РЕШЕНИЕ НА СЪДА (oсми състав)

27 февруари 2025 година ( *1 )

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 4, точка 7 — Понятие за администратор — Пряко определяне на администратора от националното право — Спомагателно административно звено към регионално правителство — Липса на правосубектност — Липса на собствена правоспособност — Определяне на целите на обработването и средствата за него“

По дело C‑638/23

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Verwaltungsgerichtshof (Върховен административен съд, Австрия) с акт от 23 август 2023 г., постъпил в Съда на 24 октомври 2023 г., в рамките на производство по дело

Amt der Tiroler Landesregierung

срещу

Datenschutzbehörde,

при участието на:

Bundesministerin für Justiz,

CW, СЪДЪТ (осми състав),

състоящ се от: N. Jääskinen, председател на девети състав, изпълняващ функцията на председател на осми състав, M. Gavalec (докладчик) и N. Piçarra, съдии,

генерален адвокат: M. Campos Sánchez-Bordona,

секретар: A. Calot Escobar,

предвид изложеното в писмената фаза на производството,

като има предвид становищата, представени:

– за Datenschutzbehörde, от M. Schmidl и E. Wagner, в качеството на представители,

– за Bundesministerin für Justiz, от E. Riedl, в качеството на представител,

– за австрийското правителство, от A. Posch, J. Schmoll и C. Gabauer, в качеството на представители,

– за Европейската комисия, от A. Bouchagiar и M. Heller, в качеството на представители,

предвид решението, взето след изслушване на генералния адвокат, делото да бъде разгледано без представяне на заключение,

постанови настоящото

Решение

1 Преюдициалното запитване се отнася до тълкуването на член 4, точка 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“).

2 Запитването е отправено в рамките на спор между Amt der Tiroler Landesregierung (администрация на правителството на провинция Тирол, Австрия) (наричана по-нататък „администрацията“) и Datenschutzbehörde (Орган за защита на данните, Австрия) относно твърдяно неправомерно обработване на лични данни на физическо лице от администрацията.

Правна уредба

Правото на Съюза

3 Съображения 1, 7, 10, 45 и 74 от ОРЗД имат следния текст:

„(1)

Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз […] и член 16, параграф 1 [ДФЕС] предвиждат, че всеки има право на защита на личните му данни.

[…] (7) […] Физическите лица следва да имат контрол върху собствените си лични данни. Правната и практическата сигурност за физическите лица, икономическите оператори и публичните органи следва да бъдат засилени.

[…] (10)

За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в [Европейския съюз], нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. […]

[…] (45)

Когато обработването се извършва в съответствие с правно задължение, наложено на администратора на лични данни, или когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняване на официални правомощия, за обработването следва да има основание в правото на Съюза или в правото на държава членка. Настоящият регламент не изисква за всяко отделно обработване конкретен законодателен акт. Може да е достатъчен законодателен акт като основание за няколко операции по обработване на данни, основаващи се на правно задължение, наложено на администратора на лични данни, или когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняване на официални правомощия. Правото на Съюза или на държава членка следва да определя също и целта на обработването. Нещо повече, в това право биха могли да се посочат общите условия на настоящия регламент, които определят законосъобразността на обработването на лични данни, да се установяват спецификациите за определянето на администратора на лични данни, видът данни, които подлежат на обработване, съответните субекти на лични данни, образуванията, пред които могат да бъдат разкривани лични данни, ограниченията по отношение на целите, периодът на съхранение и други мерки за гарантиране на законосъобразното и добросъвестно обработване. Също така в правото на Съюза или на държава членка следва да се определи дали администраторът на лични данни, изпълняващ задача от обществен интерес или упражняващ официални правомощия, следва да бъде публичен орган или друго физическо или юридическо лице, субект на публичното право или когато това е оправдано поради съображения от обществен интерес, включително за здравни цели, като например общественото здраве и социалната закрила и управлението на здравните служби субект на частното право, като например професионално сдружение.

[…] (74)

Следва да бъдат установени отговорностите и задълженията на администратора за всяко обработване на лични данни, извършено от администратора или от негово име. По-специално, администраторът следва да е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица“.

4 Член 1 от този регламент, озаглавен „Предмет и цели“, предвижда в параграф 2:

„С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни“.

5 Член 4 („Определения“) от посочения регламент има следния текст:

„За целите на настоящия регламент:

[…] 2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

[…] 7) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

[…]“.

6 Съгласно член 5 от посочения регламент, озаглавен „Принципи, свързани с обработването на лични данни“:

„1.Личните данни са:

a) обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б) събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);

в) подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

г) точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

д) съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);

е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);

2.Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

7 Член 6 от ОРЗД, озаглавен „Законосъобразност на обработването“, предвижда в параграфи 1 и 3:

„1.Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

[…] в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

[…] д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

[…] 3.Основанието за обработването, посочено в параграф 1, букви в) и д), е установено от:

a) правото на Съюза; или

б) правото на държавата членка, което се прилага спрямо администратора.

Целта на обработването се определя в това правно основание или доколкото се отнася до обработването по параграф 1, буква д), то трябва да е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора. Това правно основание може да включва конкретни разпоредби за адаптиране на прилагането на разпоредбите на настоящия регламент, inter alia общите условия, които определят законосъобразността на обработването от администратора, видовете данни, които подлежат на обработване, съответните субекти на данни; образуванията, пред които могат да бъдат разкривани лични данни, и целите, за които се разкриват; ограниченията по отношение на целите на разкриването; периодът на съхранение и операциите и процедурите за обработване, включително мерки за гарантиране на законосъобразното и добросъвестно обработване, като тези за други конкретни случаи на обработване съгласно предвиденото в глава IX. […]“.

Австрийското право

Устройствен закон на провинция Тирол от 1989 г.

8 Член 56 от Landesverfassungsgesetz über die Verfassung des Landes Tirol (Tiroler Landesordnung 1989) (Конституционен закон на провинция Тирол) (Устройствен закон на провинция Тирол от 1989 г.) от 21 септември 1988 г., в редакцията си, приложима към спора по главното производство (наричан по-нататък „Устройственият закон на провинция Тирол от 1989 г.“), озаглавен „Landeshauptmann“ (министър-председател на провинция Тирол, Австрия) (наричан по-нататък „министър-председателят“), предвижда в параграф 1:

„Министър-председателят представлява провинция Тирол“.

9 Член 58 от Устройствения закон на провинция Тирол от 1989 г. е озаглавен „Администрация“ и предвижда в параграф 1:

„Министър-председателят, правителството на провинцията и неговите членове изпълняват функциите си посредством администрацията. Министър-председателят ръководи администрацията“.

TDVG

10 Член 2 от Tiroler Datenverarbeitungsgesetz (Закон за обработването на данни на провинция Тирол, наричан по-нататък „TDVG“) предвижда:

„1.Счита се за администратор по смисъла на член 4, точка 7 от [ОРЗД]:

a) [администрацията];

[…] 3.Когато обработване на данни се извършва или възлага от провинция Тирол, [администрацията] винаги се счита за администратор на тези данни, доколкото:

a) няма съвместно администриране по смисъла на параграф 1, буква b) или c), и

b) няма обработване, възложено по смисъла на член 5“.

Спорът в главното производство и преюдициалният въпрос

11 В рамките на мерки, предназначени за борба срещу пандемията от COVID‑19, администрацията, спомагателно административно звено към министър-председателя и правителството на провинция Тирол, изпраща „напомнително писмо за ваксинация“ на всички пълнолетни лица с местожителство в провинция Тирол, които все още не са ваксинирани срещу този вирус. Администрацията възлага идентифицирането на адресатите на тези писма на две частни предприятия, които засичат данните, фигуриращи в централния регистър за ваксинациите, както и в регистъра на пациентите, в който е посочен адресът им на пребиваване.

12 На 21 декември 2021 г. CW, един от адресатите, подава пред органа за защита на данните жалба срещу администрацията за незаконосъобразно обработване на личните му данни. Пред този орган администрацията изтъква, че има качеството на „администратор“ и че изпратеното на CW писмо изхожда от нея.

13 С решение от 22 август 2022 г. посоченият орган констатира, че администрацията е нарушила правото на CW на защита на личните му данни, доколкото, за да му изпрати „напомнително писмо за ваксинация“, администрацията е направила справка за данните на заинтересованото лице, фигуриращи в регистъра за ваксинациите, въпреки че не разполага с право на достъп до този регистър, нито до регистъра на пациентите. Следователно обработването на личните данни на CW било незаконосъобразно.

14 Администрацията подава жалба срещу това решение до Bundesverwaltungsgericht (Федерален административен съд, Австрия). Последният постановява, че на основание на приложимото национално право администрацията имала качеството на администратор [на лични данни], но нямала право да прави справки в регистъра за ваксинациите за целите на изпращането на напомнително писмо като изпратеното на CW. След като този съд отхвърля жалбата на администрацията, последната подава ревизионна жалба срещу това решение пред Verwaltungsgerichtshof (Върховен административен съд, Австрия), който е запитващата юрисдикция.

15 Според тази юрисдикция за произнасянето по делото, с което е сезирана, следва да се изясни дали администрацията има качеството на „администратор“ по смисъла на член 4, точка 7 от ОРЗД.

16 В това отношение запитващата юрисдикция подчертава факта, че администрацията само е изготвила предложение до министър-председателя за изпращане на „напомнително писмо за ваксинация“, което той е одобрил в качеството си на ръководител на администрацията и представител на провинция Тирол, в съответствие съответно с член 58 и член 56, параграф 1 от Устройствения закон на провинция Тирол от 1989 г. По този начин администрацията се ограничила до това да посочи на министър-председателя, от една страна, каква ще бъде целта на планираното обработване на лични данни, а именно увеличаване на процента на ваксиниране, и от друга страна, средствата, които ще бъдат използвани въз основа на това обработване, а именно изпращането на „напомнително писмо за ваксинация“, като се използват данните от централния регистър за ваксинациите и от регистъра на пациентите.

17 Според запитващата юрисдикция, като се има предвид това одобряване от министър-председателя, единствено той е определил както целта, така и средствата за обработването на личните данни, така че администрацията няма качеството на „администратор“ по смисъла на член 4, точка 7, първо изречение от ОРЗД.

18 Същевременно тази юрисдикция счита, че трябва да се изясни дали администрацията може валидно да бъде определена като такъв въз основа на разпоредба от националното право, а именно член 2, параграф 1, буква a) от TDVG.

19 Действително администрацията не била юридическо лице или орган, на който е възложено обработването на лични данни, вследствие на което на CW било изпратено „напомнително писмо за ваксинация“. При това обработване администрацията действала изцяло като спомагателно административно звено към публичен орган. Тя нямала правосубектност, нито собствена правоспособност. Следователно трябвало да се определи дали администрацията може при тези обстоятелства да се разглежда като „агенция или друга структура“ по смисъла на член 4, точка 7, първо изречение от ОРЗД, която може да бъде определена като администратор по силата на националното право в съответствие с член 4, точка 7, второ изречение от този регламент.

20 По-нататък, посочената юрисдикция припомня, че в съответствие с член 4, точка 7, второ изречение от ОРЗД администратор може да се определи пряко само доколкото целите и средствата за обработването на съответните лични данни са определени от националното право. Същевременно, макар член 2, параграф 1, буква a) от TDVG да определя администрацията като администратор [на лични данни], той все пак не посочва конкретно нито какви видове обработване на лични данни може да извършва администрацията, нито преследваните с тези видове обработване цели, нито средствата, които администрацията може да приложи за това.

21 Запитващата юрисдикция добавя, че от член 6, параграф 1, букви в) и д) от ОРЗД произтича, че обработване на лични данни е законосъобразно, ако е необходимо за спазването на законово задължение, което се прилага спрямо администратора, или ако е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора. От тези условия за законосъобразност и от целта, преследвана от член 4, точка 7 от ОРЗД, да се гарантира ефикасна и разширена защита на субектите на данни, следва, че държавите членки могат да определят като администратор само лице или образувание, което е в състояние да определя целите и средствата за обработването на лични данни или поне да участва в това определяне.

22 При тези условия Verwaltungsgerichtshof (Върховен административен съд) решава да спре производството и да постави на Съда следния преюдициален въпрос:

„Трябва ли член 4, точка 7 от [ОРЗД] да се тълкува в смисъл, че не допуска прилагането на разпоредба на националното право (каквато е в настоящия случай член 2, параграф 1 от [TDVG], която, макар и да определя администратор по смисъла на член 4, точка 7, второ изречение от ОРЗД,

– той е единствено административно звено (както в настоящия случай [администрацията]), коeто въпреки че е създадено със закон, не е физическо или юридическо лице, и освен това в настоящия случай не е административен орган, а единствено подпомага такъв и не притежава собствена (частична) правоспособност;

– той е определен, без да е посочено конкретно обработване на лични данни и следователно целите и средствата за конкретното обработване на лични данни не са определени от правото на държавата членка;

– в конкретния случай той не определя нито сам, нито съвместно с другиго, целите и средствата за съответното обработване на лични данни?“.

По преюдициалния въпрос

23 С въпроса си запитващата юрисдикция по същество иска да се установи дали член 4, точка 7 от ОРЗД трябва да се тълкува в смисъл, че не допуска национална правна уредба, която определя като администратор спомагателно административно образувание, което няма правосубектност, както и собствена правоспособност, без да уточнява конкретно специфичните операции по обработването на лични данни, за които това образувание е администратор, нито целта на тези операции. Тази юрисдикция иска също така да се установи дали член 4, точка 7 от ОРЗД трябва да се тълкува в смисъл, че образувание, определено от националното право като администратор в съответствие с тази разпоредба, трябва действително да определя целите и средствата за обработването на лични данни, за да бъде длъжно да отговаря като администратор на исканията, които субектите на данни отправят до него въз основа на правата, които те черпят от ОРЗД.

24 В самото начало следва да се припомни, че съгласно член 4, точка 7 от ОРЗД понятието „администратор“ обхваща физически или юридически лица, публични органи, агенции или други структури, които сами или съвместно с други определят целите и средствата за обработването. Тази разпоредба предвижда още, че когато целите и средствата за това обработване се определят в частност от правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в това право.

25 От практиката на Съда следва, че целта на тази разпоредба е да се осигури ефективна и пълна защита на субектите на данни посредством широко определение на понятието „администратор“ (вж. в този смисъл решения от 5 декември 2023 г., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, т. 29, и от 5 декември 2023 г., Deutsche Wohnen, C‑807/21, EU:C:2023:950, т. 40).

26 Преследваната с ОРЗД цел, както произтича от член 1 и от съображения 1 и 10 от него, е да се гарантира висока степен на защита на основните права и свободи на физическите лица, и по-специално на правото им на личен живот при обработването на лични данни, закрепено в член 8, параграф 1 от Хартата и в член 16, параграф 1 ДФЕС (решение от 7 март 2024 г., IAB Europe, C‑604/22, EU:C:2024:214, т. 53 и цитираната съдебна практика).

27 С оглед на текста на член 4, точка 7 от ОРЗД, разглеждан в светлината на тази цел, за да се определи дали дадено лице или субект трябва да се квалифицира като „администратор“ по смисъла на тази разпоредба, следва да се провери дали това лице или субект, самостоятелно или съвместно с други, определя целите и средствата за обработването, или същите са определени от националното право. Когато те са определени от националното право, следва да се провери дали това право определя администратора или специалните критерии за неговото определяне (решение от 11 януари 2024 г., État belge (Данни, обработвани от държавен вестник), C‑231/22, EU:C:2024:7, т. 29).

28 Предвид широкото определение на понятието „администратор“ по член 4, точка 7 от ОРЗД, определянето на целите и средствата за обработването и евентуално определянето на този администратор в националното право могат да бъдат извършени не само изрично, но и имплицитно. В последния случай обаче е необходимо определянето да произтича по достатъчно сигурен начин от ролята, задачите и правомощията, предоставени на съответното лице или съответния субект (решение от 11 януари 2024 г., État belge (Данни, обработвани от държавен вестник), C‑231/22, EU:C:2024:7, т. 30).

29 Поставеният въпрос следва да се разгледа именно в светлината на тези предварителни съображения. За тази цел трябва, първо, да се установи доколко националният законодател може валидно да определи спомагателно звено към публични органи като администратор по смисъла на член 4, точка 7, второ изречение от ОРЗД, когато това образувание няма правосубектност и собствена правоспособност.

30 В това отношение следва да се отбележи, от една страна, че Съдът вече е постановил, че видно от ясния текст на член 4, точка 7 от ОРЗД, администратор може да бъде не само физическо или юридическо лице, но и публичен орган, агенция или структура, като такива субекти не са непременно персонифицирани съгласно националното право (вж. в този смисъл решение от 11 януари 2024 г., État belge (Данни, обработвани от държавен вестник) (C‑231/22, EU:C:2024:7, т. 36).

31 Така, не може да се изключи възможността дадено образувание да бъде квалифицирано като „администратор“ по смисъла на тази разпоредба, дори да няма правосубектност.

32 От друга страна, що се отнася до въпроса дали квалифицирането на дадено образувание като „администратор“ изисква то да има собствена правоспособност, или за тази цел е достатъчно на съответното образувание да е предоставена известна възможност за вземане на решения и предприемане на действия в рамките на защитата на личните данни, следва да се припомни, че от съображение 74 от ОРЗД е видно, че волята на законодателя на Съюза е отговорността на администратора да е идентична, независимо какво е обработването на лични данни, което той извършва, и независимо от това дали то е извършено от самия него, или посредством другиго, но от негово име. Този законодател е възнамерявал също да гарантира, че администраторът е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с този регламент, включително ефективността на въпросните мерки, които следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска, който то представлява за правата и свободите на физическите лица.

33 Именно до такава степен член 5, параграф 2 от ОРЗД въвежда принцип на отчетност, по силата на който администраторът носи отговорност за спазването на принципите, свързани с обработването на лични данни, закрепени в параграф 1 от този член, и предвижда, че посоченият администратор трябва е в състояние да докаже, че тези принципи са спазени.

34 Като се имат предвид законовите задължения, които са възложени по този начин на администратора на обработването, визирано в член 4, точка 7 от ОРЗД, той трябва, по реда и условията, предвидени в правната уредба на съответната държава членка, да е в състояние да изпълни правно и фактически тези задължения, без в това отношение да има отражение фактът дали това образувание има или не правосубектност и собствена правоспособност.

35 В конкретния случай запитващата юрисдикция трябва да провери дали администрацията е оправомощена по австрийското право да поема отговорностите и задълженията, които ОРЗД налага на администратора, по-конкретно с оглед на обстоятелството, неоспорено пред националните съдилища, които са били сезирани със спора по главното производство, че администрацията може да обжалва решението на органа за защита на данните, а също може и да е ответник по жалба пред този орган. Запитващата юрисдикция би могла да вземе предвид и факта, че администрацията е възложила на две частни предприятия да извършат обработване на личните данни, фигуриращи в централния регистър за ваксинациите и в този на пациентите, пребиваващи в провинция Тирол.

36 Второ, запитващата юрисдикция изпитва съмнения дали национален законодател може да определи дадено образувание като администратор по член 4, точка 7, второ изречение от ОРЗД, без да уточнява конкретно нито видовете обработване на лични данни, които то може да извършва, нито тяхната цел, нито точните средства, които може да прилага за целите на това обработване.

37 Както беше припомнено в точка 28 от настоящото решение, когато националното право определя дадено образувание като администратор, определянето на целите и средствата за обработването от това право може да бъде имплицитно, при условие това определяне да произтича по достатъчно сигурен начин от ролята, задачите и правомощията, предоставени на това образувание. Това условие е изпълнено, ако целите и средствата са видни по същество от разпоредбите на националното право, регламентиращи дейността на посоченото образувание.

38 Прякото определяне от националния законодател на дадено образувание като администратор допринася към целта за правна сигурност, преследвана от ОРЗД, както е видно от съображение 7 от него, като позволява на физическите лица, чиито лични данни биват обработвани, да идентифицират лесно образуванието, на което е възложено да следи за спазването на правата, предоставени им от този регламент.

39 Валидността на такова определяне обаче е обусловено от това националната правна уредба да очертава обхвата на обработването на личните данни, за което това образувание е определено като администратор, без обаче да е необходимо този законодател да е изброил изчерпателно всички операции по обработване, за които посоченото образувание е така определено. Както гласи съображение 45 от този регламент, „[м]оже да е достатъчен законодателен акт като основание за няколко операции по обработване на данни, основаващи се на правно задължение, наложено на администратора на лични данни, или когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняване на официални правомощия“.

40 От това следва, че национална правна уредба, която определя дадено образувание като администратор, без изрично да изброява всички конкретни операции по обработване на лични данни, за които то е администратор, както и целта на тези операции по обработване, е съвместима с член 4, точка 7 от ОРЗД, доколкото тази правна уредба определя изрично или поне имплицитно обхвата на обработването на личните данни, за което е определено това образувание.

41 В конкретния случай запитващата юрисдикция трябва да провери, от една страна, дали обработването на лични данни, извършено от администрацията за целите на подготвянето и изпращането на разглежданите по главното производство „напомнителни писма за ваксинация“, е съвместимо с целите, на които трябва да съответстват операциите по обработване на лични данни, за които администрацията е била определена като администратор, така както тези цели произтичат, поне имплицитно, от съвкупността от разпоредби на националното право, уреждащи нейната дейност, и от друга страна, средствата, които тя може да използва за тази цел. Само обстоятелството, че тези национални разпоредби не уточняват, съответно по конкретен начин, операциите по обработване, които администрацията е овластена да извършва, не може да изключи квалифицирането на образувание, подобно на администрацията, като администратор по смисъла на член 4, точка 7 от ОРЗД.

42 Трето, запитващата юрисдикция иска да се установи дали дадено образувание, определено от националната правна уредба като администратор по член 4, точка 7, второ изречение от ОРЗД, трябва също така да решава само или съвместно с други компетентни органи целите и средствата за обработването на лични данни, за което е определено като администратор, за да бъде длъжно да отговаря в това качество на искания, които субектите на данни отправят до него въз основа на правата, които те черпят от ОРЗД.

43 В това отношение е достатъчно да се отбележи, че за да се установи качеството на администратор по смисъла на член 4, точка 7, първо изречение от ОРЗД, следва да се провери дали този субект действително е оказал за свои цели влияние върху определянето на целите и средствата за обработването на данните (вж. в този смисъл решение от 5 декември 2023 г., Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, т. 30 и 31).

44 За сметка на това, за да се установи качеството на администратор на субект по смисъла на член 4, точка 7, второ изречение от ОРЗД, както е видно от ясния текст на тази разпоредба, не е необходимо този субект да упражнява влияние върху определянето на целите и средствата за това обработване.

45 Следователно такова образувание, определено от националното право като администратор, не трябва самó да решава целите и средствата за обработването на личните данни, за да е длъжно да отговаря, в качеството на администратор, на исканията, които субектите на данни отправят до него въз основа на правата, които те черпят от ОРЗД.

46 В това отношение Съдът вече е постановил, че валидността на прякото определяне не се засяга от обстоятелството, че по силата на националното право определеното като администратор образувание не осъществява никакъв контрол спрямо личните данни, които му се налага да обработва (вж. в този смисъл решение от 11 януари 2024 г., État belge (Данни, обработвани от държавен вестник) (C‑231/22, EU:C:2024:7, т. 37 и 38).

47 Такова тълкуване е в съответствие с целта за правна сигурност, преследвана с ОРЗД. Както подчертава Европейската комисия в писменото си становище, постигането на тази цел би било застрашено, ако, за да се приеме, че това определяне е надлежно извършено от националния законодател, субектите на данни трябва да проверяват дали образуванието, определено като администратор на личните им данни, има правомощието самó да определя целите и средствата за такова обработване.

48 Важно е да се добави още, че фактът, че не е необходимо образувание, определено от националното право като администратор, да е оправомощено също така самó да взема решения относно целите и средствата за обработването на лични данни, за да е длъжно да отговаря в качеството на администратор на исканията, подадени до него от субектите на данни въз основа на правата, които те черпят от ОРЗД, все пак не лишава тези субекти от възможността да отправят тези искания до друго образувание, което считат за администратор или съвместен администратор на личните им данни поради влиянието, което това друго образувание е упражнило при определянето на целите и средствата за въпросното обработване.

49 С оглед на гореизложените съображения на поставения въпрос следва да се отговори, че член 4, точка 7 от ОРЗД трябва да се тълкува в смисъл, че допуска национална правна уредба, която определя като администратор спомагателно административно звено, което няма правосубектност и собствена правоспособност, без да уточнява конкретно специфичните операции по обработване на лични данни, за които това образувание е администратор, както и целта на тези операции, ако обаче, от една страна, в съответствие с тази национална правна уредба такова образувание може да изпълнява задълженията на администратор спрямо субектите на данни в областта на защитата на личните данни и от друга страна, посочената национална правна уредба определя изрично или поне имплицитно обхвата на обработването на личните данни, за което това образувание е администратор.

По съдебните разноски

50 С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (осми състав) реши:

Член 4, точка 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните)

трябва да се тълкува в смисъл, че

допуска национална правна уредба, която определя като администратор спомагателно административно звено, което няма правосубектност и собствена правоспособност, без да уточнява конкретно специфичните операции по обработване на лични данни, за които това образувание е администратор, както и целта на тези операции, ако обаче, от една страна, в съответствие с тази национална правна уредба такова образувание може да изпълнява задълженията на администратор спрямо субектите на данни в областта на защитата на личните данни и от друга страна, посочената национална правна уредба определя изрично или поне имплицитно обхвата на обработването на личните данни, за което това образувание е администратор.

Подписи

( *1 ) Език на производството: немски.