–

за UZ, от J. Leuschner, Rechtsanwalt,

–

за германското правителство, от J. Möller и P.‑L. Krüger, в качеството на представители,

–

за чешкото правителство, от O. Serdula, M. Smolek и J. Vláčil, в качеството на представители,

–

за френското правителство, от A.‑L. Desjonquères и J. Illouz, в качеството на представители,

–

за австрийското правителство, от A. Posch, от M.‑T. Rappersberger и J. Schmoll, в качеството на представители,

–

за полското правителство, от B. Majczyna, в качеството на представител,

–

за Европейската комисия, от A. Bouchagiar, F. Erlbacher и H. Kranenborg, в качеството на представители,

1

Преюдициалното запитване се отнася до тълкуването на член 5, член 17, параграф 1, буква г), член 18, параграф 1, буква б) и членове 26 и 30 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, и поправка в ОВ L 127, 2018 г., стр. 2, наричан по-нататък „ОРЗД“).

2

Запитването е отправено в рамките на спор между UZ, гражданин на трета държава, и Bundesrepublik Deutschland (Федерална република Германия), представлявана от Bundesamt für Migration und Flüchtlinge (Федерална служба по въпросите на миграцията и бежанците, Германия) (наричана по-нататък „Федералната служба“), във връзка с разглеждането на молбата за международна закрила, подадена от този гражданин.

3

Съображение 52 от Директива 2013/32/ЕС на Европейския парламент и на Съвета от 26 юни 2013 година относно общите процедури за предоставяне и отнемане на международна закрила (ОВ L 180, 2013 г., стр. 60) гласи следното:

„Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни [(OВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10)] урежда обработването на лични данни, извършвано в държавите членки съгласно настоящата директива“.

4

Съображения 1, 10, 40, 74, 79 и 82 от ОРЗД гласят следното:

[…]

[…]

[…]

[…]

[…]

5

Глава I от ОРЗД, наименувана „Общи разпоредби“, включва членове 1—4.

6

Съгласно член 1 от този регламент, озаглавен „Предмет и цели“:

„1.   С настоящия регламент се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни.

2.   С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни.

[…]“.

7

Член 4 от посочения регламент, озаглавен „Определения“, предвижда в точки 2, 7 и 21:

[…]

[…]

[…]“.

8

Глава II от ОРЗД, наименувана „Принципи“, съдържа членове 5—11.

9

Член 5 от този регламент, озаглавен „Принципи, свързани с обработването на лични данни“, предвижда:

„1.   Личните данни са:

2.   Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

10

Член 6 от посочения регламент, озаглавен „Законосъобразност на обработването“, предвижда в параграф 1:

„Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

Буква е) на първа алинея не се прилага за обработването, което се извършва от публични органи при изпълнението на техните задачи“.

11

Член 7 от ОРЗД се отнася до условията за даване на съгласие, докато в член 8 от този регламент се определят условията, приложими за съгласието на дете във връзка с услугите на информационното общество.

12

Член 9 от този регламент, озаглавен „Обработване на специални категории лични данни“, забранява обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

13

Член 10 от посочения регламент, озаглавен „Обработване на лични данни, свързани с присъди и нарушения“, се отнася до обработването на лични данни, свързани с присъди и нарушения или със свързаните с тях мерки за сигурност, въз основа на член 6, параграф 1 от същия регламент.

14

Глава III от ОРЗД, наименувана „Права на субекта на данни“, включва членове 12—23.

15

Член 17 от този регламент, озаглавен „Право на изтриване (право „да бъдеш забравен“)“, гласи:

„1.   Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:

[…]

[…]

3.   Параграфи 1 и 2 не се прилагат, доколкото обработването е необходимо:

[…]

[…]

16

Съгласно член 18 от посочения регламент, озаглавен „Право на ограничаване на обработването“:

„1.   Субектът на данните има право да изиска от администратора ограничаване на обработването, когато [е налице едно от следните условия]:

[…]

[…]

2.   Когато обработването е ограничено съгласно параграф 1, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка.

[…]“.

17

Глава IV от ОРЗД, наименувана „Администратор и обработващ лични данни“, включва членове 24—43.

18

В раздел 1 от тази глава, наименуван „Общи задължения“, се съдържа член 26 от този регламент, озаглавен „Съвместни администратори“, който гласи следното:

„1.   Когато двама или повече администратори съвместно определят целите и средствата на обработването, те са съвместни администратори. Те определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по настоящия регламент, по-специално що се отнася до упражняването на правата на субекта на данни и съответните им задължения за предоставяне на информацията, посочена в членове 13 и 14, посредством договореност помежду си, освен ако и доколкото съответните отговорности на администраторите не са определени от правото на Съюза или правото на държава членка, което се прилага спрямо администраторите. В договореността може да се посочи точка за контакт за субектите на данни.

2.   Договореността, посочена в параграф 1, надлежно отразява съответните роли и връзки на съвместните администратори спрямо субектите на данни. Съществените характеристики на договореността са достъпни за субекта на данните.

3.   Независимо от условията на договореността, посочена в параграф 1, субектът на данни може да упражнява своите права по настоящия регламент по отношение на всеки и срещу всеки от администраторите“.

19

Член 30 от посочения регламент, озаглавен „Регистър на дейностите по обработване“, предвижда:

„1.   Всеки администратор и — когато това е приложимо — представител на администратор поддържа регистър на дейностите по обработване, за които отговоря. Този регистър съдържа цялата по-долу посочена информация:

[…]

4.   При поискване, администраторът или обработващият лични данни и — когато това е приложимо — представителят на администратора или на обработващия личните данни, осигуряват достъп до регистъра на надзорния орган.

[…]“.

20

Член 58 от ОРЗД, който се съдържа в глава VI от ОРЗД, наименувана „Независими надзорни органи“, е озаглавен „Правомощия“ и параграф 2 от него гласи:

„Всеки надзорен орган има всички от посочените по-долу корективни правомощия:

21

Глава VIII от този регламент, наименувана „Средства за правна защита, отговорност за причинени вреди и санкции“, включва членове 77—84.

22

Член 77 от посочения регламент, озаглавен „Право на подаване на жалба до надзорен орган“, предвижда в параграф 1:

„Без да се засягат които и да било други административни или съдебни средства за правна защита, всеки субект на данни има право да подаде жалба до надзорен орган, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако субектът на данни счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на настоящия регламент“.

23

Член 82 от ОРЗД, озаглавен „Право на обезщетение и отговорност за причинени вреди“, предвижда в параграфи 1 и 2:

„1.   Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

2.   Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящия регламент, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях“.

24

Член 83 от този регламент, озаглавен „Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“, предвижда в параграфи 4, 5 и 7:

„4.   Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 10 000 000 [евро] или, в случай на предприятие — до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

[…]

5.   Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 [евро] или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

[…]

7.   Без да се засягат корективните правомощия на надзорните органи съгласно член 58, параграф 2, всяка държава членка може да определя правила за това дали и до каква степен могат да бъдат налагани административни наказания „глоба“ или „имуществена санкция“ на публични органи и структури, установени в тази държава членка“.

25

Член 94 от посочения регламент, който е част от глава XI, наименувана „Заключителни разпоредби“, е озаглавен „Отмяна на Директива 95/46/ЕО“ и гласи:

„1.   Директива 95/46/EО се отменя, считано от 25 май 2018 г.

2.   Позоваванията на отменената директива се тълкуват като позовавания на настоящия регламент. Позоваванията на Работната група за защита на лицата при обработването на лични данни, създадена по силата на член 29 от Директива 95/46/ЕО, се тълкуват като позовавания на Европейския комитет по защита на личните данни, създаден с настоящия регламент“.

26

Член 43 от Bundesdatenschutzgesetz (Федерален закон за защита на данните) от 20 декември 1990 г. (BGBl. 1990 I, стр. 2954), в редакцията му, приложима към спора в главното производство (наричан по-нататък „BDSG“), озаглавен „Разпоредби относно административните глоби“, предвижда в параграф 3:

„Не се налагат административни наказания „глоба“ или „имуществена санкция“ на публични органи и структури по смисъла на член 2, параграф 1 [от BDSG]“.

27

На 7 май 2019 г. жалбоподателят в главното производство подава молба за международна закрила до Федералната служба, която я отхвърля.

28

При приемане на решението за отхвърляне (наричано по-нататък „спорното решение“) Федералната служба се основава на изготвеното от нея електронно досие „MARIS“, което съдържа личните данни на жалбоподателя в главното производство.

29

Последният обжалва спорното решение пред Verwaltungsgericht Wiesbaden (Административен съд Висбаден, Германия), който е запитващата юрисдикция по настоящото дело. Тогава електронното досие „MARIS“ е предадено на този съд в рамките на съвместна процедура по член 26 от ОРЗД чрез електронната пощенска кутия на съда и администрацията (Elektronisches Gerichts- und Verwaltungspostfach), която се управлява от публичен орган, който е част от изпълнителната власт.

30

Запитващата юрисдикция отбелязва, че от съображение 52 от Директива 2013/32 следва, че обработването на лични данни от държавите членки в рамките на процедурите за предоставяне на международна закрила се урежда от ОРЗД.

31

Тази юрисдикция обаче се съмнява, че воденето на електронното досие, изготвено от Федералната служба, и предаването на това досие посредством електронната пощенска кутия на съда и администрацията са в съответствие с посочения регламент.

32

От една страна, що се отнася до поддържането на електронното досие, не било доказано, че Федералната служба се е съобразила с разпоредбите на член 5, параграф 1 във връзка с член 30 от ОРЗД. Всъщност, въпреки искането на запитващата юрисдикция в това отношение, Федералната служба не е представила пълен регистър на дейностите по обработване на посоченото досие. Такъв регистър обаче трябвало да бъде създаден към момента на обработване на личните данни на жалбоподателя в главното производство, а именно към датата на подаване на молбата му за международна закрила. Федералната служба следвало да бъде изслушана по въпроса за своята отговорност съгласно член 5, параграф 2 от ОРЗД, след като Съдът се произнесе по настоящото преюдициално запитване.

33

От друга страна, що се отнася до предаването на електронното досие чрез електронната пощенска кутия на съда и администрацията, такова предаване представлявало „обработване“ на данни по смисъла на член 4, точка 2 от ОРЗД, което трябва да съответства на принципите, прогласени в член 5 от този регламент. При все това в нарушение на член 26 от посочения регламент не съществувала национална правна уредба, която да урежда тази процедура за предаване между административните органи и съдилищата, определяйки съответните отговорности на съвместните администратори, и Федералната служба не била представила договореност в този смисъл въпреки искането, отправено от запитващата юрисдикция. Така последната си поставя въпроса за законосъобразността на това предаване на данните чрез електронната пощенска кутия на съда и администрацията.

34

По-специално, според запитващата юрисдикция следва да се определи дали неизпълнението на задълженията, предвидени в членове 5, 26 и 30 от ОРЗД, от което произтичала незаконосъобразността на обработването на личните данни, трябва да се санкционира с изтриването на тези данни в съответствие с член 17, параграф 1, буква г) от този регламент, или с ограничаване на обработването съгласно член 18, параграф 1, буква б) от посочения регламент. Подобни санкции следвало най-малкото да се предвидят, ако субектът на данните поиска това. В противен случай тази юрисдикция щяла да бъде принудена да участва в незаконосъобразно обработване на посочените данни в рамките на съдебното производство. В такъв случай съгласно член 58 от ОРЗД единствено надзорният орган би могъл да се намеси, като наложи на съответните публични органи административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, параграф 5, буква а) от този регламент. В съответствие обаче с член 43, параграф 3 от BDSG, който транспонира член 83, параграф 7 от посочения регламент, на национално равнище не можело да се налагат глоби или имуществени санкции на публичните органи и на другите публични структури. От това следвало, че нито Директива 2013/32, нито ОРЗД са били спазени.

35

Освен това запитващата юрисдикция счита, че разглежданото в главното производство обработване не попада в обхвата на член 17, параграф 3, буква д) от ОРЗД, който позволява използването на лични данни за целите на установяването, упражняването или защитата на правни претенции от страна на ответника. Несъмнено в настоящия случай Федералната служба е използвала данните, за да изпълни в съответствие с член 17, параграф 3, буква б) от този регламент правно задължение, което изисква обработване, предвидено в правото на Съюза или на държавата членка, което се прилага спрямо администратора, или за изпълнение на задача от обществен интерес, или при упражняване на официални правомощия, които са предоставени на администратора. Ако обаче тази разпоредба е приложима, това означавало трайно узаконяване на практика, противоречаща на законодателството за защита на данните.

36

При това положение посочената юрисдикция иска да се установи до каква степен в рамките на правораздавателната си дейност може да вземе предвид личните данни, предоставени в рамките на такава процедура, която е от компетентността на изпълнителната власт. Всъщност, ако воденето на електронното досие или предаването му чрез електронната пощенска кутия на съда и администрацията се квалифицира като обработване, което е незаконосъобразно от гледна точка на ОРЗД, посредством подобно вземане предвид на личните данни посочената юрисдикция щяла да участва в разглежданото незаконосъобразно обработване, което противоречало на преследваната с този регламент цел за защита на основните права и свободи на физическите лица, и по-специално на правото им на защита на личните данни.

37

В това отношение запитващата юрисдикция иска да се установи също така дали обстоятелството, че съответното физическо лице е дало изрично съгласието си или се е противопоставило на използването на личните му данни в рамките на съдебно производство, може да повлияе върху възможността тези данни да бъдат взети предвид. В случай че тази юрисдикция не може да вземе предвид данните, съдържащи се в електронното досие „MARIS“, поради незаконосъобразностите, опорочаващи воденето и предаването на това досие, до евентуалното отстраняване на тези незаконосъобразности не съществувало правно основание за постановяване на решение по молбата на жалбоподателя в главното производство за предоставяне на статут на бежанец. Поради това посочената юрисдикция трябвало да отмени спорното решение.

38

При тези обстоятелства Verwaltungsgericht Wiesbaden (Административен съд Висбаден) решава да спре производството и да постави на Съда следните преюдициални въпроси:

39

Без формално да повдига възражение за недопустимост, германското правителство изразява съмнения относно релевантността на преюдициалните въпроси за решаването на спора в главното производство. Най-напред, от акта за преюдициално запитване следвало, че неспазването от страна на Федералната служба на член 5, параграф 2 от ОРЗД не е окончателно установено, тъй като запитващата юрисдикция се е ограничила до това само да презумира подобно неспазване. По-нататък, тази юрисдикция не била посочила, че досиетата на Федералната служба — дори да се предположи, че няма право да ги използва — са единствено релевантни за решаването на този спор. Всъщност посочената юрисдикция разполагала и с други източници на информация, които по силата на принципа на служебното разследване трябвало да се използват пълноценно, когато даден орган не представи преписка или когато преписката е непълна. Накрая, третият въпрос бил явно хипотетичен, тъй като от акта за преюдициално запитване не следвало, че жалбоподателят в главното производство е дал или е щял да даде съгласието си за обработването на личните му данни от запитващата юрисдикция.

40

Следва да се припомни, че съгласно постоянната практика на Съда въпросите, които се отнасят до правото на Съюза, по презумпция са релевантни. Съдът може да откаже да се произнесе по отправеното от национална юрисдикция преюдициално запитване само когато е съвсем очевидно, че исканото тълкуване на правото на Съюза няма никаква връзка с действителността или с предмета на спора в главното производство, когато Съдът не разполага с необходимите данни от фактическа и правна страна, за да бъде полезен с отговора на поставените му въпроси, или когато проблемът е от хипотетично естество. Освен това в рамките на производство по член 267 ДФЕС, основано на ясно разделение на правомощията между националните юрисдикции и Съда, само националният съд е компетентен да установява и преценява фактите по спора в главното производство (вж. по-специално решение от 24 март 2022 г., Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, т. 20 и 21 и цитираната съдебна практика).

41

Както ясно следва от член 267, втора алинея ДФЕС, в рамките на тясното сътрудничество между националните юрисдикции и Съда, основано на разпределение на правомощията помежду им, запитващата юрисдикция решава на кой етап от производството следва да постави на Съда преюдициален въпрос (решение от 17 юли 2008 г., Coleman, C‑303/06, EU:C:2008:415, т. 29 и цитираната съдебна практика).

42

По-специално, Съдът вече е постановил в това отношение, че обстоятелството, че някои фактически въпроси до този момент не са били подложени на доказване при условията на състезателност, само по себе си не може да доведе до недопустимост на преюдициалното запитване (вж. в този смисъл решение от 11 септември 2014 г., Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, т. 19 и цитираната съдебна практика)

43

В настоящия случай обаче, макар от акта за преюдициално запитване да е видно, че запитващата юрисдикция не се е произнесла окончателно относно наличието на нарушение на задълженията на Федералната служба по член 5, параграф 2 от ОРЗД във връзка с членове 26 и 30 от този регламент, тъй като съгласно предоставените в акта за преюдициално запитване данни този аспект на спора в главното производство подлежи на обсъждане при условията на състезателност, все пак тази юрисдикция е констатирала, че в качеството си на администратор Федералната служба не е представила нито договореност относно съвместното обработване на данни, нито регистър на дейностите по обработване, посочени в последните две разпоредби, въпреки отправеното до нея искане за това.

44

Освен това от акта за преюдициално запитване е видно, че според посочената юрисдикция, която единствена следва да установява и преценява фактите, спорното решение е прието единствено въз основа на изготвеното от Федералната служба електронно досие, чието водене и предаване биха могли да нарушат предвидените в посочения регламент правила, така че разглежданото решение може да трябва да бъде отменено на това основание.

45

Накрая, що се отнася до съгласието на жалбоподателя в главното производство за използването на неговите лични данни в рамките на съдебното производство, достатъчно е да се отбележи, че третият преюдициален въпрос цели именно да се установи дали в случая е необходимо такова съгласие да бъде изразено, за да може запитващата юрисдикция да вземе предвид посочените данни.

46

При това положение, щом като Съдът е сезиран с искане за тълкуване на правото на Съюза, което очевидно не е без връзка с действителността или с предмета на спора по главното производство, и щом като той разполага с необходимите данни, за да бъде полезен с отговора на поставените му въпроси във връзка с приложимостта на ОРЗД към спора в главното производство, той трябва да им отговори, без сам да изследва презумпцията относно фактите, на които се основава запитващата юрисдикция, като след това тя трябва да провери дали това е необходимо (вж. по аналогия решение от 17 юли 2008 г.Coleman, C‑303/06, EU:C:2008:415, т. 31 и цитираната съдебна практика).

47

Ето защо следва да се приеме, че настоящото преюдициално запитване е допустимо, и да се отговори на поставените от запитващата юрисдикция въпроси, като се има предвид, че тя все пак трябва да провери дали Федералната служба е нарушила задълженията си по членове 26 и 30 от ОРЗД.

48

С първия си въпрос запитващата юрисдикция по същество иска да се установи дали член 17, параграф 1, буква г) и член 18, параграф 1, буква б) от ОРЗД трябва да се тълкуват в смисъл, че неизпълнението от страна на администратора на предвидените в членове 26 и 30 от този регламент задължения, отнасящи се съответно до постигането на договореност, определяща съвместната отговорност за обработването, и до воденето на регистър на дейностите по обработване, представлява незаконосъобразно обработване, което предоставя на субекта на данните право на изтриване или на ограничаване на обработването, тъй като подобно неспазване предполага нарушение от страна на администратора на принципа на „отговорност“, закрепен в член 5, параграф 2 от посочения регламент.

49

Съгласно постоянната практика на Съда, за да се тълкува определена разпоредба от правото на Съюза, трябва да се вземат предвид не само нейният текст, но и контекстът ѝ, както и целите на правната уредба, от която тя е част (вж. в този смисъл по-специално решение от 12 януари 2023 г., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, т. 32 и цитираната съдебна практика).

50

Що се отнася, на първо място, до текста на релевантните разпоредби от правото на Съюза, следва да се припомни, че съгласно член 17, параграф 1, буква г) от ОРЗД субектът на данни има право да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато те са били „обработвани незаконосъобразно“.

51

Също така съгласно член 18, параграф 1, буква б) от ОРЗД, ако субектът на данните не желае тези данни да бъдат изтрити, а вместо това иска ограничаване на използването им, той има право да изиска от администратора ограничаване на обработването, когато „обработването е неправомерно“.

52

Посочените в предходните две точки разпоредби трябва да се разглеждат във връзка с член 5, параграф 1 от този регламент, съгласно който обработването на личните данни трябва да е съобразено с редица принципи, прогласени в тази разпоредба, сред които е и принципът, съдържащ се в член 5, параграф 1, буква а) от посочения регламент, който уточнява, че личните данни трябва да бъдат обработвани „законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните“.

53

Съгласно член 5, параграф 2 от ОРЗД в съответствие с принципа на „отговорност“, прогласен в тази разпоредба, администраторът носи отговорност за спазването на параграф 1 от този член и трябва да е в състояние да докаже, че спазва всеки от принципите, посочени в параграф 1, като по този начин му се възлага тежестта на доказване (вж. в този смисъл решение от 24 февруари 2022 г., Valsts ieņēmumu dienests (Обработка на лични данни за данъчни цели),C‑175/20, EU:C:2022:124, т. 77, 78 и 81).

54

От това следва, че съгласно член 5, параграф 2 от посочения регламент във връзка с параграф 1, буква а) от този член администраторът трябва да се увери, че извършваното от него обработване на данни е „законосъобразно“.

55

Трябва обаче да се констатира, че както следва от самото заглавие на член 6 от ОРЗД, законосъобразността на обработването е предмет именно на този член, който предвижда, че обработването е законосъобразно само ако е изпълнено поне едно от условията, посочени в параграф 1, първа алинея, букви а)—е) от разглеждания член, а именно, както следва и от съображение 40 от този регламент, субектът на данните да е дал съгласие за обработването на личните му данни за една или повече конкретни цели, обработването да е необходимо за една от посочените цели, които обхващат съответно изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по негово искане преди сключването на договор, спазването на законово задължение, което се прилага спрямо администратора, защитата на жизненоважните интереси на субекта на данните или на друго физическо лице, изпълнението на задача от обществен интерес или упражняването на официални правомощия, които са предоставени на администратора, както и легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните.

56

Този списък на случаите, в които обработването на лични данни може да се счита за законосъобразно, е изчерпателен и рестриктивен, така че, за да може обработването да се счита за законосъобразно, то трябва да попада в една от хипотезите, предвидени в член 6, параграф 1, първа алинея от ОРЗД (вж. в този смисъл решения от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения),C‑439/19, EU:C:2021:504, т. 99 и цитираната съдебна практика, и от 8 декември 2022 г., Инспектор в Инспектората към Висшия съдебен съвет (Цели на обработването на лични данни — Наказателно преследване), C‑180/21, EU:C:2022:967, т. 83).

57

Така, съгласно практиката на Съда всяко обработване на лични данни трябва да е в съответствие със закрепените в член 5, параграф 1 от посочения регламент принципи във връзка с обработването на данни и да отговаря на някое от изброените в член 6 от същия регламент условия за законосъобразно обработване (вж. по-специално решения от 6 октомври 2020 г., La Quadrature du Net и др., C‑511/18, C‑512/18 и C‑520/18, EU:C:2020:791, т. 208, от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения),C‑439/19, EU:C:2021:504, т. 96, и от 20 октомври 2022 г., Digi, C‑77/21, EU:C:2022:805, т. 49 и 56).

58

Освен това, доколкото членове 7—11 от ОРЗД, които заедно с членове 5 и 6 се съдържат в глава II от този регламент, отнасяща се до принципите, имат за цел да уточнят обхвата на задълженията на администратора по член 5, параграф 1, буква а) и член 6, параграф 1 от посочения регламент, за да бъде законосъобразно, обработването на лични данни трябва съгласно практиката на Съда да е съобразено и с тези други разпоредби от посочената глава, които по същество се отнасят до съгласието, обработването на специални категории чувствителни лични данни и обработването на лични данни, свързани с присъди и нарушения (вж. в този смисъл решения от 24 септември 2019 г., GC и др. (Премахване на чувствителни данни от резултатите при търсене), C‑136/17, EU:C:2019:773, т. 72—75, и от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения),C‑439/19, EU:C:2021:504, т. 100, 102 и 106).

59

Следва обаче да се констатира, подобно на всички правителства, представили писмени становища, както и на Европейската комисия, че спазването от страна на администратора на предвиденото в член 26 от ОРЗД задължение за постигане на договореност, определяща съвместната отговорност за обработването, както и на установеното в член 30 от този регламент задължение за водене на регистър на дейностите по обработване, не е сред основанията за законосъобразност на обработването, посочени в член 6, параграф 1, първа алинея от разглеждания регламент.

60

Освен това, за разлика от членове 7—11 от ОРЗД, членове 26 и 30 от този регламент нямат за цел да уточнят обхвата на изискванията, посочени в член 5, параграф 1, буква а) и в член 6, параграф 1 от Регламента.

61

Ето защо от самия текст на член 5, параграф 1, буква а) и на член 6, параграф 1, първа алинея от ОРЗД следва, че нарушението от страна на администратора на задълженията, предвидени в членове 26 и 30 от този регламент, не представлява незаконно обработване по смисъла на член 17, параграф 1, буква г) и на член 18, параграф 1, буква б) от посочения регламент, произтичащо от нарушението от негова страна на принципа на „отговорност“, прогласен в член 5, параграф 2 от същия регламент.

62

На второ място, това тълкуване се потвърждава от контекста, в който се вписват тези разпоредби. Всъщност от самата структура на ОРЗД, а следователно и от неговата система, ясно личи, че той прави разграничение, от една страна, между „принципите“, които са предмет на глава II, включваща по-специално членове 5 и 6 от този регламент, и от друга страна, „общите задължения“, които са част от глава IV, раздел 1 от посочения регламент относно администраторите, сред които са задълженията по членове 26 и 30 от същия регламент.

63

Това разграничение впрочем е отразено в глава VIII от ОРЗД, отнасяща се до санкциите, като нарушенията на членове 26 и 30 от този регламент, от една страна, и тези на членове 5 и 6 от него, от друга страна, са предмет съответно на член 83, параграфи 4 и 5 от посочения регламент, а административни наказания „глоба“ или „имуществена санкция“ могат да достигнат определен размер, който е различен в зависимост от съответния параграф поради признатата от законодателя на Съюза степен на тежест на тези нарушения.

64

На трето и последно място, буквалното тълкуване на ОРЗД, изложено в точка 61 от настоящото решение, се подкрепя от преследваната с този регламент цел, която произтича от член 1 и от съображения 1 и 10 от него, а именно да се гарантира висока степен на защита на основните права и свободи на физическите лица, и по-специално на правото им на личен живот, при обработването на лични данни, закрепено в член 8, параграф 1 от Хартата на основните права на Европейския съюз и в член 16, параграф 1 ДФЕС (вж. в този смисъл решение от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, т. 125 и цитираната съдебна практика).

65

Всъщност липсата на договореност, определяща съвместната отговорност по член 26 от ОРЗД, или на регистър на дейностите по обработване по смисъла на член 30 от този регламент, не е достатъчна сама по себе си, за да се установи наличието на засягане на основното право на защита на личните данни. По-специално, макар да е вярно, както следва от съображения 79 и 82 от него, че ясното разпределение на отговорностите между съвместните администратори и регистърът на дейностите по обработване на данни са средство за гарантиране на спазването от страна на тези администратори на предвидените в посочения регламент гаранции за защита на правата и свободите на субектите на данни, това не променя факта, че липсата на такъв регистър или договореност сама по себе си не доказва, че тези права и свободи са били нарушени.

66

От това следва, че нарушение на членове 26 и 30 от ОРЗД от страна на администратора не представлява незаконосъобразно обработване по смисъла на член 17, параграф 1, буква г) или на член 18, параграф 1, буква б) от този регламент във връзка с член 5, параграф 1, буква а) и член 6, параграф 1, първа алинея от същия регламент, предоставящи на субекта на данните право на изтриване или на ограничаване на обработването.

67

Както изтъкват всички правителства, представили писмени становища, както и Комисията, подобно нарушение трябва да бъде отстранено чрез използването на други предвидени в ОРЗД мерки, като например възприемането от надзорния орган на „корективни правомощия“ по смисъла на член 58, параграф 2 от този регламент, като по-специално съгласно буква г) от тази разпоредба това са привеждането в съответствие на операциите по обработване, подаването на жалба до надзорния орган в съответствие с член 77, параграф 1 от този регламент или обезщетението за евентуално причинените от администратора вреди на основание член 82 от Регламента.

68

Накрая, предвид изразените от запитващата юрисдикция опасения следва също да се уточни, че обстоятелството, че в случая налагането на административно наказание „глоба“ или „имуществена санкция“ съгласно член 58, параграф 2, буква и) и член 83 от ОРЗД е невъзможно, тъй като националното право забранява подобна санкция по отношение на Федералната служба, не е пречка за ефективното прилагане на този регламент. Всъщност в това отношение е достатъчно да се отбележи, че член 83, параграф 7 от посочения регламент изрично предоставя на държавите членки възможността да предвидят дали и в каква степен могат да бъдат налагани административни наказания „глоба“ или „имуществена санкция“ на публични органи и структури. Впрочем различните предвидени в ОРЗД алтернативни мерки, припомнени в предходната точка, позволяват да се осигури такова ефективно прилагане.

69

Ето защо на първия въпрос следва да се отговори, че член 17, параграф 1, буква г) и член 18, параграф 1, буква б) от ОРЗД трябва да се тълкуват в смисъл, че неизпълнението от страна на администратора на задълженията, предвидени в членове 26 и 30 от този регламент, отнасящи се съответно до постигането на договореност, определяща съвместната отговорност за обработването, и до воденето на регистър на дейностите по обработване, не представлява незаконосъобразно обработване, предоставящо на субекта на данните право на изтриване или на ограничаване на обработването, тъй като такова неспазване само по себе си не води до нарушение от страна на администратора на принципа на „отговорност“, прогласен в член 5, параграф 2 от посочения регламент във връзка с член 5, параграф 1, буква а) и член 6, параграф 1, първа алинея от него.

70

Предвид отговора на първия въпрос не е необходимо да се отговаря на втория въпрос, поставен от запитващата юрисдикция.

71

С третия си въпрос запитващата юрисдикция по същество иска да се установи дали правото на Съюза трябва да се тълкува в смисъл, че когато администраторът на лични данни не е изпълнил задълженията си по член 26 или член 30 от ОРЗД, законосъобразността на вземането предвид на такива данни от националния съд зависи от съгласието на субекта на данните.

72

В това отношение трябва да се констатира, че от самия текст на член 6, параграф 1, първа алинея от този регламент ясно следва, че съгласието на субекта на данните, посочено в буква а) от тази алинея, е само едно от основанията за законосъобразност на обработването, като за сметка на това такова съгласие не се изисква в рамките на другите основания за законосъобразност, посочени в букви б)—е) от разглежданата алинея, които по същество произтичат от необходимостта обработването да се използва за постигането на конкретни цели (вж. по аналогия решение от 11 декември 2019 г., Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, т. 41).

73

Когато обаче дадена юрисдикция упражнява възложените ѝ от националното право съдебни правомощия, обработването на лични данни, което тази юрисдикция трябва да извърши, следва да се счита за необходимо за целта, посочена в член 6, параграф 1, първа алинея, буква д) от посочения регламент, свързана с изпълнението на задача от обществен интерес или с упражняването на официални правомощия, които са предоставени на администратора.

74

След като, от една страна, е достатъчно едно от условията по член 6, параграф 1 от ОРЗД да е изпълнено, за да може дадено обработване на лични данни да се счита за законосъобразно, и от друга страна, както бе посочено в точка 61 от настоящото решение, нарушението на членове 26 и 30 от този регламент не представлява незаконосъобразно обработване, вземането предвид от запитващата юрисдикция на лични данни, които са били обработени от Федералната служба в нарушение на предвидените в последните посочени членове задължения, не зависи от съгласието на субекта на данните.

75

Ето защо на третия въпрос следва да се отговори, че правото на Съюза трябва да се тълкува в смисъл, че когато администраторът на лични данни не е изпълнил задълженията си по член 26 или член 30 от ОРЗД, законосъобразността на вземането предвид на такива данни от национален съд не зависи от съгласието на субекта на данните.

76

Тъй като за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разноските, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (пети състав) реши: