РЕШЕНИЕ НА СЪДА (първи състав)

26 септември 2024 година ( *1 )

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 57, параграф 1, букви a) и е) — Задачи на надзорния орган — Член 58, параграф 2 — Корективни правомощия — Административна глоба — Свобода на преценка на надзорния орган — Граници“

По дело C‑768/21

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Verwaltungsgericht Висбаден (Административен съд Висбаден, Германия) с акт от 10 декември 2021 г., постъпил в Съда на 14 декември 2021 г., в рамките на производство по дело

TR срещу

Land Hessen,

СЪДЪТ (първи състав),

състоящ се от: Aл. Арабаджиев, председател на състава, T. von Danwitz, P. G. Xuereb, A. Kumin (докладчик) и I. Ziemele, съдии,

генерален адвокат: P. Pikamäe,

секретар: A. Calot Escobar,

предвид изложеното в писмената фаза на производството,

като има предвид становищата, представени:

– за TR, от F. Wittmaack, Rechtsanwalt,

– за Land Hessen, от M. Kottmann и G. Ziegenhorn, Rechtsanwälte,

– за австрийското правителство, от J. Schmoll и M.‑T. Rappersberger, в качеството на представители,

– за португалското правителство, от P. Barros da Costa, J. Ramos и C. Vieira Guerra, в качеството на представители,

– за румънското правителство, от L.‑E. Baţagoi и E. Gane, в качеството на представители,

– за норвежкото правителство, от S.‑E. Jahr Dahl, L.‑M. Moen Jünge и M. Munthe-Kaas, в качеството на представители,

– за Европейската комисия, от A. Bouchagiar, M. Heller и H. Kranenborg, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 11 април 2024 г.,

постанови настоящото

Решение

1 Преюдициалното запитване се отнася до тълкуването на член 57, параграф 1, букви а) и е), член 58, параграф 2 и член 77, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“).

2 Запитването е отправено в рамките на спор между TR и Land Hessen (провинция Хесен, Германия), относно непредприемането от страна на Hessischer Beauftragte für Datenschutz und Informationsfreiheit (длъжностното лице за защита на данните и свобода на информацията на провинция Хесен, наричано по-нататък „HBDI“), на корективни мерки срещу Sparkasse X (Спестовна каса Х, наричана по-нататък „спестовната каса“).

Правна уредба

3 Съгласно съображения 6, 7, 10, 129 и 148 от ОРЗД:

„(6)

Бързото технологично развитие и глобализацията създадоха нови предизвикателства пред защитата на личните данни. Значително нарасна мащабът на обмена и събирането на лични данни. […]

(7) Тези промени изискват силна и по-съгласувана рамка за защита на данните в [Европейския съюз], подкрепена от силно правоприлагане, като се има предвид значението на изграждането на доверие, което да позволи на цифровата икономика да се развива на вътрешния пазар. […]

[…] (10)

За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в Съюза, нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. […]

[…] (129)

[…] Надзорните органи следва да упражняват правомощията си в съответствие с подходящите процедурни гаранции, определени в правото на Съюза и правото на държава членка, независимо, справедливо и в разумен срок. По-специално всяка мярка следва да бъде подходяща, необходима и пропорционална с оглед на осигуряването на съответствие с настоящия регламент, като се отчитат обстоятелствата при всеки конкретен случай, зачита се правото на всяко лице да бъде изслушано преди да бъде взета каквато и да е конкретна мярка, която би го засегнала неблагоприятно, и се избягват излишни разходи и прекалени неудобства за засегнатите лица. […]

[…] (148)

За да се укрепи прилагането на правилата на настоящия регламент, освен или вместо подходящи мерки, наложени от надзорния орган съгласно настоящия регламент, при нарушение на регламента следва да се налагат санкции, включително административни наказания „глоба“ или „имуществена санкция“. При леки нарушения или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, вместо глоба може да бъде отсъдено порицание. Следва обаче да се отдаде надлежно внимание на естеството, тежестта и продължителността на нарушението, умишления характер на нарушението, действията за смекчаване на последиците от претърпените вреди, степента на отговорност или евентуални предишни нарушения от подобен характер, начина, по който нарушението е станало известно на надзорния орган, спазването на мерките, наложени на администратора или на обработващия лични данни, придържането към кодекс на поведение и всякакви други утежняващи или смекчаващи фактори. […]“.

4 Член 5 от този регламент е формулиран по следния начин:

„1.Личните данни са:

а) обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б) събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; […] („ограничение на целите“);

в) подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

г) точни и при необходимост да бъдат поддържани в актуален вид; […] („точност“);

д) съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; […] („ограничение на съхранението“);

е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни […] („цялостност и поверителност“);

2.Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

5 Член 24, параграф 1 от посочения регламент предвижда:

„Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират“.

6 Член 33 от същия регламент гласи:

„1.В случай на нарушение на сигурността на личните данни администраторът, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни надзорния орган, компетентен в съответствие с член 55, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. […]

[…] 3.В уведомлението, посочено в параграф 1, се съдържа най-малко следното:

а) описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;

б) посочване на името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;

в) описание на евентуалните последици от нарушението на сигурността на личните данни;

г) описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

[…]“.

7 Член 34, параграф 1 от ОРЗД посочва:

„Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни“.

8 Глава VI от този регламент, която е озаглавена „Независими надзорни органи“, включва членове 51—59.

9 Член 51, параграф 1 от посочения регламент е формулиран по следния начин:

„Всяка държава членка осигурява един или повече независими публични органи, които са отговорни за наблюдението на прилагането на настоящия регламент, за да се защитят основните права и свободи на физическите лица във връзка с обработването и да се улесни свободното движение на личните данни в рамките на Съюза („надзорен орган“)“.

10 Член 57 от ОРЗД е озаглавен „Задачи“ и в параграф 1 предвижда:

„Без да се засягат останалите задачи, определени с настоящия регламент, на своята територия всеки надзорен орган:

а) наблюдава и осигурява прилагането на настоящия регламент;

[…] е) разглежда жалбите, подадени от субект на данни или от структура, организация или сдружение в съответствие с член 80, и разследва предмета на жалбата, доколкото това е целесъобразно, и информира жалбоподателя за напредъка и резултатите от разследването в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;

[…]“.

11 Член 58 от този регламент е озаглавен „Правомощия“ и в параграфи 1 и 2 предвижда:

„1.Всеки надзорен орган има всички от посочените по-долу правомощия за разследване:

а) да разпорежда на администратора и на обработващия лични данни и, когато е приложимо — на представителя на администратора или на обработващия лични данни, да предоставят всяка информация, която той поиска за изпълнението на своите задачи;

[…] 2.Всеки надзорен орган има всички от посочените по-долу корективни правомощия:

а) да отправя предупреждения до администратора или обработващия лични данни, когато има вероятност операции по обработване на данни, които те възнамеряват да извършат, да нарушат разпоредбите на настоящия регламент;

б) да отправя официално предупреждение до администратора или обработващия лични данни, когато операции по обработване на данни са нарушили разпоредбите на настоящия регламент;

в) да разпорежда на администратора или обработващия лични данни да изпълнят исканията на субекта на данни да упражнява правата си съгласно настоящия регламент;

г) да разпорежда на администратора или обработващия лични данни да съобразят операциите по обработване на данни с разпоредбите на настоящия регламент и, ако е целесъобразно, това да стане по указан начин и в определен срок;

д) да разпорежда на администратора да съобщава на субекта на данните за нарушение на сигурността на личните данни;

е) да налага временно или окончателно ограничаване, в т.ч. забрана, на обработването на данни;

[…] и) да налага административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, в допълнение към мерките, посочени в настоящия параграф, или вместо тях, в зависимост от особеностите на всеки отделен случай;

[…]“.

12 Член 77 от посочения регламент е формулиран по следния начин:

„1.Без да се засягат които и да било други административни или съдебни средства за правна защита, всеки субект на данни има право да подаде жалба до надзорен орган, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако субектът на данни счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на настоящия регламент.

2.Надзорният орган, до когото е подадена жалбата, информира жалбоподателя за напредъка в разглеждането на жалбата и за резултата от нея, включително за възможността за съдебна защита съгласно член 78“.

13 Член 83, параграфи 1 и 2 от същия регламент гласи:

„1.Всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ в съответствие с настоящия член за извършени нарушения на настоящия регламент, посочени в параграфи 4, 5 и 6, във всеки конкретен случай са ефективни, пропорционални и възпиращи.

2.В зависимост от обстоятелствата във всеки конкретен случай административните наказания „глоба“ или „имуществена санкция“ се налагат в допълнение към мерките, посочени в член 58, параграф 2, букви а)—з) и й), или вместо тях. Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:

а) естеството, тежестта и продължителността на нарушението, като се взема предвид естеството, обхватът или целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;

б) дали нарушението е извършено умишлено или по небрежност;

в) действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни;

г) степента на отговорност на администратора или обработващия лични данни като се вземат предвид технически и организационни мерки, въведени от тях в съответствие с членове 25 и 32;

д) евентуални свързани предишни нарушения, извършени от администратора или обработващия лични данни;

е) степента на сътрудничество с надзорния орган с цел отстраняване на нарушението и смекчаване на евентуалните неблагоприятни последици от него;

ж) категориите лични данни, засегнати от нарушението;

з) начина, по който нарушението е станало известно на надзорния орган, по-специално дали и до каква степен администраторът или обработващият лични данни е уведомил за нарушението;

и) когато на засегнатия администратор или обработващ лични данни преди са налагани мерки, посочени в член 58, параграф 2, във връзка със същия предмет на обработването, дали посочените мерки са спазени;

й) придържането към одобрени кодекси на поведение съгласно член 40 или одобрени механизми за сертифициране съгласно член 42; и

к) всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая, като пряко или косвено реализирани финансови ползи или избегнати загуби вследствие на нарушението“.

Спорът в главното производство и преюдициалният въпрос

14 Спестовната каса е общинска институция, субект на публичното право, която извършва по-конкретно банкови и кредитни операции. На 15 ноември 2019 г. тя уведомява HBDI в съответствие с член 33 от ОРЗД за нарушение на сигурността на личните данни, състоящо се в това, че една от нейните служителки многократно е осъществявала неоторизиран достъп до личните данни на TR, един от нейните клиенти. Спестовната каса не е съобщила на TR за нарушението на сигурността на неговите лични данни.

15 След като случайно научава, че личните му данни са били консултирани неправомерно, на 27 юли 2020 г. TR подава жалба по административен ред до HBDI на основание член 77 от ОРЗД. В тази жалба той посочва, че в нарушение на член 34 от този регламент не му е било съобщено за нарушението на сигурността на неговите лични данни. Той отправя и критики срещу срока на съхранение на регистъра за достъп на спестовната каса, определен само на 3 месеца, както и срещу широките права на достъп, с които разполагат нейните служители.

16 След подаването от TR на жалбата по административен ред, HBDI изслушва спестовната каса писмено и устно по отправените срещу нея критики. В хода на изслушването спестовната каса посочва, че не съобщила по реда на член 34 от ОРЗД, тъй като длъжностното ѝ лице по защита на данните е приело, че няма висок риск за правата и свободите на TR. Всъщност срещу въпросната служителка са били предприети дисциплинарни мерки и тя е потвърдила писмено, че нито е копирала, нито е съхранявала личните данни, че не ги е предавала на трети лица и че поема задължение да не извършва такива действия в бъдеще. Освен това, тъй като HBDI критикува твърде краткия срок за съхранение на регистрите за достъп, спестовната каса го уведомява, че този въпрос ще бъде преразгледан.

17 С решение от 3 септември 2020 г. HBDI уведомява TR, че спестовната каса не е нарушила член 34 от ОРЗД, тъй като преценката на спестовната каса, че извършеното нарушение на сигурността на личните данни, не може да породи висок риск за правата и свободите му по смисъла на този член, не е явно неправилна. Всъщност, макар данните да са били консултирани от служителката, нищо не сочи, че тя ги е предала на трети лица или ги е използвала в ущърб на TR. Освен това HBDI посочва, че е приканило спестовната каса да съхранява от този момент нататък своя регистър за достъп за период, по-дълъг от три месеца. Накрая, що се отнася до въпроса за достъпа на служителите на спестовната каса до личните данни, HBDI отхвърля подадената от TR жалба по административен ред, като подчертава, че по принцип може да се предоставят широки права за достъп, ако се гарантира, че всеки потребител е инструктиран при какви условия до кои данни може да има достъп. Така според HBDI не бил необходим принципен контрол върху всеки достъп.

18 TR обжалва това решение пред запитващата юрисдикция Verwaltungsgericht Wiesbaden (Административен съд Висбаден, Германия) като иска от него да задължи HBDI да предприеме действия срещу спестовната каса.

19 В подкрепа на жалбата си TR изтъква, че HBDI не е разгледал жалбата му по административен ред в съответствие с изискванията на ОРЗД, тоест като вземе предвид всички фактически обстоятелства, и добавя, че HBDI е трябвало да наложи имуществена санкция на спестовната каса предвид различните нарушения от нейна страна на разпоредбите на този регламент, и по-специално на член 5, член 12, параграф 3, член 15, параграф 1, буква в), член 33, параграф 1 и член 33, параграф 3 от същия. Според TR, при установяване на нарушение на посочения регламент, както в настоящия случай, принципът на целесъобразност не се прилагал, така че HBDI не разполагало със свобода да реши дали да приеме действия или не, а най-много със свобода да избере какви мерки да предприеме.

20 В това отношение запитващата юрисдикция по същество иска да се установи дали в случай на установено нарушение на разпоредби относно защитата на личните данни ОРЗД трябва да се тълкува в смисъл, че надзорният орган е длъжен да приеме коригиращи мерки на основание член 58, параграф 2 от този регламент, като административни наказания „глоба“ или „имуществена санкция“, или в смисъл, че този орган разполага с право на преценка, което му позволява, в зависимост от обстоятелствата, да се въздържи от приемането на такива мерки.

21 Запитващата юрисдикция посочва, че първото тълкуване, което е застъпено от TR, както и от част от правната доктрина, се основава на факта, че правомощията, с които разполага надзорният орган да приема корективни мерки, имат за цел да се възстанови законосъобразното положение, когато правата на гражданите са нарушени чрез обработване на данни. Поради това член 58, параграф 2 от ОРЗД следвало да се счита за императивна норма, която обосновава право на гражданина да изисква действие на официален орган, когато дадено предприятие или орган е обработил(о) неправомерно негови лични данни или е нарушил(о) права по друг начин. Следователно, когато е установено нарушение на защитата на данните, надзорният орган бил длъжен да предприеме коригиращи действия, като имал само свобода на избор кои от предвидените мерки да предприеме.

22 Запитващата юрисдикция обаче има съмнения за основателността това тълкуване, което счита за прекалено разширително, и по-скоро е склонна да приеме, че надзорният орган има свобода на преценка, която му позволява в определени случаи да се въздържи от предприемане на корективна мярка, по-специално от налагане на санкция, в случай на установено нарушение. Макар по силата на член 57, параграф 1, буква е) от ОРЗД надзорният орган да е длъжен внимателно да разгледа жалбите по същество и да разгледа всеки отделен случай, той все пак не бил длъжен да приема корективна мярка във всички случаи. Съответно той нямал такова задължение, когато правилата за защита на личните данни са били нарушени в миналото, но администраторът е предприел мерки, които не предполагат отново да бъде извършено нарушение на сигурността на данните.

23 При тези обстоятелства Verwaltungsgericht Wiesbaden (Административен съд Висбаден) решава да спре производството и да отправи до Съда следния преюдициален въпрос:

„Трябва ли член 57, параграф 1, букви а) и е) и член 58, параграф 2, букви а)—й) във връзка с член 77, параграф 1 от [ОРЗД] да се тълкуват в смисъл, че ако надзорният орган установи обработване на данни, което нарушава правата на субекта на данни, надзорният орган винаги е длъжен да предприеме действия съгласно член 58, параграф 2 от [този регламент]?“.

По допустимостта на преюдициалното запитване

24 Без изрично да оспорва допустимостта на преюдициалното запитване, TR изтъква, че за решаването на спора в главното производство не е необходим отговор на поставения въпрос. Единствената цел на жалбата му била запитващата юрисдикция да задължи HBDI да се произнесе по оплакванията, изложени в жалбата по административен ред, в съответствие с член 57, параграф 1, буква е) от ОРЗД, а не да задължи HBDI да използва правомощията, които са му предоставени с член 58, параграф 2 от ОРЗД.

25 В това отношение следва да се припомни, че в рамките на сътрудничеството между Съда и националните юрисдикции, въведено с член 267 ДФЕС, само националният съд, който е сезиран със спора и трябва да поеме отговорността за последващото му съдебно решаване, може да прецени, предвид особеностите на делото, както необходимостта от преюдициално решение, за да може да се произнесе, така и релевантността на въпросите, които поставя на Съда. Следователно, щом като поставените въпроси се отнасят до тълкуването на правото на Съюза, Съдът по принцип е длъжен да се произнесе (решение от 30 ноември 2023 г., Ministero dell’Istruzione и INPS, C‑270/22, EU:C:2023:933, т. 33 и цитираната съдебна практика).

26 Следователно въпросите, които са свързани с тълкуването на правото на Съюза и са поставени от националния съд в нормативната и фактическа рамка, която той определя съгласно своите правомощия и проверката на чиято точност не е задача на Съда, се ползват с презумпция за релевантност. Съдът може да откаже да се произнесе по отправеното от национална юрисдикция запитване само ако е съвсем очевидно, че исканото тълкуване на правото на Съюза няма никаква връзка с действителността или с предмета на спора в главното производство, когато проблемът е от хипотетично естество или когато Съдът не разполага с необходимите данни от фактическа и правна страна, за да бъде полезен с отговора на поставените му въпроси (решение от 30 ноември 2023 г., Ministero dell’Istruzione и INPS, C‑270/22, EU:C:2023:933, т. 34 и цитираната съдебна практика).

27 В случая запитващата юрисдикция подчертава, че TR се е позовал на право на предприемане на действия от страна на HBDI и твърди, че то е било длъжно да наложи имуществена санкция на спестовната каса.

28 При тези условия не изглежда очевидно, че поисканото тълкуване на правото на Съюза няма никаква връзка с действителността или с предмета на спора в главното производство.

29 Следователно преюдициалното запитване е допустимо.

По преюдициалния въпрос

30 За да се отговори на поставения въпрос, най-напред следва да се припомни, че тълкуването на разпоредба от правото на Съюза изисква да се вземе предвид не само нейният текст, но и контекстът ѝ и целите и предназначението на акта, от който тя е част (решение от 7 декември 2023 г., SCHUFA Holding (Освобождаване от остатъка по задълженията), C‑26/22 и C‑64/22, EU:C:2023:958, т. 48 и цитираната съдебна практика).

31 Следва също така да се припомни, че в съответствие с член 8, параграф 3 от Хартата на основните права на Европейския съюз, и член 51, параграф 1 и член 57, параграф 1, буква а) от ОРЗД националните надзорни органи отговарят за контрола за спазването на нормите на Съюза относно защитата на физическите лица във връзка с обработването на лични данни (решение от 7 декември 2023 г., SCHUFA Holding (Освобождаване от остатъка по задълженията), C‑26/22 и C‑64/22, EU:C:2023:958, т. 55 и цитираната съдебна практика).

32 По-специално, по силата на член 57, параграф 1, буква е) от ОРЗД всеки надзорен орган е длъжен на своята територия да разглежда жалбите, които всяко лице има право да подаде в съответствие с член 77, параграф 1 от този регламент, когато счита, че обработване на свързани с него лични данни представлява нарушение на посочения регламент, да разглежда предмета им, доколкото това е необходимо, и да информира жалбоподателя за напредъка и резултатите от разследването в разумен срок. Надзорният орган трябва да разгледа такава жалба с цялата дължима грижа (вж. в този смисъл решение от 7 декември 2023 г., SCHUFA Holding (Освобождаване от остатъка по задълженията), C‑26/22 и C‑64/22, EU:C:2023:958, т. 56 и цитираната съдебна практика).

33 За целите на разглеждането на подадените жалби член 58, параграф 1 от ОРЗД предоставя на всеки надзорен орган важни правомощия за разследване. Когато в края на разследването си такъв орган констатира нарушение на разпоредбите на този регламент, той е длъжен да реагира по подходящ начин, за да отстрани констатирания недостатък, като всяка мярка, както се уточнява в съображение 129 от посочения регламент, трябва по-специално да бъде подходяща, необходима и пропорционална с оглед на осигуряването на съответствие с посочения регламент, като се отчитат обстоятелствата при всеки конкретен случай. За тази цел член 58, параграф 2 от същия регламент изброява различните корективни правомощия, които има надзорният орган (вж. в този смисъл решение от 7 декември 2023 г., SCHUFA Holding (Освобождаване от остатъка по задълженията), C‑26/22 и C‑64/22, EU:C:2023:958, т. 57 и цитираната съдебна практика).

34 Така съгласно член 58, параграф 2 от ОРЗД надзорният орган има правомощието по-специално да отправя официално предупреждение до администратора или обработващия лични данни, когато операции по обработване на данни са нарушили разпоредбите на този регламент (буква б), да разпорежда на администратора или обработващия лични данни да изпълнят исканията на субекта на данни да упражнява правата си съгласно посочения регламент (буква в), да разпорежда на администратора или обработващия лични данни да съобразят операциите по обработване на данни с разпоредбите на същия регламент и, ако е целесъобразно, това да стане по указан начин и в определен срок (буква г), или също да налага административно наказание „глоба“ или „имуществена санкция“ съгласно член 83 от ОРЗД, в допълнение към мерките, посочени в член 58, параграф 2, или вместо тях, в зависимост от особеностите на всеки отделен случай (буква и).

35 Процедурата по подаване на жалби е замислена като механизъм, който да може да защити ефикасно правата и интересите на субектите на данни (вж. решение от 7 декември 2023 г., SCHUFA Holding (Освобождаване от остатъка по задълженията), C‑26/22 и C‑64/22, EU:C:2023:958, т. 58).

36 В случая от акта за преюдициално запитване е видно, че HBDI е разгледало по същество жалбата, подадена до него от жалбоподателя в главното производство, и го е информирал за резултата от разследването. По-конкретно HBDI потвърждава, че в спестовната каса е допуснато нарушение на сигурността на личните му данни, изразяващо се в неразрешен достъп до тях от страна на една от служителките ѝ. Що се отнася обаче до правата на достъп на служителите на спестовната каса, HBDI отхвърля подадената от жалбоподателя в главното производство жалба по административен ред. Освен това той заключава, че не е необходимо да предприема действия по отношение на спестовната каса съгласно член 58, параграф 2 от ОРЗД.

37 В това отношение следва да се отбележи, че ОРЗД оставя на надзорния орган свобода на преценка относно начина, по който той трябва да отстрани констатирания недостатък, тъй като член 58, параграф 2 от него предоставя на този орган правомощието да приеме различни корективни мерки. Така Съдът вече е постановил, че изборът на подходящото и необходимо средство е от компетентността на надзорния орган, който трябва да направи този избор, като вземе предвид всички обстоятелства по конкретния случай и като изпълни с цялата дължима грижа своята задача да следи за пълното спазване на ОРЗД (вж. в този смисъл решение от 16 юли 2020 г., Facebook Ireland и Schrems, C‑311/18, EU:C:2020:559, т. 112).

38 Тази свобода на преценка обаче е ограничена от необходимостта да се гарантира последователно и високо ниво на защита на личните данни чрез стриктно прилагане на правилата, както следва от съображения 7 и 10 от ОРЗД.

39 Що се отнася по-специално до административните наказания „глоба“ или „имуществена санкция“, посочени в член 58, параграф 2, буква и) от ОРЗД, от член 83, параграф 2 от този регламент следва, че те се налагат в допълнение към мерките, посочени в член 58, параграф 2, или вместо тях, в зависимост от особеностите на всеки отделен случай. Освен това в член 83, параграф 2 се уточнява, че когато взема решение дали да наложи административно наказание „глоба“ или „имуществена санкция“ и определя нейния размер, надзорният орган трябва надлежно да вземе предвид във всеки конкретен случай елементите, посочени в букви а)—к) от тази разпоредба, като естеството, тежестта и продължителността на нарушението.

40 Така предвидената от законодателя на Съюза система от санкции позволява на надзорните органи да налагат най-подходящите и обосновани санкции в зависимост от обстоятелствата във всеки конкретен случай (вж. в този смисъл решение от 5 декември 2023 г., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, т. 75 и 78), като вземат предвид — както бе припомнено в точки 37 и 38 от настоящото решение — необходимостта да се следи за пълното спазване на ОРЗД, както и да се гарантира последователно и високо ниво на защита на личните данни чрез стриктно прилагане на правилата.

41 Ето защо нито от член 58, параграф 2, нито от член 83 от ОРЗД може да се направи извод за наличието на задължение на надзорния орган да приеме във всички случаи, когато установи нарушение на сигурността на личните данни, корективна мярка, по-конкретно административно наказание „глоба“ или „имуществена санкция“, тъй като при подобни обстоятелства неговото задължение е да реагира по подходящ начин, за да отстрани констатирания недостатък. При тези условия, както отбелязва генералният адвокат в точка 81 от заключението си, жалбоподателят, чиито права са били нарушени, не разполага със субективно право да иска надзорният орган да наложи административно наказание „глоба“ или „имуществена санкция“ на администратора.

42 За сметка на това надзорният орган е длъжен да предприеме действия, когато с оглед на всички обстоятелства по конкретния случай приемането на една или повече от корективните мерки, предвидени в член 58, параграф 2 от ОРЗД, е подходящо, необходимо и пропорционално за отстраняване на констатирания недостатък и за гарантиране на пълното спазване на този регламент.

43 В това отношение не може да се изключи, че по изключение и предвид особените обстоятелства на конкретния случай надзорният орган може да се въздържи от приемането на корективна мярка, въпреки че е установено нарушение на сигурността на личните данни. Такъв би могъл да бъде по-специално случаят, когато установеното нарушение не е продължило, например когато администраторът, който по принцип е приложил подходящи технически и организационни мерки по смисъла на член 24 от ОРЗД, веднага след като е узнал за това нарушение, е предприел подходящи и необходими мерки, за да се преустанови посоченото нарушение и за да не бъде отново извършено, като се имат предвид задълженията му, произтичащи по-специално от член 5, параграф 2 и член 24 от този регламент.

44 Тълкуването, че когато установи нарушение на сигурността на личните данни, надзорният орган не е длъжен във всички случаи да приеме корективна мярка съгласно член 58, параграф 2 от ОРЗД, се подкрепя от целите, преследвани съответно с член 58, параграф 2 и с член 83 от този регламент.

45 Що се отнася до целта, преследвана с член 58, параграф 2 от ОРЗД, от съображение 129 от същия регламент е видно, че чрез намесата на националните надзорни органи тази разпоредба има за цел да се гарантират съответствието на обработването на лични данни с този регламент и отстраняването на нарушения на последния, за да се постигне съответствие с правото на Съюза (решение от 14 март 2024 г., Újpesti Polgármesteri Hivatal, C‑46/23, EU:C:2024:239, т. 40).

46 От това следва, че приемането на корективна мярка може по изключение и предвид особените обстоятелства на конкретния случай да не се налага, стига нарушението на ОРЗД вече да е било отстранено и администраторът да е осигурил съответствието на обработването на лични данни с този регламент, и такова бездействие на надзорния орган не може да наруши изискването за стриктно прилагане на правилата, припомнено в точка 38 от настоящото решение.

47 Що се отнася до целта, преследвана с член 83 от ОРЗД, който се отнася до налагането на административни наказания „глоба“ или „имуществена санкция“, съгласно съображение 148 от този регламент тя се състои в укрепване прилагането на правилата на последния. В същото съображение обаче се посочва, че в случай на леки нарушения или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, надзорните органи могат да се въздържат да наложат глоба и вместо нея да наложат порицание (вж. в този смисъл решение от 5 декември 2023 г., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, т. 76).

48 В случая от акта за преюдициално запитване е видно, че в съответствие с член 33 от ОРЗД спестовната каса е уведомила HBDI за нарушението на сигурността на личните данни на жалбоподателя в главното производство, произтичащо от неразрешения достъп до тях от страна на една от служителките ѝ. Освен това тя посочва, че срещу тази служителка са предприети дисциплинарни мерки и че срокът на съхранение на регистъра за достъп ще бъде преразгледан. При тези условия HBDI се е въздържало да приеме корективна мярка на основание член 58, параграф 2 от ОРЗД, и по-специално да наложи административно наказание „имуществена санкция“.

49 Тъй като решенията по жалба по административен ред, приети от надзорен орган, подлежат на пълен съдебен контрол (решение от 7 декември 2023 г., SCHUFA Holding (Освобождаване от остатъка по задълженията), C‑26/22 и C‑64/22, EU:C:2023:958, т. 70), запитващата юрисдикция следва да провери дали HBDI е разгледало съответната жалба с цялата дължима грижа и дали, приемайки разглежданото в главното производство решение, HBDI е спазило границите на свободата на преценка, която му предоставя член 58, параграф 2 от ОРЗД (вж. по аналогия решение от 7 декември 2023 г., SCHUFA Holding (Освобождаване от остатъка по задълженията), C‑26/22 и C‑64/22, EU:C:2023:958, т. 68 и 69 и цитираната съдебна практика).

50 С оглед на всички изложени по-горе съображения на поставения въпрос следва да се отговори, че член 57, параграф 1, букви а) и е), член 58, параграф 2 и член 77, параграф 1 от ОРЗД трябва да се тълкуват в смисъл, че в случай на установяване на нарушение на сигурността на личните данни надзорният орган не е длъжен да приеме корективна мярка, по-специално административно наказание „глоба“ или „имуществена санкция“, съгласно член 58, параграф 2, когато подобна намеса не е подходяща, необходима или пропорционална, за да се отстрани констатираният недостатък и да се гарантира пълното спазване на този регламент.

По съдебните разноски

51 С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (първи състав) реши:

Член 57, параграф 1, букви а) и е) и член 58, параграф 2 и член 77, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните),

трябва да се тълкуват в смисъл, че

в случай на установяване на нарушение на сигурността на личните данни надзорният орган не е длъжен да приеме корективна мярка, по-специално административно наказание „глоба“ или „имуществена санкция“, съгласно член 58, параграф 2, когато подобна намеса не е подходяща, необходима или пропорционална, за да се отстрани констатираният недостатък и да се гарантира пълното спазване на този регламент.

Подписи

( *1 ) Език на производството: немски.