РЕШЕНИЕ НА СЪДА (голям състав)
2 декември 2025 година ( *1 )
„Преюдициално запитване — Защита на личните данни — Регламент (ЕС) 2016/679 — Член 4, точка 7 — Понятие за администратор — Отговорност на оператора на електронен пазар за публикуването на лични данни, които се съдържат в обяви, публикувани на неговия електронен пазар от потребители, подали тези обяви — Член 5, параграф 2 — Принцип на отчетност — Член 26 — Съвместна отговорност с тези потребители, податели на обяви — Член 9, параграф 1 и параграф 2, буква a) — Обяви, съдържащи чувствителни данни — Законосъобразност на обработването — Съгласие — Членове 24, 25 и 32 — Задължения на администратора — Предварително идентифициране на обявите, които съдържат такива данни — Предварителна проверка на самоличността на потребителя, подател на обявата — Отказ за публикуване на незаконосъобразни обяви — Мерки за сигурност, които могат да попречат на копирането на обяви и публикуването им на други уебсайтове — Електронна търговия — Директива 2000/31/ЕО — Членове 12—15 — Възможност за такъв оператор да се позове, във връзка с нарушение на тези задължения, на освобождаването от отговорност на междинен доставчик на услуги на информационното общество“
По дело C‑492/23
с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Curtea de Apel Cluj (Апелативен съд Клуж, Румъния) с акт от 15 юни 2023 г., постъпил в Съда на 3 август 2023 г., в рамките на производство по дело
X срещу
Russmedia Digital SRL,
Inform Media Press SRL
СЪДЪТ (голям състав),
състоящ се от: K. Lenaerts, председател, T. von Danwitz, заместник-председател, F. Biltgen, K. Jürimäe (докладчик), C. Lycourgos, I. Jarukaitis, M. L. Arastey Sahún, I. Ziemele, J. Passer, председатели на състави, S. Rodin, E. Regan, N. Jääskinen и D. Gratsias, съдии,
генерален адвокат: M. Szpunar,
секретар: г‑жа R. Șereș, администратор,
предвид изложеното в писмената фаза на производството и в съдебното заседание от 2 юли 2024 г.,
като има предвид становищата, представени:
– за X, от I. Kis, avocată,
– за румънското правителство, от E. Gane, L. Ghiţă и R. I. Haţieganu, в качеството на представители,
– за Европейската комисия, от L. Armati, H. Kranenborg, P.‑J. Loewenthal и L. Nicolae, в качеството на представители,
след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 6 февруари 2025 г.,
постанови настоящото
Решение
1 Преюдициалното запитване се отнася до тълкуването на членове 12—15 от Директива 2000/31/ЕО на Европейския парламент и на Съвета от 8 юни 2000 година за някои правни аспекти на услугите на информационното общество, и по-специално на електронната търговия на вътрешния пазар (Директива за електронната търговия) (ОВ L 178, 2000 г., стр. 1; Специално издание на български език, 2007 г., том 13, глава 29, стр. 257), както и на член 2, параграф 4, член 4, точки 7 и 11, член 5, параграф 1, букви б) и е), член 6, параграф 1, буква а) и членове 7, 24 и 25 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“).
2 Запитването е отправено в рамките на спор между X, физическо лице, от една страна, и Russmedia Digital SRL и Inform Media Press SRL (наричани по-нататък заедно „Russmedia“), от друга, относно иск за обезщетение за нематериалните вреди, претърпени от жалбоподателката в главното производство поради незаконосъобразното обработване на личните ѝ данни, както и поради нарушаването на правото ѝ на изображение, чест и личен живот.
Правна уредба
Правото на Съюза
Директива 2000/31
3 Съгласно съображения 14, 42, 46 и 52 от Директива 2000/31:
„(14)
Защитата на лицата по отношение на обработката на лични данни е уредена единствено в Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. относно защитата на физическите лица при обработването на лични данни и относно свободното движение на тези данни [(ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10)] и Директива 97/66/ЕО на Европейския парламент и на Съвета от 15 декември 1997 г. относно обработката на лични данни и защитата на неприкосновеността на личния живот в телекомуникационния сектор [(ОВ L 24, 1998 г., стр. 1)], които са напълно приложими за услугите на информационното общество; […] изпълнението и прилагането на настоящата директива следва да се осъществява в пълно съответствие с принципите за защита на личните данни, и по-специално във връзка с непоръчани търговски съобщения и отговорността на посредниците; настоящата директива не може да предотврати анонимното използване на отворени мрежи като например Интернет.
[…] (42)
Освобождаването от отговорност, което е предвидено в настоящата директива, се отнася само за случаи, при които дейността на доставчика на услуги на информационното общество е ограничена до техническия процес на експлоатация и предоставяне на достъп до комуникационна мрежа, по която доставената от трети страни информацията, се пренася или временно съхранява, с единствена цел да се повиши ефективността на преноса ѝ; тази дейност има чисто технически, автоматичен и пасивен характер, което означава, че доставчикът на услуги на информационното общество няма нито познания, нито контрол върху пренасяната или съхранявана информация.
[…] (46)
За да се възползва от ограничението на отговорността, доставчикът на услуга на информационното общество, състояща се в съхраняване на информация, трябва, веднага щом се запознае със или осъзнае незаконния характер на дейностите, да действа експедитивно за премахването или блокирането на достъпа до съответната информация; отстраняването или блокирането на достъпа трябва да се извършва при съблюдаване на принципа за свобода на словото и на процедурите, установени за тази цел на национално равнище; настоящата директива не засяга възможността на държавите членки да установят специфични изисквания, които трябва да се изпълняват експедитивно преди премахването или блокирането на информация.
[…] (52)
[…] щетите, които могат да възникнат във връзка с услугите на информационното общество се характеризират както с бързина, така и с географския си обхват; с оглед на този специфичен характер и необходимостта да се гарантира, че националните органи няма да застрашават взаимното доверие, което трябва да съществува помежду им, настоящата директива приканва държавите членки да гарантират, че има възможност за предявяване на съдебни искове; […]“.
4 Член 1 („Цел и приложно поле“) от Директива 2000/31 гласи:
„1.Настоящата директива има за цел да допринесе за нормалното функциониране на вътрешния пазар, като осигурява свободното движение на услуги на информационното общество между държавите членки.
[…] 5.Настоящата директива не се прилага за:
[…] б) въпроси, които се отнасят до услуги на информационното общество, които са предмет на Директиви [95/46] и [97/66];
[…]“.
5 Членове 12—15 от Директива 2000/31, в приложимата ѝ в главното производство редакция, са били включени в раздел 4 („Отговорност на междинни доставчици на услуга“) на глава II. Членове 12 и 13 от нея са се отнасяли, съгласно съответните им заглавия, до „[о]бикновен пренос“ и „[к]еширане“.
6 Член 14 („Съхраняване на информация“) от посочената директива е предвиждал:
„1.Когато се предоставя услуга на информационното общество, която се състои в съхраняване на информация, предоставяна на получателя на услугата, държавите членки гарантират, че доставчикът на услуги не носи отговорност за информацията, съхранена по молба на получателя на услугата, при условие че:
а) доставчикът няма сведения за незаконна дейност или информация, а във връзка с искове за щети, не е запознат с факти или обстоятелства, от които да е видна незаконната дейност или информация; или
б) доставчикът, при получаването на такива сведения или запознаването с такива факти, действа експедитивно за отстраняването или блокирането на достъпа до информацията.
2.Параграф 1 не се прилага в случаите, когато получателят на услугата действа въз основа на получено пълномощие или под контрола на доставчика.
3.Този член не засяга възможността съдебен или административен орган, в съответствие с правните системи на държавите членки, да изисква от доставчика на услуги да прекрати или предотврати нарушение, нито засяга възможността да предвидят процедури, които уреждат отстраняване или блокиране на достъпа до информация“.
7 Член 15 („Отсъствие на общо задължение за контрол“) от същата директива е предвиждал в параграфи 1 и 2:
„1.Държавите членки не налагат общо задължение на доставчиците при предоставянето на услугите по членове 12, 13 и 14 да контролират информацията, която пренасят или съхраняват, нито общо задължение да търсят активно факти или обстоятелства за незаконна дейност.
2.Държавите членки могат да установят задължения за доставчиците на услуги на информационното общество за бързо информиране на компетентните публични органи за предполагаеми незаконни действия или информация, предоставена на получателите на техните услуги, или задължения за предаване на компетентните органи, по тяхно искане, на информация която позволява идентифицирането на получатели на техните услуги, с които те имат договори за съхраняване на данни“.
ОРЗД
8 Съгласно съображения 4, 10, 39, 51, 74, 75, 78 и 85 от ОРЗД:
„(4)
Обработването на лични данни следва да е предназначено да служи на човечеството. Правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност. Настоящият регламент е съобразен с всички основни права и в него се спазват свободите и принципите, признати от [Хартата на основните права на Европейския съюз, наричана по-нататък „Хартата“], както са залегнали в Договорите, и по-специално зачитането на личния и семейния живот, дома и комуникациите, защитата на личните данни, свободата на мисълта, съвестта и религията, свободата на изразяване на мнение и свободата на информацията, свободата на стопанската инициатива, правото на ефективни правни средства за защита и на справедлив съдебен процес, както и културното, религиозното и езиковото многообразие.
[…] (10)
За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в [Европейския съюз], нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. […]
[…] (39)
Всяко обработване на лични данни следва да бъде законосъобразно и добросъвестно. За физическите лица следва да е прозрачно по какъв начин отнасящи се до тях лични данни се събират, използват, консултират или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните. Принципът на прозрачност изисква всяка информация и комуникация във връзка с обработването на тези лични данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки. Този принцип се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват. […]
[…] (51)
На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. […] Тези лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в настоящия регламент […] В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди, по-специално когато обработването се извършва в хода на законната дейност на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи.
[…] (74)
Следва да бъдат установени отговорностите и задълженията на администратора за всяко обработване на лични данни, извършено от администратора или от негово име. По-специално, администраторът следва да е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица.
(75)
Рискът за правата и свободите на физическите лица, с различна вероятност и тежест, може да произтича от обработване на лични данни, което би могло да доведе до физически, материални или нематериални вреди, по-специално когато обработването може да породи […] кражба на самоличност или измама с фалшива самоличност, […] накърняване на репутацията […] когато субектите на данни биха могли да бъдат лишени от своите права и свободи или възпрепятствани да упражняват контрол върху личните си данни; […]
[…] (78)
Защитата на правата и свободите на физическите лица с оглед на обработването на лични данни изисква приемане на подходящи технически и организационни мерки, за да се гарантира изпълнението на изискванията на настоящия регламент. За да може да докаже съответствието с настоящия регламент, администраторът следва да приеме вътрешни политики и да приложи мерки, които отговарят по-специално на принципите за защита на данните на етапа на проектирането и защита на данните по подразбиране. […]
[…] (85)
Нарушаването на сигурността на лични данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, […] накърняване на репутацията […]“.
9 Член 1 („Предмет и цели“) от този регламент предвижда в параграф 2:
„С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни“.
10 Член 2 („Материален обхват“) от същия регламент предвижда в параграф 4:
„Настоящият регламент не засяга прилагането на Директива [2000/31], и по-специално разпоредбите относно отговорностите на междинните доставчици на услуги в членове 12—15 от посочената директива“.
11 Съгласно член 4 („Определения“) от този регламент:
„За целите на настоящия регламент:
1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
[…] 7) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
[…] 11) „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
[…]“.
12 В глава II („Принципи“) от ОРЗД се намират по-специално членове 5—9.
13 Член 5 („Принципи, свързани с обработването на лични данни“) от този регламент предвижда:
„1.Личните данни са:
а) обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);
б) събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; […] („ограничение на целите“);
[…] г) точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);
[…] е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);
2.Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.
14 Член 6 („Законосъобразност на обработването“) от посочения регламент предвижда в параграф 1, първа алинея:
„Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:
а) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете“.
15 Член 7 („Условия за даване на съгласие“) от същия регламент предвижда в параграф 1:
„Когато обработването се извършва въз основа на съгласие, администраторът трябва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни“.
16 Съгласно член 9 („Обработване на специални категории лични данни“) от ОРЗД:
„1.Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.
2.Параграф 1 не се прилага, ако е налице едно от следните условия:
а) субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на Съюза или правото на държава членка се предвижда, че посочената в параграф 1 забрана не може да бъде отменена от субекта на данни;
[…]“.
17 Член 13 („Информация, предоставяна при събиране на лични данни от субекта на данните“) от този регламент предвижда в параграф 1, буква а):
„Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:
а) данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора“.
18 Член 14 („Информация, предоставяна, когато личните данни идват от субекта на данните“) от цитирания регламент гласи в параграф 1:
„Когато личните данни не са получени от субекта на данните, администраторът предоставя на субекта на данните следната информация:
а) данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора“.
19 Член 17 („Право на изтриване (право „да бъдеш забравен“)“ се намира в глава III („Права на субекта на данни“) от същия регламент и предвижда в параграфи 1 и 2:
„1.Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:
[…] г) личните данни са били обработвани незаконосъобразно;
[…] 2.Когато администраторът е направил личните данни обществено достояние и е задължен съгласно параграф 1 да изтрие личните данни, той, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че субектът на данните е поискал изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни“.
20 В раздел 1 („Общи задължения“) на глава IV („Администратор и обработващ лични данни“) от ОРЗД се намират членове 24—26.
21 Член 24 („Отговорност на администратора“) от този регламент предвижда в параграф 1:
„Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират“.
22 Член 25 („Защита на данните на етапа на проектирането и по подразбиране“) от цитирания регламент предвижда в параграфи 1 и 2:
„1.Като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, които са разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на настоящия регламент и да се осигури защита на правата на субектите на данни.
2.Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица“.
23 Член 26 („Съвместни администратори“) от същия регламент предвижда в параграф 1:
„Когато двама или повече администратори съвместно определят целите и средствата на обработването, те са съвместни администратори. Те определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по настоящия регламент, по-специално що се отнася до упражняването на правата на субекта на данни и съответните им задължения за предоставяне на информацията, посочена в членове 13 и 14, посредством договореност помежду си, освен ако и доколкото съответните отговорности на администраторите не са определени от правото на Съюза или правото на държава членка, което се прилага спрямо администраторите. В договореността може да се посочи точка за контакт за субектите на данни“.
24 Съгласно член 32 („Законосъобразност на обработването“) от ОРЗД:
„1.Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:
а) псевдонимизация и криптиране на личните данни;
б) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
в) способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
г) процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.
2.При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.
3.Придържането към одобрен кодекс за поведение, посочен в член 40 или одобрен механизъм за сертифициране, посочен в член 42 може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно параграф 1 от настоящия член.
4.Администраторът и обработващият лични данни предприемат стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка“.
25 Член 82 („Право на обезщетение и отговорност за причинени вреди“) от този регламент предвижда в параграфи 1—3:
„1.Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.
2.Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящия регламент, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях.
3.Администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата“.
26 Член 94 от същия регламент има следния текст:
„1.Директива [95/46] се отменя, считано от 25 май 2018 г.
2.Позоваванията на отменената директива се тълкуват като позовавания на настоящия регламент. […]“.
Румънското право
27 Съгласно член 11 от Legea nr. 365/2002 privind comerțul electronic (Закон № 365/2002 за електронната търговия) от 7 юни 2002 г. (Monitorul Oficial al României, част I, № 483 от 5 юли 2002 г.), изменен с Legea nr. 121/2006 pentru modificarea și completarea Legii nr. 365/2002 privind comerțul electronic (Закон № 121/2006 за изменение и допълнение на Закон № 365/2002 за електронната търговия) от 4 май 2006 г. (Monitorul Oficial al României, част I, № 483 от 10 май 2006 г.) (наричан по-нататък „Закон № 365/2002“):
„1.По отношение на доставчиците на услуги се прилагат законовите разпоредби относно гражданската и наказателната отговорност и отговорността за административни нарушения, освен ако в този закон не е предвидено друго.
2.Доставчиците на услуги носят отговорност за информацията, предоставена от тях самите или за тяхна сметка.
3.Доставчиците на услуги не носят отговорност за информацията, която пренасят, съхраняват или до която предоставят достъп при условията по членове 12—15“.
28 Член 14 („Постоянно съхраняване на информация, съхранение-хостинг“) от Закон № 365/2002 гласи:
„1.Когато дадена услуга на информационното общество се състои в съхраняване на информация, предоставена от получател на въпросната услуга, доставчикът на тази услуга не носи отговорност за информацията, съхранявана по искане на получателя, когато е изпълнено едно от следните условия:
а) доставчикът на услугата не знае, че дейността или съхраняваната информация e незаконосъобразна, и по отношение на исковете за обезщетение за вреди не знае факти или обстоятелства, от които следва, че въпросната дейност или информация може да засегне правата на трето лице;
b) когато е узнал, че въпросната дейност или информация е незаконосъобразна, или е узнал за фактите или обстоятелствата, от които следва, че въпросната дейност или информация може да засегне правата на трето лице, доставчикът на услуги действа незабавно, за да я премахне или да блокира достъпа до нея.
2.Разпоредбите на параграф 1 не се прилагат в случаите, когато получателят действа под ръководството или контрола на доставчика на услугите.
3.Разпоредбите на този член не засягат възможността съдебен или административен орган да изиска от доставчика на услуги да прекрати нарушението на сигурността на данните или да предотврати такова нарушение, нито възможността за установяване на правителствени процедури за ограничаване или прекъсване на достъпа до информацията“.
29 Normele metodologice pentru aplicarea Legii nr. 365/2002 privind comerţul electronic (Правила за прилагане на Закон № 365/2002 за електронната търговия), одобрени с Hotărârea Guvernului nr. 1.308 privind aprobarea Normelor metodologice pentru aplicarea Legii nr. 365/2002 privind comerţul electronic (Решение № 1.308 на Министерския съвет за одобряване на правилата за прилагане на Закон № 365/2002 за електронната търговия) от 20 ноември 2002 г. (Monitorul Oficial al României, част I, № 877 от 5 декември 2002 г.) предвиждат в член 11, параграф 1:
„Доставчиците на услуги на информационното общество, които предоставят услугите по членове 12—15 от [Закон № 365/2002], не са длъжни да контролират информацията, която пренасят или съхраняват, нито активно да търсят данни за изглеждащи като незаконни дейности или сведения в областта на предоставяните от тях услуги на информационното общество“.
Спорът в главното производство и преюдициалните въпроси
30 Russmedia Digital, дружество по румънското право, е собственик на уебсайта www.publi24.ro — електронен пазар, на който могат да се публикуват безплатни или платени рекламни обяви, по-специално относно продажбата на стоки или доставянето на услуги в Румъния.
31 Жалбоподателката в главното производство твърди, че на 1 август 2018 г. трето неустановено лице е публикувало на този уебсайт подвеждаща и нанасяща вреди обява, която я представя като предлагаща сексуални услуги. Обявата съдържа по-специално снимки на жалбоподателката в главното производство, използвани без нейно съгласие, както и телефонния ѝ номер. Впоследствие тази обява е възпроизведена по идентичен начин на други уебсайтове с рекламно съдържание, където е качена, с посочване на първоначалния източник. След като жалбоподателката в главното производство се свързва с Russmedia Digital, Russmedia Digital премахва посочената обява от уебсайта си по-малко от час след получаване на молбата. Същата обява обаче останала достъпна на други уебсайтове, които я възпроизвели.
32 Тъй като счита, че процесната по главното производство обява нарушава правото ѝ на изображение, чест, репутация и на личен живот, както и правилата относно обработването на лични данни, жалбоподателката в главното производство предявява иск срещу Russmedia пред Judecătoria Cluj-Napoca (Първоинстанционен съд Клуж-Напока, Румъния). Този съд осъжда Russmedia да ѝ плати обезщетение в размер на 7000 EUR за нематериалните вреди, причинени с накърняването на правото на изображение, чест и репутация, както и с нарушаването на правото на зачитане на личния ѝ живот и незаконосъобразното обработване на личните ѝ данни.
33 Russmedia обжалва това решение. Tribunalul Specializat Cluj (Специализиран съд Клуж, Румъния) уважава жалбата, като приема, че искът на жалбоподателката в главното производство е неоснователен, защото процесната по главното производство обява не изхожда от дружество Russmedia, което предоставя само хостинг услуга за тази обява, без да има активно участие във връзка със съдържанието ѝ. Ето защо според него към Russmedia е приложимо освобождаването от отговорност, предвидено в член 14, параграф 1, буква b) от Закон № 365/2002. Досежно обработването на лични данни тази юрисдикция постановява, че доставчикът на услуги на информационното общество не е длъжен нито да контролира информацията, която предава, нито активно да търси данни, свързани с дейности или сведения, които изглеждат незаконни. В тази насока тя приема, че дружество Russmedia не може да бъде упрекнато, че не е взело мерки, за да попречи на онлайн разпространението на процесната по главното производство унизителна обява, защото то бързо е премахнало тази обява по молба на жалбоподателката в главното производство.
34 Същата обжалва това решение пред Curtea de Apel Cluj (Апелативен съд Клуж, Румъния), тъй като смята, че Tribunalul Specializat Cluj (Специализиран съд Клуж) се е обосновал с неправилно тълкуване на Закон № 365/2002. Жалбоподателката в главното производство изтъква по-специално, че след като този закон не е специален закон спрямо ОРЗД, същият съд е трябвало да провери дали последният регламент е приложим в случая. Освен това Russmedia не само предоставяло на клиентите си специфично техническо средство за достъп до хостинг сървъра. Russmedia имало и управленска роля, като се намесвало на ниво съдържание с цел добро управление на информацията. В качеството си на оператор на разглеждания в главното производство уебсайт това дружество съхранявало и обработвало информационното съдържание. Съхраняването на данните и предоставянето на обществеността на достъп до тях под някаква форма предполагали извършване на анализ на данните и информацията, съдържащи се в обявите. Тези обстоятелства доказвали прякото участие на Russmedia в управлението и разпространението на съдържанието на обявите. Ето защо разпоредбите на член 14 от Закон № 365/2002 не били приложими.
35 Освен това жалбоподателката в главното производство счита, че освобождаването от отговорност на такъв доставчик не се прилага, ако отговорността е установена съгласно други регулаторни актове, като ОРЗД. Russmedia публикувало лични данни на жалбоподателката в главното производство без нейно съгласие и с дейността на уебсайта му позволявало на всекиго да публикува всякакъв вид обяви, и по-специално обяви, които не гарантирали сигурността на личните данни, което правело невъзможно трайното изтриване на публикуваните онлайн данни.
36 От своя страна Russmedia поддържа, че възприетото от Tribunalul Specializat Cluj (Специализиран съд Клуж) разрешение е правилно. Жалбоподателката в главното производство не доказала по какъв начин ОРЗД представлява специално правило, което е пречка да се приложат релевантните разпоредби на Закон № 365/2002.
37 Curtea de Apel Cluj (Апелативен съд Клуж), който е запитващата юрисдикция и в настоящия случай се произнася като касационна инстанция, чието решение е окончателно, счита за необходимо да определи по-специално пределите на освобождаването от отговорност на доставчик на услуги на информационното общество като Russmedia съгласно Директива 2000/31.
38 Като се позовава на релевантната практика на Съда, запитващата юрисдикция констатира, че макар съгласно тази съдебна практика операторите на електронни пазари да не са длъжни да извършват предварителна проверка на информацията или обявите, публикувани от потребителите — податели на обявите, все пак освобождаването на тези оператори от отговорност е условно. Така тя посочва, че съгласно решение от 12 юли 2011 г., L’Oréal и др. (C‑324/09, EU:C:2011:474), даден оператор на онлайн услуги няма как да се позове на освобождаването от отговорност, предвидено в член 14, параграф 1 от Директива 2000/31, ако е бил запознат с факти или обстоятелства, въз основа на които полагащият дължимата грижа икономически оператор би трябвало да установи незаконността на съответните предложения за продажба и в случай на такова запознаване, не е действал експедитивно в съответствие с член 14, параграф 1, буква б) от тази директива. Аналогично, по нейно мнение от решение от 11 септември 2014 г., Papasavvas (C‑291/13, EU:C:2014:2209), следва, че ограниченията на гражданската отговорност, прогласени в членове 12—14 от Директива 2000/31, не визират случая на дружество, което има уебсайт, където се публикува електронното издание на вестник, защото това дружество, което получава заплащане за търговските реклами, публикувани на този уебсайт, е запознато с публикуваната информация и упражнява контрол върху нея.
39 Запитващата юрисдикция обаче подчертава, че цитираната съдебна практика се отнася само до публикувани на уебсайт предложения, чиято незаконосъобразност произтича от анализ на факти и обстоятелства, изрично съобщени на администратора след публикуването на съответната обява. Ето защо според нея Съдът все още не е имал повод да разгледа случай като този по главното производство, в който съдържанието на публикуваната обява е явно незаконно и тежко увреждащо за субекта на данни.
40 В тази насока запитващата юрисдикция иска да се установи дали е необходимо дадена платформа да получи уведомление, за да има задължението да изтрие явно незаконно и силно увреждащо съдържание. Тя посочва, че в случая процесната по главното производство обява е била публикувана, без да се провери самоличността на потребителя — подател на обявата, и очевидно без съгласието на жалбоподателката в главното производство.
41 Освен това, въпреки че процесната по главното производство обява е изтрита от първоначалния уебсайт след направеното уведомление от страна на жалбоподателката в главното производство, съдържанието на тази обява, заедно с поместените в нея координати и снимки, е било изцяло възпроизведено на множество други уебсайтове, като е посочен първоначалният източник. Следователно претърпените от жалбоподателката в главното производство вреди са се превърнали в трайни и продължават да настъпват и към настоящия момент. В този аспект запитващата юрисдикция подчертава, че сексуалните услуги, за които се твърди, че се предлагат, могат да бъдат свързани с тежки престъпления, наказуеми от Codul penal (Наказателен кодекс), като сводничество и трафик на хора.
42 Запитващата юрисдикция уточнява, че съгласно общите условия за ползване на електронния пазар, управляван от Russmedia, наистина това дружество не претендира право на собственост върху съдържанието на публикуваните обяви, но все пак си запазва правото да използва това съдържание, включително да го копира, разпространява, предава, публикува, възпроизвежда, променя, превежда, преотстъпва на партньори и да го премахва по всяко време, дори без да има основателна причина за това.
43 При тези условия Curtea de Apel Cluj (Апелативен съд Клуж) решава да спре производството и да постави на Съда следните преюдициални въпроси:
„1) Прилагат ли се членове 12—14 от [Директива 2000/31] и по отношение на доставчик на [услуги на информационното общество] от типа „съхранение-хостинг“, който предоставя на потребителите уебсайт, на който могат да се публикуват безплатни или платени обяви, и който твърди, че ролята му в публикуването на обявите на потребителите е чисто техническа (предоставяне на платформата), но който чрез общите условия за ползване на уебсайта посочва, че не претендира за право на собственост върху предоставеното или публикувано, качено или пренасяно съдържание, като обаче си запазва правото да използва това съдържание, включително да го копира, разпространява, предава, публикува, възпроизвежда, променя, превежда, преотстъпва на партньори и премахва по всяко време, дори без да има основание за това?
2) Трябва ли член 2, параграф 4, член 4, точки 7 и 11, член 5, параграф 1, буква е), член 6, параграф 1, буква а), член 7, член 24 и член 25 от [ОРЗД] и член 15 от Директива 2000/31/ЕО да се тълкуват в смисъл, че задължават такъв доставчик на [услуги на информационното общество] от типа „съхранение-хостинг“, който е администратор на лични данни, да провери преди публикуването на обява дали е налице идентичност между лицето, публикуващо обявата, и собственика на личните данни, за който се отнася обявата?
3) Трябва ли член 2, параграф 4, член 4, точки 7 и 11, член 5, параграф 1, буква е), член 6, параграф 1, буква а), членове 7, 24 и 25 от [ОРЗД] и член 15 от Директива 2000/31/ЕО да се тълкуват в смисъл, че задължават такъв доставчик на [услуги на информационното общество] от типа „съхранение-хостинг“, който е администратор на лични данни, да проверява предварително съдържанието на обявите, публикувани от потребителите, за да изключи тези, които са евентуално незаконосъобразни или могат да засегнат личния и семейния живот на дадено лице?
4) Трябва ли член 5, параграф 1, букви б) и е), членове 24 и 25 от [ОРЗД] и член 15 от Директива 2000/31/ЕО да се тълкуват в смисъл, че задължават такъв доставчик на [услуги на информационното общество] от типа „съхранение-хостинг“, който е администратор на лични данни, да прилага мерки за сигурност, така че да предотвратява или ограничава възпроизвеждането и разпространението на съдържанието на публикуваните чрез него обяви?“.
По преюдициалните въпроси
44 Съгласно постоянната съдебна практика в рамките на въведеното с член 267 ДФЕС производство за сътрудничество между националните юрисдикции и Съда той трябва да даде на националния съд полезен отговор, който да му позволи да реши спора, с който е сезиран. С оглед на това при необходимост Съдът може да преформулира въпросите, които са му зададени. В това отношение той следва да изведе от цялата информация, предоставена от националния съд, и по-специално от мотивите на акта за преюдициално запитване, разпоредбите от правото на Съюза, които изискват тълкуване предвид предмета на спора (вж. в този смисъл решения от 29 ноември 1978 г., Redmond, 83/78, EU:C:1978:214, т. 26, от 28 ноември 2000 г., Roquette Frères, C‑88/99, EU:C:2000:652, т. 18, и от 30 април 2024 г., M.N. (EncroChat), C‑670/22, EU:C:2024:372, т. 78).
45 Взети заедно, въпросите на запитващата юрисдикция имат за цел да се определи, от една страна, дали оператор на електронен пазар като Russmedia, който позволява на потребителите си анонимно да публикуват обяви на неговия електронен пазар безплатно или срещу заплащане, е нарушил задълженията си по ОРЗД, когато публикувана на неговия електронен пазар обява съдържа по-специално чувствителни лични данни, в нарушение на този регламент, и от друга страна, дали членове 12—15 от Директива 2000/31 относно отговорността на междинните доставчици на услуги са приложими спрямо такъв оператор.
46 За да се даде полезен отговор на тези въпроси, най-напред следва да се разгледат вторият, третият и четвъртият въпрос, с които трябва да се определят задълженията по ОРЗД на оператора на електронен пазар в случай като разглеждания в главното производство, като тези въпроси се преформулират така, че да се отнасят само до тълкуването на този регламент. По-нататък ще се разгледа въпросът дали такъв оператор може да се позовава на членове 12—15 от Директива 2000/31, която по същество е предмет на първия въпрос.
По втория, третия и четвъртия въпрос, които се отнасят до тълкуването на ОРЗД
Предварителни бележки
47 На първо място, най-напред следва да се отбележи, че от преюдициалното запитване става ясно, че процесната обява представя жалбоподателката в главното производство като предлагаща сексуални услуги и че тази обява съдържа по-специално нейни снимки, използвани без нейно съгласие, както и телефонния ѝ номер.
48 Безспорно е, че такава информация представлява лични данни по смисъла на член 4, точка 1 от ОРЗД, съгласно която такива са „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано“; там се уточнява, че „физическо лице, което може да бъде идентифицирано“, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице“.
49 Всъщност съгласно постоянната съдебна практика употребата на израза „всяка информация“ в определението на понятието „лични данни“ по член 4, точка 1 от ОРЗД, отразява целта на законодателя на Съюза да придаде широк смисъл на това понятие, което потенциално обхваща всякакъв вид информация, както обективна, така и субективна, под формата на становища или преценки, при условие че „засяга“ съответното лице. Дадена информация засяга физическо лице, което е идентифицирано или може да бъде идентифицирано, ако поради своето съдържание, крайна цел или последици тя е свързана с лице, което може да бъде идентифицирано (решение от 3 април 2025 г., Ministerstvo zdravotnictví (Данни за представителя на юридическо лице), C‑710/23, EU:C:2025:231, т. 21 и цитираната съдебна практика).
50 Освен това сред тези лични данни член 9, параграф 1 от ОРЗД предвижда специален режим на защита за особени категории данни, сред които са данните за сексуалния живот или сексуалната ориентация на физическото лице.
51 Съдът уточнява, че целта на член 9, параграф 1 от този регламент е да се осигури повишена защита срещу обработване, което поради особената чувствителност на обработваните данни, може да съставлява особено тежко вмешателство в основните права на зачитане на личния живот и на защита на личните данни, гарантирани в членове 7 и 8 от Хартата (решение от 21 декември 2023 г., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, т. 41 и цитираната съдебна практика).
52 Такава повишена защита обаче по необходимост изисква широко определение на подобни „чувствителни данни“. Така Съдът е постановил, че член 9, параграф 1 от ОРЗД се прилага за обработване, което се отнася не само за чувствителни по своята същност данни, до които се отнася тази разпоредба, а и за данни, чрез които след логическа операция по съпоставяне или дедукция косвено се разкрива информация от такова естество (решение от 5 юни 2023 г., Комисия/Полша (Независимост и личен живот на съдиите), C‑204/21, EU:C:2023:442, т. 344 и цитираната съдебна практика).
53 В рамките на това широко определение невярното и вредоносно естество на данните за сексуалния живот или сексуалната ориентация на дадено физическо лице не може да лиши такива данни от квалификацията им като „чувствителни данни“ по смисъла на член 9, параграф 1 от ОРЗД.
54 На второ място, следва да се констатира, че разглежданото обработване в главното производство се състои в публикуването на тази обява, и следователно на тези данни, на електронния пазар на Russmedia. Всъщност операцията, изразяваща се в качване на лични данни на уебсайт, представлява обработване по смисъла на член 4, точка 2 от ОРЗД (решение от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, т. 65 и цитираната съдебна практика).
55 На трето място, уместно е да се отбележи, че вторият, третият и четвъртият въпрос се отнасят до факта, че операторът на разглеждания електронен пазар в главното производство е администратор на лични данни. Оказва се, че личните данни, чието публикуване е предмет на спора в главното производство, са били включени във въпросната обява от анонимен потребител — подател на обявата, без този оператор да е оказал конкретно влияние върху съдържанието на тази обява и без да е знаел, че тя е подвеждаща и нанасяща вреди. При това положение следва да се внесат разяснения досежно понятията „администратор“ и „съвместни администратори“ по смисъла съответно на член 4, точка 7 и на член 26 от ОРЗД.
56 Член 4, точка 7 от ОРЗД определя широко понятието „администратор“ като физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.
57 Целта на това широко определение е в съответствие с целта на ОРЗД да се осигури ефективна защита на основните права и свободи на физическите лица и да се гарантира високо равнище на защита на правото на всяко лице на защита на личните данни (решение от 5 декември 2023 г., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, т. 29 и цитираната съдебна практика).
58 Следователно всяко физическо или юридическо лице, което за собствени цели влияе върху обработването на такива данни и по този начин участва в определянето на целите и средствата за обработка на тези данни, може да се разглежда като администратор (решение от 5 декември 2023 г., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, т. 30 и цитираната съдебна практика).
59 В допълнение, след като съгласно изрично предвиденото в член 4, точка 7 от ОРЗД понятието „администратор“ визира субекта, който „сам или съвместно с други“ определя целите и средствата за обработването на лични данни, това понятие не препраща непременно към само една структура, а може да се отнася до няколко субекта, участващи в обработването, за всеки от които при това положение съществува задължение да спазва приложимите разпоредби относно защитата на данните (вж. в този смисъл решение от 29 юли 2019 г., Fashion ID, C‑40/17, EU:C:2019:629, т. 67 и цитираната съдебна практика).
60 Член 26 от ОРЗД, който е част от рамката на определението „администратор“, съдържащо се в член 4, точка 7 от този регламент, по същество предвижда, че когато двама или повече администратори съвместно определят целите и средствата на обработването, те трябва да бъдат квалифицирани като „съвместни администратори“ на това обработване.
61 Такава съвместна отговорност не изисква непременно наличието на съвместни решения относно определянето на целите и средствата за обработването на съответните лични данни. Всъщност Съдът е постановил, че участието в определянето на тези цели и средства може да бъде под различни форми, като това участие може да произтича както от съвместно решение, взето заедно от два или повече субекта, така и от съвпадащи решения, които се допълват по такъв начин, че всяко от тях има осезаемо отражение върху определянето на посочените цели и средства (вж. в този смисъл решение от 5 декември 2023 г., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, т. 43).
62 В тази насока съвместната отговорност на няколко субекта за едно и също обработване съгласно член 4, точка 7 от ОРЗД не изисква всеки от тях да има достъп до съответните лични данни (решения от 29 юли 2019 г., Fashion ID, C‑40/17, EU:C:2019:629, т. 69 и цитираната съдебна практика, и от 5 декември 2023 г., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, т. 42).
63 В същия смисъл Съдът уточнява, че наличието на съвместна отговорност не се изразява непременно в равна отговорност на различните оператори за едно и също обработване на лични данни. Тъкмо обратното, тези оператори могат да участват на различни етапи от обработването и в различна степен, поради което размерът на отговорността на всеки от тях трябва да се преценява с оглед на всички релевантни обстоятелства по случая (вж. в този смисъл решения от 10 юли 2018 г., Jehovan todistajat, C‑25/17, EU:C:2018:551, т. 66 и цитираната съдебна практика, и от 5 декември 2023 г., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, т. 42).
64 В случая е безспорно, че за потребителя — подател на обявата, който е публикувал в управлявания от Russmedia електронен пазар подвеждащата и нанасяща вреди обява, която съдържа лични данни на жалбоподателката в главното производство, трябва да се трябва да се счита, че основно той е определил целите и средствата за обработването на тези данни и че следователно попада в обхвата на понятието „администратор“ по смисъла на член 4, точка 7 от ОРЗД.
65 Същевременно е доказано, че тази обява е публикувана в интернет и така е станала достъпна за интернет потребителите само благодарение на електронния пазар, управляван от Russmedia.
66 Действително, от цитираната в точка 58 от настоящото решение съдебна практика следва, че дадено лице може да бъде квалифицирано като „администратор“ на лични данни само ако за собствени цели влияе върху обработването, но все пак следва да се приеме за установено, че това може да е така по-специално когато операторът на електронен пазар публикува съответните лични данни за търговски или рекламни цели, които стигат по-далеч от обикновената доставка на услуга, предоставяна от него на потребителя — подател на обявата.
67 В случая от акта за преюдициално запитване личи, че Russmedia публикува обяви на своя електронен пазар за собствени търговски цели. В тази насока общите условия за ползване на този пазар дават на Russmedia голяма свобода да управлява информацията, публикувана на посочения пазар. По-специално, съгласно посоченото от запитващата юрисдикция Russmedia си запазва правото да използва публикуваното съдържание, да го разпространява, предава, възпроизвежда, променя, превежда, преотстъпва на партньори и да го премахва по всяко време, дори без да има „основателна причина“ за това. Ето защо Russmedia не публикува личните данни, съдържащи се в обявите, или поне не само за потребителите — податели на обявата, а обработва и може да оползотвори тези данни за собствени рекламни и търговски цели.
68 Оттук се налага изводът, че Russmedia е повлияло за собствени цели върху публикуването в Интернет на лични данни на жалбоподателката в главното производство, в резултат на което е участвало в определянето на целите на това публикуване, а оттам и на съответното обработване.
69 Този извод не се поставя под съмнение от факта, че Russmedia очевидно не е участвало в определянето на заблуждаващата и вредоносна цел, преследвана от потребителя — подател на обявата с публикуването на процесната обява по главното производство. Всъщност Russmedia е участвало в определянето на целта на обработването, която се състои в предоставянето на интернет потребителите на достъп до личните данни, съдържащи се в процесната обява по главното производство, за да оползотвори тези публикации. Освен това, като е позволило обявите на неговия електронен пазар да се публикуват анонимно, Russmedia е улеснило публикуването на такива данни без съгласието на субекта на данни.
70 В допълнение, като е предоставило на разположение на потребителя — подател на обявата своя електронен пазар, на който е публикувана процесната обява по главното производство, Russmedia е участвало в определянето на средствата за това публикуване.
71 Всъщност Съдът вече е постановил по същество, че физическото или юридическо лице, което влияе в решаваща степен върху събирането и предаването на лични данни, или което със своите действия по определяне на параметрите — съобразно целите си за управление или стимулиране на дейността си — влияе върху обработването на такива данни, участва в определянето на средствата за съответното обработване (вж. в този смисъл решения от 5 юни 2018 г.,Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, т. 36, и от 29 юли 2019 г., Fashion ID, C‑40/17, EU:C:2019:629, т. 78). Това е така и в случая на интернет търсачка, когато дейността ѝ играе решаваща роля за глобалното разпространение на лични данни, доколкото тази дейност ги прави публично достъпни онлайн организирано и обединено (вж. в този смисъл решение от 8 декември 2022 г., Google (Премахване от резултатите при търсене, на съдържание, за което се твърди, че е неистинно), C‑460/20, EU:C:2022:962, т. 50 и цитираната съдебна практика).
72 Ето защо се налага изводът, че когато оператор на електронен пазар като Russmedia определя параметрите за разпространение на обяви, които могат да съдържат лични данни, в зависимост от съответните получатели, установява формата, продължителността на това разпространение или рубриките, които структурират публикуваната информация, или пък организира класирането, което ще определи реда и условията за това разпространение, той участва в определянето на основните средства за публикуване на съответните лични данни, като така влияе в решаваща степен върху глобалното разпространение на тези данни.
73 В тази насока съдържанието на общите условия за ползване на разглеждания електронен пазар може да даде индиции, които доказват, че операторът на този пазар влияе в решаваща степен върху разглежданото обработване на лични данни и следователно определя средствата за това обработване. Такъв, изглежда, е случаят с общите условия за ползване на електронния пазар на Russmedia, в които това дружество си запазва по-специално правото да разпространява, предава, публикува, изтрива или пък възпроизвежда съдържащата се в обявите информация, включително съдържащите се в тях лични данни.
74 Във всеки случай операторът на електронен пазар няма как да избегне отговорността си като администратор на лични данни със съображението, че самият той не е определил съдържанието на процесната обява, публикувана на този пазар. Всъщност би било в разрез не само с ясния текст, но и с целта на член 4, точка 7 от ОРЗД — чрез широко определение на понятието „администратор“ да се гарантира ефикасна и пълна защита на субектите на данни — от посоченото определение да се изключи подобен оператор само на това основание.
75 Ето защо се налага изводът, че във втория, третия и четвъртия си въпрос запитващата юрисдикция правилно е изходила от постановката, че в случай като обсъждания в главното производство операторът на електронен пазар е администратор на личните данни, съдържащи се в публикувана на този електронен пазар обява, по смисъла на член 4, точка 7 от ОРЗД.
76 На тези въпроси следва да се отговори в светлината именно на всички изложени дотук предварителни бележки.
По втория и третия въпрос
77 С втория и третия си въпрос, които следва да се разгледат заедно, запитващата юрисдикция по същество иска да се установи дали член 5, параграф 2 и членове 24—26 от ОРЗД трябва да се тълкуват в смисъл, че операторът на електронен пазар, като администратор по смисъла на член 4, точка 7 от ОРЗД на личните данни, които се съдържат в публикувани на неговия електронен пазар обяви, е длъжен преди публикуването на обявите да идентифицира тези от тях, които съдържат чувствителни данни по смисъла на член 9, параграф 1 от ОРЗД, да провери дали потребителят — подател, който се готви да публикува такава обява, е лицето, чиито чувствителни данни фигурират в тази обява, и ако не е така, да откаже тя да бъде публикувана, ако субектът на данни не е дал изрично съгласие, доколкото такова публикуване би могло да доведе до тежко нарушение на гарантираните в членове 7 и 8 от Хартата права на това лице на зачитане на личния живот и на защита на личните му данни.
78 Съгласно член 1, параграф 2 от ОРЗД, разглеждан в светлината на съображения 4 и 10 от него, целта на този регламент по-специално е да се гарантира високо равнище на защита на основните права и свободи на физическите лица при обработването на личните данни, като това право е признато и в член 8 от Хартата и е тясно свързано с правото на зачитане на личния живот, прогласено в член 7 от нея (вж. в този смисъл решение от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, т. 61 и цитираната съдебна практика).
79 За тази цел, първо, в глава II от ОРЗД се обявяват принципите, които уреждат обработването на лични данни и които администраторът е длъжен да спазва. По-специално, всяко обработване на лични данни трябва да е съобразено с принципите относно обработването на данните и с условията за законосъобразност на обработването по членове 5 и 6 от този регламент (вж. в този смисъл решение от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, т. 62 и цитираната съдебна практика).
80 Съгласно член 5, параграф 1, буква а) от ОРЗД личните данни трябва да бъдат обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните. В член 5, параграф 1, буква г) от този регламент се добавя, че личните данни трябва да бъдат точни и при необходимост да бъдат поддържани в актуален вид. Ето защо трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват. Член 5, параграф 1, буква е) от посочения регламент предвижда, че личните данни трябва да се обработват така, че да се гарантира подходящо ниво на сигурност на тези данни, включително защита срещу неразрешено или незаконосъобразно обработване.
81 Що се отнася до условията за законосъобразност на обработването, както е постановил Съдът, член 6, параграф 1, първа алинея от ОРЗД съдържа изчерпателен и ограничителен списък на случаите, в които обработването на лични данни може да се счита за законосъобразно. Поради това обработването трябва да попада в някой от случаите, предвидени в тази разпоредба (вж. в този смисъл решение от 9 януари 2025 г., Mousse, C‑394/23, EU:C:2025:2, т. 25 и цитираната съдебна практика).
82 По-специално, съгласно член 6, параграф 1, първа алинея, буква а) от ОРЗД обработването на лични данни е законосъобразно, ако и доколкото субектът на данните е дал съгласие за това за една или повече конкретни цели. В член 7, параграф 1 от цитирания регламент се уточнява, че в този случай администраторът трябва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни. Когато липсва такова съгласие или когато съгласието не е изразено свободно, конкретно, информирано и недвусмислено по смисъла на член 4, точка 11 от този регламент, подобно обработване все пак може да е обосновано, ако отговаря на някое от изискванията за необходимост, упоменати в член 6, параграф 1, първа алинея, букви б)—е) от същия регламент (решение от 9 януари 2025 г., Mousse, C‑394/23, EU:C:2025:2, т. 26 и цитираната съдебна практика).
83 Към тези принципи и условия се добавят специални изисквания за чувствителните данни, определени в член 9, параграф 1 от ОРЗД, чието обработване по принцип е забранено (вж. в този смисъл решение от 21 декември 2023 г., Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, т. 73).
84 Тази забрана може да бъде дерогирана само ако е налице някое от изключенията, залегнали в член 9, параграф 2, букви а)—й) от този регламент. Сред тези изключения, които трябва да се тълкуват стеснително, член 9, параграф 2, буква а) от посочения регламент предвижда, че забраната за обработване на чувствителни данни не се прилага, ако субектът на данните е дал своето изрично съгласие за обработването на неговите чувствителни лични данни за една или повече конкретни цели, освен когато в правото на Съюза или в правото на държава членка се предвижда, че тази забрана не може да бъде отменена от субекта на данни.
85 Второ, глава IV от ОРЗД уточнява обхвата на задълженията на администратора на лични данни в съответствие с принципа на отчетност, прогласен в член 5, параграф 2 от ОРЗД.
86 Съгласно цитираната разпоредба администраторът носи отговорност за спазването на параграф 1 от този член и трябва да е в състояние да докаже, че спазва всеки от принципите, прогласени в параграф 1, като по този начин му се възлага тежестта на доказване на това обстоятелство (решение от 4 май 2023 г., Bundesrepublik Deutschland (Електронна пощенска кутия на съда), C‑60/22, EU:C:2023:373, т. 53 и цитираната съдебна практика).
87 Този принцип на отчетност е конкретизиран по-специално в член 24 от ОРЗД (вж. в този смисъл решение от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 43 и цитираната съдебна практика). Изложеният принцип изисква — предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица — администраторът да въведе подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че посоченото обработване се извършва в съответствие с този регламент.
88 Следователно член 5, параграф 2 и член 24 от ОРЗД налагат на администратора на лични данни общи изисквания за отчетност и съответствие. Те изискват администраторът да приеме подходящи мерки за предотвратяване на евентуални нарушения на правилата, предвидени в ОРЗД, за да се гарантира правото на защита на данните (вж. в този смисъл решение от 27 октомври 2022 г., Proximus (Публични електронни указатели), C‑129/21, EU:C:2022:833, т. 81).
89 В тази насока член 25, параграф 1 от ОРЗД налага на администратора да въведе — както към момента на определянето на средствата за обработване, така и към момента на самото обработване — подходящи технически и организационни мерки, които са разработени с оглед на ефективното прилагане на принципите за защита на данните и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на този регламент и да се осигури защита на правата на субекта на данни. Освен това член 25, параграф 2, предмет на който е защитата на данните по подразбиране, предвижда по-специално, че подходящите технически и организационни мерки, които администраторът трябва да въведе за тази цел, гарантират, че по подразбиране без намеса от страна на съответното физическо лице личните данни не са достъпни за неопределен брой физически лица.
90 Когато обработваните лични данни са чувствителни данни по смисъла на член 9, параграф 1 от ОРЗД, за да определи какви са подходящите мерки по смисъла на членове 24 и 25 от този регламент, администраторът трябва по-специално да отчете факта, че нарушението на принципите, залегнали в глава II от посочения регламент, що се отнася до обработването на такива данни, може да представлява особено тежко вмешателство в основните права на зачитане на личния живот и на защита на личните данни, гарантирани в членове 7 и 8 от Хартата.
91 Вторият и третият въпрос, преформулирани в точка 77 от настоящото решение, следва да се разгледат през призмата именно на всички тези уточнения.
92 На първо място, досежно въпроса дали операторът на електронен пазар трябва да идентифицира обявите, които съдържат чувствителни данни по смисъла на член 9, параграф 1 от ОРЗД, преди да ги публикува, е уместно да се припомни, че както следва от точки 64 и 75 от настоящото решение, този оператор и потребителят подател, публикувал подобна обява на този електронен пазар, трябва да се считат за съвместни администратори по смисъла на член 26 от този регламент, когато съответната обява е публикувана на него.
93 Ето защо и този оператор, и този потребител — подател на обявата, са длъжни да следят за спазването на задълженията, които произтичат от член 5, параграф 2 и от членове 24 и 25 от ОРЗД. По-специално, те трябва да могат да докажат, че личните данни, които се съдържат в съответната обява, са публикувани законосъобразно, т.е. че субектът на данни е дал съгласието си за такова публикуване, освен ако те могат да се позоват на друго условие, предвидено в член 6, параграф 1 от ОРЗД. Както става ясно от точка 84 от настоящото решение, когато съответните лични данни са чувствителни данни по смисъла на член 9, параграф 1 от ОРЗД, съгласието за такова публикуване трябва да бъде изрично. Аналогично, съгласно принципа на точност, залегнал в член 5, параграф 1, буква г) от ОРЗД, администраторите трябва да са в състояние да докажат, че съответните лични данни са точни.
94 За да се определи какви конкретно са подходящите технически и организационни мерки, които операторът на електронен пазар като съвместен администратор на лични данни е длъжен да въведе в приложение на членове 24 и 25 от ОРЗД, за да гарантира и да е в състояние да докаже, че публикуването на чувствителни данни, които се съдържат в дадена обява, ще бъде извършено в съответствие с този регламент, е важно да се отбележи, че видно от тези разпоредби, дали тези мерки са подходящи трябва да се оцени конкретно, като се отчете естеството, обхватът, контекстът и целите на съответното обработване, както и рисковете с различна вероятност и тежест за присъщите на субекта на данни права и свободи (вж. в този смисъл решение от 21 декември 2023 г., Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, т. 96).
95 В тази насока следва да се отбележи, че публикуването на лични данни на електронен пазар поражда съществени рискове за правата и свободите на субекта на данни, защото прави тези данни достъпни по принцип за всеки интернет потребител. Освен това, веднъж публикувани на електронен пазар, посочените данни могат да бъдат копирани и възпроизвеждани на други уебсайтове, така че за субекта на данни може да се окаже трудно, ако не и невъзможно, да се стигне до действителното им изтриване от интернет.
96 Рисковете, свързани с такова публикуване, са още по-сериозни, когато става дума за чувствителни данни по смисъла на член 9, параграф 1 от ОРЗД. Както изрично се посочва в съображение 51 от ОРЗД, на личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за тези права и свободи (вж. в този смисъл решение от 4 октомври 2024 г., Lindenapotheke, C‑21/23, EU:C:2024:846, т. 75). Както бе отбелязано в точка 90 от настоящото решение, обработването на такива данни може да представлява особено тежко вмешателство в основните права на зачитане на личния живот и на защита на личните данни, гарантирани в членове 7 и 8 от Хартата. Освен това вероятността тези права да бъдат нарушени с публикуването на обява, която съдържа чувствителни данни, е много висока, когато самият потребител — подател на обявата, не е субектът на данни и когато електронният пазар позволява такива обяви да се публикуват анонимно.
97 Ето защо, доколкото операторът на електронен пазар като разглеждания в главното производство знае или би трябвало да знае, че по принцип потребителите — податели на обяви, могат да публикуват на неговия електронен пазар обяви, които съдържат чувствителни данни по смисъла на член 9, параграф 1 от ОРЗД, този оператор като администратор е длъжен още при изготвянето на услугата си да въведе подходящи технически и организационни мерки за идентифицирането на такива обяви преди те да бъдат публикувани и следователно да е в състояние да провери дали съдържащите се в тях чувствителни данни се публикуват в съответствие с принципите, посочени в глава II от този регламент. Както следва по-специално от член 25, параграф 1 от цитирания регламент, всъщност посоченият оператор има задължението да въведе такива мерки не само към момента на обработването, но и още към момента на определяне на средствата за обработване, и следователно дори преди чувствителните данни да бъдат публикувани на електронния му пазар в разрез с тези принципи, като целта на това задължение е да се предотвратят именно такива нарушения.
98 На второ място, досежно въпроса дали операторът на електронен пазар, като администратор на чувствителни данни, които се съдържат в публикувани на уебсайта му обяви, съвместно с потребителя — подател на обявата, е длъжен да провери самоличността на последния потребител преди публикуването, е уместно да се припомни, че от тълкуването на член 9, параграф 1 във връзка с член 9, параграф 2, буква а) от ОРЗД следва, че публикуването на такива данни е забранено, освен ако субектът на данни е дал своето изрично съгласие въпросните данни да бъдат публикувани на този електронен пазар или ако е изпълнено някое от другите изключения, залегнали в член 9, параграф 2, букви б)—й), какъвто обаче, изглежда, не е настоящият случай.
99 На това основание, наистина публикуването от субект на данни на обява, която съдържа неговите чувствителни данни, в даден електронен пазар може да представлява изрично съгласие по смисъла на член 9, параграф 2, буква а) от ОРЗД, но такова съгласие не е налице, когато обявата е публикувана от трето лице, освен ако то може да докаже, че субектът на данни е дал изрично съгласие посочената обява да бъде публикувана на въпросния електронен пазар. Следователно, за да може да гарантира и да е в състояние да докаже, че изискванията по член 9, параграф 2, буква а) от ОРЗД са изпълнени, операторът на този пазар е длъжен преди публикуването на такава обява да провери дали потребителят — подател на обявата, който се готви да я публикува, е лицето, чиито чувствителни данни фигурират в тази обява, което предполага да се установи самоличността на посочения потребител.
100 Освен това от член 13, параграф 1, буква а) и член 14, параграф 1, буква а) от ОРЗД следва, че администраторите на лични данни трябва във всички случаи да предоставят на субекта на данни данните, които ги идентифицират и координатите за връзка с тях.
101 Накрая, следва да се отбележи, че член 26 от ОРЗД задължава съвместните администратори на едно и също обработване на лични данни да определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по този регламент. Такова изискване обаче би се оказало невъзможно, ако единият от администраторите може да остане анонимен спрямо другия.
102 От гореизложеното следва, че операторът на електронен пазар, като лице, отговарящо за публикуването на чувствителните данни, които се съдържат в публикувана на неговия електронен пазар обява, съвместно с потребителя — подател на обявата, е длъжен да снеме самоличността на този потребител и да провери дали той е лицето, чиито чувствителни данни фигурират в тази обява.
103 Както по същество отбелязва генералният адвокат в точка 132 от заключението си, в тази насока от съображение 75 от ОРЗД следва, че по-специално в случай на измама с фалшива самоличност обработването на лични данни може да доведе до рискове за правата и свободите на субектите на данни, които поради това биха могли да бъдат възпрепятствани да упражняват контрол върху личните им данни. Всъщност целта на измамата с фалшива самоличност по принцип е извършване на измамни действия във вреда на субекта на данни или на трети лица.
104 При това положение и с оглед и на съображенията, изложени в точки 95 и 96 от настоящото решение, за да бъде в състояние да гарантира и да докаже, че чувствителните данни, които се съдържат в обявите, се обработват в съответствие с изискванията на ОРЗД, операторът на даден електронен пазар е длъжен в приложение на членове 24 и 25 от споменатия регламент да предвиди подходящи технически и организационни мерки, които му позволяват не само да снеме, но и да провери самоличността на потребителя подател, преди да бъдат публикувани тези обяви, и то по-специално за да може да установи дали това е лицето, чиито чувствителни данни фигурират в посочените обяви. Както отбелязва генералният адвокат в точка 134 от заключението си, такива мерки трябва по-специално да позволяват да се ограничи рискът от незаконосъобразно обработване на личните данни на субектите на данни и да се противодейства на недобросъвестното използване на такъв електронен пазар, като се ограничи чувството на безнаказаност и по този начин се подтикнат потребителите — податели на обяви, да се съобразяват с изискванията на ОРЗД, когато публикуват обяви, съдържащи лични данни.
105 Накрая, на трето място, досежно въпроса дали операторът на електронен пазар трябва да откаже да публикува обява, която съдържа чувствителни данни, когато след такава проверка на самоличността на потребителя подател, който се готви да публикува тази обява, се окаже, че същият не е лицето, чиито чувствителни данни фигурират в споменатата обява, се налага изводът, че от точки 98 и 99 от настоящото решение следва, че в подобна хипотеза не е изключена възможността тази публикация да бъде направена в разрез със забраната за обработване на такива данни, залегнала в член 9, параграф 1 от ОРЗД. Ето защо, освен ако този потребител — подател на обявата, може надлежно да докаже, че субектът на данни е дал своето изрично съгласие въпросните данни да бъдат публикувани на този електронен пазар, по смисъла на член 9, параграф 2, буква а), или че е налице някое от другите изключения, предвидени в член 9, параграф 2, букви б)—й), операторът на този електронен пазар е длъжен да откаже да публикува посочената обява, което той трябва да гарантира, като въведе подходящи технически и организационни мерки.
106 С оглед на изложеното дотук на втория и третия въпрос следва да се отговори, че член 5, параграф 2 и членове 24—26 от ОРЗД трябва да се тълкуват в смисъл, че операторът на електронен пазар, като администратор по смисъла на член 4, точка 7 от ОРЗД на личните данни, които се съдържат в публикувани на неговия електронен пазар обяви, е длъжен, преди публикуването на обявите и чрез подходящи технически и организационни мерки,
– да идентифицира обявите, които съдържат чувствителни данни по смисъла на член 9, параграф 1 от ОРЗД,
– да провери дали потребителят — подател на такава обява, който се готви да я публикува, е лицето, чиито чувствителни данни фигурират в нея, и ако това не е така,
– да откаже да публикува обявата, освен ако посоченият потребител — подател на обявата, може да докаже, че субектът на данни е дал своето изрично съгласие въпросните данни да бъдат публикувани на този електронен пазар, по смисъла на член 9, параграф 2, буква а), или че е налице някое от другите изключения, предвидени в член 9, параграф 2, букви б)—й).
По четвъртия въпрос
107 Предмет на четвъртия въпрос по същество е дали операторът на електронен пазар, като администратор, е длъжен да приложи мерки за сигурност, които могат да предотвратят или ограничат копирането и по-нататъшното разпространение на обявите, които са публикувани на неговия електронен пазар и съдържат чувствителни данни.
108 В настоящия случай от преюдициалното запитване става ясно, от една страна, че процесната по главното производство подвеждаща и нанасяща вреди обява е била възпроизведена на други уебсайтове с рекламно съдържание, които са я публикували с посочване на първоизточника, и от друга страна, че в общите условия за ползване на своя електронен пазар Russmedia си запазва в частност правото да предава съдържанието на публикуваните там обяви и да преотстъпва това съдържание на партньори. В тази насока запитващата юрисдикция не уточнява дали Russmedia доброволно е изпратило тази обява на въпросните други уебсайтове, или най-малкото е позволило посредством договори тези публикации, или напротив, посочените публикации са следствие от неразрешено от страна на Russmedia копиране на първоначалната обява.
109 Ако се установи, че е налице първата хипотеза, това предаване би представлявало ново обработване на лични данни, за което Russmedia би било администратор по смисъла на член 4, точка 7 от ОРЗД. Това обработване би трябвало да се разграничава от публикуването от потребителя — подател на процесната по главното производство подвеждаща и нанасяща вреди обява, на неговия електронен пазар.
110 Всъщност следва да се прави разграничение между различните действия по обработване на лични данни, които са част от една и съща верига от операции, за да се отчете необходимостта за всяко лице, което може да бъде квалифицирано като администратор на лични данни, да се прецени поотделно степента на отговорност, която може да му бъде вменена. Това се дължи на факта, че за да може да се счита за съвместен администратор, самото физическо или юридическо лице трябва да отговаря на определението „администратор“ по член 4, точка 7 от ОРЗД (решение от 5 декември 2023 г., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, т. 41 и цитираната съдебна практика).
111 Оттук следва, че ако последващо предаване на лични данни се извърши в рамките на договори за разпространение между оператора на електронния пазар, на който са първоначално публикувани обсъжданите лични данни, и оператори на други уебсайтове, първият оператор поначало е единственият администратор на обработването, каквото представлява това предаване. При всяко положение всеки администратор е длъжен, самостоятелно или съвместно, да изпълнява всички задължения, които произтичат от ОРЗД.
112 След направените уточнения, четвъртият въпрос следва да се разбира в смисъл, че визира хипотеза, при която Russmedia не е прехвърлило на други уебсайтове с рекламно съдържание процесната по главното производство подвеждаща и нанасяща вреди обява и следователно не е разрешило тези последващи публикации.
113 Също така следва да се отбележи, че този въпрос по същество се отнася до обхвата на задължението за сигурност, което администраторът на лични данни е длъжен да спазва. Всъщност член 32 от ОРЗД се отнася конкретно до сигурността на обработването. Той конкретизира и уточнява конкретен аспект на изискванията, прогласени в член 24 от този регламент, който заедно с член 5, параграф 2 от посочения регламент определя общо отговорността на администратора.
114 При това положение се налага изводът, че с четвъртия си въпрос запитващата юрисдикция по същество иска да се установи дали член 32 от ОРЗД трябва да се тълкува в смисъл, че операторът на електронен пазар, като администратор по смисъла на член 4, точка 7 от този регламент на личните данни, които се съдържат в публикувани на неговия електронен пазар обяви, е длъжен да приложи мерки за сигурност, годни да попречат обяви, които са публикувани на този пазар и съдържат чувствителни данни, по смисъла на член 9, параграф 1 от цитирания регламент, да бъдат копирани и незаконосъобразно публикувани на други уебсайтове.
115 Съгласно член 32, параграф 1 от ОРЗД, като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност.
116 Член 32, параграф 2 от този регламент постановява, че при оценката на подходящото ниво на сигурност трябва да се вземат предвид по-специално рисковете, които са свързани с обработването, в частност от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до такива лични данни.
117 Съдът е постановил, че споменаването в член 32, параграфи 1 и 2 от ОРЗД на „съобразено с този риск ниво на сигурност“ и „подходящо ниво на сигурност“ свидетелства за това, че този регламент създава режим на управление на рисковете и че не претендира да изключи напълно рисковете от нарушения на сигурността на личните данни (решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 29).
118 Следователно от текста на член 32 от ОРЗД във връзка с член 24 от него става ясно, че член 32 се ограничава до това да задължи администратора да приеме технически и организационни мерки, предназначени, доколкото е възможно, да се избегне всяко нарушение на сигурността на лични данни. Дали тези мерки са подходящи трябва да се оцени конкретно, като се провери дали те са приложени от администратора при отчитане на различните критерии, визирани в тези членове, и на нуждите от защита на данните, специфично присъщи на съответното обработване, както и свързаните с него рискове (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 30).
119 В тази насока, за да се определи конкретният риск, който носи съответното обработване, следва да се отчете евентуалната чувствителност на обработваните лични данни. Както бе припомнено в точки 51 и 90 от настоящото решение, всъщност повишената защита, предвидена в член 9, параграф 1 от ОРЗД за някои категории данни поради особената им чувствителност, се дължи на факта, че обработването на такива данни може да представлява особено тежко вмешателство в основните права на зачитане на личния живот и на защита на личните данни, гарантирани в членове 7 и 8 от Хартата (вж. в този смисъл решение от 21 декември 2023 г., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, т. 41 и цитираната съдебна практика).
120 При това положение, след като дадена обява, която съдържа лични данни, е онлайн и така вече е общодостъпна, разпространението на тези данни включва по-специално риска от загуба на контрол върху съответните лични данни, който, щом се осъществи, лишава изобщо от полезен ефект правата и гаранциите, предвидени от ОРЗД в полза на субекта на данни, на първо място сред които е правото на изтриване, залегнало в член 17 от ОРЗД.
121 Също така, когато чувствителни данни се публикуват онлайн, администраторът е длъжен съгласно член 32 от ОРЗД да вземе всички технически и организационни мерки, за да осигури ниво на сигурност, което може ефективно да предотврати загубата на контрол върху тези данни.
122 За целта администраторът трябва да обмисли по-специално всякакви налични технически мерки с оглед на съвременното техническо познание, годни да блокират копирането и възпроизвеждането на онлайн съдържание.
123 Трябва обаче да се уточни още, че членове 24 и 32 от ОРЗД не могат да се разбират в смисъл, че незаконосъобразното разпространение на първоначално публикувани онлайн лични данни е достатъчно, за да се направи изводът, че приетите от съответния администратор мерки не са подходящи по смисъла на тези разпоредби, без дори да му се позволи да представи доказателства за противното (решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 31).
124 В настоящия случай от акта за преюдициално запитване е видно, че макар процесната по главното производство подвеждаща и нанасяща вреди обява да е изтрита от електронния пазар на Russmedia, тя продължава да е достъпна онлайн на други уебсайтове, без жалбоподателката в главното производство, изглежда, да може да постигне изтриването ѝ.
125 Оказва се обаче, че причината за тази загуба на контрол е първоначалното незаконосъобразно публикуване на процесната по главното производство подвеждаща и нанасяща вреди обява в разрез с изискванията, предвидени от ОРЗД. Във всеки случай Russmedia е било длъжно да приложи подходящи технически и организационни мерки, за да осигури съобразено с риска ниво на сигурност съгласно член 32 от ОРЗД и да блокира, доколкото е възможно, всякакво копиране на тази обява. Задължение на запитващата юрисдикция е да провери дали това е така.
126 С оглед на изложеното дотук на четвъртия въпрос следва да се отговори, че член 32 от ОРЗД трябва да се тълкува в смисъл, че операторът на електронен пазар, като администратор по смисъла на член 4, точка 7 от този регламент на личните данни, които се съдържат в публикувани на неговия електронен пазар обяви, е длъжен да приложи подходящи технически и организационни мерки за сигурност, за да попречи обявите, които са публикувани на този пазар и съдържат чувствителни данни, по смисъла на член 9, параграф 1 от цитирания регламент, да бъдат копирани и незаконосъобразно публикувани на други уебсайтове.
По първия въпрос, който се отнася до тълкуването на Директива 2000/31
127 Както бе отбелязано в точки 45 и 46 от настоящото решение, запитващата юрисдикция иска да се изясни още дали операторът на електронен пазар, като администратор по смисъла на член 4, точка 7 от ОРЗД на личните данни, които се съдържат в публикувани на неговия електронен пазар обяви, може във връзка с нарушение на задълженията, които произтичат от член 5, параграф 2 и членове 24—26 и 32 от този регламент и са установени в точки 106 и 126 от настоящото решение, да се позове на членове 12—15 от Директива 2000/31, предмет на които е отговорността на междинните доставчици.
128 Следователно се поставя въпросът за отношението между тези два акта от правото на Съюза. По-специално следва да се определи дали членове 12—15 от Директива 2000/31 могат да засегнат режима на отговорност, предвиден в ОРЗД.
129 В тази насока следва да се отбележи, от една страна, че член 1, параграф 5, буква б) от Директива 2000/31 уточнява, че тази директива не се прилага за въпроси, които се отнасят до услуги на информационното общество, предмет на Директиви 95/46 и 97/66.
130 Съдът тълкува тази разпоредба в смисъл, че въпросите, свързани със защитата на поверителността на съобщенията и на личните данни, трябва да се преценяват с оглед на ОРЗД и на Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 2002 г., стр. 37; Специално издание на български език, 2007 г., глава 13, том 36, стр. 63), които заменят съответно Директива 95/46 и Директива 97/66, като следва да се уточни, че защитата, която Директива 2000/31 цели да осигури, при всички положения не може да накърни изискванията, произтичащи от ОРЗД и от Директива 2002/58 (решение от 6 октомври 2020 г., La Quadrature du Net и др., C‑511/18, C‑512/18 и C‑520/18, EU:C:2020:791, т. 200 и цитираната съдебна практика).
131 Оттук в частност следва, че евентуалното ползване от освобождаването, предвидено в член 14, параграф 1 от Директива 2000/31, на което операторът на електронен пазар би могъл да се позове досежно хостваната на неговия уебсайт информация, няма как да засегне режима на ОРЗД, приложим спрямо такъв оператор както спрямо всеки друг оператор, който попада в приложното поле на този регламент.
132 Същото се отнася за член 15 от Директива 2000/31, съгласно който държавите членки не могат при предоставянето на услугите, посочени по-специално в член 14 от тази директива, да налагат на доставчиците общо задължение за контрол. Впрочем задължението на оператора на електронен пазар да изпълни изискванията, които произтичат от ОРЗД, във всеки случай няма как да се квалифицира като такова общо задължение за контрол.
133 От друга страна, член 2, параграф 4 от ОРЗД предвижда, че този регламент не засяга прилагането на Директива 2000/31, и по-специално разпоредбите относно отговорностите на междинните доставчици на услуги, залегнали в членове 12—15 от посочената директива.
134 Цитираният член 2, параграф 4 трябва да се разбира в смисъл, че обстоятелството, че даден оператор е носител на задължения, предвидени от ОРЗД, не изключва автоматично възможността този оператор да се позове на членове 12—15 от Директива 2000/31 по въпроси, различни от свързаните със защитата на лични данни.
135 Следователно от тълкуването на член 1, параграф 5, буква б) от Директива 2000/31 във връзка с член 2, параграф 4 от ОРЗД следва, че разпоредбите на същата директива, и по-конкретно членове 12—15 от нея, не могат да засегнат режима на този регламент.
136 С оглед на изложеното дотук на първия въпрос следва да се отговори, че член 1, параграф 5, буква б) от Директива 2000/31 и член 2, параграф 4 от ОРЗД трябва да се тълкуват в смисъл, че операторът на електронен пазар, като администратор по смисъла на член 4, точка 7 от ОРЗД на личните данни, които се съдържат в публикувани на неговия електронен пазар обяви, не може във връзка с нарушение на задълженията, които произтичат от член 5, параграф 2 и членове 24—26 и 32 от този регламент, да се позове на членове 12—15 от посочената директива, предмет на които е отговорността на междинните доставчици.
По съдебните разноски
137 С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.
По изложените съображения Съдът (голям състав) реши:
1) Член 5, параграф 2 и членове 24—26 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)
трябва да се тълкуват в смисъл, че
операторът на електронен пазар, като администратор по смисъла на член 4, точка 7 от този регламент на личните данни, които се съдържат в публикувани на неговия електронен пазар обяви, е длъжен, преди публикуването на обявите и чрез подходящи технически и организационни мерки,
– да идентифицира обявите, които съдържат чувствителни данни по смисъла на член 9, параграф 1 от този регламент,
– да провери дали потребителят — подател на такава обява, който се готви да я публикува, е лицето, чиито чувствителни данни фигурират в нея, и ако това не е така,
– да откаже да публикува обявата, освен ако посоченият потребител — подател на обявата, може да докаже, че субектът на данни е дал своето изрично съгласие въпросните данни да бъдат публикувани на този електронен пазар, по смисъла на член 9, параграф 2, буква а), или че е налице някое от другите изключения, предвидени в член 9, параграф 2, букви б)—й).
2) Член 32 от Регламент 2016/679
трябва да се тълкува в смисъл, че
операторът на електронен пазар, като администратор по смисъла на член 4, точка 7 от този регламент на личните данни, които се съдържат в публикувани на неговия електронен пазар обяви, е длъжен да приложи подходящи технически и организационни мерки за сигурност, за да попречи обявите, които са публикувани на този пазар и съдържат чувствителни данни, по смисъла на член 9, параграф 1 от цитирания регламент, да бъдат копирани и незаконосъобразно публикувани на други уебсайтове.
3) Член 1, параграф 5, буква б) от Директива 2000/31/ЕО на Европейския парламент и на Съвета от 8 юни 2000 година за някои правни аспекти на услугите на информационното общество, и по-специално на електронната търговия на вътрешния пазар (Директива за електронната търговия) и член 2, параграф 4 от Регламент 2016/679
трябва да се тълкуват в смисъл, че
операторът на електронен пазар, като администратор по смисъла на член 4, точка 7 от този регламент на личните данни, които се съдържат в публикувани на неговия електронен пазар обяви, не може във връзка с нарушение на задълженията, които произтичат от член 5, параграф 2 и членове 24—26 и 32 от този регламент, да се позове на членове 12—15 от посочената директива, предмет на които е отговорността на междинните доставчици.
Подписи
( *1 ) Език на производството: румънски.