Решение от 19.03.2026 по дело C-0526/2024 на СЕС

Тълкуване на правото на достъп до лични данни, понятието за прекомерност на искане и правото на обезщетение при нарушение на Регламент (ЕС) 2016/679

Кратко резюме на спора

- Преюдициалното запитване е във връзка със спор между оптично предприятие и физическо лице относно отказа на предприятието да уважи...
Абонирайте се, за да прочетете резюмето на спора.

Неокончателна редакция

РЕШЕНИЕ НА СЪДА (четвърти състав)

19 март 2026 година(*)

„ Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 12, параграф 5 — Член 15, параграф 1 — Право на достъп на субекта на данните до свързаните с него лични данни — Право на администратора да откаже да предприеме действия по искането за достъп — Прекомерност на искането — Злоупотреба с право — Първо искане за достъп — Право на обезщетение и отговорност за причинени вреди — Член 82, параграф 1 — Иск, основан на нарушение на правото на достъп — Неимуществена вреда — Загуба на контрол върху личните данни “

По дело C‑526/24

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Amtsgericht Arnsberg (Районен съд Арнсберг, Германия) с акт от 31 юли 2024 г., постъпил в Съда същия ден, в рамките на производство по дело

Brillen Rottler GmbH & Co. KG

срещу

TC, СЪДЪТ (четвърти състав),

състоящ се от: I. Jarukaitis, председател на състава, K. Lenaerts, председател на Съда, изпълняващ функцията на съдия от четвърти състав, M. Condinanzi, N. Jääskinen и R. Frendo (докладчик), съдии,

генерален адвокат: M. Szpunar,

секретар: I. Illéssy, администратор,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 5 юни 2025 г.,

като има предвид становищата, представени:

–за Brillen Rottler GmbH & Co. KG, от J. Tröber, Rechtsanwalt,

–за TC, от P. Brandt, Rechtsanwalt,

–за Европейската комисия, от A. Bouchagiar, M. Heller и H. Kranenborg, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 18 септември 2025 г.,

постанови настоящото

Решение

1 Преюдициалното запитване се отнася до тълкуването на член 4, точка 2, член 12, параграф 5 и член 82, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“).

2 Запитването е отправено в рамките на спор между Brillen Rottler GmbH & Co. KG, семейно оптично предприятие, и TC, частноправен субект, относно отказа на това предприятие да уважи подаденото от TC на основание член 15 от ОРЗД искане за достъп до личните му данни.

Правна уредба

3 Съображения 4, 10, 11, 63, 85, 141 и 146 от ОРЗД гласят:

„(4)Обработването на лични данни следва да е предназначено да служи на човечеството. Правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност. Настоящият регламент е съобразен с всички основни права и в него се спазват свободите и принципите, признати от [Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“)], както са залегнали в Договорите, и по-специално зачитането на личния и семейния живот, дома и комуникациите, защитата на личните данни, свободата на мисълта, съвестта и религията, свободата на изразяване на мнение и свободата на информацията, свободата на стопанската инициатива, правото на ефективни правни средства за защита и на справедлив съдебен процес, както и културното, религиозното и езиковото многообразие.

[…] (10)За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в [Европейския съюз], нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. […]

(11)Ефективната защита на личните данни в рамките на Съюза изисква укрепване и подробно описание на правата на субектите на данните и задълженията на онези, които обработват и определят обработването на личните данни, както и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни и еквивалентни санкции за нарушенията в държавите членки.

[…] (63)Всяко физическо лице следва да има право на достъп до събраните лични данни, които го засягат, и да упражнява това право лесно и на разумни интервали, за да бъде осведомено за обработването и да провери законосъобразността му. […]

(85)Нарушаването на сигурността на лични данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица. […]

[…] (141)Всеки субект на данни следва да има право да подаде жалба до един надзорен орган, по-специално в държавата членка на обичайно си местопребиваване, както и право на ефективни правни средства за защита в съответствие с член 47 от Хартата, ако счита, че правата му по настоящия регламент са нарушени […]

[…] (146)Администраторът […] следва да обезщет[и] всички вреди, които дадено лице може да претърпи в резултат на обработване на данни, което нарушава настоящия регламент. Администраторът […] следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите. Понятието „вреда“ следва да се тълкува в по-широк смисъл в контекста на съдебната практика на Съда по начин, който отразява напълно целите на настоящия регламент. […] Субектите на данни следва да получат пълно и действително обезщетение за претърпените от тях вреди. […]“.

4 Съгласно член 4 от този регламент, озаглавен „Определения“:

„За целите на настоящия регламент:

[…] 2)„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

[…]“.

5 Член 12 от посочения регламент е озаглавен „Прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни“ и параграфи 1, 2 и 5 от него предвиждат:

„1.Администраторът предприема необходимите мерки за предоставяне на всякаква информация по членове 13 и 14 и на всякаква комуникация по членове 15—22 и член 34, която се отнася до обработването, на субекта на данните […].

2.Администраторът съдейства за упражняването на правата на субекта на данните по членове 15—22. […]

[…] 5.Информацията по членове 13 и 14 и всяка комуникация и действия по членове 15—22 и член 34 се предоставят безплатно. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може или:

а)да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или

б)да откаже да предприеме действия по искането.

Администраторът носи тежестта на доказване на явно неоснователния или прекомерен характер на искането“.

6 Член 15 от същия регламент е озаглавен „Право на достъп на субекта на данните“ и параграф 1 от него гласи:

„Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

[…]“.

7 Член 26 от ОРЗД е озаглавен „Съвместни администратори“ и параграф 1 от него предвижда:

„Когато двама или повече администратори съвместно определят целите и средствата на обработването, те са съвместни администратори. […]“.

8 Член 30 от този регламент е озаглавен „Регистри на дейностите по обработване“ и параграф 1 от него предвижда:

„Всеки администратор и — когато това е приложимо — представител на администратор поддържа регистър на дейностите по обработване, за които отговоря. […]“.

9 Член 57 от посочения регламент е озаглавен „Задачи“ и параграфи 1 и 4 от него гласят:

„1.Без да се засягат останалите задачи, определени с настоящия регламент, на своята територия всеки надзорен орган:

[…] е)разглежда жалбите, подадени от субект на данни или от структура, организация или сдружение в съответствие с член 80, и разследва предмета на жалбата, доколкото това е целесъобразно […];

[…] 4.Когато исканията са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост, надзорният орган може да наложи разумна такса, основана на административните разходи, или да откаже да предприеме действия по искането. Надзорният орган носи тежестта на доказване на очевидно неоснователния или прекомерния характер на искането“.

10 Член 79 от същия регламент е озаглавен „Право на ефективна съдебна защита срещу администратор или обработващ лични данни“ и параграф 1 от него предвижда:

„Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент“.

11 Член 82 от ОРЗД е озаглавен „Право на обезщетение и отговорност за причинени вреди“ и параграфи 1, 2 и 4 от него предвиждат:

„1.Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

2.Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. […]

[…] 4.Когато в една и съща операция по обработване участват повече от един администратор или обработващ лични данни или участват и администратор, и обработващ лични данни, и когато те са отговорни по параграфи 2 и 3 за вреда, причинена от обработването, всеки администратор или обработващ лични данни носи отговорност за цялата вреда, за да се гарантира действително обезщетение на субекта на данни“.

Спорът в главното производство и преюдициалните въпроси

12 През март 2023 г. TC, пребиваващо в Австрия физическо лице, се абонира за информационния бюлетин на Brillen Rottler, установено в Арнсберг (Германия) семейно оптично предприятие, като въвежда личните си данни в регистрационната форма, налична на уебсайта на това предприятие, и дава съгласие за обработване на тези данни. Тринадесет дни по-късно TC изпраща на Brillen Rottler искане за достъп на основание член 15 от ОРЗД.

13 В законоустановения едномесечен срок Brillen Rottler отхвърля искането за достъп, като приема, че то е злоупотреба с право по смисъла на член 12, параграф 5, първа алинея, второ изречение от ОРЗД. Brillen Rottler приканва TC да се откаже окончателно от искането си.

14 Последният поддържа искането си за достъп, като освен това прави и искане на основание член 82 от ОРЗД за обезщетение в размер на 1 000 евро, поради което Brillen Rottler сезира запитващата юрисдикция, Amtsgericht Arnsberg (Районен съд Арнсберг, Германия), с иск да се установи, че TC няма право на никакво обезщетение.

15 В подкрепа на иска си Brillen Rottler поддържа, че видно от множество съобщения, статии от блогове и доклади на адвокати, TC подава системно и с цел злоупотреба с право искания за достъп до личните си данни само за да получи обезщетение за твърдяно, съзнателно предизвикано от него нарушение на правата, които черпи от ОРЗД. Начинът на действие на TC е най-напред да се абонира за информационен бюлетин, след това да подаде искане за достъп и накрая да направи искане за обезщетение за вреди.

16 TC поддържа пред запитващата юрисдикция, че искането за достъп, което е подал до Brillen Rottler, е законосъобразно, че то е израз на правото на достъп, предоставено му от член 15 от ОРЗД, и че това дружество иска неправомерно да ограничи предоставените му с този регламент права. С насрещен иск той моли Brillen Rottler да бъде осъдено да му заплати обезщетение в размер на най-малко 1 000 евро за претърпените от него нематериални вреди вследствие на отказа на това дружество да му предостави достъп до личните му данни.

17 Запитващата юрисдикция иска да се установи, на първо място, дали първото искане за достъп, подадено от субекта на данни, може да се счита за „прекомерно искане“ по смисъла на член 12, параграф 5 от ОРЗД и следователно да представлява злоупотреба с право, и какви са обстоятелствата, позволяващи да се установи такава прекомерност. Тя иска по-специално да се установи дали, за да отхвърли искане за достъп на основание на тази разпоредба, администраторът може да се основе на публична информация, която разкрива, че същият субект е подал множество искания за достъп и за обезщетение пред други администратори.

18 На второ място, тази юрисдикция поставя въпроса дали подаденото на основание член 15, параграф 1 от ОРЗД искане за достъп и/или отговорът на това искане представляват „обработване“ по смисъла на член 4, точка 2 от този регламент.

19 На трето място, посочената юрисдикция има съмнения относно критериите за установяване на вредите, подлежащи на обезщетяване на основание член 82, параграф 1 от ОРЗД, и по-специално дали дори при липсата на обработване този член предоставя такова право само въз основа на нарушението на правото на достъп, предвидено в член 15, параграф 1 от този регламент.

20 При тези обстоятелства Amtsgericht Arnsberg (Районен съд Арнсберг) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)Трябва ли член 12, параграф 5, [първа алинея,] второ изречение от [ОРЗД] да се тълкува в смисъл, че при първото подаване от субекта на данни на искане до администратора за достъп не може да е налице прекомерно искане?

2)Трябва ли член 12, параграф 5, [първа алинея,] второ изречение от ОРЗД да се тълкува в смисъл, че администраторът може да отхвърли искане за достъп от страна на субекта на данни, ако с искането за достъп субектът на данни възнамерява да предизвика предявяването на претенции за обезщетение за вреди срещу администратора?

3)Трябва ли член 12, параграф 5, първа алинея, второ изречение от ОРЗД да се тълкува в смисъл, че публично достъпна информация за субекта на данните, от която може да се заключи, че в много от случаите на нарушения срещу защитата на данните същият предявява претенции за обезщетение за вреди срещу администратора, може да обоснове отказа за достъп?

4)Трябва ли член 4, точка 2 от ОРЗД да се тълкува в смисъл, че искането за достъп, отправено от субект на данни до администратора в съответствие с член 15, параграф 1 от ОРЗД, и/или отговорът на това искане представляват обработване по смисъла на [първата от тези разпоредби]?

5)Трябва ли член 82, параграф 1 от ОРЗД, в светлината на съображение 146, първо изречение от ОРЗД, да се тълкува в смисъл, че на обезщетение подлежат само вредите, които субектът на данните претърпява, респ. е претърпял в резултат на обработване? Означава ли това, че правото на обезщетение за вреди по член 82, параграф 1 от ОРЗД — обусловено от съществуването на причинени вреди за субекта на данни — задължително изисква да е налице обработване на личните данни на субекта на данни?

6)При утвърдителен отговор на петия въпрос: означава ли това, че субектът на данни няма право на обезщетение за вреди по член 82, параграф 1 от ОРЗД — обусловено от съществуването на причинени вреди — само на основание нарушаването на правото му на достъп съгласно член 15, параграф 1 от ОРЗД?

7)Трябва ли член 82, параграф 1 от ОРЗД да се тълкува в смисъл, че с оглед на правото на Съюза възражението на администратора за злоупотреба с право във връзка с искане за достъп от страна на субекта на данни не може да се състои в това, че субектът на данните предизвиква обработването на личните си данни само или в частност за да предяви претенции за обезщетение за вреди?

8)При отрицателен отговор на петия и шестия въпрос: представляват ли сами по себе си свързаната с нарушение на член 15, параграф 1 от ОРЗД загуба на контрол и/или несигурността относно обработването на личните данни на субекта на данните нематериални вреди за субекта на данните по смисъла на член 82, параграф 1 от ОРЗД, или наред с това е необходимо да е налице допълнително (обективно или субективно) ограничаване и/или (съществено) засягане на субекта на данните?“.

По преюдициалните въпроси

По първия, втория, третия и седмия въпрос

21 С първия, втория, третия и седмия въпрос, които следва да бъдат разгледани заедно и на първо място, запитващата юрисдикция иска по същество да се установи дали член 12, параграф 5 от ОРЗД трябва да се тълкува в смисъл, че първото искане за достъп до личните данни, подадено от субекта на данни до администратора на основание член 15 от този регламент, може да се счита за „прекомерно“ по смисъла на член 12, параграф 5, и ако е така, какви са обстоятелствата, които позволяват евентуално да се установи такава прекомерност.

22 В това отношение член 15, параграф 1 от ОРЗД гарантира правото на субекта на данни да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, правото му да получи достъп до тези данни и свързаната с това информация (вж. в този смисъл решение от 26 октомври 2023 г., FT (Копия от медицинското досие), C‑307/22, EU:C:2023:811, т. 31).

23 Освен това член 12, параграф 5 от ОРЗД установява принципа, че упражняването на това право на достъп не води до никакви разходи за субекта на данни. Последната разпоредба обаче предвижда две причини, поради които администраторът може или да наложи разумна такса, отчитаща административните разходи, или да откаже да предприеме действия по искане за достъп. Тези причини са свързани със случаи на злоупотреба с право, при които исканията на субекта на данни трябва да се считат за „явно неоснователни“ или „прекомерни“, по-специално поради своята повторяемост (решение от 26 октомври 2023 г., FT (Копия от медицинското досие), C‑307/22, EU:C:2023:811, т. 31).

24 Що се отнася, първо, до въпроса дали първото искане за достъп, подадено от субекта на данни до администратора на основание член 15 от ОРЗД, може да се счита за „прекомерно“, следва да се отбележи, че тъй като понятието „прекомерни искания“ не е дефинирано в този регламент, съгласно постоянната съдебна практика при тълкуването му следва да се вземат предвид както текстът на член 12, параграф 5 от посочения регламент според обичайното му значение в общоупотребимия език, така и контекстът на тази разпоредба и целите на правната уредба, от която тя е част (вж. решения от 17 ноември 1983 г., Merck, 292/82, EU:C:1983:335, т. 12, и от 9 януари 2025 г., Österreichische Datenschutzbehörde (Прекомерни искания), C‑416/23, EU:C:2025:3, т. 24 и цитираната съдебна практика).

25 В това отношение, колкото до текста на член 12, параграф 5, и по-специално до обичайното значение на понятието „прекомерни искания“ в общоупотребимия език, прилагателното „прекомерен“ обозначава нещо, което надхвърля границите на обикновеното или разумното или на желателното или допустимото (вж. в този смисъл решение от 9 януари 2025 г., Österreichische Datenschutzbehörde (Прекомерни искания), C‑416/23, EU:C:2025:3, т. 43). Следователно само употребата на това прилагателно, което се отнася както до качествени, така и до количествени характеристики, не позволява да се изключи възможността първото искане за достъп да е прекомерно.

26 Освен това от член 12, параграф 5, първа алинея, второ изречение от ОРЗД безспорно следва, че исканията може да са прекомерни „по-специално поради своята повторяемост“. Следователно множеството подавани от даден субект искания може да е показател за тяхната прекомерност (вж. в този смисъл решение от 9 януари 2025 г., Österreichische Datenschutzbehörde (Прекомерни искания), C‑416/23, EU:C:2025:3, т. 57). При все това, както подчертава по същество генералният адвокат в точка 28 от заключението си, тъй като повторяемостта е посочена в тази разпоредба само като пример, квалифицирането на искане за достъп като „прекомерно“ не изисква то непременно да се вписва в контекста на подаването на няколко искания от един и същи субект на данни.

27 Следователно с оглед на буквалното тълкуване на член 12, параграф 5 от ОРЗД не може да се изключи възможността първото искане за достъп да се счита за „прекомерно“ по смисъла на тази разпоредба.

28 В подкрепа на тази констатация е контекстът, в който се вписва член 12, параграф 5, първа алинея, второ изречение от ОРЗД. Във връзка с това следва да се припомни, че член 12, който е част от глава III от този регламент, уреждаща правата на субекта на данни, установява общи задължения на администратора по отношение на прозрачността на информацията и комуникацията и определя условията за упражняване на правата на субекта на данни. Съгласно член 12, параграф 2, първо изречение администраторът съдейства за упражняването на правата, предоставени на субекта на данни по-специално с член 15 от посочения регламент, който допълва изискванията на същия регламент за прозрачност, предоставяйки на субекта на данни право на достъп до неговите лични данни (вж. в този смисъл решение от 9 януари 2025 г., Österreichische Datenschutzbehörde (Прекомерни искания), C‑416/23, EU:C:2025:3, т. 45 и 46).

29 Следователно, като предвижда и възможност за администраторите в хипотезата на очевидно неоснователни или прекомерни искания да налагат основана на административните разходи разумна такса или да откажат да предприемат действия по такива искания, член 12, параграф 5 въвежда изключение от задължението за съдействие по-специално при упражняване на правото на достъп, което изключение трябва да се тълкува стеснително (вж. в този смисъл решение от 9 януари 2025 г., Österreichische Datenschutzbehörde (Прекомерни искания), C‑416/23, EU:C:2025:3, т. 33).

30 При все това, видно от практиката на Съда относно тълкуването на понятието „прекомерни искания“, употребено в член 57, параграф 4 от ОРЗД, която е приложима към настоящото дело, тъй като текстът на тази разпоредба по същество е аналогичен на този на член 12, параграф 5 от посочения регламент и преследва същата цел като последния член, следва, че член 12, параграф 5 е израз на общия принцип на правото на Съюза, че правните субекти не могат да се позовават на нормите на Съюза с цел измама или злоупотреба (вж. в този смисъл решение от 9 януари 2025 г., Österreichische Datenschutzbehörde (Прекомерни искания), C‑416/23, EU:C:2025:3, т. 49). Всъщност приложното поле на правната уредба на Съюза не може да бъде разширявано така, че да обхваща действията, които се извършват с цел злоупотреба (вж. в този смисъл решение от 19 септември 2024 г., Matmut, C‑236/23, EU:C:2024:761, т. 52 и цитираната съдебна практика).

31 Съответно броят на исканията за достъп, подадени от субекта на данни до администратора, сам по себе си не е определящ за правото на последния да използва предоставената му с член 12, параграф 5 от ОРЗД възможност да не предприема действия по дадено искане, поради което администраторът може да прибегне до нея дори в случай на първо искане за достъп, когато докаже с оглед на всички относими в случая обстоятелства наличието на намерение за злоупотреба от страна на съответния субект (вж. в този смисъл решение от 9 януари 2025 г., Österreichische Datenschutzbehörde (Прекомерни искания), C‑416/23, EU:C:2025:3, т. 50).

32 Това контекстуално тълкуване е в съответствие с целите на ОРЗД. Във връзка с това следва да се отбележи, че както се посочва в съображения 10 и 11 от него, целта на този регламент е да се гарантира последователно и високо ниво на защита на физическите лица в рамките на Съюза, както и да се укрепят и уточнят правата на субектите на данни. Съответно задълженията на администратора, предвидени в член 12 от посочения регламент, отнасящи се по-специално до съобщаването на информация на основание член 15 от същия регламент, са замислени като механизъм, който да може да защити ефикасно правата и интересите на субектите на данни (вж. в този смисъл решение от 9 януари 2025 г., Österreichische Datenschutzbehörde (Прекомерни искания), C‑416/23, EU:C:2025:3, т. 38 и 39 и цитираната съдебна практика).

33 В съображение 4 от ОРЗД обаче се посочва, че правото на защита на личните данни не е абсолютно, тъй като трябва да се разглежда във връзка с функцията му в обществото и да бъде в равновесие с други основни права съгласно принципа на пропорционалност. Освен това Съдът вече е подчертал, че механизмите, позволяващи да се намери справедлив баланс между различните налични права и интереси, се съдържат в самия ОРЗД (решение от 21 декември 2023 г., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, т. 54 и цитираната съдебна практика).

34 При това положение, за да се гарантира постигането на този справедлив баланс чрез посоченото изключение, както и полезното ѝ действие, релевантният критерий за установяването на поведение, представляващо злоупотреба, е прекомерността на искането за достъп, оценена от качествена гледна точка в съответствие с точка 26 от настоящото решение, която не може да зависи само от броя на подадените от субекта на данни искания за достъп и следователно от обстоятелството, че става въпрос за първо искане на последния.

35 От това следва, че първото искане за достъп до администратора на основание член 15 от ОРЗД може да се счита за „прекомерно“ по смисъла на член 12, параграф 5 от този регламент. Въпреки това, тъй като понятието „прекомерни искания“ трябва да се тълкува стеснително, както следва от точка 29 от настоящото решение, администраторът може да се позове на такава прекомерност само по изключение и, както посочва генералният адвокат в точка 34 от заключението си, критериите за квалифициране на първото искане за достъп като „прекомерно“ трябва да бъдат високи. Важно е също да се подчертае, че от член 12, параграф 5, втора алинея от ОРЗД изрично следва, че администраторът трябва да докаже тази прекомерност.

36 Второ, що се отнася до обстоятелствата, при които първото искане за достъп на субекта на данни може да се квалифицира като „прекомерно“ по смисъла на член 12, параграф 5 от ОРЗД и следователно да представлява злоупотреба с право по смисъла на съдебната практика, цитирана в точки 23 и 30 от настоящото решение, следва да се отбележи, че за да се докаже наличието на злоупотреба, са необходими, от една страна, съвкупност от обективни обстоятелства, от които следва, че въпреки формалното спазване на предвидените в правната уредба на Съюза условия целта, преследвана с тази правна уредба, не е постигната, и от друга страна, субективен елемент, изразяващ се във волята на субекта на данни да получи облага, произтичаща от правната уредба на Съюза, като създаде изкуствено условията, необходими за получаването ѝ. Освен това подобна квалификация изисква да се вземат предвид всички факти и обстоятелства по случая (вж. в този смисъл решение от 21 декември 2023 г., BMW Bank и др., C‑38/21, C‑47/21 и C‑232/21, EU:C:2023:1014, т. 285 и 286 и цитираната съдебна практика).

37 На първо място, що се отнася до обективния елемент на злоупотребата, следва да се отбележи, че член 15 във връзка със съображение 63 от ОРЗД има за цел да предостави на субекта на данни право на достъп до събраните за него лични данни и да му позволи да упражнява това право лесно и на разумни интервали, за да бъде по-специално осведомен за обработването на тези данни и да провери законосъобразността му с цел евентуално да упражни правото си на коригиране, на изтриване, на ограничаване на обработването, както и правото си на възражение и на иск в случай на претърпени вреди (вж. в този смисъл решение от 12 януари 2023 г., Österreichische Post (Информация относно получателите на лични данни), C‑154/21, EU:C:2023:3, т. 37 и 38).

38 В случая, както е видно от преписката, с която разполага Съдът, TC е подал процесното искане за достъп, след като се е абонирал за информационния бюлетин на Brillen Rottler и при абонирането е съобщил на последното някои лични данни, така че това искане за достъп би могло формално да представлява прилагане на правото на TC на достъп, за да се постигне целта на тази правна уредба.

39 С оглед обаче на цитираната в точка 36 от настоящото решение съдебна практика формалното спазване на условията за прилагане на член 15 от ОРЗД само по себе си не позволява да се изключи „прекомерността“ на искане за достъп, а оттам и наличието на злоупотреба с право.

40 Във връзка с това, що се отнася, на второ място, до субективния елемент на злоупотребата, следва да се отбележи, че за да може искане за достъп да се квалифицира като „прекомерно“ по смисъла на член 12, параграф 5 от ОРЗД, администраторът трябва да докаже с оглед на всички относими в случая обстоятелства наличието на намерение за злоупотреба от страна на субекта на данни, като такова намерение може да бъде установено, когато субектът подава искането с цел, различна от тази да бъде осведомен за обработването на тези данни и да провери законосъобразността му, за да може впоследствие да получи защита на правата, които черпи от този регламент (вж. в този смисъл решение от 9 януари 2025 г., Österreichische Datenschutzbehörde (Прекомерни искания), C‑416/23, EU:C:2025:3, т. 50 и 56).

41 Съответно в случая, като се има предвид по-специално това, което следва от точка 35 от настоящото решение, администраторът трябва да докаже недвусмислено, че субектът на данни не е подал искане за достъп на основание член 15 от ОРЗД, за да се запознае с това обработване, а за да създаде изкуствено необходимите условия за получаване на обезщетение от посочения администратор.

42 В това отношение следва да се вземат предвид всички обстоятелства по случая, и по-специално фактът, че субектът на данни е предоставил лични данни, без да бъде принуден да го направи, целта, с която са предоставени тези данни, времето, изтекло между предоставянето на данните и искането за достъп, както и поведението на субекта.

43 В контекста на спора, с който е сезирана, запитващата юрисдикция иска да се установи дали при преценката за наличие на злоупотреба с право може да се вземе предвид публична информация, която разкрива системното подаване от TC на искания за достъп до личните му данни и на искания за обезщетение от различни администратори по начин на действие, подобен на този в настоящия случай. В това отношение следва да се отбележи, че посоченото обстоятелство несъмнено може да бъде взето предвид, за да се установи намерението на субекта на данни за злоупотреба, стига да е подкрепено от други релевантни доказателства.

44 Съответно в случая запитващата юрисдикция следва да провери дали предвид всички релевантни обстоятелства Brillen Rottler е доказало наличието на намерение за злоупотреба от страна на TC, що се отнася до подаването на съответното искане за достъп.

45 С оглед на изложените по-горе съображения на първия, втория, третия и седмия въпрос следва да се отговори, че член 12, параграф 5 от ОРЗД трябва да се тълкува в смисъл, че първото искане за достъп до лични данни, подадено от субекта на данни до администратора на основание член 15 от този регламент, може да се счита за „прекомерно“ по смисъла на член 12, параграф 5, когато администраторът докаже с оглед на всички относими в случая обстоятелства, че въпреки формалното спазване на предвидените в тези разпоредби условия субектът на данни не е подал това искане, за да бъде осведомен за обработването на тези данни и да провери законосъобразността му с цел впоследствие да получи защита на правата, които черпи от посочения регламент, а с намерение за злоупотреба, като например да създаде изкуствено условията, необходими за получаване на произтичаща от същия регламент облага. Фактът, че съгласно публично достъпна информация субектът на данни е подал няколко искания за достъп до личните си данни, последвани от искания за обезщетение, до различни администратори, може да бъде взет предвид, за да се установи наличието на такова намерение за злоупотреба.

По петия и шестия въпрос

46 С петия и шестия въпрос, които следва да бъдат разгледани заедно и на второ място, запитващата юрисдикция иска по същество да се установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че предоставя на субекта на данни право на обезщетение за вредите, произтичащи от нарушение на правото на достъп, предвидено в член 15, параграф 1 от този регламент.

47 Както бе припомнено в точка 24 от настоящото решение, съгласно постоянната съдебна практика, за да се тълкува разпоредба от правото на Съюза, трябва да се вземат предвид не само нейният текст, но и контекстът ѝ и целите, които тя преследва.

48 Видно от текста на член 82, параграф 1 от ОРЗД, лице, което е претърпяло материални или нематериални вреди „в резултат на нарушение на [този] регламент“, има право да получи обезщетение от администратора за нанесените вреди. Налага се изводът, че в тази разпоредба изобщо не се посочва „обработването“, поради което това право на обезщетение не може да се ограничи до вредите, произтичащи от обработването на лични данни.

49 Първо, в подкрепа на тази констатация е контекстуалният анализ на посочената разпоредба във връзка със съображение 141 от ОРЗД, което предвижда, че всеки субект на данни следва да има право на ефективни правни средства за защита в съответствие с член 47 от Хартата, „ако счита, че правата му по [посочения] регламент са нарушени“. Всъщност член 82, параграф 1 от ОРЗД е част от глава VIII от този регламент, която урежда средствата за правна защита, отговорността за причинени вреди и санкциите, които позволяват да бъдат защитени тези права. Тези права обаче обхващат както правото на субекта на данни на информация, предвидено в член 12 от посочения регламент, така и правото му на достъп на основание член 15, параграф 1 от същия регламент, поради което трябва да бъдат защитени от член 82 от последния, който следователно трябва да се тълкува в смисъл, че се прилага и за вредите, произтичащи от нарушения на членове 12 и 15.

50 Това тълкуване не може да бъде поставено под съмнение поради факта, от една страна, че видно от съображение 146 от ОРЗД, администраторът следва да обезщети всички вреди, които дадено лице може да претърпи „в резултат на обработване на данни“, което нарушава този регламент, и от друга страна, че в член 82, параграфи 2 и 4 от посочения регламент се споменават „вреди, произтичащи от извършеното обработване“.

51 Всъщност, както по същество изтъква Комисията в писменото си становище, в случай на нарушение на правата, предвидени в разпоредбите на глава III от ОРЗД, и по-специално на правото на достъп до данните и на коригиране, както и на правото на изтриване, на ограничаване на обработването и на преносимост, твърдяното нарушение може да произтича не от действителното обработване на личните данни като такова, а по-скоро от отказа да се уважи искането на субекта на данни във връзка с упражняването на тези права. Следователно обуславянето на правото на обезщетение по член 82, параграф 1 от ОРЗД с наличието на вреди, произтичащи от обработване като такова, би довело до изключване на такива хипотези от приложното поле на тази разпоредба и съответно до засягане на полезното ѝ действие.

52 Освен това Съдът вече е постановил, че нарушението от страна на администратора на членове 26 и 30 от ОРЗД, първият от които се отнася до договореността за съответните роли на администраторите, както и до отношенията им със субектите на данни, а вторият — до воденето на регистър на дейностите по обработване, не представлява „незаконосъобразно обработване“, което поражда за субекта на данни право на изтриване или на ограничаване на обработването. Следователно подобно нарушение трябва да бъде отстранено чрез използването на други предвидени в ОРЗД мерки, като например обезщетяването на евентуално причинените от администратора вреди на основание член 82 от него (вж. в този смисъл решение от 4 май 2023 г., Bundesrepublik Deutschland (Електронна пощенска кутия на съда), C‑60/22, EU:C:2023:373, т. 66 и 67).

53 Второ, в подкрепа на констатацията в точка 48 от настоящото решение е и телеологичното тълкуване на член 82, параграф 1 от ОРЗД, тъй като този член е предназначен да гарантира изпълнението на целите на посочения регламент, сред които по-специално е целта за укрепване на правата на субектите на данни, както и на задълженията на онези, които обработват и определят обработването на личните данни, посочена в съображение 11 от споменатия регламент. Както обаче отбелязва по същество генералният адвокат в точка 72 от заключението си, тези права, сред които именно е и посоченото от запитващата юрисдикция право на достъп, биха били значително отслабени, ако член 82, параграф 1 трябва да се тълкува в смисъл, че се ограничава само до вредите, произтичащи от незаконосъобразни действия, включващи обработване на данни.

54 От това следва, че дори при наличие на нарушение на ОРЗД, което само по себе си не включва обработване на данни, субектът на данни може да се позове на правото на обезщетение, предвидено в член 82 от този регламент.

55 С оглед на гореизложеното на петия и шестия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че предоставя на субекта на данни право на обезщетение за вредите, произтичащи от нарушение на правото на достъп, предвидено в член 15, параграф 1 от този регламент.

По четвъртия въпрос

56 Предвид отговора на петия и шестия преюдициален въпрос не е необходимо да се отговаря на четвъртия въпрос.

По осмия въпрос

57 С осмия въпрос, който следва да бъде разгледан на трето и последно място, запитващата юрисдикция иска по същество да се установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че понесените от субекта на данни нематериални вреди включват загубата на контрол върху личните му данни или несигурността му по въпроса дали тези данни са били обработвани.

58 След като ОРЗД не препраща към правото на държавите членки във връзка със смисъла и обхвата на понятията, използвани в посочената разпоредба, по-специално що се отнася до понятията „материални или нематериални вреди“ и „обезщетение […] за нанесените вреди“, за целите на прилагането на посочения регламент тези понятия трябва да се разглеждат като самостоятелни понятия на правото на Съюза, които трябва да се тълкуват еднакво във всички държави членки (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 30, и от 4 септември 2025 г., Quirin Privatbank, C‑655/23, EU:C:2025:655, т. 55 и цитираната съдебна практика).

59 В това отношение следва да се припомни, че не може да се приеме, че всяко „нарушение“ на разпоредбите на ОРЗД само по себе си поражда право на обезщетение в полза на субекта на данни. Всъщност член 82, параграф 1 от ОРЗД предвижда, че „[в]сяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“. От него ясно личи, че наличието на „вреди“, които са били „нанесени“, е едно от условията за правото на обезщетение, предвидено в посочената разпоредба, както и наличието на нарушение на ОРЗД и на причинно-следствена връзка между вредите и нарушението, като тези три условия са кумулативни (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 31—33, и от 4 септември 2025 г., Quirin Privatbank, C‑655/23, EU:C:2025:655, т. 56 и цитираната съдебна практика).

60 Ето защо лицето, което иска обезщетение за материални или нематериални вреди на основание на тази разпоредба, е длъжно да докаже не само нарушението на разпоредби на ОРЗД, но и че това нарушение му е причинило съответни материални или нематериални вреди. Следователно тези материални или нематериални вреди не може само да се презумират поради наличието на посоченото нарушение (решение от 4 октомври 2024 г., Агенция по вписванията, C‑200/23, EU:C:2024:827, т. 141 и цитираната съдебна практика).

61 При все това Съдът вече е постановил, че от съдържащия се в съображение 85, първо изречение от ОРЗД примерен списък на „вреди“ или „щети“, които могат да бъдат нанесени на субектите на данни, следва, че законодателят на Съюза е възнамерявал да включи в тези понятия в частност самата „загуба на контрол“ върху личните им данни вследствие на нарушение на този регламент, въпреки че с разглежданите данни не е конкретно извършена злоупотреба (решение от 4 октомври 2024 г., Агенция по вписванията, C‑200/23, EU:C:2024:827, т. 145 и цитираната съдебна практика).

62 Съдът също така приема, че понятието „нeматериални вреди“ не може да се ограничи само до вредите, които до известна степен са тежки. По-конкретно, национална правна уредба или национална практика няма как да определя „минимален праг“, за да характеризира нематериални вреди, причинени вследствие на нарушение на ОРЗД. Субектът на данни обаче трябва да докаже, от една страна, че действително е претърпял такива вреди, дори минимални, и от друга страна, че последиците от това нарушение, които твърди, че се е понесъл, представляват вреда, отделна от самото нарушение на разпоредбите на посочения регламент (вж. в този смисъл решение от 14 декември 2023 г., Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, т. 22 и 23).

63 Ето защо само твърдението на субекта на данни за наличие на опасения от загуба на контрол върху личните му данни, не може да породи право на обезщетение на основание на член 82, параграф 1 от ОРЗД (вж. в този смисъл решение от 20 юни 2024 г., PS (Грешен адрес), C‑590/22, EU:C:2024:536, т. 33 и 35). Затова, когато лице, което иска обезщетение на основание на тази разпоредба, се позовава на опасенията, че в бъдеще с неговите лични данни ще бъде злоупотребено поради наличието на нарушение на този регламент, сезираната национална юрисдикция трябва да провери дали тези опасения може да се считат за основателни с оглед на обстоятелствата в конкретния случай и на субекта на данните (вж. в този смисъл решение от 4 октомври 2024 г., Агенция по вписванията, C‑200/23, EU:C:2024:827, т. 143 и цитираната съдебна практика).

64 Съображенията, изложени в точки 59—63 от настоящото решение, намират приложение и в хипотеза, в която субектът на данни счита, че е налице несигурност по въпроса дали личните му данни са били обработвани.

65 За да бъде Съдът полезен с отговора си на запитващата юрисдикция, следва също да се отбележи, че причинно-следствената връзка между твърдяното нарушение и претендираните вреди може да се прекъсне от действие на субекта на данни, доколкото се оказва, че това действие е основната причина за тези вреди. Такова действие може да бъде по-специално решение на увреденото лице, стига обаче то да не е било принудено да вземе това решение (вж. по аналогия решение от 18 декември 2025 г., WS и др./Frontex (Съвместна операция по връщане), C‑679/23 P, EU:C:2025:976, т. 151 и 152 и цитираната съдебна практика).

66 Освен това от припомнената в точка 59 от настоящото решение съдебна практика следва, че наличието на причинно-следствена връзка между твърдяното нарушение на ОРЗД и вредите, които субектът на данни твърди, че е претърпял, е задължително условие за възникване на правото на обезщетение по член 82, параграф 1 от този регламент. Следователно на субекта на данни не може да бъде присъдено на основание на тази разпоредба обезщетение за вредите, които твърди, че е претърпял вследствие на загубата на контрол върху личните си данни или на несигурността по въпроса дали те са били обработвани, когато причинно-следствената връзка е прекъсната поради действие на субекта, тъй като загубата на контрол или несигурността се дължат на решението му да предостави тези данни на администратора с цел да създаде изкуствено условията, необходими за прилагането на посочената разпоредба.

67 С оглед на изложените по-горе съображения на осмия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че понесените от субекта на данни нематериални вреди включват загубата на контрол върху личните му данни или несигурността му по въпроса дали тези данни са били обработвани, стига да е доказано по-специално, че той действително е претърпял такива вреди и че негово действие не е основната причина за тях.

По съдебните разноски

68 С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (четвърти състав) реши:

1)Член 12, параграф 5 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

трябва да се тълкува в смисъл, че

първото искане за достъп до лични данни, подадено от субекта на данни до администратора на основание член 15 от този регламент, може да се счита за „прекомерно“ по смисъла на член 12, параграф 5, когато администраторът докаже с оглед на всички относими в случая обстоятелства, че въпреки формалното спазване на предвидените в тези разпоредби условия субектът на данни не е подал това искане, за да бъде осведомен за обработването на тези данни и да провери законосъобразността му с цел впоследствие да получи защита на правата, които черпи от посочения регламент, а с намерение за злоупотреба, като например да създаде изкуствено условията, необходими за получаване на произтичаща от същия регламент облага. Фактът, че съгласно публично достъпна информация субектът на данни е подал няколко искания за достъп до личните си данни, последвани от искания за обезщетение, до различни администратори, може да бъде взет предвид, за да се установи наличието на такова намерение за злоупотреба.

2)Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

предоставя на субекта на данни право на обезщетение за вредите, произтичащи от нарушение на правото на достъп, предвидено в член 15, параграф 1 от този регламент.

3)Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

понесените от субекта на данни нематериални вреди включват загубата на контрол върху личните му данни или несигурността му по въпроса дали тези данни са били обработвани, стига да е доказано по-специално, че той действително е претърпял такива вреди и че негово действие не е основната причина за тях.

Подписи

*Език на производството: немски.

EurLex
Връзка към EurLex
Тагове
Относими актове на ЕС
Договор за функционирането на Европейския съюз Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за...
Информация за акта
Маркиране
Зареждане ...
Зареждане...