Решение от 09.01.2025 по дело C-0394/2023 на СЕС

Относно законосъобразността на обработването на лични данни за формата на обръщение към клиентите на транспортно предприятие

Кратко резюме на спора

Делото е образувано по преюдициално запитване от френския Conseil d’État относно тълкуването на ОРЗД във връзка със събирането и обработването...
Абонирайте се, за да прочетете резюмето на спора.

РЕШЕНИЕ НА СЪДА (първи състав)

9 януари 2025 година ( *1 )

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 5, параграф 1, буква в) — Свеждане на данните до минимум — Член 6, параграф 1 — Законосъобразност на обработването — Данни за формата на обръщение и половата идентичност — Онлайн продажба на превозни документи — Член 21 — Право на възражение“

По дело C‑394/23

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Conseil d’État (Държавен съвет, Франция) с акт от 21 юни 2023 г., постъпил в Съда на 28 юни 2023 г., в рамките на производство по дело

Mousse

срещу

Commission nationale de l’informatique et des libertés (CNIL),

SNCF Connect

СЪДЪТ (първи състав),

състоящ се от: K. Lenaerts, председател на Съда, изпълняващ функцията на председател на първи състав, T. von Danwitz (докладчик), заместник-председател на Съда, M. L. Arastey Sahún, A. Kumin и I. Ziemele, съдии,

генерален адвокат: M. Szpunar,

секретар: I. Illéssy, администратор,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 29 април 2024 г.,

като има предвид становищата, представени:

– за Mousse, от E. Deshoulières, avocat, Y. El Kaddouri, J. Heymans и D. Holemans, advocaten,

– за SNCF Connect, от E. Drouard, J.‑J. Gatineau и A. Ligot, avocats,

– за френското правителство, от R. Bénard, B. Dourthe и B. Fodda, в качеството на представители,

– за Европейската комисия, от A. Bouchagiar и H. Kranenborg, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 11 юли 2024 г.,

постанови настоящото

Решение

1 Преюдициалното запитване се отнася до тълкуването на член 5, параграф 1, буква в), на член 6, параграф 1, първа алинея, букви б) и е), както и на член 21 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1; наричан по-нататък „ОРЗД“).

2 Запитването е отправено в рамките на спор между сдружението Mousse и Commission nationale de l’informatique et des libertés (Национална комисия по информационни технологии и свободи) (CNIL) (Франция) по повод отхвърлянето от последната на жалбата на Mousse по административен ред във връзка с обработването от дружеството SNCF Connect на данни относно формата на обръщение към неговите клиенти при онлайн продажбата на превозни документи.

Правна уредба

Правото на Съюза

ОРЗД

3 Съображения 1, 4, 10, 47 и 75 от ОРЗД гласят:

„(1)

Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 [ДФЕС] предвиждат, че всеки има право на защита на личните му данни.

[…] (4) Обработването на лични данни следва да е предназначено да служи на човечеството. Правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност. Настоящият регламент е съобразен с всички основни права и в него се спазват свободите и принципите, признати от Хартата, както са залегнали в Договорите, и по-специално зачитането на личния и семейния живот, дома и комуникациите, защитата на личните данни, свободата на мисълта, съвестта и религията, свободата на изразяване на мнение и свободата на информацията, свободата на стопанската инициатива, правото на ефективни правни средства за защита и на справедлив съдебен процес, както и културното, религиозното и езиковото многообразие.

[…] (10)

За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в Съюза, нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. […]

[…] (47)

Законните интереси на даден администратор, включително на администратор, пред когото може да бъдат разкрити лични данни, или на трета страна могат да предоставят правно основание за обработването, при условие че интересите или основните права и свободи на съответния субект на данни нямат преимущество, като се вземат предвид основателните очаквания на субектите на данни въз основа на техните взаимоотношения с администратора. Такъв законен интерес може да е налице, когато например между субекта на данни и администратора на лични данни съществува съответното определено взаимоотношение, например когато субектът на данни е клиент или подчинен на администратора на лични данни. При всички случаи, за установяването на законен интерес би била необходима внимателна преценка, включително дали субектът на данни може по времето и в контекста на събирането на данни основателно да очаква, че може да се осъществи обработване на личните данни за тази цел. […] Обработването на лични данни, строго необходимо за целите на предотвратяването на измами, също представлява законен интерес на съответния администратор на данни. Обработването на лични данни за целите на директния маркетинг може да се разглежда като осъществявано поради законен интерес.

[…] (75)

Рискът за правата и свободите на физическите лица, с различна вероятност и тежест, може да произтича от обработване на лични данни, което би могло да доведе до физически, материални или нематериални вреди, по-специално когато обработването може да породи дискриминация […]“.

4 Член 1, параграф 2 от този регламент, озаглавен „Предмет и цели“, гласи:

„С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни“.

5 Член 2, параграф 1 от въпросния регламент гласи:

„Настоящият регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни“.

6 Член 4 от този регламент, озаглавен „Определения“, гласи:

„За целите на настоящия регламент:

1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано […];

2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, […];

[…] 7) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни […];

[…] 11) „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

[…]“.

7 Член 5 от ОРЗД е озаглавен „Принципи, свързани с обработването на лични данни“ и предвижда:

„1.Личните данни са:

a) обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

[…] в) подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

[…]“.

8 Член 6 от този регламент, озаглавен „Законосъобразност на обработването“, предвижда в параграф 1:

„Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

a) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

[…] 9 Член 13 от посочения регламент, озаглавен „Информация, предоставяна при събиране на лични данни от субекта на данните“, предвижда:

„1.Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:

[…] в) целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

г) когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;

[…]“.

10 Член 21 от същия регламент е озаглавен „Право на възражение“ и параграф 1 от него предвижда:

„Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции“.

Директива 2004/113/ЕО

11 Съгласно член 1 от Директива 2004/113/ЕО на Съвета от 13 декември 2004 година относно прилагане на принципа на равното третиране на мъжете и жените по отношение на достъпа до стоки и услуги и предоставянето на стоки и услуги (ОВ L 373, 2004 г., стр. 37; Специално издание на български език, 2007 г., глава 5, том 7, стр. 135) нейната цел е да установи рамките за борба срещу дискриминацията, основана на пола, по отношение на достъпа до стоки и услуги и предоставянето на стоки и услуги, с оглед на прилагането в държавите членки на принципа на равното третиране на мъжете и жените.

Френското право

12 Член 8 от Loi no 78‑17 relative à l’informatique, aux fichiers et aux libertés (Закон № 78‑17 за информационните технологии, компютърните файлове и гражданските свободи) (JORF от 7 януари 1978 г., стр. 227) в редакцията му, приложима към спора в главното производство, гласи:

„I A. [CNIL] е независим административен орган.

I. Тя е националният надзорен орган по смисъла и за целите на прилагането на [ОРЗД]. Тя изпълнява следните задачи:

[…] 2° Гарантира, че обработването на лични данни се извършва в съответствие с разпоредбите на настоящия закон и другите разпоредби относно защитата на личните данни, предвидени в законовите и подзаконовите актове, правото на [Съюза] и международните ангажименти на [Френската република].

Във връзка с това:

[…] d) Тя разглежда жалбите, петициите и оплакванията, подадени от субект на данни или от структура, организация или сдружение, разглежда или разследва предмета на жалбата, доколкото това е целесъобразно, и информира жалбоподателя за напредъка и за резултатите от разследването в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган; […]“.

Спорът в главното производство и преюдициалните въпроси

13 SNCF Connect продава превозни документи за железопътен транспорт, като например билети за влак, абонаментни карти и карти за отстъпка през своя уебсайт и онлайн приложения. Клиентите на това предприятие са задължени да посочат формата на обръщение към тях, като поставят отметка на обозначението „господин“ или „госпожа“, когато купуват посочените превозни документи на този уебсайт или в тези онлайн приложения.

14 Тъй като счита, че условията за събиране и записване на данните, свързани с формата на обръщение към тези клиенти, не отговарят на изискванията на ОРЗД, Mousse сезира CNIL с жалба по административен ред срещу SNCF Connect. В подкрепа на тази жалба Mousse изтъква, че събирането на посочените данни не съответства на принципа на законосъобразност, закрепен в член 5, параграф 1, буква а) от ОРЗД, тъй като не почива на нито едно от основанията, предвидени в член 6, параграф 1 от него. Освен това подобно събиране нарушавало принципа на свеждане на данните до минимум, посочен в член 5, параграф 1, буква в) от ОРЗД, както и по-специално задълженията за прозрачност и предоставяне на информация, произтичащи от член 13 от ОРЗД.

15 С решение от 23 март 2021 г. CNIL приема, че деянията, в които е упрекнато SNCF Connect, не представляват нарушения на посочените разпоредби на ОРЗД и че производството по разглеждане на посочената жалба по административен ред следва да бъде прекратено. В подкрепа на това решениe CNIL констатира, че съгласно член 6, параграф 1, буква б) от ОРЗД разглежданото в главното производство обработване на данните е законосъобразно, тъй като е необходимо за изпълнението на съответния договор за предоставяне на транспортни услуги. Освен това CNIL отбелязва, че с оглед на преследваните с него цели това обработване е в съответствие с принципа на свеждане на данните до минимум, тъй като персонализираното обръщане към клиентите чрез използване на формата на обръщение към тях съответства на възприетите практики в областта на търговските, гражданските и административните комуникации.

16 На 21 май 2021 г. Mousse подава жалба за отмяна на решението на CNIL пред Conseil d’État (Държавен съвет, Франция), който е запитващата юрисдикция. В жалбата си Mousse изтъква по-специално, че задължението да се постави отметка на обозначенията „господин“ или „госпожа“ при извършване на онлайн покупка не отговаря на принципа за законосъобразност, закрепен в член 5, параграф 1, буква a) от ОРЗД, нито на принципа на свеждане на данните до минимум, посочен в член 5, параграф 1, буква в) от същия регламент, тъй като тези обозначения не са необходими за изпълнението на договор за предоставяне на транспортни услуги, нито за целите на легитимните интереси на SNCF Connect. Фактът, че обозначения от това естество се използват в търговската кореспонденция, не е достатъчен, за да направи необходимо такова задължение. Накрая, по естеството си такова задължение можело да наруши правото на пътуване без разкриване на формата на обръщение, правото на зачитане на личния живот, както и свободата на свободно изразяване на половата принадлежност и пораждало опасност от дискриминация. Що се отнася до гражданите на държави, чието гражданско състояние допуска „неутрален пол“, тези обозначения не съответствали на действителността и можели да накърнят по-специално свободата им на движение, гарантирана от правото на Съюза.

17 CNIL иска жалбата да бъде отхвърлена, като изтъква, че обработването на данни относно формата на обръщение можело да се квалифицира и като необходимо за целите на легитимните интереси на SNCF Connect съгласно член 6, точка 1, първа алинея, буква е) от ОРЗД и че субектите на данни — с оглед на конкретната им ситуация — можели да упражнят правото на възражение, гарантирано с член 21 от този регламент.

18 В този контекст запитващата юрисдикция иска по-специално да се установи дали, за да се прецени необходимостта от разглежданото в главното производство обработване на данни, може да се вземат предвид възприетите практики в търговските, гражданските и административните комуникации, така че да е възможно събирането на данни за формата на обръщение към клиентите, ограничено до обозначенията „господин“ или „госпожа“, да бъде законосъобразно и в съответствие с принципа за свеждане на данните до минимум. Тази юрисдикция иска да се установи освен това дали, за да се прецени необходимостта от това задължително събиране и последващото обработване на данни относно формата на обръщение към клиентите — и при положение че някои клиенти считат, че не попадат в нито една от двете форми на обръщение — следва да се вземе предвид, че тези клиенти биха могли, след като предоставят тези данни на администратора, за да се ползват от предлаганата услуга, да упражнят правото си на възражение срещу тяхното използване на основания, свързани с конкретната им ситуация по смисъла на член 21 от ОРЗД.

19 При тези обстоятелства Conseil d’État (Държавен съвет) решава да спре производството и да отправи до Съда следните преюдициални въпроси:

„1) За да се прецени доколко събирането на данни е подходящо, свързано със и ограничено до необходимото по смисъла на разпоредбите на [член 5, параграф 1, буква в) от ОРЗД] и необходимостта от обработването на тези данни по смисъла на [член 6, параграф 1, букви б) и е) от ОРЗД], могат ли да се вземат предвид общоприетите практики в областта на гражданските, търговските и административните комуникации, така че събирането на данни относно формата на обръщение към клиентите, ограничено до обозначенията „господин“ или „госпожа“, може да се счита за необходимо, без това да се изключва от принципа на свеждане на данните до минимум?

2) За да се прецени необходимостта от задължителното събиране и обработване на данни относно формата на обръщение към клиентите — и при положение че някои клиенти считат, че не попадат в нито една от двете форми на обръщение и че събирането на тези данни не е релевантно по отношение на тях — следва ли да се вземе предвид, че тези клиенти биха могли, след като предоставят тези данни на администратора, за да се ползват от предлаганата услуга, да упражнят правото си на възражение срещу тяхното използване и съхраняване като се позоват на конкретната си ситуация в съответствие с член 21 от ОРЗД?“.

По преюдициалните въпроси

По първия въпрос

20 С първия си въпрос запитващата юрисдикция иска по същество да се установи дали член 6, параграф 1, първа алинея, букви б) и е) от ОРЗД, разглеждан във връзка с член 5, параграф 1, буква в) от този регламент, трябва да се тълкува в смисъл, че обработването на лични данни за формата на обръщение на клиентите на транспортно предприятие с цел персонализиране на търговската комуникация, основано на половата им идентичност, може да се счита за необходимо за изпълнението на договор по смисъла на посочената буква б) или за целите на легитимните интереси на администратора или на трета страна по смисъла на посочената буква е).

Предварителни бележки

21 В самото начало следва да се припомни, че преследваната с ОРЗД цел, както следва от член 1 и от съображения 1 и 10 от този регламент, е по-специално да се гарантира високо ниво на защита на основните права и свободи на физическите лица, и в частност на правото им на личен живот във връзка обработването на лични данни, закрепено в член 8, параграф 1 от Хартата и в член 16, параграф 1 ДФЕС (решение от 4 октомври 2024 г., Schrems (Разкриване на данни на широката общественост), C‑446/21, EU:C:2024:834, т. 45 и цитираната съдебна практика).

22 В съответствие с тази цел всяко обработване на лични данни трябва по-конкретно да е в съответствие с принципите за обработване на такива данни, прогласени в член 5 от този регламент, и да отговаря на изискванията за законосъобразност, изброени в член 6 от същия (решение от 4 октомври 2024 г., Koninklijke Nederlandse Lawn Tennisbond, C‑621/22, EU:C:2024:857, т. 27 и цитираната съдебна практика).

23 Член 5, параграф 1, буква а) от ОРЗД предвижда, че личните данни трябва да се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.

24 Съгласно член 5, параграф 1, буква в) от този регламент, в който е закрепен принципът за свеждане на данните до минимум, тези данни трябва да са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват. Този принцип е израз на принципа на пропорционалност (вж. в този смисъл решение от 4 октомври 2024 г., Schrems (Разкриване на данни на широката общественост), C‑446/21, EU:C:2024:834, т. 49 и 50 и цитираната съдебна практика).

25 Що се отнася до условията за законосъобразност на обработването, както е постановил Съдът, член 6, параграф 1, първа алинея от ОРЗД съдържа изчерпателен списък на случаите, в които обработването на лични данни може да се счита за законосъобразно. Ето защо, за да се счита за законосъобразно, обработването трябва да попада в някой от случаите, предвидени в тази разпоредба (решение от 4 октомври 2024 г., Koninklijke Nederlandse Lawn Tennisbond, C‑621/22, EU:C:2024:857, т. 29 и цитираната съдебна практика).

26 Съгласно член 6, параграф 1, първа алинея, буква а) от ОРЗД обработването на лични данни е законосъобразно, ако и доколкото субектът на данните е дал съгласие за това за една или повече конкретни цели. Когато липсва такова съгласие или когато съгласието не е свободно изразено, конкретно, информирано и недвусмислено по смисъла на член 4, точка 11 от този регламент, подобно обработване все пак е обосновано, ако отговаря на някое от изискванията за необходимост, упоменати в член 6, параграф 1, първа алинея, букви б)—е) от посочения регламент (вж. в този смисъл решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 91 и 92).

27 В този контекст, доколкото могат да доведат до законосъобразност на обработването на лични данни, извършено без съгласието на субекта на данни, предвидените в последната разпоредба основания трябва да са предмет на стриктно тълкуване (решение от 4 октомври 2024 г., Koninklijke Nederlandse Lawn Tennisbond, C‑621/22, EU:C:2024:857, т. 31 и цитираната съдебна практика).

28 По-нататък, както е постановил Съдът, когато е възможно да се констатира, че дадено обработване на лични данни е необходимо с оглед на едно от основанията, предвидени в член 6, параграф 1, първа алинея, букви б)—е) от ОРЗД, не се налага да се проверява дали това обработване попада в обхвата и на друго от тези основания. В това отношение следва да се уточни, че отнасящото се до възприетата обосновка изискване за необходимост не е изпълнено, когато преследваната с това обработване на данни цел би могла разумно да се постигне по също толкова ефикасен начин с други средства, които засягат в по-малка степен основните права на субектите на данни, и по-специално правата на зачитане на личния живот и на защита на личните данни, гарантирани в членове 7 и 8 от Хартата, като изключенията и ограниченията на принципа на защита на такива данни трябва да се въвеждат в границите на строго необходимото (вж. в този смисъл решения от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 110 и цитираната съдебна практика, и от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 94).

29 Накрая следва да се уточни, че съгласно член 13, параграф 1, буква в) от ОРЗД, когато лични данни се събират от субекта на данните, администраторът трябва да го информира за целите на обработването, за което личните данни са предназначени, както и за правното основание за обработването (решение от 4 октомври 2024 г., Koninklijke Nederlandse Lawn Tennisbond,C‑621/22, EU:C:2024:857, т. 33 и цитираната съдебна практика).

30 В настоящия случай следва да се отбележи, че не се оспорва, че формата на обръщение, която съответства на идентичност от мъжки или женски пол, може да се квалифицира като „лични данни“, когато се отнася до идентифицирано лице по смисъла на член 4, точка 1 от ОРЗД, и че тези данни са предмет на „обработване“ по смисъла на член 4, точка 2 от ОРЗД, доколкото се събират и записват от SNCF Connect в контекста на онлайн продажбата на превозни документи. Следователно това обработване, което е и автоматизирано, попада в материалното приложно поле на посочения регламент по силата на член 2, параграф 1 от него.

31 Освен това поставеният от запитващата юрисдикция въпрос почива на две схващания, а именно, от една страна, че разглежданото в главното производство обработване на данни се извършва без съгласието на субектите на данни по смисъла на член 4, точка 11 и на член 6, параграф 1, първа алинея, буква а) от ОРЗД, и от друга страна, че това обработване не е необходимо за спазването на законово задължение, което се прилага спрямо администратора по смисъла на член 6, параграф 1, първа алинея, буква в) от ОРЗД. Следователно поставеният въпрос се отнася изключително до възможността за позоваване на основанията, посочени в член 6, параграф 1, първа алинея, букви б) и е) от ОРЗД, в контекста на разглежданото в главното производство обработване на данни.

По член 6, параграф 1, първа алинея, буква б) от ОРЗД

32 Член 6, параграф 1, първа алинея, буква б) от ОРЗД предвижда, че обработването на лични данни е законосъобразно, ако е „необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор“.

33 В тази насока, за да се счита за необходимо за изпълнението на договор по смисъла на тази разпоредба, обработването на лични данни трябва да е обективно необходимо за постигането на цел, която е неразделна част от предназначената за субекта на данни договорна престация. Ето защо администраторът трябва да може да докаже доколко основната цел на този договор не би могла да бъде постигната без посоченото обработване (решение от 12 септември 2024 г., HTB Neunte Immobilien Portfolio и Ökorenta Neue Energien Ökostabil IV, C‑17/22 и C‑18/22, EU:C:2024:738, т. 43 и цитираната съдебна практика).

34 В този аспект фактът, че такова обработване е споменато в договора или че е от полза единствено за изпълнението му, сам по себе си е ирелевантен. Всъщност определящо за прилагането на основанието по член 6, параграф 1, първа алинея, буква б) от ОРЗД е, че обработването на лични данни от администратора е съществено за точното изпълнение на договора, сключен между него и субекта на данни, и че следователно не съществуват възможни алтернативни варианти, при които намесата е по-слаба (решение от 12 септември 2024 г., HTB Neunte Immobilien Portfolio и Ökorenta Neue Energien Ökostabil IV, C‑17/22 и C‑18/22, EU:C:2024:738, т. 44 и цитираната съдебна практика).

35 В този контекст, когато предмет на договора са няколко услуги или няколко отделни елемента от една и съща услуга, които могат да бъдат изпълнени независимо едни от други, приложимостта на член 6, параграф 1, първа алинея, буква б) от ОРЗД трябва да се преценява за всяка от тези услуги поотделно (решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 100).

36 В случая е безспорно, че основаната цел на разглеждания в главното производство договор е доставката на клиентите на услуга по железопътен транспорт. Според запитващата юрисдикция разглежданото в главното производство обработване на данни има за цел персонализирането на търговската комуникация спрямо клиента при спазване на общоприетите практики в тази област.

37 Както по същество отбелязва генералният адвокат в точка 42 от заключението си, търговската комуникация може да представлява цел, която е неразделна част от съответната договорна услуга, тъй като предоставянето на такава услуга по железопътен транспорт по принцип предполага осъществяване на контакт с клиента по-специално с цел да му се предаде превозен документ по електронен път, да бъде информиран за евентуални промени, засягащи съответното пътуване, както и да се даде възможност за комуникация с центъра за следпродажбено обслужване. Тази комуникация може да изисква спазването на обичайната практика и да включва по-специално учтиви форми, за да се покаже уважението на съответното предприятие към неговия клиент и по този начин да се запази имиджът на това предприятие.

38 Изглежда обаче, че тази комуникация не трябва непременно да бъде персонализирана в зависимост от половата идентичност на съответния клиент. Всъщност съгласно съдебната практика персонализирането на съдържание не изглежда необходимо за предлагането на услуги на клиент, когато тези услуги евентуално могат да му бъдат предоставени под формата на равностойна алтернатива, която не включва такова персонализиране, така че последното не е обективно необходимо за постигането на цел, която е неразделна част от посочените услуги (вж. в този смисъл решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 102).

39 Що се отнася до разглежданите в главното производство услуги, персонализирането на търговската комуникация, основано на предполагаема полова идентичност в зависимост от формата на обръщение, не изглежда нито обективно необходимо, нито съществено за точното изпълнение на съответния договор по смисъла на съдебната практика, припомнена в точки 33 и 34 от настоящото решение.

40 Всъщност изглежда, че съществува възможен алтернативен вариант, при който намесата е по-слаба, тъй като по отношение на клиенти, които не желаят да посочат формата на обръщение към тях, или по принцип съответното предприятие би могло да избере комуникация, основана на общи, приобщаващи и несвързани с предполагаемата полова идентичност на клиентите учтиви форми. Освен това, както отбелязва генералният адвокат в точки 49 и 50 от заключението си, изглежда — освен ако запитващата юрисдикция не установи друго — че SNCF Connect вече използва такива форми и че освен това посочването на неточна форма на обръщение е без значение за предоставянето на съответните транспортни услуги, което потвърждава, че разглежданото в главното производство обработване на данни не е обективно необходимо за изпълнението на основната цел на договора.

41 В този контекст следва също да се уточни, че в съдебното заседание SNCF Connect изтъква, че разглежданото в главното производство обработване на данни преследва втора цел, а именно адаптиране на транспортните услуги за нощните влакове, включващи запазени за лица със същата полова идентичност вагони, и за подпомагане на пътниците с увреждания. Според SNCF Connect тази цел за адаптиране на транспортните услуги може да изисква познаване на половата идентичност на съответните клиенти.

42 Тази втора цел обаче не може да обоснове системното и всеобщо обработване на данните за формата на обръщение към всички клиенти на съответното предприятие, включително клиентите, които пътуват през деня и нямат увреждания. Всъщност такова обработване би било непропорционално и поради това в противоречие с принципа на свеждане на данните до минимум, припомнен в точка 24 от настоящото решение, след като е можело да се ограничи до данните за половата самоличност само на клиентите, които желаят да пътуват с нощен влак или да получат персонализирана помощ поради увреждане.

43 Така член 6, параграф 1, първа алинея, буква б) във връзка с член 5, параграф 1, буква в) от ОРЗД трябва да се тълкува в смисъл, че обработването на лични данни за формата на обръщение към клиентите на транспортно предприятие с цел персонализиране на търговската комуникация въз основа на половата им идентичност, не изглежда нито обективно необходимо, нито съществено за точното изпълнение на даден договор и следователно не може да се счита за необходимо за изпълнението на този договор.

По член 6, параграф 1, първа алинея, буква е) от ОРЗД

44 Член 6, параграф 1, първа алинея, буква е) от ОРЗД предвижда, че обработването на лични данни е законосъобразно, ако е „необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете“.

45 Съгласно постоянната съдебна практика тази разпоредба предвижда три кумулативни условия, за да бъде посоченото в нея обработване на лични данни законосъобразно, а именно, първо, администраторът или третата страна да преследва легитимен интерес, второ, обработването на личните данни да е необходимо за целите на преследвания легитимен интерес, и трето, интересите или основните права и свободи на лицето, ползващо се от защитата на данните, да нямат преимущество пред легитимния интерес на администратора или на трета страна (решения от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 106, и от 4 октомври 2024 г., Koninklijke Nederlandse Lawn Tennisbond,C‑621/22, EU:C:2024:857, т. 37).

46 Що се отнася, първо, до условието за преследване на законен интерес, следва да се уточни, че съгласно член 13, параграф 1, буква г) от ОРЗД администраторът трябва в момента, в който свързаните с даден субект на данни лични данни се събират от субекта на данните, да му посочи преследваните легитимни интереси, когато това обработване се извършва въз основа на член 6, параграф 1, първа алинея, буква е) от този регламент. При липсата на определение на понятието „легитимен интерес“ в ОРЗД, широк кръг от интереси по принцип могат да се считат за легитимни. По-специално това понятие не се ограничава до интересите, закрепени и определени в закон (вж. в този смисъл решения от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 107, и от 4 октомври 2024 г., Koninklijke Nederlandse Lawn Tennisbond,C‑621/22, EU:C:2024:857, т. 38, 40 и 41 и цитираната съдебна практика).

47 Така от съображение 47 от ОРЗД следва, че такъв законен интерес може да е налице, когато например между субекта на данни и администратора на лични данни съществува съответното определено взаимоотношение, например когато субектът на данни е клиент на администратора на лични данни.

48 Що се отнася, второ, до условието обработването на лични данни да е необходимо за целите на преследвания легитимен интерес, и с оглед на съдебната практика, припомнена в точка 28 от настоящото решение, запитващата юрисдикция трябва да провери дали преследваният легитимен интерес от обработването на данните не може разумно да се постигне по също толкова ефикасен начин с други средства, които засягат в по-малка степен основните права и свободи на субектите на данни, тъй като такова обработване трябва да се извършва в границите на строго необходимото за целите на този легитимен интерес.

49 В този контекст следва да се припомни също, че условието обработването да е необходимо, трябва да се разглежда заедно с принципа за свеждане на данните до минимум, прогласен в член 5, параграф 1, буква в) от ОРЗД, според който личните данни трябва да бъдат подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват (решение от 12 септември 2024 г., HTB Neunte Immobilien Portfolio и Ökorenta Neue Energien Ökostabil IV, C‑17/22 и C‑18/22, EU:C:2024:738, т. 52 и цитираната съдебна практика).

50 Накрая, що се отнася, трето, до условието интересите или основните права и свободи на лицето, ползващо се от защитата на данните, да нямат преимущество пред легитимния интерес на администратора или на трета страна, Съдът е постановил, че това условие предполага претегляне на съответните противоположни права и интереси, което по принцип зависи от конкретните обстоятелства в отделния случай, и че следователно съответната запитваща юрисдикция следва да направи такова претегляне, като отчете тези специфични обстоятелства. Както следва от съображение 47 от ОРЗД, интересите и основните права на субекта на данни могат по-конкретно да имат преимущество пред интереса на администратора, когато личните данни се обработват при обстоятелства, при които субектите на данни основателно не очакват такова обработване (вж. в този смисъл решение от 12 септември 2024 г., HTB Neunte Immobilien Portfolio и Ökorenta Neue Energien Ökostabil IV, C‑17/22 и C‑18/22, EU:C:2024:738, т. 53 и 54 и цитираната съдебна практика).

51 В случая, въпреки че в крайна сметка запитващата юрисдикция трябва да прецени дали по отношение на разглежданото в главното производство обработване на лични данни са изпълнени трите условия, припомнени в точка 45 от настоящото решение, когато се произнася по преюдициалното запитване, Съдът може в решението си да даде пояснения с цел да насочи тази юрисдикция при произнасянето ѝ (вж. по аналогия решение от 12 септември 2024 г., HTB Neunte Immobilien Portfolio и Ökorenta Neue Energien Ökostabil IV, C‑17/22 и C‑18/22, EU:C:2024:738, т. 55 и цитираната съдебна практика).

52 Що се отнася до първото условие, посочено в точка 46 от настоящото решение, запитващата юрисдикция следва да провери дали в съответствие с член 13, параграф 1, буква г) от ОРЗД SNCF Connect е посочило легитимен интерес на клиентите си на етапа на разглежданото в главното производство събиране на данни. Както отбелязва генералният адвокат в точка 58 от заключението си, тази разпоредба изисква субектите на данни да бъдат пряко информирани за преследвания легитимен интерес в момента на това събиране, като в противен случай събирането не може да бъде обосновано с член 6, параграф 1, първа алинея, буква е) от този регламент. Преписката, с която разполага Съдът, не позволява да се прецени дали това изискване е било спазено в рамките на главното производство.

53 В този контекст следва да се уточни, че в писменото си становище SNCF Connect се позовава на цел за директен търговски маркетинг, която може да изисква персонализиране на комуникацията, а оттам и на разглежданото в главното производство обработване на данни.

54 В това отношение съгласно съображение 47, последно изречение от ОРЗД обработването на лични данни за целите на директния маркетинг може да се разглежда като осъществявано поради легитимен интерес. По-специално персонализирането на рекламата може да се приравни на директен търговски маркетинг в такъв контекст (вж. по аналогия решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 115).

55 Що се отнася до второто условие, посочено в точка 48 от настоящото решение, изглежда — което запитващата юрисдикция трябва да провери — че персонализирането на търговската комуникация може да се ограничи до обработването на личните и фамилните имена на клиентите, тъй като формата на обръщение към тях и/или тяхната полова идентичност е информация, която не изглежда абсолютно необходима в този контекст, по-специално в светлината на принципа за свеждане на данните до минимум.

56 В съответните си писмени становища SNCF Connect и френското правителство изтъкват, че за да се прецени необходимостта от обработване на лични данни, следва да се вземат предвид специфичните за всяка държава членка обичайни практики и социални норми, по-специално за да се запази езиковото и културното многообразие, посочено в съображение 4 от ОРЗД. Следва обаче да се отбележи, от една страна, че член 6, параграф 1, първа алинея, буква е) от ОРЗД не предвижда отчитането на обичайните практики и социалните норми, за да се прецени необходимостта от такова обработване, с уточнението, че този член трябва да се тълкува ограничително, както бе припомнено в точка 27 от настоящото решение.

57 От друга страна, липсата на обработване на данни, свързани с формата на обръщение или половата идентичност на съответните клиенти, не изглежда да е от естество да засегне това многообразие. Всъщност, както следва от точка 40 от настоящото решение, администраторът може да спазва тези обичайни практики и социални норми, като използва по отношение на клиентите, които не желаят да посочат формата на обръщение към тях, или по принцип, общи, приобщаващи и несвързани с предполагаемата полова идентичност на тези клиенти учтиви форми, така че развитите от SNCF Connect и от френското правителство доводи при всички положения не могат да бъдат приети.

58 Що се отнася до третото условие, посочено в точка 50 от настоящото решение, и до претеглянето на съответните противоположни права и интереси, а именно на администратора, от една страна, и на субекта на данните, от друга, е важно да се вземат предвид по-специално основателните очаквания на субекта на данни, както и обхватът на съответното обработване и отражението му върху този субект (вж. решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 116).

59 Както по същество отбелязва генералният адвокат в точка 70 от заключението си, освен ако запитващата юрисдикция не установи друго, клиентът на транспортно предприятие не следва да очаква това предприятие да обработва данни за формата на обръщение към него или неговата полова идентичност в контекста на покупката на превозен документ. Такъв би бил случаят по-специално, ако това обработване се извършва единствено за целите на директния търговски маркетинг.

60 При всички положения легитимният интерес, свързан с директния търговски маркетинг, не може да има преимущество в случай на опасност от засягане на основните права и свободи на субекта на данни. Всъщност, както следва от съображение 75 от ОРЗД, рискът за правата и свободите на физическите лица, с различна вероятност и тежест, може да произтича от обработване на лични данни, което би могло да доведе до физически, материални или нематериални вреди, по-специално когато такова обработване може да породи дискриминация.

61 В този контекст запитващата юрисдикция следва по-специално да провери дали е налице твърденият от Mousse риск от дискриминация, основана на половата идентичност, по-специално в светлината на Директива 2004/113, която се отнася до прилагането принципа на равното третиране на мъжете и жените по отношение на достъпа до стоки и услуги и предоставянето им.

62 В това отношение следва да се уточни, че приложното поле на тази директива не може да бъде сведено само до дискриминацията, произтичаща от принадлежността към единия или другия пол. Като се имат предвид нейната цел и естеството на правата, които тя има за цел да защити, посочената директива следва да се прилага и по отношение на дискриминацията, произтичаща от промяната на пола на дадено лице (вж. по аналогия решение от 27 април 2006 г., Richards, C‑423/04, EU:C:2006:256, т. 24 и цитираната съдебна практика).

63 Следователно член 6, параграф 1, първа алинея, буква е) от ОРЗД, разглеждан във връзка с член 5, параграф 1, буква в) от този регламент, трябва да се тълкува в смисъл, че обработването на лични данни за формата на обръщение към клиентите на транспортно предприятие, с цел персонализиране на търговската комуникация въз основа на половата им идентичност не може да се счита за необходимо за целите на легитимните интереси, преследвани от администратора или от трето лице, когато:

– преследваният легитимен интерес не е бил посочен на тези клиенти при събирането на тези данни, или

– посоченото обработване не се извършва в границите на строго необходимото за целите на този легитимен интерес, или

– с оглед на всички релевантни обстоятелства основните права и свободи на тези клиенти могат да имат преимущество пред посочения легитимен интерес, по-специално поради риск от дискриминация, основана на половата идентичност.

64 С оглед на всички изложени по-горе съображения на първия въпрос следва да се отговори, че член 6, параграф 1, първа алинея, букви б) и е) от ОРЗД, разглеждан във връзка с член 5, параграф 1, буква в) от този регламент, трябва да се тълкува в смисъл, че:

– обработването на лични данни, свързани с формата на обръщение към клиентите на транспортно предприятие, с цел персонализиране на търговската комуникация въз основа на половата им идентичност не изглежда нито обективно необходимо, нито съществено за точното изпълнение на даден договор и следователно не може да се счита за необходимо за изпълнението на този договор,

– обработването на лични данни, свързани с формата на обръщение към клиентите на транспортно предприятие, с цел персонализиране на търговската комуникация въз основа на половата им идентичност не може да се счита за необходимо за целите на легитимните интереси, преследвани от администратора или от трета страна, когато:

– преследваният легитимен интерес не е бил посочен на тези клиенти при събирането на тези данни, или

– посоченото обработване не се извършва в границите на строго необходимото за целите на този легитимен интерес, или

– с оглед на всички релевантни обстоятелства основните права и свободи на тези клиенти могат да имат преимущество пред посочения легитимен интерес, по-специално поради риск от дискриминация, основана на половата идентичност.

По втория въпрос

65 С втория си преюдициален въпрос запитващата юрисдикция иска по същество да се установи дали член 6, параграф 1, първа алинея, буква е) от ОРЗД трябва да се тълкува в смисъл, че за да се прецени необходимостта от обработване на лични данни по смисъла на тази разпоредба следва да се вземе предвид евентуалното наличие на право на възражение на субекта на данните съгласно член 21, параграф 1 от ОРЗД.

66 Член 21, параграф 1 от ОРЗД предвижда, че субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, първа алинея, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

67 Приложимостта на член 21 от ОРЗД и следователно евентуалното наличие на право на възражение предполагат наличието на законосъобразно обработване, основано в случая на член 6, параграф 1, първа алинея, буква е) от този регламент. За да бъде обаче законосъобразно, такова обработване трябва предварително да отговаря на посоченото в точка 48 от настоящото решение условие да е строго необходимо.

68 Ето защо, както отбелязва генералният адвокат в точки 80 и 82 от заключението си, от текста и структурата на съответните разпоредби следва, че наличието на право на възражение не може да се вземе предвид за целите на преценката на законосъобразността, и по-специално на необходимостта от разглежданото в главното производство обработване на лични данни.

69 Това тълкуване се потвърждава от преследваната от ОРЗД цел, която с оглед на съображение 10 от него се състои в това да се осигури високо ниво на защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. Всъщност всяко друго тълкуване би довело до отслабване на изискванията по член 6, параграф 1, първа алинея, буква е) от ОРЗД, като разшири основанията за законосъобразност на съответното обработване, въпреки че тази разпоредба трябва да се тълкува ограничително с оглед на съдебната практика, припомнена в точка 27 от настоящото решение.

70 С оглед на всички изложени по-горе съображения на втория въпрос следва да се отговори, че член 6, параграф 1, първа алинея, буква е) от ОРЗД трябва да се тълкува в смисъл, че за да се прецени необходимостта от обработване на лични данни по смисъла на тази разпоредба, не следва да се взема предвид евентуалното наличие на право на възражение на субекта на данните съгласно член 21 от ОРЗД.

По съдебните разноски

71 С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (първи състав) реши:

1) Член 6, параграф 1, първа алинея, букви б) и е) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), разглеждан във връзка с член 5, параграф 1, буква в) от този регламент,

трябва да се тълкува в смисъл, че:

– обработването на лични данни, свързани с формата на обръщение към клиентите на транспортно предприятие, с цел е персонализиране на търговската комуникация въз основа на половата им идентичност не изглежда нито обективно необходимо, нито съществено за точното изпълнение на даден договор и следователно не може да се счита за необходимо за изпълнението на този договор,

– обработването на лични данни, свързани с формата на обръщение към клиентите на транспортно предприятие, с цел персонализиране на търговската комуникация въз основа на половата им идентичност не може да се счита за необходимо за целите на легитимните интереси, преследвани от администратора или от трета страна, когато:

– преследваният легитимен интерес не е бил посочен на тези клиенти при събирането на тези данни, или

– посоченото обработване не се извършва в границите на строго необходимото за целите на този легитимен интерес, или

– с оглед на всички релевантни обстоятелства основните права и свободи на тези клиенти могат да имат преимущество пред посочения легитимен интерес, по-специално поради риск от дискриминация, основана на половата идентичност.

2) Член 6, параграф 1, първа алинея, буква е) от Регламент 2016/679

трябва да се тълкува в смисъл, че:

за да се прецени необходимостта от обработване на лични данни по смисъла на тази разпоредба, не следва да се взема предвид евентуалното наличие на право на възражение на субекта на данните съгласно член 21 от ОРЗД.

Подписи

( *1 ) Език на производството: френски.

EurLex
Връзка към EurLex
Тематични области
Тагове
Относими актове на ЕС
Договор за функционирането на Европейския съюз Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за... Директива 2004/113/ЕО на Съвета от 13 декември 2004 година относно прилагане на принципа на равното третиране на мъжете и жените по отношение на достъпа до стоки и услуги и предоставянето на стоки и услуги
Информация за акта
Маркиране
Зареждане ...
Зареждане...