или окончателно ограничаване, включително забрана, на обработването на данни. Държавите членки могат да посочат други конкретни задачи, свързани със защитата на лични данни съгласно настоящия регламент. Надзорните органи следва да упражняват правомощията си в съответствие с подходящите процедурни гаранции, определени в правото на Съюза и правото на държава членка, независимо, справедливо и в разумен срок. По-специално всяка мярка следва да бъде подходяща, необходима и пропорционална с оглед на осигуряването на съответствие с настоящия регламент, като се отчитат обстоятелствата при всеки конкретен случай, зачита се правото на всяко лице да бъде изслушано преди да бъде взета каквато и да е конкретна мярка, която би го засегнала неблагоприятно, и се избягват излишни разходи и прекалени неудобства за засегнатите лица. […]
[…]
(141) Всеки субект на данни следва да има право да подаде жалба до един надзорен орган, по-специално в държавата членка на обичайно[то] си местопребиваване, както и право на ефективни правни средства за защита в съответствие с член 47 от Хартата [на основните права на Европейския съюз, наричана по-нататък „Хартата“], ако счита, че правата му по настоящия регламент са нарушени или ако надзорният орган не предприема действия по подадена жалба, изцяло или частично отхвърля или оставя без разглеждане жалба или не предприема действия, когато такива са необходими, за да се защитят правата на субекта на данни. Разследването въз основа на жалби следва да се извършва под съдебен контрол и в целесъобразна за конкретния случай степен. Надзорният орган следва да информира субекта на данните за напредъка и резултата от жалбата в разумен срок. […]
[…]
(148) За да се укрепи прилагането на правилата на настоящия регламент, освен или вместо подходящи мерки, наложени от надзорния орган съгласно настоящия регламент, при нарушение на регламента следва да се налагат санкции, включително административни наказания „глоба“ или „имуществена санкция“. При леки нарушения или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, вместо глоба може да бъде отсъдено порицание. Следва обаче да се отдаде надлежно внимание на естеството, тежестта и продължителността на нарушението, умишления характер на нарушението, действията за смекчаване на последиците от претърпените вреди, степента на отговорност или евентуални предишни нарушения от подобен характер, начина, по който нарушението е станало известно на надзорния орган, спазването на мерките, наложени на администратора или на обработващия лични данни, придържането към кодекс на поведение и всякакви други утежняващи или смекчаващи фактори. […]
[…]
(150) С цел да се засилят и хармонизират административните наказания за нарушения на настоящия регламент, всеки надзорен орган следва да има правомощието да налага административни наказания „глоба“ или „имуществена санкция“. В настоящия регламент следва да се посочат нарушенията и максималният размер и критериите за определяне на съответните административни наказания „глоба“ или „имуществена санкция“, които следва да се определят от компетентния надзорен орган във всеки отделен случай, като се вземат предвид всички обстоятелства, свързани с конкретната ситуация, по-специално при надлежно отчитане на естеството, тежестта и продължителността на нарушението и на последиците от него, както и на мерките, предприети, за да се гарантира спазване на задълженията по настоящия регламент и за да се предотвратят или смекчат последиците от нарушението. […]“.
5. Член 33, параграф 1 от този регламент гласи:
„В случай на нарушение на сигурността на личните данни администраторът, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни надзорния орган, компетентен в съответствие с член 55, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. […]“.
6. Член 34, параграф 1 от посочения регламент предвижда:
„Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни“.
7. Член 57, параграф 1 от същия регламент гласи:
„Без да се засягат останалите задачи, определени с настоящия регламент, на своята територия всеки надзорен орган:
а) наблюдава и осигурява прилагането на настоящия регламент;
[…]
е) разглежда жалбите, подадени от субект на данни или от структура, организация или сдружение в съответствие с член 80, и разследва предмета на жалбата, доколкото това е целесъобразно, и информира жалбоподателя за напредъка и резултатите от разследването в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;
[…]“.
8. Съгласно член 58 от ОРЗД:
„1. Всеки надзорен орган има всички от посочените по-долу правомощия за разследване:
а) да разпорежда на администратора и на обработващия лични данни и, когато е приложимо — на представителя на администратора или на обработващия лични данни, да предоставят всяка информация, която той поиска за изпълнението на своите задачи;
[…]
2. Всеки надзорен орган има всички от посочените по-долу корективни правомощия:
а) да отправя предупреждения до администратора или обработващия лични данни, когато има вероятност операции по обработване на данни, които те възнамеряват да извършат, да нарушат разпоредбите на настоящия регламент;
б) да отправя официално предупреждение до администратора или обработващия лични данни, когато операции по обработване на данни са нарушили разпоредбите на настоящия регламент;
в) да разпорежда на администратора или обработващия лични данни да изпълнят исканията на субекта на данни да упражнява правата си съгласно настоящия регламент;
г) да разпорежда на администратора или обработващия лични данни да съобразят операциите по обработване на данни с разпоредбите на настоящия регламент и, ако е целесъобразно, това да стане по указан начин и в определен срок;
д) да разпорежда на администратора да съобщава на субекта на данните за нарушение на сигурността на личните данни;
е) да налага временно или окончателно ограничаване, в т.ч. забрана, на обработването на данни;
[…]
и) да налага административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, в допълнение към мерките, посочени в настоящия параграф, или вместо тях, в зависимост от особеностите на всеки отделен случай;
[…]“.
9. Член 77 от този регламент гласи:
„1. Без да се засягат които и да било други административни или съдебни средства за правна защита, всеки субект на данни има право да подаде жалба до надзорен орган, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако субектът на данни счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на настоящия регламент.
2. Надзорният орган, до когото е подадена жалбата, информира жалбоподателя за напредъка в разглеждането на жалбата и за резултата от нея, включително за възможността за съдебна защита съгласно член 78“.
10. Член 78, параграфи 1 и 2 от посочения регламент предвижда:
„1. Без да се засягат които и да било други административни или несъдебни средства за защита, всяко физическо и юридическо лице има право на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган.
2. Без да се засягат които и да било други административни или несъдебни средства за защита, всеки субект на данни има право на ефективна съдебна защита, когато надзорният орган, който е компетентен съгласно членове 55 и 56 ; не е разгледал жалбата или не е информирал субекта на данните в срок от три месеца за напредъка в разглеждането на жалбата, подадена съгласно член 77, или за резултата от нея“.
11. Член 83, параграфи 1 и 2 от RGPD гласи:
„1. Всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ в съответствие с настоящия член за извършени нарушения на настоящия регламент, посочени в параграфи 4, 5 и 6, във всеки конкретен случай са ефективни, пропорционални и възпиращи.
2. В зависимост от обстоятелствата във всеки конкретен случай административните наказания „глоба“ или „имуществена санкция“ се налагат в допълнение към мерките, посочени в член 58, параграф 2, букви а)—з) и й), или вместо тях. Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:
a) естеството, тежестта и продължителността на нарушението, като се взема предвид естеството, обхватът или целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;
б) дали нарушението е извършено умишлено или по небрежност;
в) действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни;
г) степента на отговорност на администратора или обработващия лични данни като се вземат предвид технически и организационни мерки, въведени от тях в съответствие с членове 25 и 32;
д) евентуални свързани предишни нарушения, извършени от администратора или обработващия лични данни;
е) степента на сътрудничество с надзорния орган с цел отстраняване на нарушението и смекчаване на евентуалните неблагоприятни последици от него;
ж) категориите лични данни, засегнати от нарушението;
з) начина, по който нарушението е станало известно на надзорния орган, по-специално дали и до каква степен администраторът или обработващият лични данни е уведомил за нарушението;
и) когато на засегнатия администратор или обработващ лични данни преди са налагани мерки, посочени в член 58, параграф 2, във връзка със същия предмет на обработването, дали посочените мерки са спазени;
й) придържането към одобрени кодекси на поведение съгласно член 40 или одобрени механизми за сертифициране съгласно член 42; и
к) всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая, като пряко или косвено реализирани финансови ползи или избегнати загуби вследствие на нарушението“.
III. Фактите в основата на спора, главното производство и преюдициалният въпрос
12. Sparkasse [спестовна каса, наричана по-нататък „Sparkasse“] е общинска институция, субект на публичното право, която извършва по-конкретно банкови и кредитни операции. На 15 ноември 2019 г. тя уведомява HBDI за нарушение на сигурността на личните данни в съответствие с член 33 от ОРЗД, тъй като една от нейните служителки многократно е осъществявала неоторизиран достъп до основните лични данни на TR, един от нейните клиенти. Тъй като обаче счита, че не става дума за нарушение на сигурността на личните данни, което има вероятност да породи висок риск за TR, Sparkasse не е извършила съобщаване и до TR, съгласно член 34 от този регламент.
13. След като научава за този инцидент, TR се обръща към HBDI с писмо от 27 юли 2020 г., в което посочва, че е налице нарушение на член 34 от ОРЗД и отправя критики срещу краткия период на съхранение на регистрите на достъпа на Sparkasse от 3 месеца и обстоятелството, че всеки неин служител има широки права на достъп.
14. В рамките на производството пред HBDI Sparkasse посочва, че длъжностното ѝ лице по защита на данните е приело, че няма риск за TR, тъй като срещу въпросната служителка са били предприети дисциплинарни мерки и тя е потвърдила писмено, че нито е копирала или съхранявала известните ѝ данни, нито ги е предавала на трети лица и е поела задължение да не извършва такива действия в бъдеще. Освен това трябвало да бъде извършена проверка на периода на съхраняване на данните за достъпа.
15. С решение от 3 септември 2020 г. HBDI уведомява TR, че в случая Sparkasse не е нарушила член 34 от ОРЗД. Според този орган на основание посочената разпоредба Sparkasse трябвало да приеме прогнозно решение. От гледна точка на правото в областта на надзора върху защитата на данните трябвало да се провери дали прогнозното решение е било явно неправилно. Sparkasse обаче е посочила, че действително е осъществен достъп, но няма доказателства, че служителката, осъществила достъпа, е предала данните на трети лица или ги е използвала в ущърб на TR. Следователно нямало вероятност от висок риск. Освен това от Sparkasse било изискано вече да съхранява регистрите на достъп за по-дълъг период. Според HBDI не бил необходим принципен контрол върху всеки достъп, тъй като по принцип може да се предоставят широки права за достъп, ако се гарантира, че всеки потребител е инструктиран при какви условия до кои данни може да има достъп.
16. TR обжалва решението от 3 септември 2020 г. пред запитващата юрисдикция Verwaltungsgericht Wiesbaden (Административен съд Висбаден) като иска от него да задължи HBDI да предприеме действия срещу Sparkasse.
17. В подкрепа на жалбата си TR изтъква, че HBDI не е разгледало жалбата му по административен ред в съответствие с изискванията на ОРЗД. Твърди, че имал право жалбата по административен ред да се разгледа и да бъде информиран за предприетите действия. HBDI било длъжно да установи фактическите обстоятелства за преценката на риска от страна на Sparkasse, без да е ограничено до такива мерки, които са изрично поискани, и трябвало да наложи имуществена санкция на Sparkasse. Според TR, при установяване на нарушение принципът на целесъобразност не се прилагал, така че HBDI не разполагало със свобода на преценка дали да реши да приеме действия или не, а най-много със свобода на избор какви мерки да предприеме.
18. Запитващата юрисдикция уточнява, че в настоящия случай HBDI, в качеството си на надзорен орган, е стигнало до извода, че действително е налице нарушение на разпоредби относно защитата на данните, но въпреки това не е необходима намеса съгласно член 58, параграф 2 от ОРЗД. Този подход обаче щял да законосъобразен само ако надзорният орган не е длъжен да се намеси дори да е установено нарушение на сигурността на данните. Ако се приеме становището на TR, че надзорният орган не разполага със свобода на преценка, това би имало за последица, че при установено нарушение винаги е налице право да се искат намеса и коригиращи действия, и надзорният орган трябва при всички случаи да предприеме мярка. При това положение в случай на отказ запитващата юрисдикция следвало да задължи надзорния орган да предприеме дадена мярка или набор от мерки.
19. Запитващата юрисдикция посочва, че тези доводи, които се защитават отчасти и в правната доктрина, се основават на факта, че целта на корективните правомощия по член 58, параграф 2 от ОРЗД е да се възстанови законосъобразното положение, когато правата на гражданите са нарушени чрез обработване на данни. Поради това тази разпоредба следвало да се счита за императивна норма, която обосновава право на гражданина да изисква действие на официален орган, когато дадено предприятие или орган е обработил неправомерно негови лични данни или е нарушил права по друг начин. Когато е установено нарушение на защитата на данните, надзорният орган бил длъжен да предприеме коригиращи действия като имал само свобода на избор кои от предвидените мерки да предприеме.
20. Запитващата юрисдикция обаче има съмнения относно това тълкуване и го счита за разширително. Тя по-скоро е склонна да приеме, че надзорният орган има свободата да не налага санкции, дори ако бъдат установени нарушения. Всъщност член 57, параграф 1, буква е) от ОРЗД предвиждал само, че надзорният орган разглежда жалби, разследва предмета на жалбата, доколкото това е целесъобразно, и информира жалбоподателя за напредъка и резултатите от разследването в разумен срок. От това следвало, че надзорният орган имал задължение за внимателно разглеждане по същество и за разглеждане във всеки отделен случай, но не и че винаги и без изключение е необходима намеса, когато бъде установено нарушение.
21. При тези обстоятелства Verwaltungsgericht Wiesbaden (Административен съд Висбаден) решава да спре производството и да отправи до Съда следния преюдициален въпрос:
„Трябва ли член 57, параграф 1, букви а) и е) и член 58, параграф 2, букви а)—й) във връзка с член 77, параграф 1 от [ОРЗД] да се тълкуват в смисъл, че ако надзорният орган установи обработване на данни, което нарушава правата на субекта на данни, надзорният орган винаги е длъжен да предприеме действия съгласно член 58, параграф 2 от [този регламент]?“.
IV. Производството пред Съда
22. Актът за преюдициално запитване от 10 декември 2021 г. постъпва в секретариата на Съда на 14 декември 2021 г.
23. Страните в главното производство, австрийското, португалското, румънското и норвежкото правителство, както и Европейската комисия представят писмени становища в предвидения в член 23 от Статута на Съда на Европейския съюз срок.
24. На общото събрание от 16 януари 2024 г. Съдът решава да не провежда съдебно заседание за изслушване на устните състезания.
V. Правен анализ
А. Предварителни бележки
25. След влизането в сила на ОРЗД много структури е трябвало да въведат редица мерки, за да се съобразят с новата правна уредба относно обработването на лични данни. Ако структурите не спазват тези мерки, те подлежат на повече или по-малко тежки санкции в зависимост от тежестта на нарушението. Административните наказания „глоба“ или „имуществена санкция“ са в основата на режима на прилагане, въведен с ОРЗД. Те са ефективен елемент от инструментариума, с който разполагат надзорните органи, за да осигурят спазването на правната уредба, наред с другите корективни мерки, предвидени в член 58, параграф 2 от ОРЗД. Тъй като този регламент разрешава надзорните органи да налагат понякога много високи глоби или имуществени санкции, изглежда целесъобразно да се уточни в интерес на правната сигурност какви обстоятелства обосновават използването на тази корективна мярка. Следователно настоящото заключение следва да се разбира като принос към тази цел.
26. Заключението по настоящото дело започва, така да се каже, там, където свършва заключението ми по съединени дела C‑26/22 и C‑64/22 (SCHUFA Holding) (наричани по-нататък „делата SCHUFA“)(3). Докато по тези дела обясних какви са задълженията на надзорния орган при разглеждането на жалба, подадена на основание член 77 от ОРЗД, по настоящото дело ще разгледам неговите задължения при установяването на нарушение на сигурността на личните данни, както и корективните му правомощия, по-конкретно налагането на административни наказания „глоба“ или „имуществена санкция“. По-нататък ще разгледам въпроса дали ОРЗД предвижда задължение за надзорния орган да налага такова наказание във всички случаи или поне когато жалбоподателят изрично изисква това. Въз основа на обобщение на моя анализ, ще отговоря на поставения от запитващата юрисдикция въпрос относно възможността надзорният орган да се откаже от приемането на корективни мерки.
Б. По допустимостта на преюдициалното запитване
27. Преди да се разгледат всички тези аспекти, следва да се разгледа доводът на TR за недопустимост на преюдициалното запитване. TR изтъква по-конкретно, че за решаването на спора в главното производство не е необходим отговор на поставения въпрос. Единствената цел на жалбата му била запитващата юрисдикция да задължи HBDI да се произнесе по оплакванията, изложени в жалбата по административен ред, с която е сезиранo, а не да задължи HBDI да се използва правомощията, предоставени му с член 58, параграф 2 от ОРЗД.
28. В това отношение следва да се припомни, че в рамките на сътрудничеството между Съда и националните юрисдикции, въведено с член 267 ДФЕС, само националният съд, който е сезиран със спора и трябва да поеме отговорността за последващото му съдебно решаване, може да прецени — предвид особеностите на делото — както необходимостта от преюдициално решение, за да може да се произнесе, така и релевантността на въпросите, които поставя на Съда. Следователно, след като отправените въпроси се отнасят до тълкуването на правото на Съюза, Съдът по принцип е длъжен да се произнесе(4).
29. Следователно въпросите, които са свързани с тълкуването на правото на Съюза и са поставени от националния съд в нормативната и фактическа рамка, която той определя съгласно своите правомощия и проверката на чиято точност не е задача на Съда, се ползват с презумпция за релевантност. Съдът може да откаже да се произнесе по отправено от национална юрисдикция преюдициално запитване само ако е очевидно, че исканото тълкуване на правото на Съюза няма никаква връзка с действителността или с предмета на спора в главното производство, когато проблемът е от хипотетично естество или още когато Съдът не разполага с необходимите данни от фактическа и правна страна, за да бъде полезен с отговора на поставените му въпроси(5).
30. В конкретния случай, като излага ясно причините, поради които има съмнения относно тълкуването на посочените в преюдициалния въпрос разпоредби от правото на Съюза, запитващата юрисдикция уточнява, че отговорът на този въпрос е определящ за решаването на спора в главното производство, тъй като TR е поискал от HBDI да предприеме действия срещу Sparkasse. Както е видно от изложението на мотивите, съдържащо се в преюдициалното запитване, TR изтъква, че имал „право“ да изиска такава намеса. По-конкретно, според TR „HBDI трябвало да наложи имуществена санкция на Sparkasse“. Именно в този контекст запитващата юрисдикция се позовава на направените от TR изчисления, за да определи размера на имуществената санкция, която следва да бъде наложена.
31. Цялата тази информация, предоставена от самата запитваща юрисдикция, ясно противоречи на изтъкнатото от TR относно твърдяната недопустимост на преюдициалното запитване. С оглед на тези обстоятелства, според мен няма никакво съмнение, че е необходим отговор на поставеният от запитващата юрисдикция въпрос за решаването на спора. Всъщност от съществено значение е да се определи обхватът на правомощията на надзорния орган, както и на задълженията му спрямо жалбоподателя. Ето защо следва да се приеме, че преюдициалното запитване е допустимо.
В. Анализ на преюдициалния въпрос
32. Що се отнася до съществото на спора, преюдициалният въпрос има за цел да се определи по същество какви са задълженията на надзорния орган при установяване на нарушение на сигурността на личните данни. Подобна хипотеза обикновено предполага, че въпросното нарушение е установено в рамките на разследване, образувано по жалба по административен ред.
33. Изявленията на запитващата юрисдикция разкриват някои неточности по отношение на задълженията, които ОРЗД налага на надзорния орган при разглеждането на жалба по административен ред, което според мен се обяснява с факта, че преюдициалното запитване е отправено преди постановяването на решение по съединени дела SCHUFA(6), в което Съдът установява редица важни принципи, уреждащи процедурата по подаване на жалби. Следователно може разумно да се предположи, че запитващата юрисдикция не е имала възможност да се запознае с тази съдебна практика.
34. С цел да се представи възможно най-пълно правната уредба, свързана с режима за надзор, установен с ОРЗД, и за да се даде полезен отговор на запитващата юрисдикция, считам за необходимо да припомня, на първо място, кои са принципите, приложими към процедурата по подаване на жалби(7), и да обясня на второ място, как следва да процедира надзорният орган, когато установи нарушение на сигурността на личните данни(8).
1. По задълженията на надзорния орган при разглеждането на жалба по административен ред
35. Както отбелязва Съдът в решение по дело SCHUFA, в съответствие с член 8, параграф 3 от Хартата, член 51, параграф 1 и член 57, параграф 1, буква а) от ОРЗД националните надзорни органи отговарят за контрола за спазването на нормите на Съюза относно защитата на физическите лица във връзка с обработването на лични данни(9).
36. По-специално, по силата на член 57, параграф 1, буква е) от ОРЗД всеки надзорен орган е длъжен на своята територия да разглежда жалбите, които всяко лице има право да подаде в съответствие с член 77, параграф 1 от този регламент, когато счита, че обработване на свързани с него лични данни представлява нарушение на посочения регламент, и да разглежда предмета им, доколкото това е необходимо(10).
37. Надзорният орган трябва да разгледа такава жалба с цялата дължима грижа. Съдът отбелязва също така, че за целите на обработването на подадените жалби член 58, параграф 1 от ОРЗД предоставя на всеки надзорен орган важни правомощия за разследване(11).
38. В този контекст следва да се отбележи, че Съдът споделя тълкуването, което защитих в заключението си по дело SCHUFA, че процедурата по подаване на жалби, която не е сходна с тази на петиция, е замислена като механизъм, който да може да защити ефикасно правата и интересите на съответните лица(12).
39. Освен това, следва да се отбележи, че Съдът споделя и моето тълкуване на член 78, параграф 1 от ОРЗД, като приема, че решението по жалба, прието от надзорен орган, подлежи на пълен съдебен контрол(13).
2. По задълженията на надзорния орган при установяване на нарушение на сигурността на личните данни
40. Когато надзорният орган установи нарушение на сигурността на личните данни при разглеждането на жалба, възниква въпросът как следва той да процедира. Както ще обясня по-нататък, с тази констатация най-напред се установява задължение за надзорния орган да предприеме действия в интерес на принципа на законосъобразност. Най-общо казано, става въпрос за определяне на най-подходящата(ите) корективна(и) мярка или мерки за отстраняване на нарушението(14). Това тълкуване ми се струва разумно, като се има предвид, че член 57, параграф 1, буква а) от ОРЗД възлага на надзорния орган задачата да „наблюдава и осигурява прилагането на […] регламент[а]“. Би било несъвместимо с това оправомощаване надзорният орган да има възможност просто да пренебрегне установеното нарушение(15).
41. Освен това правомощията за разследване, с които разполага надзорният орган по силата на член 58, параграф 1 от ОРЗД, не биха имали голяма стойност, ако надзорният орган бъде принуден да се ограничи до провеждането на разследване, въпреки че е установено нарушение на сигурността на личните данни. Всъщност изпълнението на правото на Съюза в областта на защитата на личните данни е съществен елемент от понятието „контрол“, съдържащо се в член 16, параграф 2 ДФЕС и в член 8, параграф 3 от Хартата(16). В този контекст не трябва да се забравя, че надзорният орган действа и в интерес на лицето или субекта, чиито права са били нарушени. В това отношение следва да се отбележи, че член 57, параграф 1, буква е) и член 77, параграф 2 от ОРЗД налагат определени задължения по отношение на жалбоподателя, а именно да „го информира за напредъка и резултатите от разследването“.
42. Последното изречение предполага, че надзорният орган трябва да докладва и за мерките, приети във връзка с установеното от него нарушение на сигурността на личните данни. Очевидно е, че от процедурата по подаване на жалби не би имало никаква полза, ако надзорният орган може да остане пасивен при наличието на противоречащо на правото на Съюза правно положение. По тази причина, за да се предостави на надзорния орган ефективно средство за справяне с този вид нарушения, член 58, параграф 2 от ОРЗД предвижда каталог от корективни мерки, степенувани според интензивността на намесата. Задължението за предприемане на действия във всички случаи, независимо от тежестта на нарушението, означава, че надзорният орган трябва да използва този каталог от корективни мерки, за да възстанови положението, съответстващо на правото на Съюза(17).
3. По правомощието на надзорния орган да приема корективни мерки
43. При това положение следва да се уточни, че въпросът дали надзорният орган трябва да се намеси в случай на нарушение на сигурността на личните данни трябва да бъде ясно разграничен от въпроса как той трябва да действа конкретно. Що се отнася до последния въпрос, множество индиции позволяват да се заключи, че надзорният орган разполага със свобода на действие, която обаче трябва да се упражнява в съответствие с целите на ОРЗД и в определените в него граници. Макар вече да изложих няколко довода в подкрепа на такова тълкуване по делата SCHUFA(18), все пак изглежда необходимо този въпрос да се разгледа задълбочено в настоящото заключение.
44. В самото начало следва да се отбележи, че съгласно член 58, параграф 2 от ОРЗД надзорният орган „има“ всички корективни правомощия, изброени в тази разпоредба, което означава наличието на възможност, както правилно отбелязва запитващата юрисдикция. Впрочем тази конотация се среща в текстовете на всички езици, които разгледах в рамките на моя анализ(19).
45. Член 58, параграф 2 от ОРЗД трябва да се тълкува в светлината на съображение 129 от този регламент, съгласно което „всяка мярка [следва] да бъде подходяща, необходима и пропорционална с оглед на осигуряването на съответствие с настоящия регламент, като се отчитат обстоятелствата при всеки конкретен случай“ (курсивът е мой). С други думи, „правомощието“, предоставено на надзорния орган да използва посочения в тази разпоредба каталог от корективни мерки, е обвързано с редица условия, по-специално приетата от този орган мярка да е „подходяща“. Тълкувам това неопределено правно понятие, което предоставя на органа свобода на действие в смисъл, че избраната мярка трябва да може, поради своите свойства и начин на действие, да възстанови положението, съответстващо на правото на Съюза(20).
46. Това тълкуване е в съответствие с практиката на Съда, който постановява, че когато надзорният орган установи, че обработването на лични данни представлява нарушение на ОРЗД, „той е длъжен да реагира по подходящ начин, за да отстрани констатирания недостатък“(21). Следователно, както посочва Комисията, задължението, което обвързва надзорния орган, е свързано преди всичко с резултата, който трябва да се постигне, т.е. да се отстрани установеното нарушение, като се приеме „подходяща“ за тази цел мярка. Освен това следва да се отбележи факта, че решението относно мярката, която трябва да се предприеме, зависи от конкретните обстоятелства във всеки отделен случай, както ясно следва от цитираното по-горе съображение 129 от ОРЗД. Следователно решенията, взети от надзорния орган в рамките на неговата административна практика, могат да се различават значително в отделните случаи в зависимост от ситуацията.
47. Доколкото в член 58, параграф 2 от ОРЗД само се посочва, че всеки надзорен орган „има“ всички от изброените в тази разпоредба корективни правомощия, надзорният орган разполага със свобода на действие, тъй като по принцип е свободен да избере измежду тези корективни мерки, за да отстрани установеното нарушение. Както подчертава Съдът в постановеното решение по дело C‑311/18 (Facebook Ireland и Schrems), „изборът на подходящото и необходимо средство е от компетентността на надзорния орган“, който трябва да направи този избор като вземе предвид всички обстоятелства по конкретния случай(22).
48. Според мен признаването на право на преценка предполага и правомощието да не се предприема нито една от корективните мерки, предвидени в член 58, параграф 2 от ОРЗД, когато такъв подход е обоснован от специфичните обстоятелства в конкретния случай. Всъщност, като се има предвид, че използването на каталога от корективни мерки е обвързано и с условието разглежданата мярка да е „необходима“, за да се гарантира спазването на този регламент, не може да се изключи възможността конкретна намеса от страна на надзорния орган да не отговаря на това условие, например ако проблемът междувременно е бил разрешен или преодолян и нарушението е престанало да съществува. Очевидно е, че при такива обстоятелства намесата на надзорния орган би била лишена от смисъл.
49. По същия начин, както правилно посочва португалското правителство, използването на корективни мерки може вече да не е обосновано, ако степента на укоримост на поведението на администратора или обработващия лични данни е очевидно ниска, или ако обстоятелствата по делото сами по себе си са смекчаващи, по-специално защото е налице известно споделяне на отговорност с жалбоподателя. Това обаче предполага, че надзорният орган има възможност да определи праг, под който намесата не се счита за „необходима“ по смисъла на ОРЗД.
50. В този контекст си позволявам да привлека вниманието върху съображение 141 от ОРЗД, в което изрично се посочва възможността надзорният орган да реши да не предприема действия в случаите, в които счита, че това не е „необходимо“, за да се гарантира защитата на правата на субекта на данни („не предприема действия, когато такива са необходими“) (курсивът е мой). В това съображение се уточнява, че решението на надзорния орган подлежи на съдебен контрол и във случай, когато жалбоподателят не споделя преценката на надзорния орган относно „необходимостта“ да предприеме действия, в допълнение към останалите изброени в него случаи, а именно когато правата му по този регламент са нарушени или когато надзорният орган не предприема действия по подадена жалба, изцяло или частично отхвърля или оставя без разглеждане жалба.
51. Правото на преценка, признато на надзорния орган по силата на член 58, параграф 2 от ОРЗД, предполага, че е възможно и отстраняване на леките нарушения чрез други мерки, предприети от самия администратор. Както е видно от обстоятелствата по настоящото дело, корективните мерки, които трябва да бъдат предприети „самостоятелно“ от отговорните предприятия, могат да се състоят в приемането на дисциплинарни мерки срещу служителите, извършили нарушения. При обстоятелства, при които отговорността за нарушението е била призната и е било гарантирано, че няма да се стигне до ново нарушение на сигурността на данните, налагането на допълнителни корективни мерки от страна на надзорния орган може да изглежда ненужно.
52. При определени обстоятелства може дори да се окаже контрапродуктивно да се използват корективни правомощия срещу администратор, когато това не е нито подходящо, нито необходимо. Ако надзорният орган е задължен да използва корективните правомощия, предвидени в член 58, параграф 2 от ОРЗД, във всеки случай на нарушение, това би довело до намаляване на наличните ресурси за наблюдение на други случаи и задачи, които заслужават повече внимание от гледна точка на защитата на данните. Поради това считам, че използването на „самостоятелни“ мерки, предприети от самия администратор, би позволило на надзорния орган да се съсредоточи върху тежките случаи, които заслужават приоритет, като същевременно се гарантира непрекъсната, но децентрализирана борба с нарушенията на сигурността на личните данни, а именно чрез частично делегиране на неговите задачи.
53. Ако надзорният орган реши да не прилага корективните мерки, посочени в член 58, параграф 2 от ОРЗД, като същевременно отдава предпочитание на използването на „самостоятелни“ мерки, предприети от администратора, все пак ми се струва необходимо, че трябва да бъдат спазени някои правни изисквания. На първо място, надзорният орган би следвало да даде изричното си съгласие за такава мярка, за да се избегне всякакво заобикаляне на режима на надзор, установен с ОРЗД. На второ място, това съгласие би следвало да бъде предшествано от задълбочена проверка на положението с оглед на условията, посочени в съображение 129 от ОРЗД, за да не се освобождава надзорният орган от отговорността му да следи за спазването на този регламент. На трето място, в споразумението със субекта, който трябва да изпълни „самостоятелната“ мярка, би следвало да се предвиди правото на надзорния орган да се намеси, ако указанията му не са спазени. Ако Съдът следва това тълкуване и приеме, че такива „самостоятелни“ мерки по принцип са в съответствие с ОРЗД, считам, че Съдът би следвало също така да наблегне на необходимостта от спазване на горепосочените изисквания в интерес на съгласуваността на системата за надзор.
54. Тъй като член 58, параграф 2 от ОРЗД признава на надзорния орган право на преценка по отношение на избора на „подходящата“ корективна мярка в конкретния случай, логично е да се изключи всякакво право на жалбоподателя да изисква приемането на определена мярка. Всъщност, макар жалбоподателят да разполага с определени права по отношение на надзорния орган в контекста на тази процедура, и по-специално с правото да бъде информиран за напредъка и резултатите от разследването в разумен срок, те все пак не включват правото да се изисква приемането на конкретна мярка.
55. Такова право не може да се изведе и от факта, че жалбоподателят има право на ефективна съдебна защита срещу надзорен орган по силата на член 78 от ОРЗД, тъй като основното задължение на този орган спрямо жалбоподателя в рамките на процедурата по подаване на жалби се състои в това да мотивира достатъчно точно и подробно решението си дали да предприеме действия или не в конкретния случай, като вземе предвид констатациите, направени в хода на извършеното от органа разследване.
56. Освен това следва да се отбележи, че съгласно член 78, параграф 2 от ОРЗД право на съдебна защита е налице, когато компетентният надзорен орган не e разгледал жалбата или не е информирал субекта на данните в срок от три месеца за напредъка в разглеждането на жалбата, подадена съгласно член 77 от този регламент, или за резултата от нея. Трябва обаче да се отбележи, че нито едно от посочените основания не сочи, че субектът на данни разполага с каквото и да било субективно право да поиска приемането на определена мярка в рамките на съдебна защита.
57. Същото се отнася и за посочената в съображение 141 от ОРЗД възможност да се оспори чрез правни средства за защита преценката на надзорния орган относно „необходимостта“ да предприеме действия за защита на правата на субекта на данни. Дори ако „необходимостта“ от предприемане на действие в конкретен случай в крайна сметка трябва да бъде установена от компетентната юрисдикция, това не означава непременно, че определена мярка трябва да бъде приета от надзорния орган. Последният по-скоро би бил длъжен да упражни правото си на преценка, ако е необходимо, като вземе предвид направената от тази юрисдикция преценка.
58. При това положение следва да се уточни, че е възможно също надзорният орган в качеството си на административен орган да бъде принуден да приеме конкретна мярка поради особените обстоятелства на случая, по-специално когато е налице сериозна опасност от засягане на основните права на субекта на данните. Споменах именно този сценарий в заключението ми по дело SCHUFA(23). Така, настоящото преюдициално запитване дава възможност да се развие този въпрос.
59. В това отношение най-напред следва да се припомни решението, постановено по дело C‑311/18 (Facebook Ireland и Schrems), в което Съдът оставя впечатлението, че такава хипотеза действително може да съществува. По-конкретно Съдът е постановил, че надзорният орган е длъжен при необходимост да вземе някои от изброените в член 58, параграф 2 от ОРЗД мерки, и то по-специално когато счита, че изискваната от правото на Съюза защита не може да бъде гарантирана с други средства. Следователно в това отношение правото на преценка на надзорния орган се свежда до някои или дори евентуално до една от мерките, посочени в тази разпоредба(24).
60. Както правилно посочва австрийското правителство, може да има множество сходни случаи, които изискват приемането на определена корективна мярка, като например когато надзорният орган установи в контекста на процедура по подаване на жалби, че е налице задължение за заличаване и че администраторът все още не е заличил данните. При описаните обстоятелства надзорният орган във всички случаи е длъжен съгласно член 58, параграф 2, буква ж) от ОРЗД да разпореди заличаването.
61. Примерите, посочени в предходните точки, показват, че не може да се изключи възможността в зависимост от специфичните обстоятелства на конкретния случай възстановяването на положение, съответстващо на правото на Съюза, да може бъде постигнато само чрез приемането на определена корективна мярка. По-конкретно ми се струва, че правото на преценка на надзорния орган би могло да се ограничи до приемането на единствената подходяща мярка, за да се защитят правата на субекта на данни, при обстоятелства, при които в противен случай би съществувал риск от тежко нарушение на правата на това лице.
62. Всяко друго тълкуване според мен би било несъвместимо със задължението да се гарантира спазването на основните права на Хартата, с които са обвързани органите на държавите членки, когато прилагат правото на Съюза, в съответствие с член 51, параграф 1 от Хартата. Това задължение имат и надзорните органи, както следва от член 58, параграф 4 от ОРЗД(25). Погледнато от този аспект, е разумно да се поддържа тезата, че правото на Съюза предоставя на субекта на данни субективно право да изисква от органа да приеме въпросната мярка. Държа обаче да подчертая, че в настоящия случай не виждам никакви индиции, че условията за такова ограничаване на правото на преценка на надзорния орган са изпълнени.
63. В обобщение следва да се приеме, че надзорен орган, сезиран с жалба по член 77 от ОРЗД, е длъжен, когато установи, че е налице нарушение на правата на субекта на данни, да реагира по подходящ начин, за да отстрани установените и продължаващи недостатъци и да гарантира защитата на правата на субекта на данни. Когато надзорният орган предприема действия в това отношение, той е длъжен да избере измежду правомощията, посочени в член 58, параграф 2 от този регламент, подходящата, необходима и пропорционална мярка. Това право на преценка при избора на средства е съответно ограничено, когато изискваната защита може да бъде осигурена само чрез предприемане на конкретни мерки.
4. По липсата на задължение на надзорния орган да налага административни наказания „глоба“ или „имуществена санкция“ във всички случаи
64. След това общо изложение относно корективните правомощия на надзорния орган, следва да се разгледа въпросът дали надзорният орган е длъжен да налага административни наказания „глоба“ или „имуществена санкция“ във всички случаи. Въпреки че някои аспекти на този въпрос могат да бъдат изяснени въз основа на предходните съображения, според мен са необходими някои допълнителни разяснения. Всъщност, макар законодателят на Съюза да е включил административните наказания „глоба“ или „имуществена санкция“ сред „корективните мерки“ по член 58, параграф 2 от ОРЗД, това не променя факта, че те имат някои особени характеристики в сравнение с другите мерки. Ето защо тази част от анализа ще се съсредоточи върху специфичните разпоредби, посочени в член 58, параграф 2, буква и) и член 83 от този регламент.
65. Както Съдът неотдавна припомни, административното наказание „глоба“ или „имуществена санкция“ е част от системата от санкции, въведена с ОРЗД, което мотивира администраторите и обработващите лични данни да спазват този регламент. Чрез възпиращия си ефект административното наказание „глоба“ или „имуществена санкция“ спомага за засилване на защитата на физическите лица във връзка с обработването на лични данни и представлява следователно ключов елемент за осигуряване на спазването на правата на тези лица, съответстващ на целта на посочения регламент за гарантиране на високо равнище на защита на такива лица във връзка с обработването на лични данни(26).
66. Член 83 от ОРЗД предвижда система на две нива, в която изрично се посочва, че някои нарушения са по-тежки от други. Първото ниво включва нарушение на членовете, уреждащи отговорностите на различни участници (администратор, обработващ лични данни, сертифициращи органи и др.). Второто ниво включва нарушения на личните права, защитени от този регламент, като например основните права, основните принципи на обработването на лични данни, правата на субектите на данни на информация, правилата за предаване и т.н. На двете нива трябва да се извършат две оценки: първо, за да се определи дали да се наложи глоба, респ. имуществена санкция и второ, за да се определи размерът на административното наказание „глоба“ или „имуществена санкция“. И при двете оценки надзорните органи трябва да разгледат всички отделни фактори, изброени в член 83, параграф 2 от посочения регламент. Заключенията, направени на първия етап, обаче могат да бъдат използвани на втория етап, свързан с размера на глобата или имуществената санкция, за да се избегне необходимостта от извършване на втора оценка въз основа на същите критерии(27).
67. След тези встъпителни разяснения по-нататък ще разгледам въпроса относно евентуалното задължение за налагане на административни наказания „глоба“ или „имуществена санкция“ във всички случаи. В това отношение най-напред следва да се отбележи, че съгласно член 58, параграф 2, буква и) от ОРЗД надзорният орган може да налага административно наказание „глоба“ или „имуществена санкция“ „в зависимост от особеностите на всеки отделен случай“. Тази разпоредба следва да се тълкува във връзка с член 83, параграф 2 от този регламент, който не само предвижда същото ограничение за прилагането на такава корективна мярка, но и предполага, че надзорният орган може дори да се въздържи да направи това („когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“) (курсивът е мой), ако обстоятелствата оправдават такъв подход. Тази формулировка — повече или по-малко сходна — се среща в текстовете на други езици(28). Накратко, в самия текст на член 83, параграф 2 от ОРЗД се посочва, че налагането на административно наказание „глоба“ или „имуществена санкция“ не е задължително във всички случаи.
68. Освен това следва да се отбележи, че тази разпоредба задължава надзорния орган да вземе предвид във всеки отделен случай редица елементи, когато взема решение дали да наложи административно наказание „глоба“ или „имуществена санкция“. По същество става въпрос за отегчаващи и смекчаващи обстоятелства, които оказват влияние върху решението на надзорния орган, като например естеството, тежестта и продължителността на нарушението, но също така и за обстоятелства, свързани с поведението на администратора, като например дали нарушението е извършено умишлено или по небрежност(29).
69. В този контекст съображение 148, второ и трето изречение от ОРЗД ми се струват релевантни за целите на тълкуването на член 83, параграф 2 от този регламент, тъй като дават указания относно характеристиките, които следва да се вземат предвид при вземането на решение. С това съображение се въвежда понятието „леки нарушения“, което има сериозни последици за административната практика на надзорния орган(30). Наред с другото, в него се посочва, че „[п]ри леки нарушения или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, вместо глоба може да бъде отсъдено порицание“ (курсивът е мой).
70. Според мен от това указание може да се направи изводът, че законодателят на Съюза е съзнавал факта, че административното наказание „глоба“ или „имуществена санкция“ представлява особено строга корективна мярка, която не трябва да се прилага във всички случаи, за да не бъде ефективността ѝ намалена, а само когато обстоятелствата на конкретния случай го изискват. Всъщност в съображение 148 от ОРЗД се посочва принципът на пропорционалност, който надзорните органи следва да спазват при прилагането на този регламент в специфичния контекст на санкциите, включително административните наказания „глоба“ или „имуществена санкция“. Както вече отбелязах в анализа си, този принцип е отразен в съображение 129 от посочения регламент, което се отнася до приемането на корективни мерки като цяло(31). Следователно системата от санкции, която законодателят е възнамерявал да предвиди, е гъвкава и диференцирана(32).
71. От тълкуването на посочения член 83, параграф 2 във връзка със съображение 148 от ОРЗД следва, че дори когато е установено нарушение, преценката на критериите, посочени в тази разпоредба, може да накара надзорния орган да приеме, че при конкретните обстоятелства на случая нарушението не поражда значителен риск за правата на субектите на данни, например и не засяга същността на въпросното задължение. В такива случаи глобата — понякога, но не винаги — се заменя с порицание(33).
72. Важно е обаче да се уточни, че това съображение 148 не задължава надзорния орган служебно да замени глобата с порицание в случай на леки нарушения, а му дава възможност да направи това след конкретна преценка на всички обстоятелства по случая. Накрая, от посоченото съображение 148 следва, че надзорният орган може да не наложи глоба, въпреки че използването на такава корективна мярка е a priori необходимо въз основа на извършената от него преценка, ако тази глоба представлява несъразмерна тежест за физическо лице(34).
73. Така специфичните характеристики на всеки отделен случай, посочени в член 83, параграф 2 от ОРЗД, определят в крайна сметка дали следва да се наложи глоба или имуществена санкция и ако това е така, какъв да бъде нейният размер. Всички тези индиции подкрепят становището ми, че това решение в крайна сметка представлява решение на надзорния орган, взето при упражняване на оперативна самостоятелност(35). Последният отговаря за упражняването, съзнателно и в съответствие с изискванията на ОРЗД, на предоставената му право на преценка. Ограниченията на това право на преценка произтичат от общите принципи на правото на Съюза и правото на държавите членки, и по-специално от принципа на равно третиране. От това следва, че е необходимо да се развие административна практика за налагане на глоби или имуществени санкции, която да третира сходни случаи по сходен начин.
74. Бих искал да отбележа също, че в случай на кумулативно налагане на имуществени санкции с наказателноправен характер съществува дори риск от нарушаване на принципа „ne bis in idem“, така както го тълкува Съдът и както следва от съображение 149 от ОРЗД. Този принцип обаче представлява основно право, защитено с член 50 от Хартата, и може да бъде ограничавано само при строго определени условия, посочени в член 52 от Хартата. С други думи, пречки от правно естество също могат да възпрепятстват налагането на административни наказания „глоба“ или „имуществена санкция“.
5. По липсата на задължение на надзорния орган да налага административни наказания „глоба“ или „имуществена санкция“, когато жалбоподателят изрично изисква това
75. Последният аспект, който трябва да се разгледа, е дали надзорният орган е длъжен да налага административни наказания „глоба“ или „имуществена санкция“, когато жалбоподателят изрично изисква това. Както отбелязах при разглеждането на допустимостта на преюдициалното запитване, от преписката по делото е видно, че TR е поискал от HBDI да предприеме действия срещу Sparkasse и да ѝ наложи административно наказание „имуществена санкция“. В подкрепа на искането си TR е направил изчисления, за да определи размера на имуществената санкция, която следва да бъде наложена(36). Това искане очевидно се основава на виждането, че жалбоподателят има субективно право по отношение на надзорния орган да поиска приемането на конкретна мярка. Въпреки това, както ще обясня по-нататък, считам, че тази позиция няма каквото и да е правно основание.
76. Първо, анализът ми показва, че надзорният орган разполага със право на преценка да избере подходящата мярка във всеки отделен случай. Освен при особени обстоятелства, които могат да доведат до ограничаване на това право на преценка, като например тежестта или продължаващото въздействие на нарушението на сигурността на лични данни — каквито според мен в случая не са налице — надзорният орган запазва това право на преценка. Предвид факта, че административните наказания „глоба“ или „имуществена санкция“ са сред корективните мерки, които надзорният орган може да приеме съгласно член 58, параграф 2 от ОРЗД, е логично да се заключи, че това право на преценка обхваща и тях. От това следва, че не съществува никакво задължение за надзорния орган да предприеме действия в интерес на жалбоподателя с приемането на определена корективна мярка.
77. Второ, дори в хипотезата, при която обстоятелствата по делото са толкова различни, че да обосноват приемането на конкретна корективна мярка, струва ми се, че не би могло основателно да се твърди, че е необходимо налагането на административно наказание „глоба“ или „имуществена санкция“. Подобно на австрийското правителство считам, че следва да се вземат предвид целите, преследвани с различните корективни мерки, изброени в член 58, параграф 2 от ОРЗД, и по-специално административното наказание „глоба“ или „имуществена санкция“. По-конкретно, струва ми се, че правното му естество не допуска да се признае субективно право на субекта на данни в посочения по-горе смисъл, тъй като една от целите на тази мярка е санкционирането на поведение, което се счита за противоречащо на правото на Съюза. Считам, че поради наказателната си цел, поне в някои случаи(37), и предвид високата степен на тежест, която може да има, административното наказание „глоба“ или „имуществена санкция“ може да има наказателноправен характер(38). Следва обаче да се припомни, че правото да налага наказания („ius puniendi“) принадлежи изключително на държавата и нейните органи.
78. В този контекст следва да се отбележи, че член 83, параграф 1 от ОРЗД изисква, наред с другото, глобите или имуществените санкции да бъдат „ефективни, пропорционални и възпиращи“ във всеки конкретен случай. Преценката дали предвидената глоба или имуществена санкция отговаря на тези условия в конкретния случай се извършва от надзорния орган, който действа на своя отговорност. Той следва да реши дали в конкретен случай е необходимо да се използва инструментът за налагане на административно наказание „глоба“ или „имуществена санкция“. За тази цел законодателят на Съюза му предоставя подробна правна рамка. Така, член 83 от ОРЗД установява общите условия за налагане на такива глоби или имуществени санкции, които се допълват от Насоките относно прилагането и определянето на административните наказания „глоба“ или „имуществена санкция“ за целите на ОРЗД, изготвени от ЕНОЗД, в съответствие с член 70, параграф 1, буква к) от този регламент. В това отношение следва да се отбележи, че нито едно от тези правила и насоки не позволява да се заключи, че жалбоподателят, чиито права са били нарушени, се ползва със специален правен статут, който му позволява да поиска от надзорния орган да наложи административно наказание „глоба“ или „имуществена санкция“ на нарушителя.
79. Действително някои критерии, посочени в член 83, параграф 2 от ОРЗД — като например степента на претърпените вреди — предполагат, че надзорният орган трябва да вземе предвид и положението на субекта на данни при вземането на решение. Сами по себе си обаче тези критерии не са достатъчна индиция, за да се установи наличието на субективно право да се иска налагането на глоба или имуществена санкция. Както следва от тълкуването на тази разпоредба в светлината на съображение 75 от този регламент, целта на посочените критерии е да предоставят на надзорния орган полезна информация, която да му позволи да оцени естеството, тежестта и продължителността на нарушението и да избере подходящата корективна мярка(39). Следователно в зависимост от конкретния случай надзорният орган може да предвиди различни корективни мерки, а не само административно наказание „глоба“ или „имуществена санкция“, без обаче субектът на данните да може да изисква приемането на определена мярка. Единствено надзорният орган следва да реши дали трябва да приеме мярка с цел възстановяване на спазването на правилата или санкциониране на неправомерно поведение.
80. Трето, не може да се направи различно заключение от факта, че законодателят на Съюза е определил ролята на надзорния орган в системата от глоби и имуществени санкции, създадена с ОРЗД, въз основа на правомощията, които Комисията има в областта на конкурентното право(40). В това отношение следва да се припомни, че правомощието на тази институция да налага глоби на предприятия, които извършват нарушения по смисъла на членове 101 и 102 от ДФЕС, е едно от средствата, които са ѝ предоставени с цел изпълнение на надзорните функции, възложени ѝ от правото на Съюза(41). Следва обаче да се отбележи, че Комисията разполага с право на преценка, чието упражняване е ограничено само от спазването на общите принципи на правото на Съюза, включително принципа на пропорционалност и принципа на равно третиране(42). Освен това следва да се отбележи, че Регламент (ЕО) № 1/2003 относно изпълнението на правилата за конкуренция(43), не предвижда никакво право да се иска приемането на глоби съгласно член 23 за жалбоподателите или третите лица, чиито интереси могат да бъдат засегнати от решение в рамките на административна процедура, започната от Комисията(44), като съгласно член 27 от този регламент Комисията е длъжна единствено да удовлетвори възможните искания за изслушване, подадени от същите преди приемането на санкция.
81. Въз основа на изложените съображения считам, че при настоящото състояние на развитието на правото на Съюза не е възможно да се заключи, че жалбоподателят, чиито права са били нарушени, има субективно право да иска налагането на административно наказание „глоба“ или „имуществена санкция“. Това не засяга възможността да предложи използването на такава корективна мярка, като представи доводи и доказателства в подкрепа на своята гледна точка. Въпреки това окончателното решение попада в обхвата на правото на преценка на надзорния орган.
Г. Обобщение на разглеждането на преюдициалния въпрос
82. От направения по-горе анализ следва, че надзорният орган е длъжен да предприеме действия, когато установи нарушение на сигурността на личните данни в рамките на разглеждането на жалба по административен ред. По-специално той е длъжен да определи най-подходящата корективна мярка или мерки за отстраняване на нарушението и за осигуряване на спазването на правата на субекта на данни. В това отношение ОРЗД изисква, като същевременно оставя определено право на преценка на надзорния орган, тези мерки да бъдат подходящи, необходими и пропорционални. При определени условия надзорният орган може да се откаже от мерките, посочени в член 58, параграф 2 от този регламент, в полза на „самостоятелни“ мерки, предприети от самия администратор. При всички положения субектът на данни няма право да изисква предприемането на определена мярка. Тези принципи се прилагат и към режима на административните наказания „глоба“ или „имуществена санкция“.
VI. Заключение
83. С оглед на изложените по-горе съображения предлагам на Съда да отговори на отправения от Verwaltungsgericht Wiesbaden (Административен съд Висбаден, Германия) преюдициален въпрос по следния начин:
Член 57, параграф 1, букви а) и е) и член 58, параграф 2, букви а)—й) във връзка с член 77, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните),
трябва да се тълкуват в смисъл, че
когато надзорният орган установи обработване на данни, което нарушава правата на субекта на данни, той е длъжен да предприеме действия съгласно член 58, параграф 2 от Регламент 2016/679, доколкото това е необходимо, за да се гарантира пълното спазване на този регламент. В това отношение той е длъжен да избере, като вземе предвид конкретните обстоятелства във всеки отделен случай, подходящото, необходимо и пропорционално средство, по-специално с цел отстраняване на нарушението и осигуряване спазването на правата на субекта на данни.