4.11.01 - Защита на личните данни
Защита на личните данни
Дело C-667/21: Krankenversicherung Nordrhein, Съдебно решение от 21 декември 2023 г.
Трябва ли член 9, параграф 2, буква з) от [ОРЗД] да се тълкува в смисъл, че на медицинска служба на здравноосигурителна каса е забранено да обработва данни за здравословното състояние на свой работник или служител, които са условие за оценка на трудоспособността на този работник или служител?
Ако Съдът отговори отрицателно на първия въпрос, в резултат на което, съгласно член 9, параграф 2, буква з) от ОРЗД се допуска изключение от предвидената в член 9, параграф 1 от ОРЗД забрана за обработване на данни за здравословното състояние: в случай като настоящия има ли други изисквания за защита на данните, които трябва да се спазват извън определените в член 9, параграф 3 от ОРЗД, и евентуално какви са те?
Ако Съдът отговори отрицателно на първия въпрос, в резултат на което, съгласно член 9, параграф 2, буква з) от ОРЗД се допуска изключение от предвидената в член 9, параграф 1 от ОРЗД забрана за обработване на данни за здравословното състояние: в случай като настоящия зависи ли допустимостта, съответно законосъобразността на обработването на данни за здравословното състояние и от обстоятелството, че е изпълнено поне едно от условията, които са посочени в член 6, параграф 1 от ОРЗД?
Има ли член 82, параграф 1 от ОРЗД специален или общ превантивен характер и трябва ли това да се вземе предвид при оценката на размера на нематериалните вреди, които подлежат на обезщетяване на основание член 82, параграф 1 от ОРЗД от администратора, съответно от обработващия лични данни?
Има ли значение степента на вина на администратора, съответно на обработващия лични данни, при оценката на размера на нематериалните вреди, които подлежат на обезщетяване на основание член 82, параграф 1 от ОРЗД
По-специално, може ли липсата или ниската степен на вина на администратора, съответно на обработващия лични данни, да се вземе предвид в негова полза?
Отговорът на въпроса е достъпен само за нашите абонати.
Дело C-340/21: Natsionalna agentsia za prihodite, Съдебно решение от 14 декември 2023 г.
1) Разпоредбите на член 24 и член 32 от [ОРЗД] могат ли да се тълкуват в смисъл, че е достатъчно да е осъществено неразрешено разкриване или достъп до лични данни по смисъла на член 4, точка 12 от [ОРЗД] от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, за да се приеме, че приложените технически и организационни мерки не са подходящи?
2) Ако отговорът на първия въпрос е отрицателен, какъв следва да е предметът и обхватът на съдебния контрол за законосъобразност при проверка дали приложените от администратора на лични данни технически и организационни мерки по член 32 от [ОРЗД] са подходящи?
3) Ако отговорът на първия въпрос е отрицателен, принципът на отчетност в член 5, параграф 2 [от ОРЗД] и член 24 [от този регламент] във връзка със съображение 74 от [него] могат ли да се тълкуват в смисъл, че в исковото производство по член 82, параграф 1 от [посочения регламент] администраторът на лични данни носи доказателствена тежест относно обстоятелството, че приложените по член 32 от [същия регламент] технически и организационни мерки са подходящи
Назначаването на съдебна експертиза може ли да се приеме като необходимо и достатъчно доказателствено средство, с което да се установи дали приложените от администратора на лични данни технически и организационни мерки са подходящи в хипотеза като настоящата, в която неразрешеният достъп и разкриване на лични данни е резултат от „хакерска атака“?
4) Нормата на член 82, параграф 3 от [ОРЗД] може ли да се тълкува в смисъл, че неразрешено разкриване или достъп до лични данни по смисъла на член 4, точка 12 от [ОРЗД], в случая чрез „хакерска атака“, от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, е събитие, за което администраторът на лични данни по никакъв начин не е отговорен и е основание за освобождаване от отговорност?
5) Нормите на член 82, параграф 1 и параграф 2 [от ОРЗД] във връзка със съображения 85 и 146 от преамбюла на [този регламент] могат ли да се тълкуват в смисъл, че в хипотеза като настоящата на нарушение на сигурността на личните данни, изразяващо се в неразрешен достъп и разпространение на лични данни, осъществено чрез „хакерска атака“, само преживените от субекта на лични данни опасения, притеснения и страх от евентуална, бъдеща злоупотреба с лични данни, без да е установена такава злоупотреба и/или да е настъпила друга вреда за субекта на данните, попадат в широкия смисъл на понятието нематериални вреди и [това] е основание за обезщетение?
Отговорът на въпроса е достъпен само за нашите абонати.
Дело C-26/22: SCHUFA Holding (Libération de reliquat de dette), Съдебно решение от 7 декември 2023 г.
Трябва ли член 78, параграф 1 от ОРЗД да се тълкува в смисъл, че решението по жалба, прието от надзорен орган, подлежи на пълен съдебен контрол?
Трябва ли член 5, параграф 1, буква а) от ОРЗД във връзка с член 6, параграф 1, първа алинея, буква е) от този регламент да се тълкува в смисъл, че не допуска практика на частни агенции за икономически справки, състояща се в съхраняване в техните собствени бази данни на информация от публичен регистър, отнасяща се до предоставянето на освобождаване от остатъка по задълженията в полза на физически лица, и в изтриване на тази информация след изтичане на срок от три години в съответствие с кодекс за поведение по смисъла на член 40 от същия регламент, при положение че срокът на съхранение на тази информация в публичния регистър е шест месеца, и дали член 17, параграф 1, букви в) и г) от ОРЗД трябва да се тълкува в смисъл, че частна агенция за икономически справки, която е възпроизвела от публичен регистър информация относно предоставянето на освобождаване от остатъка по задълженията, е длъжна да я изтрие?
Отговорът на въпроса е достъпен само за нашите абонати.
Дело C-634/21: SCHUFA Holding (Scoring), Съдебно решение от 7 декември 2023 г.
Трябва ли член 22, параграф 1 от [ОРЗД] да се тълкува в смисъл, че още самото автоматизирано изготвяне на вероятностна оценка за възможностите на субекта на данните да обслужва кредит в бъдеще представлява решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен, при положение че администраторът съобщава на трето лице администратор оценката, която е определил с помощта на личните данни на субекта, и това трето лице основава до голяма степен на тази оценка решението си относно установяването, изпълняването или прекратяването на договорни отношения със субекта на данните?
При отрицателен отговор на първия въпрос:
трябва ли член 6, параграф 1 и член 22 от [ОРЗД] да се тълкуват в смисъл, че не допускат национална правна уредба, съгласно която използването на вероятностна оценка — в случая оценка за платежоспособността и готовността за плащане на дадено физическо лице, която включва и информация за вземания — за определено бъдещо поведение на физическо лице за целите на решението относно установяването, изпълняването или прекратяването на договорни отношения с това лице (финансово оценяване, „scoring“ [изготвяне на финансови оценки, „scores“]) се допуска само ако са изпълнени определени допълнителни условия, описани подробно в мотивите на това преюдициално запитване?
Отговорът на въпроса е достъпен само за нашите абонати.
Дело C-807/21: Deutsche Wohnen, Съдебно решение от 5 декември 2023 г.
Трябва ли член 58, параграф 2 и член 83, параграфи 1—6 от ОРЗД да се тълкуват в смисъл, че не допускат национална правна уредба, съгласно която на юридическо лице в качеството му на администратор на данни може да се определи административно наказание за нарушение по член 83, параграфи 4—6 само ако преди това е прието, че нарушението е извършено от идентифицирано физическо лице?
Трябва ли член 83 от ОРЗД да се тълкува в смисъл, че административно наказание съгласно тази разпоредба може да се наложи само ако е установено, че администраторът, който е едновременно юридическо лице и предприятие, умишлено или по небрежност е извършил нарушение по параграфи 4—6 от този член?
Отговорът на въпроса е достъпен само за нашите абонати.
Дело C-683/21: Nacionalinis visuomenės sveikatos centras, Съдебно решение от 5 декември 2023 г.
Следва ли член 4, точка 7 от ОРЗД да се тълкува в смисъл, че субект, възложил на предприятие да разработи мобилно информационно приложение, може да се счита за администратор по смисъла на тази разпоредба, въпреки че сам не е извършвал операции по обработване на лични данни, не е давал изрично съгласие за извършването на такива конкретни операции или за предоставяне на публичен достъп до това мобилно приложение и не е придобивал това приложение?
Следва ли член 4, точка 7 и член 26, параграф 1 от ОРЗД да се тълкуват в смисъл, че за квалифицирането на два субекта като съвместни администратори се изисква да имат споразумение, което да определя целите и средствата на съответното обработване на лични данни, или споразумение, което да урежда условията за съвместната им отговорност за това обработване?
Следва ли член 4, точка 2 от ОРЗД да се тълкува в смисъл, че използването на лични данни за изпитване на мобилно приложение представлява „обработване“ по смисъла на тази разпоредба?
Следва ли член 83 от ОРЗД да се тълкува в смисъл, от една страна, че дава основание за налагане на административно наказание „глоба“ или „имуществена санкция“ само ако се установи, че администраторът на данни умишлено или по небрежност е извършил нарушение по параграфи 4—6 от този член, и от друга страна, че такова административно наказание „глоба“ или „имуществена санкция“ може да се наложи на администратор на данни за извършени от негово име от обработващ лични данни операции по обработване?
Отговорът на въпроса е достъпен само за нашите абонати.
Дело C-333/22: Ligue des droits humains (Vérification du traitement des données par l’autorité de contrôle), Съдебно решение от 16 ноември 2023 г.
Трябва ли член 17 във връзка с член 46, параграф 1, буква ж), член 47, параграфи 1 и 2 и член 53, параграф 1 от Директива 2016/680, както и във връзка с член 8, параграф 3 и член 47 от Хартата, да се тълкува в смисъл, че когато правата на едно лице са били упражнени в приложение на посочения член 17 чрез компетентния надзорен орган, то трябва да разполага с право на ефективна съдебна защита срещу този орган?
Валиден ли е член 17, параграф 3 от Директива 2016/680 с оглед на член 8, параграф 3 и член 47 от Хартата, доколкото задължава само надзорния орган да информира субекта на данните, че е извършил всички необходими проверки или нужния преглед, и че този субект разполага с право да потърси защита по съдебен ред, при положение че подобна информация не позволява съдебен контрол върху действията и преценките на надзорния орган с оглед на обработваните данни и на задълженията на администратора?
Отговорът на въпроса е достъпен само за нашите абонати.
Дело C-252/21: Meta Platforms и др. (Conditions générales d’utilisation d’un réseau social), Съдебно решение от 4 юли 2023 г.
Съвместимо ли е с член 51 и сл. от ОРЗД национален орган за защита на конкуренцията на държава членка като федералния орган за защита на конкуренцията, който не е надзорен орган по смисъла на член 51 и сл. от ОРЗД и в държавата членка на който предприятие със седалище извън Европейския съюз има място на установяване, оказващо на своето основно място на установяване, което се намира в друга държава членка и носи изключителната отговорност за обработването на лични данни за цялата територия на Европейския съюз, съдействие в областта на рекламата, комуникацията и връзките с обществеността, да установи за целите на контрола върху злоупотребите в областта на конкурентното право, че договорните условия на основното място на установяване досежно обработването на данни и тяхното прилагане нарушават ОРЗД, и да разпореди това нарушение да бъде преустановено?
При утвърдителен отговор: съвместимо ли е това с член 4, параграф 3 ДЕС, когато в същото време водещият надзорен орган в държавата членка на основното място на установяване по смисъла на член 56, параграф 1 от ОРЗД провежда процедура по разследване на договорните му условия досежно обработването на данни?
Когато интернет потребител или само посещава уебсайтове, съответно приложения, за които са приложими критериите по член 9, параграф 1 от ОРЗД, като приложения за флирт, уебсайтове за хомосексуални запознанства, на политически партии или със здравна насоченост, или въвежда в тях и информация, например при регистрация или поръчки, а […] предприятие, като [Meta Platforms Ireland], събира данни относно посетените от потребителя уебсайтове и приложения чрез интегрирани в тях интерфейси, като „Facebook Business Tools“ („Бизнес инструменти на Facebook“), или чрез бисквитки, записани в компютъра или мобилното устройство на интернет ползвателя, или чрез подобни технологии за записване, и относно въведената там от него информация, свързва тези данни с данните от акаунта на потребителя във Facebook.com и ги използва, представлява ли събирането и/или свързването, и/или използването обработване на чувствителни лични данни по смисъла на разпоредбата?
При утвърдителен отговор: посещението на тези уебсайтове и приложения и/или въвеждането на информация там, и/или натискането на интегрираните в тези уебсайтове, съответно приложения, бутони („социални плъгини“, като „Харесвам“, „Споделяне“, съответно „Facebook Login“ [„Вход във Facebook“], или „Account Kit“ [„Комплект акаунти“]) на доставчик като [Meta Platforms Ireland], представлява ли явно правене на обществено достояние на данните относно посещението като такова и/или относно въвеждането на информация от потребителя по смисъла на член 9, параграф 2, буква д) от ОРЗД?
Може ли предприятие като [Meta Platforms Ireland], което е оператор на финансирана от реклами социална мрежа и в своите условия за ползване предлага персонализиране на съдържанието и рекламата, сигурност на мрежата, подобряване на продуктите и хомогенно и безпроблемно използване на всички продукти — собственост на групата, да се позове на необходимостта от изпълнението на договора съгласно член 6, параграф 1, буква б) от ОРЗД или на зачитането на легитимните интереси съгласно член 6, параграф 1, буква е) от ОРЗД, за да обоснове събирането за тези цели на данни от други услуги — собственост на групата, и от уебсайтове и приложения на трети лица чрез интегрирани в тях интерфейси, като „Facebook Business Tools“, или чрез бисквитки, записани в компютъра или мобилното устройство на интернет ползвателя, или чрез подобни технологии за записване, свързването на тези данни с акаунта на потребителя във Facebook.com и използването им?
Възможно ли е в такъв случай легитимни интереси по смисъла на член 6, параграф 1, буква е) от ОРЗД да са и – малолетието/непълнолетието на ползвателите за персонализирането на съдържание и реклама, подобряването на продуктите, сигурността на мрежата и нетърговската комуникация с ползвателя, – предоставянето на измервания, анализи и други бизнес услуги на рекламодатели, разработчици и други партньори с цел те да могат да оценяват и подобряват своята дейност, – предоставянето на търговска комуникация с ползвателя с цел предприятието да подобрява своите продукти и да осъществява директен маркетинг, – проучвания и иновации за социални цели, за да се подпомогне техническият прогрес и научното разбиране на важни социални проблеми, и за да се окаже положително влияние върху обществото и света, – споделянето на информация с органите, компетентни за осъществяване на наказателно преследване и изпълнение на наказанията и в отговор на законни искания с цел предотвратяване, разкриване и преследване на престъпления, на нарушения на условията и правилата за използване и на други вредоносни практики, когато за тези цели предприятието събира данни от други услуги — собственост на групата, и от уебсайтове и приложения на трети лица чрез интегрирани в тях интерфейси, като „Facebook Business Tools“, или чрез бисквитки, записани в компютъра или мобилното устройство на интернет ползвателя, или чрез подобни технологии за записване, свързва тези данни с акаунта на ползвателя във Facebook.com и ги използва?
Възможно ли е в такъв случай събирането на данни от други услуги — собственост на групата, и от уебсайтове и приложения на трети лица чрез интегрирани в тях интерфейси, като „Facebook Business Tools“, или чрез бисквитки, записани в компютъра или мобилното устройство на интернет ползвателя, свързването на тези данни с акаунта на ползвателя във Facebook.com и използването им, или използването съответно на данни, които вече са събрани и свързани по друг законосъобразен начин, да е обосновано и съгласно член 6, параграф 1, букви в), г) и д) от ОРЗД, в отговор например на законни искания относно определени данни (буква в), за борба с вредоносни практики и насърчаване на сигурността (буква г), за проучвания в полза на обществото и за подпомагане на защитата, интегритета и сигурността (буква д)?
Възможно ли е валидно и свободно изразено съгласие, по-специално по смисъла на член 4, точка 11 от ОРЗД, да се даде на предприятие в господстващо положение на пазара, като [Meta Platforms Ireland], в съответствие с член 6, параграф 1, буква a) и член 9, параграф 2, буква a) от ОРЗД?
Отговорът на въпроса е достъпен само за нашите абонати.
Дело C-579/21: Pankki S, Съдебно решение от 22 юни 2023 г.
Трябва ли правото на достъп, което субектът на данни има на основание член 15, параграф 1 от [ОРЗД], във връзка с [понятието] „лични данни“ по смисъла на член 4, точка 1 от Регламента, да се тълкува в смисъл, че събраната от администратора информация, която показва кой, кога и за каква цел е обработил личните данни на субекта на тези данни, не представлява информация, до която субектът на данните има право на достъп, тъй като по-специално става дума за данни, свързани с работници или служители на администратора?
При утвърдителен отговор на първия въпрос и ако на основание член 15, параграф 1 от [ОРЗД] субектът на данните няма право на достъп до посочената в този въпрос информация, тъй като тя не представлява „лични данни“ на субекта на данните съгласно член 4, точка 1 от [ОРЗД], в случая трябва да се изясни и въпросът за информацията, до която субектът има право на достъп съгласно член 15, параграф 1, букви [а)—з)]:
а) Kак трябва да се тълкуват „целите на обработването“ по смисъла на член 15, параграф 1, буква а) с оглед на обхвата на правото на достъп на субекта на данните, тоест може ли целите на обработването да обосноват право на достъп до събраните от администратора журнални данни на ползвател, като например информация за лични данни на обработващия, времето, както и целите на обработването на личните данни?
б) В това отношение могат ли лицата, които са обработили клиентските данни на J.M., при определени критерии да се считат за получатели на личните данни съгласно член 15, параграф 1, буква в) от [ОРЗД], за които субектът на данни би имал право да бъде информиран?
От значение ли е за делото обстоятелството, че става дума за банка, която упражнява регламентирана дейност, или че J.M. едновременно е работел за банката и е бил неин клиент?
Релевантно ли е за преценката на посочените по-горе въпроси обстоятелството, че данните на J.M. са били обработени преди влизането в сила на [ОРЗД]?
Отговорът на въпроса е достъпен само за нашите абонати.
Дело C-204/21: Комисия/Полша (Indépendance et vie privée des juges), Съдебно решение от 5 юни 2023 г.
Като се има предвид изложеното по-горе, следва ли член 19, параграф 1, втора алинея ДЕС във връзка с член 47 от Хартата на основните права на Европейския съюз, член 267 ДФЕС и принципа на предимство на правото на Съюза да се тълкуват в смисъл, че не допускат национални разпоредби като разглежданите в настоящото дело, които:
- забраняват на националните съдилища да проверяват дали са спазени изискванията на Съюза за независим и безпристрастен съд, предварително създаден със закон;
- предоставят изключителна компетентност на специална колегия на върховния съд да разглежда въпроси относно липсата на независимост на съд или съдия;
- квалифицират като дисциплинарно нарушение проверката за спазването на тези изисквания;
- оправомощават дисциплинарна колегия, чиято независимост и безпристрастност не са гарантирани, да се произнася по дела, които имат пряко отражение върху статута и изпълнението на функциите на съдиите;
- задължават съдиите да подават декларации относно членството им в сдружения, фондации или политически партии и предвиждат публикуване на тези данни онлайн?
Отговорът на въпроса е достъпен само за нашите абонати.
Търсене
Въведете само основните думи/цифри от израза, който търсите. Избягвайте съюзи и предлози като "и", "или", "от", "на", "по", "за" и др.
Пример 1: Ако търсите практика за израза "погасяване на наказателна отговорност по давност", въведете само "погасяване наказателна отговорност давност".
Пример 2: Ако търсите конкретен съдебен акт, напр. "Съдебно решение, 26/03/2026, Aurnois, C-239/24", въведете само номера и годината на делото: "239/24".
Обикновено, търсеният от Вас акт ще бъде сред бързите резултати, появяващи се непосредствено под полето за търсене.
Модул "СЕС"
Отговорът на въпроса, който искате да прочетете е част от съдържанието с добавена стойност на "Българското прецедентно право" – Модул "СЕС", което е достъпно само за абонати.
За да достъпите пълния текст на съдебните актове е необходимо да се абонирате за Модул "НПК".
** Осреднена цена за годишен абонамент с функционалност "Стандарт" за модули "ГПК"/"НПК".
В случай, че не сте сигурни какви ползи ще Ви донесе абонамента, можете да заявите напълно безплатен и неограничен пробен достъп за 7 дни*
*Пробният достъп е еднократен и предназначен само за нови потребители, които нямат профил в системата. Активирането му подлежи на предварително одобрение от редакторите ни.
Отзиви от нашите клиенти
Поздравления за полагания труд на целия екип на "Българско прецедентно право", който винаги съумява да предостави актуална информация по иначе променливата съдебна практика! Всичко написано е ясно, точно и разбираемо!
Продължавайте в същия дух и винаги се стремете към още по-голямо усъвършенстване!
Успех!
– Бети Дерменджиева, адвокат
Много полезно, държите винаги информиран за най-новите решения на ВКС! Лично аз съм се абонирала и получавам на електронната си поща цялата нова практика на върховната ни съдебна инстанция. Препоръчвам "Българско прецедентно право" на всички колеги!
– Десислава Филипова, адвокат
Всеки трябва да го има. Е, не всеки, само който истински упражнява професията.
– Валентина Иванова
Поздравления за екипа! Винаги представяте най - новата и интересна съдебна практика! Изключително полезни сте и ви следя с интерес!
– Христина Русева, адвокат
Dictum - Pro Bono
Получавайте най-важното от съдебната практика във Вашата електронна пощенска кутия.