РЕШЕНИЕ НА СЪДА (първи състав)

27 февруари 2025 година ( *1 )

„Преюдициално запитване — Защита на личните данни — Регламент (ЕС) 2016/679 — Член 15, параграф 1, буква з) — Автоматично вземане на решения, включително профилиране — „Scoring“ — Преценка на платежоспособността на физическо лице — Достъп до съществената информация относно използваната логика за профилирането — Проверка на точността на предоставената информация — Регламент (ЕС) 2016/943 — Член 2, точка 1 — Търговска тайна — Лични данни на трети лица“

По дело C‑203/22

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Verwaltungsgericht Wien (Административен съд Виена, Австрия) с акт от 11 февруари 2022 г., постъпил в Съда на 16 март 2022 г., в рамките на производство по дело

CK срещу

Magistrat der Stadt Wien,

при участието на:

Dun & Bradstreet Austria GmbH,

СЪДЪТ (първи състав),

състоящ се от: K. Lenaerts, председател Съда, изпълняващ функцията на председател на първи състав, T. von Danwitz (докладчик), заместник-председател на Съда, A. Kumin, N. Jääskinen и I. Ziemele, съдии,

генерален адвокат: J. Richard de la Tour,

секретар: A. Calot Escobar,

предвид изложеното в писмената фаза на производството,

като има предвид становищата, представени:

– за CK, от C. Wirthensohn, Rechtsanwalt,

– за Dun & Bradstreet Austria GmbH, от D. Cooper, solicitor, A.‑S. Oberschelp de Meneses, avocate, K. Van Quathem и B. Van Vooren, advocaten,

– за испанското правителство, от A. Ballesteros Panizo, в качеството на представител,

– за нидерландското правителство, от M. K. Bulterman и C. S. Schillemans, в качеството на представители,

– за полското правителство, от B. Majczyna, в качеството на представител,

– за Европейската комисия, от A. Bouchagiar, F. Erlbacher и H. Kranenborg, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 12 септември 2024 г.,

постанови настоящото

Решение

1 Преюдициалното запитване се отнася до тълкуването, от една страна, на член 15, параграф 1, буква з) и на член 22 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“), и от друга страна, на член 2, точка 1 от Директива (ЕС) 2016/943 на Европейския парламент и на Съвета от 8 юни 2016 година относно защитата на неразкрити ноу-хау и търговска информация (търговски тайни) срещу тяхното незаконно придобиване, използване и разкриване (ОВ L 157, 2016 г., стр 1).

2 Запитването е отправено в рамките на спор между CK и Magistrat der Stadt Wien (общинска администрация на град Виена, Австрия) по повод на принудителното изпълнение на съдебно решение, с което на Bisnode Austria GmbH, понастоящем Dun & Bradstreet Austria GmbH (наричано по-нататък „D & B“), предприятие, специализирано в предоставянето на кредитни оценки, се разпорежда да предостави на CK съществена информация относно използваната логика за профилиране, свързано с личните му данни.

Правна уредба

Правото на Съюза

ОРЗД

3 Съображения 4, 11, 58, 63 и 71 от ОРЗД гласят:

„(4)

Обработването на лични данни следва да е предназначено да служи на човечеството. Правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност. Настоящият регламент е съобразен с всички основни права и в него се спазват свободите и принципите, признати от Хартата [на основните права на Европейския съюз, наричана по-нататък „Хартата“], както са залегнали в Договорите, и по-специално зачитането на личния и семейния живот, дома и комуникациите, защитата на личните данни, свободата на мисълта, съвестта и религията, свободата на изразяване на мнение и свободата на информацията, свободата на стопанската инициатива, правото на ефективни правни средства за защита и на справедлив съдебен процес, както и културното, религиозното и езиковото многообразие.

[…]“.

(11)

Ефективната защита на личните данни в рамките на [Европейския съюз] изисква укрепване и подробно описание на правата на субектите на данните и задълженията на онези, които обработват и определят обработването на личните данни, както и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни и еквивалентни санкции за нарушенията в държавите членки.

[…] (58)

Принципът на прозрачност изисква всяка информация както за обществеността, така и за субекта на данните да бъде в кратка, прозрачна, разбираема и лесно достъпна форма и да се използват ясни и недвусмислени формулировки, а в допълнение когато е необходимо, да се използва и визуализация. […].

[…].

(63)

Всяко физическо лице следва да има право на достъп до събраните лични данни, които го засягат, и да упражнява това право лесно и на разумни интервали, за да бъде осведомено за обработването и да провери законосъобразността му. […] Това право не следва да влияе неблагоприятно върху правата или свободите на други лица, включително върху търговската тайна или интелектуалната собственост, и по-специално върху авторското право за защита на софтуера. Тези съображения обаче не следва да представляват отказ за предоставяне на цялата информация на съответния субект на данни. […].

[…].

(71)

Субектът на данни следва да има право да не бъде обект на решение, което може да включва мярка, за оценка на свързани с него лични аспекти единствено въз основа на автоматично обработване, и което поражда правни последствия за него или го засяга също толкова значително, като например автоматичен отказ на онлайн искания за кредит или електронни практики за набиране на персонал без човешка намеса. Това обработване включва „профилиране“, което се състои от всякакви форми на автоматизирано обработване на лични данни за оценка на личните аспекти във връзка с дадено физическо лице, по-специално анализирането или прогнозирането на различни аспекти, имащи отношение към резултатите в работата на субекта на данни, икономическото състояние, здравето, личните предпочитания или интереси, благонадеждността или поведението, местоположението или движенията, когато то поражда правни последствия по отношение на лицето или го засяга също толкова значително. […] Във всеки случай такова обработване следва да подлежи на подходящи гаранции, които следва да включват конкретна информация за субекта на данните и правото на човешка намеса, на изразяване на мнение, на получаване на обяснение за решението, взето в резултат на такава оценка и на обжалване на решението. […]“.

4 Член 4 („Определения“), точка 4 от този регламент предвижда:

„За целите на настоящия регламент:

[…] 4) „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение“.

5 Член 12 („Прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни“) от същия регламент предвижда в параграф 1:

„Администраторът предприема необходимите мерки за предоставяне на всякаква информация по членове 13 и 14 и на всякаква комуникация по членове 15‑22 и член 34, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и леснодостъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца. […]“.

6 Член 13 от същия регламент, който се отнася до информацията, предоставяна при събиране на лични данни от субекта на данните, и член 14 от него, който се отнася до информацията, предоставяна, когато личните данни не са получени от субекта на данните, предвиждат съответно в параграф 2, буква е) и параграф 2, буква ж), че администраторът е длъжен да предостави на субекта на данните, за да се осигури добросъвестно и прозрачно обработване на данните по отношение на последния, по-специално информация относно „съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните“.

7 Член 15 от ОРЗД е озаглавен „Право на достъп на субекта на данните“ и предвижда:

„1.Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

[…]“.

з) съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

[…].

3.Администраторът предоставя копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, администраторът може да наложи разумна такса въз основа на административните разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни не е поискал друго.

4.Правото на получаване на копие, посочено в параграф 3, не влияе неблагоприятно върху правата и свободите на други лица“.

8 Член 22 („Автоматизирано вземане на индивидуални решения, включително профилиране“) от този регламент гласи:

„1.Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен.

2.Параграф 1 не се прилага, ако решението:

a) е необходимо за сключването или изпълнението на договор между субект на данни и администратор;

б) е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора, и в което се предвиждат също подходящи мерки за защита на правата и свободите, и легитимните интереси на субекта на данните; или

в) се основава на изричното съгласие на субекта на данни.

3.В случаите, посочени в параграф 2, букви а) и в), администраторът прилага подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните, най-малко правото на човешка намеса от страна на администратора, правото да изрази гледната си точка и да оспори решението.

4.Решенията по параграф 2 не се основават на специалните категории лични данни, посочени в член 9, параграф 1, освен ако не се прилага член 9, параграф 2, буква а) или буква ж) и не са въведени подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните“.

9 Съгласно член 23 („Ограничения“) от същия регламент:

„1.В правото на Съюза или правото на държава членка, което се прилага спрямо администратора или обработващия лични данни, чрез законодателна мярка може да се ограничи обхватът на задълженията и правата, предвидени в членове 12‑22 и в член 34, както и в член 5, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 12‑22, когато подобно ограничение е съобразено със същността на основните права и свободи и представлява необходима и пропорционална мярка в едно демократично общество с цел да се гарантира:

[…] и) защитата на субекта на данните или на правата и свободите на други лица;

[…] 2.По-специално, всяка законодателна мярка, посочена в параграф 1, съдържа специални разпоредби най-малко, където е целесъобразно, по отношение на:

a) целите на обработването или категориите обработване;

б) категориите лични данни;

в) обхвата на въведените ограничения;

г) гаранциите за предотвратяване на злоупотреби или незаконен достъп или предаване;

д) спецификацията на администратора или категориите администратори;

е) периодите на съхранение и приложимите гаранции, като се вземат предвид естеството, обхватът и целите на обработването или категориите обработване;

ж) рисковете за правата и свободите на субектите на данни; и

з) правото на субектите на данни да бъдат информирани за ограничаването, освен ако това би било в разрез с целта на ограничаването“.

10 Член 54 („Правила за създаването на надзорния орган“) от същия регламент предвижда в параграф 2:

„Както по време на мандата си, така и след неговото приключване, членът или членовете и персоналът на всеки надзорен орган, в съответствие с правото на Съюза или правото на държава членка, са обвързани от задължението за опазване на професионална тайна по отношение на всяка поверителна информация, която е стигнала до тяхното знание в хода на изпълнението на техните задачи или упражняването на техните правомощия. По време на техния мандат това задължение за опазване на професионалната тайна се прилага по-специално по отношение на подаването на сигнали от физически лица за нарушения на настоящия регламент“.

11 Член 58 („Правомощия“) от ОРЗД предвижда в параграф 1, буква д):

„Всеки надзорен орган има всички от посочените по-долу правомощия за разследване:

д) да получава от администратора и обработващия лични данни достъп до всички лични данни и до цялата информация, от която се нуждае за изпълнението на своите задачи“.

Директива 2016/943

12 Съображение 35 от Директива 2016/943 предвижда:

„[…] настоящата директива не следва да засяга правата и задълженията, предвидени в Директива 95/46/ЕО [на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10)], и по-специално правото на субекта на данните за достъп до собствените му лични данни, които се обработват, както и правото да постигне поправяне, изтриване или блокиране на онези данни, които са непълни или неточни […]“.

13 Член 2, точка 1 от тази директива предвижда:

„За целите на настоящата директива се прилагат следните определения:

1) „търговска тайна“ означава информация, която отговаря на всички посочени по-долу изисквания:

a) да бъде тайна в смисъл, че като цяло или в точната си конфигурация и сбор от компоненти не е общоизвестна или лесно достъпна за лица от средите, които обичайно се занимават с въпросния вид информация;

б) да има търговска стойност поради това, че е тайна;

в) да е била предмет на обосновани при дадените обстоятелства действия от страна на законно контролиращото информацията лице с цел запазването ѝ в тайна“.

14 Член 9 („Запазване на поверителността на търговската тайна в хода на съдебното производство“) предвижда:

„1.Държавите членки гарантират, че на страните, техните адвокати или други представители, съдебните служители, свидетелите, вещите лица и всички други лица, които участват в съдебни производства, свързани с незаконно придобиване, използване или разкриване на търговска тайна, или които имат достъп до документи, които са част от тези съдебни производства, не се разрешава да използват или разкриват търговска тайна или предполагаема търговска тайна, която компетентните съдебни органи, в отговор на надлежно обосновано искане от заинтересувана страна, са определили като поверителна информация и която им е станала известна в резултат на това участие или достъп. Във връзка с това държавите членки могат също да разрешат на компетентните органи да действат по собствена инициатива.

Задължението, посочено в първа алинея, остава в сила след приключването на съдебното производство. Това задължение обаче отпада във всеки един от следващите случаи:

a) когато за предполагаемата търговска тайна се установи с окончателно решение, че не отговаря на изискванията, посочени в член 2, точка 1), или

б) когато в течение на времето въпросната информация стане широко известна или леснодостъпна за лица от средите, които обичайно се занимават с този вид информация.

2.Държавите членки също така гарантират, че компетентните съдебни органи могат, въз основа на надлежно обосновано искане от дадена страна, да предприемат специални мерки, необходими за запазване на поверителния характер на всяка търговска тайна или предполагаема търговска тайна, използвана или споменавана в хода на съдебното производство, свързано с незаконното придобиване, използване или разкриване на търговска тайна. Държавите членки могат освен това да разрешат на компетентните органи да предприемат такива мерки по собствена инициатива.

Мерките, посочени в първа алинея, включват най-малко възможността:

a) да се ограничи изцяло или частично достъпът до всеки документ, съдържащ търговски тайни или предполагаеми търговски тайни, представен от страните или трети страни, до ограничен брой лица;

б) да се ограничи достъпът до съдебни заседания, където могат да бъдат разкрити търговски тайни или предполагаеми търговски тайни, както и до съответните записи или протоколи от тях до ограничен брой лица;

в) да се предоставя на лица, различни от онези, които са част от ограничения брой лица, посочени в букви а) и б), неповерителна версия на всяко съдебно решение, в която пасажите, съдържащи търговска тайна, са отстранени или съответно редактирани.

Броят на лицата, посочени в букви а) и б) от втора алинея, е не по-голям, отколкото е необходимо, за да се гарантира спазването на правото на ефективни правни средства за защита и на справедлив съдебен процес на страните в съдебното производство, и включва най-малко едно физическо лице от всяка от страните и съответните адвокати или други представители на тези страни в съдебното производство.

3.При вземане на решение относно мерките, посочени в параграф 2, и оценяване на тяхната пропорционалност, компетентните съдебни органи отчитат необходимостта от гарантиране на правото на ефективна правна защита и правото на справедлив процес, легитимните интереси на страните и когато е целесъобразно — на трети лица, както и всички потенциални вреди за която и да е от страните, и когато е целесъобразно и за трети страни, произтичащи в резултат на уважаването или отхвърлянето на тези мерки.

4.Обработката на всякакви лични данни съгласно параграф 1, 2 или 3 се извършва по реда на Директива [95/46]“.

Австрийското право

15 Член 4, параграф 6 от Datenschutzgesetz (Закон за защита на данните) от 17 август 1999 г. (BGBl. I, 165/1999), в редакцията му, приложима към спора в главното производство (наричан по-нататък „DSG“), по принцип изключва предвидения в член 15 от ОРЗД достъп на субекта на данните до неговите лични данни, когато този достъп нарушава търговската или промишлената тайна на администратора или на трето лице.

Спорът в главното производство и преюдициалните въпроси

16 Мобилен телефонен оператор отказва на CK сключването или подновяването на договор за мобилни телефонни услуги, което е свързано с месечно плащане на сума от десет евро, с мотива че съгласно автоматизираната ѝ кредитна оценка, извършена от D & B, тя няма достатъчно финансови възможности.

17 CK сезира австрийския орган за защита на данните, който разпорежда на D & B да предостави на CK съществена информация относно използваната логика за автоматизираното вземане на решения, основано на личните данни на CK.

18 D & B обжалва решението на този орган пред Bundesverwaltungsgericht (Федерален административен съд, Австрия), като по същество твърди, че поради защитена търговска тайна не е трябвало да предоставя на CK допълнителна информация освен вече предоставената ѝ.

19 С решение от 23 октомври 2019 г. (наричано по-нататък „решението от 23 октомври 2019 г.“) тази юрисдикция констатира, че D & B е нарушило член 15, параграф 1, буква з) от ОРЗД, като не е предоставило на CK съществена информация относно използваната логика за автоматизираното вземане на решения, основано на личните данни на CK, или най-малкото като не е мотивирало в достатъчна степен невъзможността да предостави тази информация.

20 По-специално в това решение Bundesverwaltungsgericht (Федерален административен съд) отбелязва, че D & B не е предоставило на CK достатъчно обяснения, които да ѝ позволят да разбере как по отношение на нея е била изготвена прогнозата относно вероятността от нейното бъдещо поведение („score“), която това предприятие ѝ е съобщило с уточнението, че за да се получи този „score“, на някои социално-демографски данни на CK е била „придадена еднаква тежест“.

21 Решението от 23 октомври 2019 г. е влязло в сила и подлежи на изпълнение по силата на австрийското право. Въпреки това молбата за принудително изпълнение на посоченото решение, подадена от CK до общинската администрация на град Виена, която е изпълняващият орган, е отхвърлена с мотива, че D & B е изпълнило в достатъчна степен задължението си за предоставяне на информация, въпреки че след приемането на същото решение това дружество не е предоставило никаква допълнителна информация.

22 CK подава жалба срещу решението на общинската администрация на град Виена пред Verwaltungsgericht Wien (Административен съд Виена, Австрия), който е запитващата юрисдикция, с цел принудителното изпълнение на решението от 23 октомври 2019 г.

23 Запитващата юрисдикция счита, че съгласно австрийското право е длъжна да изпълни последното решение, което означавало да определи конкретните действия, които D & B е длъжно да извърши по силата на това решение.

24 Тъй като счита, че това определяне може да се извърши само от експерт с необходимата квалификация, запитващата юрисдикция назначава вещо лице, което приема, че за да изпълни задълженията си към CK, D & B е длъжно да предостави следната минимална информация:

– лични данни, свързани с CK, които са били обработени при определянето на „фактор“ (дата на раждане, адрес, пол и др.);

– математическата формула, въз основа на която е изчислен разглежданият в главното производство „score“,

– конкретната стойност, определена на CK за всеки от съответните фактори, и

– уточняване на интервалите, в рамките на които една и съща стойност се придава на различни данни за един и същ фактор (оценка по интервали или дискретна или индексна/кадастрална оценка).

25 За да се гарантира, че след нейното съобщаване точността на тази минимална информация може да бъде проверена от CK, D&B следвало да предостави и списък със „scores“ на лицата („scoring“) за периода, обхващащ шестте месеца преди и шестте месеца след установяването на „score“ на CK, които са получени въз основа на същото правило за изчисляване.

26 Според запитващата юрисдикция единствено съобщаването на минималната информация, установена от посочения експерт, би позволило да се провери съгласуваността и точността на информацията, предоставена от администратора съгласно член 15, параграф 1, буква з) от ОРЗД.

27 В случая няколко фактора ясно показвали, че предоставената от D & B информация противоречи на фактите. Всъщност, докато предоставената на CK информация, сред която по-специално полученият „score“, свидетелствала за много добра платежоспособност на CK, реалното профилиране водело до извода, че тя не е платежоспособна, включително що се отнася до плащането на сумата от десет евро месечно по силата на договор за мобилни телефонни услуги.

28 Запитващата юрисдикция счита, че поради това се поставя въпросът дали член 15, параграф 1, буква з) от ОРЗД гарантира на субекта на данните възможност да провери точността на предоставената от администратора информация.

29 В случай че член 15, параграф 1, буква з) от ОРЗД не гарантира тази проверка, правото на достъп до личните данни на субекта на данните и до друга информация, предвидена в него, би било напълно безсмислено и ненужно, още повече че в този случай всеки администратор би могъл да предостави невярна информация.

30 Възниквал и въпросът дали и евентуално в каква степен изключението, свързано с наличието на търговска тайна, може да ограничи това право на достъп, гарантирано от разпоредбите на член 15, параграф 1, буква з) във връзка с член 22 от ОРЗД.

31 В светлината на правилата, предвидени в член 9 от Директива 2016/943, следвало да се прецени дали е възможно да се предостави само на сезирания орган или съд информацията, квалифицирана като „търговска тайна“ по смисъла на член 2, точка 1 от посочената директива, за да може този орган или съд да провери самостоятелно дали следва да се приеме, че действително съществува такава търговска тайна и дали тази информация, предоставена от администратора по смисъла на член 15, параграф 1 от ОРЗД, съответства на действителното положение в разглеждания случай.

32 Накрая, важно било да се провери дали разпоредба като член 4, параграф 6 от DSG, която по принцип изключва предвиденото в член 15 от ОРЗД право на достъп на субекта на данните, когато този достъп би нарушил търговска или производствена тайна на администратора или на трето лице, може да се счита за съответстваща на разпоредбите на член 15, параграф 1 във връзка с член 22, параграф 3 от ОРЗД.

33 При тези обстоятелства Verwaltungsgericht Wien (Административен съд Виена, Австрия) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1) На какви изисквания във връзка със съдържанието трябва да отговаря информацията, предоставена по силата на правото на достъп, за да бъде квалифицирана като достатъчно „съществена“ по смисъла на член 15, параграф 1, буква з) от [ОРЗД])?

В случай на профилиране длъжен ли е администраторът при предоставянето на достъп до информация относно „използваната логика“ по принцип да разкрива, евентуално при спазване на съществуващата производствена тайна, и информация, която е от съществено значение за разбирането на резултата от автоматизираното вземане на индивидуални решения и която по-специално включва: 1) обработените данни на субекта на данните; 2) необходимите за неговото разбиране части от алгоритъма, на който се основава профилирането; и 3) информацията, която е от значение за разкриването на връзката между обработената информация и извършеното оценяване?

Трябва ли в случаите на профилиране, включително и когато е повдигнато възражение за опазване на производствена тайна, при всички положения на лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД да се разкрива следната информация относно конкретното, отнасящо се до него обработване, за да му се даде възможност да защити правата си по член 22, параграф 3 от ОРЗД:

a) предаване на цялата евентуално псевдоанонимизирана информация, по-специално относно начина на обработването на данните на субекта на данните, които позволяват да се провери дали е спазен ОРЗД;

б) предоставяне на разположение на входните данни, използвани за изготвяне на профилирането;

в) параметрите и входните променливи, използвани при определянето на оценката;

г) влиянието на тези параметри и входни променливи върху изчислената оценка;

д) информацията относно формирането на параметрите, съответно на входните променливи;

е) обяснение на причините, поради които лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД е било свързано с определен резултат от оценката, и представяне на свързания с тази оценка извод;

ж) изброяване на категориите профили и обяснение за това какъв извод от оценката е свързан с всяка една от категориите профили?

2) Съществува ли връзка между правото на достъп, предвидено в член 15, параграф 1, буква з) от ОРЗД, от една страна, и гарантираните от член 22, параграф 3 от ОРЗД права на изразяване на собствената гледна точка и на оспорване на осъществено автоматизирано вземане на решение по смисъла на член 22 от ОРЗД, от друга страна, доколкото обхватът на информацията, която следва да бъде предоставена въз основа на искане за достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД, е достатъчно „съществен“ само ако на лицето, което иска достъп и е субект на данните по смисъла на член 15, параграф 1, буква з) от ОРЗД, бъде дадена възможност ефективно, задълбочено и при наличие на изгледи за успех, да упражни гарантираните му от член 22, параграф 3 от ОРЗД права на изразяване на собствената гледна точка и на оспорване на отнасящо се до него автоматизирано вземане на решение по смисъла на член 22 от ОРЗД?

3) a) Трябва ли член 15, параграф 1, буква з) от ОРЗД да се тълкува в смисъл, че следва да се приеме, че е налице „съществена информация“ по смисъла на тази разпоредба само ако тази информация е толкова подробна, че за лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД е възможно да установи дали тази предоставена информация също съответства на фактите, тоест дали разкритата информация също така действително е в основата на разглежданото в конкретния случай автоматизирано вземане на решение?

б) В случай на утвърдителен отговор: как следва да се процедира, когато точността на предоставена от администратор информация може да бъде проверена само като се изисква на лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД да бъдат предоставени данните на трета страна, които са защитени от този регламент („черна кутия“)?

Може ли това противоречие между правото на достъп по смисъла на член 15, параграф 1 от ОРЗД и правото на трети лиза на защита на данните да бъде разрешено, като необходимите за проверка на точността данни на трети лица, които също подлежат на същото профилиране, се разкриват само пред органа или съда, поради което органът или съдът е длъжен самостоятелно да провери дали разкритите данни на тези трети лица съответстват на фактите?

в) В случай на утвърдителен отговор: какви права трябва при всички положения да бъдат предоставени на лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД в случая, когато е необходимо да бъде гарантирана защитата на права на други лица по смисъла на член 15, параграф 4 от ОРЗД чрез въвеждането на посочената във въпрос 3, буква б) черна кутия?

Трябва ли в този случай на лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД при всички положения да се разкриват в псевдоанонимизирана форма данните на други лица, които е необходимо да бъдат разкрити, за да се даде възможност да се провери точността на вземането на решение от страна на администратора по смисъла на член 15, параграф 1 от ОРЗД?

4) a) Как следва да се процедира, когато информацията, която следва да се предостави по смисъла на член 15, параграф 1, буква з) от ОРЗД, отговаря и на изискванията за търговска тайна по смисъла на член 2, точка 1 от Директива [2016/943]?

Може ли противоречието между правото на достъп, гарантирано от член 15, параграф 1, буква з) от ОРЗД, и правото на неразкриване на търговска тайна, защитено с Директива 2016/943, да бъде разрешено, като информацията, която следва да бъде квалифицирана като търговска тайна по смисъла на член 2, точка 1 от Директива 2016/943, се разкрива само на органа или съда, поради което органът или съдът е длъжен самостоятелно да провери дали следва да се приеме, че е налице търговска тайна по смисъла на член 2, точка 1 от Директива 2016/943 и дали информацията, предоставена от администратора по смисъла на член 15, параграф 1 от ОРЗД, съответства на фактите?

4) б) В случай на утвърдителен отговор: какви права трябва при всички положения да бъдат предоставени на лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД в случая, когато е необходимо да бъде гарантирана защитата на права на други лица по смисъла на член 15, параграф 4 от ОРЗД чрез въвеждането на посочената във въпрос 4, буква а) черна кутия?

Трябва ли (и) в тази хипотеза на несъответствие между информацията, която следва да бъде разкрита на органа, съответно на съда, от една страна, и информацията, която следва да бъде разкрита на лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД, от друга страна, в случаите на профилиране при всички положения на лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД да се разкрива следната информация относно конкретното, отнасящо се до него обработване, за да му се даде възможност в пълен обхват да защити правата си, предоставени му от член 22, параграф 3 от ОРЗД:

– предаване на цялата евентуално псевдоанонимизирана информация, по-специално относно начина на обработването на данните на субекта на данните, които позволяват да се провери дали е спазен ОРЗД;

– предоставяне на разположение на входните данни, използвани за изготвяне на профилирането;

– параметрите и входните променливи, използвани при определянето на оценката;

– влиянието на тези параметри и входни променливи върху изчислената оценка;

– информацията относно формирането на параметрите, съответно на входните променливи;

– обяснение на причините, поради които лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД е било свързано с определен резултат от оценката, и представяне на свързания с тази оценка извод;

– изброяване на категориите профили и обяснение за това какъв извод от оценката е свързан с всяка една от категориите профили?

5) Ограничава ли разпоредбата на член 15, параграф 4 от ОРЗД по някакъв начин обхвата на достъпа, който следва да бъде предоставен съгласно член 15, параграф 1, буква з) от този регламент?

При утвърдителен отговор по какъв начин член 15, параграф 4 от ОРЗД ограничава това право на достъп и как следва да се определи обхватът на ограничението в съответния случай?

6) Съвместима ли е с условията по член 15, параграф 1 във връзка с член 22, параграф 3 от ОРЗД разпоредбата на член 4, параграф 6 от [DSG], съгласно която, „субектът на данните по принцип няма право да иска от администратора достъп до информация на основание на член 15 от ОРЗД, когато предоставянето на тази информация би застрашило поверителността на търговската или производствената тайна на администратора, съответно на трето лице? При утвърдителен отговор при какви условия е налице такава съвместимост?“.

Производството пред Съда

34 С решение от 8 декември 2022 г. председателят на Съда спира настоящото производство до произнасянето на решението, с което се слага край на производството по дело C‑634/21, SCHUFA Holding и др. (Scoring).

35 В съответствие с решението на председателя на Съда от 13 декември 2023 г. секретариатът на Съда уведомява запитващата юрисдикция за решение от 7 декември 2023 г., SCHUFA Holding и др. (Scoring) (C‑634/21, EU:C:2023:957), като я приканва да посочи дали с оглед на това решение поддържа преюдициалното си запитване.

36 С писмо, постъпило в секретариата на Съда на 29 януари 2024 г., тази юрисдикция посочва, че поддържа преюдициалното си запитване, тъй като решение от 7 декември 2023 г., SCHUFA Holding и др. (Scoring) (C‑634/21, EU:C:2023:957), не позволява да се отговори на въпросите, които е поставила в настоящото дело.

37 Поради това с решение от 14 февруари 2024 г. председателят на Съда разпорежда възобновяване на производството по настоящото дело.

По преюдициалните въпроси

По първия и втория въпрос и по третия въпрос, буква а)

38 С първия и втория въпрос, както и с третия въпрос, буква а), които следва да се разгледат заедно, запитващата юрисдикция иска по същество да се установи дали член 15, параграф 1, буква з) от ОРЗД трябва да се тълкува в смисъл, че в случай на автоматизирано вземане на решения, включително профилиране, по смисъла на член 22, параграф 1 от този регламент, субектът на данни може да изисква от администратора като „съществена информация относно използваната логика“ изчерпателно обяснение на процедурите и принципите, конкретно приложени за автоматизираното използване на свързаните с това лице лични данни с цел въз основа на тези данни да се получи определен резултат, като например кредитен профил.

39 Съгласно постоянната практика на Съда, за да се тълкува определена разпоредба от правото на Съюза, трябва да се вземат предвид не само нейният текст, но и контекстът ѝ, както и целите на правната уредба, от която тя е част (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 19 и цитираната съдебна практика).

40 Що се отнася, най-напред, до текста на член 15, параграф 1, буква з) от ОРЗД, важно е да се отбележи, от една страна, че значенията на понятието „съществена информация“ по смисъла на тази разпоредба в текстовете ѝ на различните езици се различават, като в някои от тях, подобно на текста на френски език, се дава предимство на функционалността („nuttige“ на нидерландски, „úteis“ на португалски език) или на релевантността („pertinente“ на румънски език) на информацията, която трябва да се предостави, докато в други се набляга повече на нейното значение („significativa“ на испански и „istotne“ на полски език). Накрая, както в текста на тази разпоредба на немски, така и на английски език, възприетият термин (съответно „aussagekräftig“ и „meaningful“) може да се разбира както като отнасящ се до добрата разбираемост на посочената информация, така и като отнасящ се до определено качество на тази информация.

41 Разнообразието на възприетите в текстовете на различните езици значения обаче трябва да се разбира в смисъл, че посочените в предходната точка значения се допълват, което следва да се вземе предвид при тълкуването на понятието „съществена информация относно използваната логика“ по смисъла на член 15, параграф 1, буква з) от ОРЗД, както по същество отбелязва генералният адвокат в точка 65 от заключението си.

42 От друга страна, с оглед на общата му формулировка позоваването в тази разпоредба на „използваната логика“ при автоматизираното вземане на решения, която е предметът на посочената „съществена информация“, може да обхване широк спектър от „логики“ за използването на лични данни и други данни с цел автоматизираното получаване на определен резултат. Това тълкуване се потвърждава от текстовете на посочената разпоредба на някои езици, в които се използват термини, които като допълнение се отнасят до различни аспекти на общото значение на понятието „логика“. Така например в текстовете на чешки и полски език се прави позоваване съответно на термините „postupu“ и „zasady“, които могат да бъдат преведени като „процедура“ и „принципи“.

43 Ето защо следва да се приеме, че текстът на член 15, параграф 1, буква з) от ОРЗД се отнася до всяка релевантна информация относно процедурата и принципите за автоматизирано използване на лични данни с цел постигането на определен резултат.

44 По-нататък, що се отнася до контекста, в който се вписва понятието „съществена информация относно използваната логика“, съдържащо се в член 15, параграф 1, буква з) от ОРЗД, важно е да се подчертае, на първо място, че тази информация е само част от информацията, до която се отнася предвиденото в този член право на достъп, като то се отнася и до информацията, свързана със значението и предвидените последствия от разглежданото обработване за субекта на данните.

45 Макар тази информация, която съгласно Насоките относно автоматизираното вземане на индивидуални решения и профилирането за целите на Регламент (ЕС) 2016/679, приети на 3 октомври 2017 г. от работната група, създадена с член 29 от Директива 95/46, в изменената им редакция, приета на 6 февруари 2018 г., за да е полезна и разбираема, трябва да бъде придружена от „реални и очевидни примери“, да не е предмет на поставените от запитващата юрисдикция въпроси, тя все пак следва да се вземе предвид като елемент от контекста, в който се вписва понятието „съществена информация относно използваната логика“.

46 На второ място, с оглед на факта, че понятието „съществена информация относно използваната логика“ се съдържа и в член 13, параграф 2, буква е) и в член 14, параграф 2, буква ж) от ОРЗД, Съдът вече е констатирал, че при автоматизирано вземане на решения по смисъла на член 22, параграф 1 от този регламент правото на достъп до такава информация, закрепено в член 15, параграф 1, буква з) от него, образува едно цяло с допълнителните задължения за предоставяне на информация, наложени на администратора по силата на член 13, параграф 2, буква е) и на член 14, параграф 2, буква ж) от ОРЗД (вж. в този смисъл решение от 7 декември 2023 г., SCHUFA Holding и др. (Scoring), C‑634/21, EU:C:2023:957, т. 56).

47 На трето място, както по същество посочва генералният адвокат в точки 58—60 от заключението си, при контекстуалното тълкуване на правата на достъп, предвидени в случай на автоматизирано вземане на решения, следва да се вземе предвид практиката на Съда относно изискванията, които администраторът трябва да спазва съгласно член 15, параграф 3 от ОРЗД.

48 Ето защо следва да се вземе предвид по-специално фактът, че изискването за прозрачност на предоставената информация, предвидено в член 12, параграф 1 от ОРЗД, се прилага за всички данни и информация, посочени в член 15, включително за тези, които са свързани с автоматизираното вземане на решения.

49 За да се гарантира, че субектът на данните е в състояние напълно да разбере информацията, предоставена му от администратора, посоченият член 12, параграф 1 задължава последния да предприеме подходящи мерки, по-специално за да предостави на субекта на данните тези данни и информация в кратка, прозрачна, разбираема и леснодостъпна форма, на ясен и прост език (вж. в този смисъл решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 38).

50 Така анализът на контекста, в който се вписва член 15, параграф 1, буква з) от ОРЗД, потвърждава тълкуването, което се извежда от анализа на текста на тази разпоредба, съгласно който „съществена информация относно използваната логика“ за автоматизираното вземане на решения по смисъла на тази разпоредба се отнася до всяка релевантна информация относно процедурата и принципите на използване на лични данни с цел автоматизираното получаване на определен резултат, като освен това задължението за прозрачност изисква тази информация да бъде предоставена в кратка, прозрачна, разбираема и леснодостъпна форма.

51 Накрая, що се отнася до целите на ОРЗД, следва да се припомни, че целта на този регламент е по-специално да се гарантира висока степен на защита на основните права и свободи на физическите лица, и по-специално на правото им на защита на личните данни, закрепено в член 16 ДФЕС и гарантирано като основно право в член 8 от Хартата, което допълва правото на личен живот, гарантирано в член 7 от нея (вж. в този смисъл решение от 4 октомври 2024 г., Schrems (Разкриване на данни на широката общественост), C‑446/21, EU:C:2024:834, т. 45 и цитираната съдебна практика).

52 Така, както впрочем се уточнява в съображение 11 от ОРЗД, целта на този регламент е да се укрепят и подробно да се опишат правата на субектите на данни (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 33 и цитираната съдебна практика).

53 Що се отнася по-специално до правото на достъп, предвидено в член 15 от ОРЗД, от практиката на Съда следва, че това право трябва да позволи на субекта на данните да провери дали свързаните с него лични данни са точни и дали се обработват законосъобразно (решения от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 34, и от 26 октомври 2023 г., FT (Копия от медицинското досие), C‑307/22, EU:C:2023:811, т. 73).

54 Това право на достъп е необходимо, за да може субектът на данните евентуално да упражни правото си на коригиране, правото си на изтриване (право „да бъдеш забравен“) и правото си на ограничаване на обработването, които са му признати съответно в членове 16, 17 и 18 от ОРЗД, правото си на възражение срещу обработване на неговите лични данни, предвидено в член 21 от ОРЗД, и правото си на иск и правото си на обезщетение, предвидени съответно в членове 79 и 82 от ОРЗД (вж. в този смисъл решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 35).

55 По-специално, в конкретния контекст на приемането на решение, основано изключително на автоматизирано обработване, основната цел на правото на субекта на данните да получи информацията, предвидена в член 15, параграф 1, буква з) от ОРЗД, се състои в това да му позволи да упражнява ефективно правата, признати му с член 22, параграф 3 от този регламент, а именно да изрази гледната си точка относно това решение и да го оспори.

56 Всъщност, ако лицата, засегнати от автоматизирано решение, включително профилиране, не са в състояние да разберат причините, довели до това решение, преди да изразят гледната си точка или да го оспорят, тези права не могат да изпълнят напълно целта си да защитят тези лица срещу конкретните рискове за техните права и свободи, произтичащи от автоматизираното обработване на техните лични данни (вж. в този смисъл решение от 7 декември 2023 г., SCHUFA Holding и др. (Scoring), C‑634/21, EU:C:2023:957, т. 57).

57 В това отношение от съображение 71 от ОРЗД следва, че когато субектът на данни е обект на решение, което е взето единствено въз основа на автоматизирано обработване и което го засяга значително, този субект на данни трябва да има право да получи обяснение за това решение. Следователно, както отбелязва генералният адвокат в точка 67 от заключението си, трябва да се приеме, че член 15, параграф 1, буква з) от ОРЗД предоставя на субекта на данните истинско право на обяснение относно функционирането на механизма, който е в основата на автоматизираното вземане на решение, на което този субект на данни е обект, и относно резултата, до който е довело това решение.

58 От анализа на целите на ОРЗД, и по-специално на целите на член 15, параграф 1, буква з) от него, следва, че правото да се получи „съществена информация относно използваната логика“ за автоматизираното вземане на решения по смисъла на тази разпоредба, трябва да се разбира като право на обяснение относно процедурата и принципите, конкретно приложени за автоматизираното използване на личните данни на субекта на данните с цел въз основа на тези данни да се получи определен резултат като например кредитен профил. За да се даде възможност на субекта на данните да упражни ефективно правата, които му признава ОРЗД, и по-специално член 22, параграф 3 от него, това обяснение трябва да бъде предоставено чрез релевантна информация и в кратка, прозрачна, разбираема и леснодостъпна форма.

59 На тези изисквания не може да отговори нито простото съобщаване на сложна математическа формула, като например алгоритъм, нито подробното описание на всички етапи на автоматизираното вземане на решения, доколкото никой от тези начини не представлява достатъчно кратко и разбираемо обяснение.

60 Всъщност, както следва от страница 28 от Насоките относно автоматизираното вземане на индивидуални решения и профилирането за целите на Регламент (ЕС) 2016/679, споменати в точка 45 от настоящото решение, от една страна, администраторът трябва да намери прости начини да информира субекта на данните за основанието за съществуване на автоматизираното решение или за критериите, на които то се основава. От друга страна, ОРЗД изисква посоченият администратор да предостави съществена информация относно използваната логика за това решение, „но не непременно сложно обяснение на използваните алгоритми или разкриване на пълния алгоритъм“.

61 Така „съществената информация относно използваната логика“ за автоматизираното вземане на решения по смисъла на член 15, параграф 1, буква з) от ОРЗД, трябва да описва конкретно прилаганите процедура и принципи по такъв начин, че субектът на данните да може да разбере кои от неговите лични данни са били използвани и по какъв начин при разглежданото автоматизирано вземане на решения, като сложността на операциите, които трябва да се извършат в рамките на автоматизирано вземане на решения, не може да освободи администратора от задължението му за обяснение.

62 Що се отнася конкретно до профилиране като разглежданото в главното производство, запитващата юрисдикция би могла по-специално да приеме за достатъчно прозрачно и разбираемо уведомяването на субекта на данните за степента, в която промяна по отношение на взетите предвид лични данни е щяла до доведе до различен резултат.

63 При това положение следва също да се уточни, че що се отнася до въпроса дали предоставената информация трябва да позволява на субекта на данните да провери точността на свързаните с него лични данни, на които се основава автоматизираното вземане на решения, правото на достъп до посочените данни попада не в обхвата на член 15, параграф 1, буква з) от ОРЗД, а на уводното изречение от същия параграф, което гарантира на субекта на данните, че може да се увери в точността на тези данни, както следва от цитираната в точка 53 от настоящото решение съдебна практика.

64 Накрая, що се отнася до твърдението на запитващата юрисдикция, че информацията, предоставена от D & B на CK на основание член 15, параграф 1, буква з) от ОРЗД, противоречи на фактите, тъй като „реалното“ профилиране довело до извода, че тя не е платежоспособна, въпреки че посочената информация подсказва обратното, следва да се отбележи, че ако според тази юрисдикция така установеното несъответствие се дължи на това, че D & B не е съобщило на СК за профилирането, извършено по отношение на нея за сметка на предприятието за мобилни телефонни услуги, което на това основание е отказало да сключи или поднови договор с нея, това несъответствие следва да бъде отстранено чрез правото на достъп до така изготвения кредитен профил. В това отношение от практиката на Съда следва, че генерираните от самия администратор лични данни попадат в приложното поле на член 14 от ОРЗД (вж. в този смисъл решение от 28 ноември 2024 г., Másdi, C‑169/23, EU:C:2024:988, т. 48).

65 За сметка на това обяснение на съществуващите разлики между резултата от такова „реално“ профилиране, ако се приеме за установено, и резултата, съобщен от D & B на CK и получен според това дружество чрез „придаване на еднаква тежест“ на данните, отнасящи се до CK, действително би попаднало в обхвата на „съществената информация относно използваната логика“ за така извършеното профилиране. Следователно в съответствие с отбелязаното в точка 58 от настоящото решение D & B би било длъжно да обясни накратко, прозрачно, разбираемо и леснодостъпно процедурата и принципите, въз основа на които е получен резултатът от „реалното“ профилиране.

66 От всичко изложено по-горе следва, че на първия и втория въпрос, както и на третия въпрос, буква а) следва да се отговори, че член 15, параграф 1, буква з) от ОРЗД трябва да се тълкува в смисъл, че при автоматизирано вземане на решения, включително профилиране, по смисъла на член 22, параграф 1 от този регламент, субектът на данни може да изисква от администратора като „съществена информация относно използваната логика“ последният да му обясни чрез релевантна информация и в кратка, прозрачна, разбираема и леснодостъпна форма процедурата и принципите, конкретно приложени за автоматизираното използване на свързаните с това лице лични данни с цел въз основа на тези данни да се получи определен резултат, като например кредитен профил.

По третия въпрос, букви б) и в), четвъртия въпрос, букви а) и б), както и по петия и шестия въпрос

67 С третия въпрос, букви б) и в), четвъртия въпрос, букви а) и б), както и с петия и шестия въпрос, които следва да се разгледат заедно, запитващата юрисдикция иска по същество да се установи дали член 15, параграф 1, буква з) от ОРЗД трябва да се тълкува в смисъл, че в хипотезата, в която администраторът счита, че информацията, която трябва да се предостави на субекта на данните съгласно тази разпоредба, съдържа защитени с този регламент данни на трети лица или търговски тайни по смисъла на член 2, точка 1 от Директива 2016/943, този администратор е длъжен да съобщи посочената информация, за която се твърди, че е защитена, на компетентния надзорен орган или съд, които трябва да претеглят съответните права и интереси, за да определят обхвата на правото на достъп на субекта на данните, предвидено в член 15 от ОРЗД.

68 В това отношение следва най-напред да се припомни, че съгласно съображение 4 от ОРЗД правото на защита на личните данни не е абсолютно право и трябва да бъде в равновесие с другите основни права в съответствие с принципа на пропорционалност. Така ОРЗД зачита всички основни права и спазва признатите в Хартата свободи и принципи, прогласени в Договорите (решение от 26 октомври 2023 г., FT (Копия от медицинското досие), C‑307/22, EU:C:2023:811, т. 59 и цитираната съдебна практика).

69 Освен това, в съображение 63 от този регламент се посочва, че правото на всеки субект на данни на достъп до събраните лични данни, които го засягат, не следва да влияе неблагоприятно върху правата или свободите на други лица, включително върху търговската тайна или интелектуалната собственост, и по-специално върху авторското право за защита на софтуера.

70 Тези съображения обаче не следва да представляват отказ за предоставяне на цялата информация на съответния субект на данни. Така член 23, параграф 1, буква и) от този регламент предвижда по същество, че ограничаване на обхвата на задълженията и правата, предвидени по-специално в член 15 от същия регламент, е възможно само ако подобно ограничение е съобразено със същността на основните права и свободи и представлява необходима и пропорционална мярка в едно демократично общество с цел да се гарантира защитата на правата и свободите на други лица.

71 По отношение на сродното право да се получи копие, закрепено в член 15, параграф 4 от ОРЗД, Съдът вече е отбелязал, че неговото прилагане не трябва да влияе неблагоприятно върху правата и свободите на други лица, включително върху търговската тайна или интелектуалната собственост, и по-специално върху авторското право за защита на софтуера (вж. в този смисъл решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 43).

72 В този контекст Съдът е отбелязал, че в случай на конфликт между упражняването на правото на пълен и цялостен достъп до лични данни, от една страна, и правата или свободите на други лица, от друга, трябва да се намери баланс между съответните права и свободи. Доколкото е възможно, трябва да се изберат начини за предоставяне на лични данни, които не нарушават правата или свободите на други лица, като се има предвид, че както е посочено в съображение 63 от ОРЗД, подобни съображения „не следва да представляват отказ за предоставяне на цялата информация на съответния субект на данни“ (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 44).

73 Що се отнася до въпроса как правото на достъп, закрепено в член 15, параграф 1, буква з) от ОРЗД, може да се прилага по начин, който зачита правата и свободите на други лица, следва да се припомни, че съгласно съдебната практика националният съд може да прецени, че личните данни на страните или на трети лица трябва да му бъдат съобщени, за да може да претегли съответните интереси при пълно познаване на фактите и при спазване на принципа на пропорционалност. След извършване на тази преценка той може евентуално да разреши пълното или частично разкриване на насрещната страна на поверените му лични данни, ако счита, че това разкриване не надхвърля необходимото за гарантиране на ефективното упражняване на правата, които правните субекти черпят от член 47 от Хартата (решение от 2 март 2023 г., Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, т. 58).

74 Както отбелязва генералният адвокат в точка 94 от заключението си, тази съдебна практика е напълно приложима в хипотезата, в която информацията, която трябва да се предостави на субекта на данните въз основа на правото на достъп, гарантирано с член 15, параграф 1, буква з) от ОРЗД, може да повлияе неблагоприятно върху правата и свободите на други лица, по-специално доколкото съдържа лични данни на трети лица, защитени с посочения регламент, или търговска тайна по смисъла на член 2, точка 1 от Директива 2016/943. И в тази хипотеза посочената информация трябва да бъде съобщена на компетентния надзорен орган или съд, които трябва да претеглят съответните права и интереси, за да определят обхвата на правото на достъп на субекта на данните до отнасящите се до него лични данни.

75 С оглед на необходимостта от такова определяне във всеки отделен случай член 15, параграф 1, буква з) от ОРЗД не допуска по-специално прилагането на разпоредба като член 4, параграф 6 от DSG, който изключва по принцип правото на достъп на субекта на данните, предвидено в член 15 от ОРЗД, когато този достъп би нарушил търговска или производствена тайна на администратора или на трето лице. В това отношение следва да се припомни, че държава членка не може да определя окончателно резултата от наложено от правото на Съюза претегляне във всеки отделен случай на съответните права и интереси (вж. в този смисъл решение от 7 декември 2023 г., SCHUFA Holding и др. (Scoring), C‑634/21, EU:C:2023:957, т. 70 и цитираната съдебна практика).

76 С оглед на всичко изложено по-горе на третия въпрос, букви б) и в), на четвъртия въпрос, букви а) и б), както и на петия и шестия въпрос следва да се отговори, че член 15, параграф 1, буква з) от ОРЗД трябва да се тълкува в смисъл, че в хипотезата, в която администраторът счита, че информацията, която трябва да се предостави на субекта на данните съгласно тази разпоредба, съдържа защитени с този регламент данни на трети лица или търговски тайни по смисъла на член 2, точка 1 от Директива 2016/943, този администратор е длъжен да съобщи тази информация, за която се твърди, че е защитена, на компетентния надзорен орган или съд, който трябва да претегли съответните права и интереси, за да определи обхвата на правото на достъп на субекта на данните, предвидено в член 15 от ОРЗД.

По съдебните разноски

77 С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (първи състав) реши:

1) Член 15, параграф 1, буква з) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните)

трябва да се тълкува в смисъл, че

при автоматизирано вземане на решения, включително профилиране, по смисъла на член 22, параграф 1 от този регламент, субектът на данни може да изисква от администратора като „съществена информация относно използваната логика“ последният да му обясни чрез релевантна информация и в кратка, прозрачна, разбираема и леснодостъпна форма процедурата и принципите, конкретно приложени за автоматизираното използване на свързаните с това лице лични данни с цел въз основа на тези данни да се получи определен резултат, като например кредитен профил.

2) Член 15, параграф 1, буква з) от Регламент 2016/679,

трябва да се тълкува в смисъл, че

в хипотезата, в която администраторът счита, че информацията, която трябва да се предостави на субекта на данните съгласно тази разпоредба, съдържа защитени с този регламент данни на трети лица или търговски тайни по смисъла на член 2, точка 1 от Директива (ЕС) 2016/943 от 8 юни 2016 година относно защитата на неразкрити ноу-хау и търговска информация (търговски тайни) срещу тяхното незаконно придобиване, използване и разкриване, този администратор е длъжен да съобщи тази информация, за която се твърди, че е защитена, на компетентния надзорен орган или съд, който трябва да претегли съответните права и интереси, за да определи обхвата на правото на достъп на субекта на данните, предвидено в член 15 от този регламент.

Подписи

( *1 ) Език на производството: немски.