–

за ZQ, от E. Daun, Rechtsanwalt,

–

за Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, от M. Wehner, Rechtsanwalt,

–

за Ирландия, от M. Browne, Chief State Solicitor, A. Joyce и M. Lane, в качеството на представители, подпомагани от D. Fennelly, BL,

–

за италианското правителство, от G. Palmieri, в качеството на представител, подпомагана от M. Russo, avvocato dello Stato,

–

за Европейската комисия, от A. Bouchagiar, M. Heller и H. Kranenborg, в качеството на представители,

1

Преюдициалното запитване се отнася до тълкуването на член 9, параграф 1, параграф 2, буква з) и параграф 3 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“) във връзка с член 6, параграф 1 от този регламент, както и до тълкуването на член 82, параграф 1 от него.

2

Запитването е отправено в рамките на спор между ZQ и неговия работодател Medizinischer Dienst der Krankenversicherung Nordrhein (медицинска служба на здравноосигурителната каса в Нордхайм, Германия, наричана по-нататък „MDK Nordrhein“) по повод на обезщетяване на вредите, които ZQ твърди, че е претърпял в резултат на обработване на данни за здравословното му състояние, извършено неправомерно от MDK Nordrhein.

3

Съображения 4—8, 10, 35, 51—53, 75 и 146 от ОРЗД гласят следното:

[…]

[…]

[…]

[…]

[…]

4

В глава I от този регламент, отнасяща се до „[о]бщите разпоредби“, член 2, озаглавен „Материален обхват“, предвижда в параграф 1:

„Настоящият регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни“.

5

Член 4 от посочения регламент, озаглавен „Определения“, гласи:

„За целите на настоящия регламент:

[…]

[…]

[…]“.

6

Глава II от ОРЗД, отнасяща се до определените в него „[п]ринципи“, включва членове 5—11.

7

Член 5 от този регламент, озаглавен „Принципи, свързани с обработването на лични данни“, предвижда:

„1.   Личните данни са:

[…]

2.   Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

8

Член 6 от посочения регламент, озаглавен „Законосъобразност на обработването“, предвижда в параграф 1:

„Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

Буква е) на първа алинея не се прилага за обработването, което се извършва от публични органи при изпълнението на техните задачи“.

9

Член 9 от същия регламент, озаглавен „Обработване на специални категории лични данни“, гласи следното:

„1.   Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

2.   Параграф 1 не се прилага, ако е налице едно от следните условия:

[…]

[…]

[…]

3.   Личните данни, посочени в параграф 1, могат да бъдат обработвани за целите, посочени в параграф 2, буква з), когато въпросните данни се обработват от или под ръководството на професионален работник, обвързан от задължението за професионална тайна по силата на правото на Съюза или правото на държавата членка или правилата, установени от националните компетентни органи или от друго лице, също обвързано от задължение за тайна по силата на правото на Съюза или правото на държавата членка или правилата, установени от националните компетентни органи.

4.   Държавите членки могат да запазят или да въведат допълнителни условия, включително и ограничения, по отношение на обработването на генетични данни, биометрични данни или данни за здравословното състояние“.

10

Глава IV от ОРЗД, озаглавена „Администратор и обработващ лични данни“, включва членове 24—43.

11

В раздел 1 от тази глава, озаглавен „Общи задължения“, член 24, озаглавен от своя страна „Отговорност на администратора“, предвижда в параграф 1:

„Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират“.

12

Член 32 от посочения регламент, озаглавен „Сигурност на обработването“, който се намира в раздел 2 от посочената глава, озаглавен „Сигурност на личните данни“, предвижда в параграф 1:

„Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

[…]“.

13

Глава VIII от ОРЗД, озаглавена „Средства за правна защита, отговорност за причинени вреди и санкции“, включва членове 77—84 от този регламент.

14

Съгласно член 82 от посочения регламент, озаглавен „Право на обезщетение и отговорност за вреди“:

„1.   Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

2.   Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. […]

3.   Администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата.

[…]“.

15

Член 83 от ОРЗД, озаглавен „Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“, предвижда:

„1.   Всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ в съответствие с настоящия член за извършени нарушения на настоящия регламент, посочени в параграфи 4, 5 и 6, във всеки конкретен случай са ефективни, пропорционални и възпиращи.

2.   […] Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:

[…]

[…]

3.   Ако администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент при една и съща операция по обработване или при свързани операции, общият размер на административната глоба или имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение.

[…]“.

16

Член 84 от Регламента, озаглавен „Санкции“, гласи в параграф 1:

„Държавите членки определят правила за други санкции, приложими за нарушения на настоящия регламент[,] по-специално за нарушения, които не подлежат на административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, и вземат всички необходими мерки за гарантиране на тяхното прилагане. Тези санкции са ефективни, пропорционални и възпиращи“.

17

По силата на член 275, параграф 1 от Sozialgesetzbuch, Fünftes Buch (Социален кодекс, книга 5), в редакцията му, приложима към спора в главното производство, касите за задължително здравно осигуряване са длъжни да поискат от Medizinischer Dienst (медицинска служба), която ги подпомага, да изготви по-специално експертни становища, чиято цел е да се разсеят съмненията относно неработоспособността на осигурено лице, в определените от закона случаи или когато заболяването на това лице го налага.

18

Член 278, параграф 1 от този кодекс предвижда, че такава медицинска услуга се създава във всяка от провинциите под формата на публичноправен субект.

19

MDK Nordrhein е публичноправен субект, който като медицинска служба на здравноосигурителни каси има за законоустановена задача, наред с други такива, да изготвя медицински експертни становища, за да се разсеят съмненията относно неработоспособността на лица, осигуряващи се в касите за задължително здравно осигуряване, които каси се обслужват от MDK Nordrhein, включително когато тези експертни становища се отнасят до собствените служители на медицинската служба.

20

В такъв случай само членовете на специална организационна единица, наречена „специални случаи“, имат право да обработват така наречените „социални“ данни на този служител, като използват „заключен“ домейн от информационната система на публичноправния субект, и да имат достъп до цифровите архиви, след като преписката по експертното становище бъде прекратена. Вътрешни инструкции за работа, отнасящи се до тези случаи, предвиждат по-специално, че ограничен брой оправомощени служители, сред които и някои служители от отдела по информационни технологии, имат достъп до посочените данни.

21

Ищецът в главното производство е работил в отдела по информационни технологии на MDK Nordrhein, преди да бъде обявен за неработоспособен по медицински причини. В края на шестмесечния период, през който медицинската служба в качеството си на работодател продължава да му плаща възнаграждение, касата за задължително здравно осигуряване, към която е бил осигурен, започва да му изплаща обезщетения за болест.

22

При това положение тази каса иска от MDK Nordrhein да изготви експертно становище относно неработоспособността на ищеца в главното производство. Лекар, който практикува в организационната единица „специални случаи“ на MDK Nordrhein, изготвя експертното становище по-специално като получава сведения от лекуващия лекар на ищеца в главното производство. Когато последният е уведомен за това от лекуващия си лекар, той се свързва с един от колегите си от отдела по информационни технологии и го моли да снима експертното становище, което се намира в цифровите архиви на MDK Nordrhein, а след това да му го изпрати.

23

Тъй като смята, че по този начин работодателят му е обработил незаконосъобразно данни за здравословното му състояние, ищецът в главното производство иска от него да му изплати обезщетение в размер на 20 000 евро, което MDK Nordrhein отказва.

24

След това ищецът в главното производство сезира Arbeitsgericht Düsseldorf (Съд по трудови спорове Дюселдорф, Германия) с искане на основание член 82, параграф 1 от ОРЗД и разпоредби от германското право MDK Nordrhein да бъде осъдена да обезщети вредите, които той твърди, че е претърпял в резултат на така извършеното обработване на лични данни. По същество той твърди, от една страна, че разглежданото експертно становище е трябвало да бъде изготвено от друга медицинска служба, за да се избегне възможността колегите му да получат достъп до данни за здравословното му състояние, и от друга страна, че мерките за безопасност, свързани с архивирането на експертното становище, са недостатъчни. Поддържа също, че това обработване представлява нарушение на правните норми, защитаващи такива данни, което му е причинило както неимуществени, така и имуществени вреди.

25

В своя защита MDK Nordrhein поддържа основно, че събирането и съхраняването на данни относно здравето на ищеца в главното производство са извършени в съответствие с разпоредбите за защитата на такива данни.

26

Тъй като искът му в първоинстанционното производство е отхвърлен, ищецът в главното производство подава въззивна жалба пред Landesarbeitsgericht Düsseldorf (Областен съд по трудови спорове Дюселдорф, Германия), който също я отхвърля. При това положение той подава ревизионна жалба пред Bundesarbeitsgericht (Федерален съд по трудови спорове, Германия), който е запитващата юрисдикция по настоящото дело.

27

Последната юрисдикция приема, че в спора по главното производство експертното становище, изготвено от MDK Nordrhein като медицинска служба, представлява „обработване“ на „лични данни“, и по-специално на „данни за здравословното състояние“ по смисъла на член 4, точки 1, 2 и 15 от ОРЗД, така че тази операция попада в материалното приложно поле на този регламент, определено в член 2, параграф 1 от него. Освен това тази юрисдикция приема, че MDK Nordrhein е съответният „администратор“ по смисъла на член 4, точка 7 от посочения регламент.

28

Въпросите ѝ касаят, на първо място, тълкуването на няколко разпоредби на член 9 от ОРЗД, който се отнася до обработването на специални категории лични данни, по-специално с оглед на факта, че разглежданото в главното производство обработване е извършено от орган, който е и работодател на субекта на данни, както е определен в член 4, точка 1 от този регламент.

29

Най-напред запитващата юрисдикция се съмнява, че разглежданото в главното производство обработване на данни за здравословното състояние може да попадне в обхвата на някое от изключенията, предвидени в член 9, параграф 2 от ОРЗД. Според тази юрисдикция в случая са релевантни само изключенията по букви б) и з) от посочения параграф 2. Тя обаче изключва поначало прилагането на изключението, предвидено в буква б), в конкретния случай, тъй като разглежданото в главното производство обработване не е необходимо за целите на правата и задълженията на администратора в качеството му на работодател на субекта на данните. Всъщност това обработване било започнато от друг орган, който поискал от MDK Nordrhein да извърши проверка в качеството му на медицинска служба. За разлика от това, макар да е склонна да не приложи и изключението, предвидено в тази буква з), тъй като според нея само обработване, извършвано от „трето неутрално лице“, следва да може да попадне в обхвата на тази буква, като даден орган не може да се основава на своята „двойна функция“ на работодател и медицинска служба, за да не приложи забраната за такова обработване, запитващата юрисдикция не е категорична в това отношение.

30

По-нататък в хипотезата, в която при такива обстоятелства обработването на данни за здравословното състояние би било разрешено по силата на член 9, параграф 2, буква з) от ОРЗД, запитващата юрисдикция си задава въпроси относно правилата за защита на данните за здравословното състояние, които трябва да се спазват в този смисъл. Според нея Регламентът предполага, че не е достатъчно администраторът да отговаря на изискванията по член 9, параграф 3. Освен това администраторът следвало да гарантира, че нито един от колегите на субекта на данни няма да може да има какъвто и да е достъп до данните относно здравословното състояние на последния.

31

Накрая, отново в същата хипотеза, тази юрисдикция иска да се установи дали поне едно от условията по член 6, параграф 1 от ОРЗД трябва освен това да бъде изпълнено, за да бъде такова обработване законосъобразно. Според нея това трябва да е така, като в рамките на спора в главното производство само букви в) и д) от член 6, параграф 1, първа алинея биха могли да бъдат изначално релевантни. Въпреки това и двете букви в) и д) не следвало да се прилагат, тъй като съответното обработване не е „необходимо“ по смисъла на тези разпоредби, защото можело да се извърши също толкова добре от друга медицинска служба, различна от MDK Nordrhein.

32

На второ място, ако в случая било налице нарушение на ОРЗД, запитващата юрисдикция иска да се установи какво обезщетение може да се дължи на ищеца в главното производство по силата на член 82 от този регламент.

33

От една страна, тя иска да се установи дали правилото, предвидено в член 82, параграф 1 от ОРЗД, има възпиращ или наказателен характер, освен функцията си на обезщетение, и евентуално дали този характер трябва да се вземе предвид при определянето на размера на обезщетението за неимуществени вреди, по-специално с оглед на принципите на ефективност, пропорционалност и равностойност, установени в други области на правото на Съюза.

34

От друга страна, тази юрисдикция е склонна да приеме, че отговорността на администратора може да бъде ангажирана на основание на посочения член 82, параграф 1, без да е необходимо да се доказва неговата вина. Тъй като обаче изпитва съмнения, преди всичко с оглед на нормите на германското право, тя иска да се установи дали трябва да се провери, че за разглежданото нарушение на ОРЗД е отговорен администраторът поради умишлено действие или небрежност от негова страна и дали степента на евентуална вина следва да повлияе на обезщетението за нематериални вреди.

35

При тези условия Bundesarbeitsgericht (Федерален съд по трудови спорове) решава да спре производството и да постави на Съда следните преюдициални въпроси:

36

С първия си въпрос по същество запитващата юрисдикция иска да се установи дали с оглед на забраната да се обработват данни за здравословното състояние, предвидена в член 9, параграф 1 от ОРЗД, параграф 2, буква з) от този член трябва да се тълкува в смисъл, че предвиденото в него изключение е приложимо в случаите, в които орган за медицински преглед обработва данни за здравословното състояние на свой служител в качеството си не на работодател, а на медицинска служба, за да направи оценка на трудоспособността на този служител.

37

Според постоянната съдебна практика за тълкуването на разпоредба от правото на Съюза е необходимо да се имат предвид не само текстът ѝ, но и нейният контекст и целите на правната уредба, от която тя е част. Генезисът на разпоредбата от правото на Съюза също може да разкрие обстоятелства, които са релевантни за тълкуването ѝ (решение от 16 март 2023 г., Towercast, C‑449/21, EU:C:2023:207, т. 31 и цитираната съдебна практика).

38

На първо място, следва да се припомни, че член 9 от ОРЗД се отнася, както става ясно от заглавието му, до „[о]бработване[то] на специални категории лични данни“, квалифицирани също като „чувствителни“ данни в съображения 10 и 51 от този регламент.

39

Според съображение 51 от ОРЗД на личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за тези права и свободи.

40

Така член 9, параграф 1 от ОРЗД установява принципа на забрана за обработване на посочените в него специални категории лични данни. Сред последните данни са тези за „здравословното състояние“, както са определени в член 4, точка 15 от този регламент във връзка със съображение 35, за които се отнася настоящото дело.

41

Съдът уточнява, че целта на член 9, параграф 1 от посочения регламент е да се осигури повишена защита срещу обработване, което поради особената чувствителност на обработваните данни, може да съставлява особено тежко вмешателство в основните права на зачитане на личния живот и на защита на личните данни, гарантирани в членове 7 и 8 от Хартата на основните права (вж. в този смисъл решение от 5 юни 2023 г., Комисия/Полша (Независимост и личен живот на съдиите), C‑204/21, EU:C:2023:442, т. 345 и цитираната съдебна практика).

42

Член 9, параграф 2, букви а)—й) от ОРЗД обаче предвижда изчерпателен списък на изключения от принципа на забрана за обработване на тези чувствителни данни.

43

В частност член 9, параграф 2, буква з) от ОРЗД разрешава такова обработване, ако то е „необходимо [по-специално] за оценка на работоспособността на служителя […] въз основа на правото на Съюза или правото на държава членка или съгласно договор с медицинско лице“. Тази разпоредба уточнява, че всяко обработване, което се основава на нея, се извършва освен това „при условията и гаранциите, посочени в параграф 3“ от този член 9.

44

От член 9, параграф 2, буква з) от ОРЗД във връзка с параграф 3 от този член следва, че възможността за обработване на чувствителни данни като тези за здравословното състояние е строго ограничена от редица кумулативни условия. Те се отнасят, първо, до изброените в буква з) цели — сред които е и оценката на трудоспособността на служителя — второ, до правното основание на това обработване — независимо дали става въпрос за правото на Съюза, правото на държава членка или за договор с медицинско лице в съответствие със същата буква з) — и накрая, трето, до задължението за поверителност, което имат оправомощените да извършват такова обработване лица, тъй като по силата на член 9, параграф 3 тези лица трябва да имат задължение за опазване на тайна в съответствие с последната разпоредба.

45

Както по същество отбелязва генералният адвокат в точки 32 и 33 от заключението си, нито текстът на член 9, параграф 2, буква з) от ОРЗД, нито генезисът на тази разпоредба съдържат данни, въз основа на които може да се приеме, че прилагането на предвидената във въпросната разпоредба дерогация било запазено, както предполага запитващата юрисдикция, за хипотезите, при които обработването се извършва от „трето неутрално лице, а не от работодателя“ на субекта на данните, както е определен в член 4, точка 1 от този регламент.

46

Като се има предвид становището на запитващата юрисдикция, че по същество даден орган не следва да може да се позовава на своята „двойна функция“ на работодател на субекта на данните и на медицинска служба, за да се отклони от принципа на забрана за обработване на данните за здравословното състояние, прогласен в член 9, параграф 1 от ОРЗД, следва да се уточни, че е от решаващо значение да се вземе предвид основанието, на което е извършено обработването на тези данни.

47

Всъщност, макар член 9, параграф 1 по принцип да забранява обработването на данни за здравословното състояние, параграф 2 от посочения член предвижда в букви а)—й) десет дерогации, които са независими една от друга и следователно трябва да се преценяват самостоятелно. Следователно фактът, че условията за прилагане на някоя от предвидените в този параграф 2 дерогации не са изпълнени, не може да е пречка администраторът да може да се позове на друга дерогация, посочена в тази разпоредба.

48

От изложеното по-горе следва, че член 9, параграф 2, буква з) от ОРЗД във връзка с параграф 3 от този член по никакъв начин не изключва възможността да се приложи изключението, посочено в тази буква з), по отношение на положения, при които орган за медицински преглед обработва данни за здравословното състояние на един от служителите си в качеството си на медицинска служба, а не в качеството на работодател, за да направи оценка на трудоспособността на този служител.

49

На второ място, такова тълкуване се подкрепя от отчитането на системата, в която се вписва член 9, параграф 2, буква з) от ОРЗД, както и от целите, преследвани с този регламент и тази разпоредба.

50

Първо, несъмнено, доколкото предвижда изключение от принципа на забрана за обработване на специални категории лични данни, член 9, параграф 2 от ОРЗД подлежи на стриктно тълкуване (решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 76).

51

Спазването на принципа на забрана, установен в член 9, параграф 1 от ОРЗД, обаче не може да доведе до ограничаване на приложното поле на друга разпоредба от този регламент по начин, който би бил в противоречие с ясния текст на последната. Предложеното тълкуване обаче, според което приложното поле на изключението, предвидено в член 9, параграф 2, буква з), следва да се ограничи до хипотезите, в които „трето неутрално лице“ обработва данни за здравословното състояние, за да се направи оценка на трудоспособността на служител, би добавило изискване, което по никакъв начин не произтича от ясния текст на последната разпоредба.

52

В това отношение е без значение, че в случая, ако на MDK Nordrhein бъде забранено да изпълнява задачата си на медицинска служба, когато става въпрос за един от собствените ѝ служители, друг орган за медицински преглед би бил в състояние да се заеме с тази задача. Важно е да се подчертае, че тази алтернатива, посочена от запитващата юрисдикция, не е непременно налична или осъществима във всички държави членки и във всички положения, които могат да попаднат в обхвата на член 9, параграф 2, буква з) от ОРЗД. Тълкуването на тази разпоредба обаче не може да се ръководи от съображения, изведени от системата на здравеопазване на само една държава членка или произтичащи от обстоятелства, присъщи на спора в главното производство.

53

Второ, тълкуването в точка 48 от настоящото решение съответства на целите на ОРЗД и на тези на член 9 от Регламента.

54

Както се посочва в съображение 4 от ОРЗД, правото на защита на личните данни не е абсолютно, тъй като трябва да се разглежда във връзка с функцията му в обществото и да бъде в равновесие с други основни права съгласно принципа на пропорционалност (вж. в този смисъл решение от 22 юни 2023 г., Pankki S, C‑579/21, EU:C:2023:501, т. 78). Освен това Съдът вече е подчертал, че механизмите, позволяващи да се намери справедлив баланс между различните права и интереси, се съдържат в самия ОРЗД (вж. в този смисъл решение от 17 юни 2021 г., M.I.C.M., C‑597/19, EU:C:2021:492, т. 112).

55

Тези съображения важат включително когато съответните данни попадат в посочените в член 9 от този регламент специални категории (вж. в този смисъл решение от 24 септември 2019 г., GC и др. (Премахване на чувствителни данни от резултатите при търсене), C‑136/17, EU:C:2019:773, т. 57 и 66—68), каквито са данните за здравословното състояние.

56

В частност от съображение 52 от ОРЗД следва, че „дерогация от забраната за обработване на специални категории […] данни“ следва да бъде разрешена, „когато съображения, свързани с обществения интерес, оправдават това, по-специално […] в областта на трудовото право, правото в областта на социалната закрила“, както и „за здравни цели, […], особено с цел да се гарантират качеството и рентабилността на използваните процедури за уреждане на искове за обезщетения и услуги в системата за здравно осигуряване“. Съображение 53 от този регламент предвижда също, че обработването „за здравни цели“ следва да бъде възможно, „когато е необходимо тези цели да бъдат постигнати в полза на отделни физически лица и на обществото като цяло, по-специално в рамките на управлението на услугите и системите за здравеопазване или социални грижи“.

57

Именно с оглед на тази обща перспектива и предвид различните законни интереси законодателят на Съюза е предвидил в член 9, параграф 2, буква з) от ОРЗД възможност за дерогиране на принципа на забрана да се обработват данни за здравословното състояние, посочен в параграф 1 от този член, при условие че съответното обработване отговаря на условията и гаранциите, изрично предвидени в буква з) и в другите релевантни разпоредби на този регламент, по-специално параграф 3 от посочения член 9 — разпоредби, в които не се съдържа изискването медицинска служба, която обработва такива данни съгласно посочената буква з), да е образувание, различно от работодателя на субекта на данните.

58

С оглед на изложените по-горе съображения и без да се засягат отговорите, които ще бъдат дадени на втория и третия въпрос, на първия въпрос следва да се отговори, че член 9, параграф 2, буква з) от ОРЗД трябва да се тълкува в смисъл, че предвиденото в тази разпоредба изключение е приложимо в положения, в които орган за медицински преглед обработва данни за здравословното състояние на един от своите служители в качеството си не на работодател, а на медицинска служба, за да направи оценка на трудоспособността на този служител, при условие че съответното обработване отговаря на условията и гаранциите, изрично предвидени в буква з) и параграф 3 от посочения член 9.

59

Според запитващата юрисдикция от съображения 35, 51, 53 и 75 от ОРЗД следва, че в положение като разглежданото в главното производство, в което администраторът е и работодател на лицето, чиято трудоспособност е предмет на оценка, не е достатъчно да се изпълнят изискванията на член 9, параграф 3 от ОРЗД. Освен това този регламент налагал от обработването на данни за здравословното състояние да се изключат всички служители на администратора, които се налага да имат какъвто и да било професионален контакт с това лице. Според тази юрисдикция всеки администратор, който разполага с няколко места на установяване, като MDK Nordrhein, следва да гарантира, че образуванието, натоварено с обработването на данни за здравословното състояние на служителите на този администратор, винаги е част от място на установяване, различно от това, в което работи съответният служител. Освен това задължението за професионална тайна, което трябва да спазват служителите, оправомощени да обработват такива данни, на практика не било пречка колега на субекта на данните да може да получи достъп до отнасящите се до него данни, което водело до опасност от увреждане, като например накърняването на доброто име на последния.

60

При това положение с втория си въпрос запитващата юрисдикция по същество иска да се установи дали разпоредбите на ОРЗД трябва да се тълкуват в смисъл, че администраторът, който обработва данни за здравословното състояние на основание член 9, параграф 2, буква з) от този регламент, е длъжен да гарантира, че нито един колега на субекта на данните няма да има достъп до данните, отнасящи се до здравословното му състояние.

61

Следва да се припомни, че по силата на член 9, параграф 3 от ОРЗД обработване на данни за целите, изброени съответно в параграф 1 и в параграф 2, буква з) от посочения член 9, в случая данни за здравословното състояние на служител, за да се направи оценка на неговата трудоспособност, може да се извършва само от или под ръководството на професионален работник, обвързан от задължението за професионална тайна по силата на правото на Съюза или правото на държавата членка или правилата, установени от националните компетентни органи или от друго лице, също обвързано от задължение за тайна по силата на правото на Съюза или правото на държавата членка или правилата, установени от националните компетентни органи.

62

Като приема член 9, параграф 3 от този регламент, който препраща по-специално към параграф 2, буква з) от същия член, законодателят на Съюза определя конкретните мерки за защита, които възнамерява да наложи на администраторите, които мерки се състоят в това обработването на данни да бъде запазено за лица, обвързани от задължение за опазване на тайна в съответствие с подробните условия на въпросния параграф 3. Не е необходимо следователно към текста на тази последна разпоредба да се добавят изисквания, които не са посочени в нея.

63

От това следва, както по същество отбелязва генералният адвокат в точка 43 от заключението си, че член 9, параграф 3 от ОРЗД не може да служи за правно основание на мярка, гарантираща, че нито един колега на субекта на данните не може да има достъп до данните, отнасящи се до здравословното му състояние.

64

Следва обаче да се прецени дали изискването да се гарантира, че нито един колега на субекта на данните няма достъп до данните, отнасящи се до здравословното му състояние, може да бъде наложено на администратора, обработващ данни за здравословното състояние съгласно член 9, параграф 2, буква з) от ОРЗД, въз основа на друга разпоредба от този регламент.

65

В това отношение е важно да се уточни, че единствената възможност държавите членки да добавят подобно изискване спрямо посочените в член 9, параграфи 2 и 3 от посочения регламент, се състои във възможността, която изрично им предоставя параграф 4 от този член, „да запазят или да въведат допълнителни условия, включително и ограничения, по отношение на обработването на […] данни за здравословното състояние“.

66

Тези евентуални допълнителни условия обаче произтичат не от самите разпоредби на ОРЗД, а евентуално от норми на националното право, уреждащи такова обработване, норми, по отношение на които този регламент предоставя изрично свобода на преценка на държавите членки (вж. в този смисъл решение от 30 март 2023 г., Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, т. 51 и 78).

67

Освен това е уместно да се подчертае, че държава членка, която възнамерява да се възползва от предоставената в член 9, параграф 4 от посочения регламент възможност, следва да се увери в съответствие с принципа на пропорционалност, че практическите последици, по-специално от организационно, икономическо и медицинско естество, породени от допълнителните изисквания, чието спазване тази държава възнамерява да наложи, не са прекомерни за администраторите на такива данни, които не разполагат непременно с технически и човешки измерения или ресурси, които да са достатъчни, за да отговорят на тези изисквания. Всъщност те не могат да накърнят полезното действие на разрешението за обработване на данни, което е изрично предвидено в член 9, параграф 2, буква з) от същия регламент и уредено в параграф 3 от този член.

68

Накрая, важно е да се подчертае, че по силата на член 32, параграф 1, букви а) и б) от ОРЗД, който конкретизира принципите на цялостност и поверителност, прогласени в член 5, параграф 1, буква е) от този регламент, всеки администратор на лични данни е длъжен да прилага подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, по-специално псевдонимизация и криптиране на такива данни, както и способност за гарантиране по-специално на поверителността и целостта на системите и услугите за обработване. За да определи практическите условия на това задължение, администраторът трябва в съответствие с посочения член 32, параграф 1 да вземе предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица.

69

Запитващата юрисдикция обаче ще трябва да прецени дали всички технически и организационни мерки, приложени в случая от MDK Nordrhein, съответстват на изискванията на член 32, параграф 1, букви а) и б) от ОРЗД.

70

Ето защо на втория въпрос следва да се отговори, че член 9, параграф 3 от ОРЗД трябва да се тълкува в смисъл, че администраторът, който обработва данни за здравословното състояние на основание член 9, параграф 2, буква з) от този регламент, не е длъжен по силата на тези разпоредби да гарантира, че нито един колега на субекта на данните не може да има достъп до данните, отнасящи се до здравословното му състояние. Такова задължение обаче може да възникне за администратора или по силата на правна уредба, приета от държава членка въз основа на член 9, параграф 4 от посочения регламент, или въз основа на принципите на цялостност и поверителност, прогласени в член 5, параграф 1, буква е) от същия регламент и конкретизирани в член 32, параграф 1, букви а) и б) от него.

71

С третия си въпрос по същество запитващата юрисдикция иска да се установи дали член 9, параграф 2, буква з) и член 6, параграф 1 от ОРЗД трябва да се тълкуват в смисъл, че за да бъде законосъобразно обработване на данни за здравословното състояние, основано на първата разпоредба, то трябва да спазва не само изискванията, произтичащи от нея, но и да отговаря на поне едно от условията за законосъобразност по член 6, параграф 1.

72

В това отношение следва да се припомни, че членове 5, 6 и 9 от ОРЗД се съдържат в глава II от този регламент, озаглавена „Принципи“, и се отнасят съответно до принципите, свързани с обработването на лични данни, до условията за законосъобразност на обработването и до обработването на специални категории лични данни.

73

Освен това следва да се отбележи, че в съображение 51 от ОРЗД изрично се посочва, че „[в] допълнение към конкретните изисквания“ за обработване на „особено чувствителни“ данни, посочени в член 9, параграфи 2 и 3 от този регламент, без да се засягат мерките, евентуално приети от държава членка въз основа на параграф 4 от този член, „следва [също] да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване“, както следват от член 6 от същия регламент.

74

Ето защо в съответствие с член 6, параграф 1, първа алинея от ОРЗД обработване на „особено чувствителни“ данни като тези за здравословното състояние, е законосъобразно само ако е приложимо поне едно от условията, посочени във въпросния параграф 1, първа алинея, букви а)—е).

75

Член 6, параграф 1, първа алинея от ОРЗД обаче съдържа изчерпателен списък на случаите, в които обработването на лични данни може да се счита за законосъобразно. Поради това, за да се счита за законосъобразно, обработването трябва да попада в някой от случаите, предвидени в тази разпоредба (решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 90 и цитираната съдебна практика).

76

Ето защо Съдът многократно е приемал, че всяко обработване на лични данни трябва да е в съответствие със закрепените в член 5, параграф 1 от ОРЗД принципи във връзка с обработването на данни и да отговаря на някое от изброените в член 6 от този регламент условия за законосъобразно обработване (решение от 4 май 2023 г., Bundesrepublik Deutschland (Електронна пощенска кутия на Съда), C‑60/22, EU:C:2023:373, т. 57 и цитираната съдебна практика).

77

Освен това, Съдът е постановил, че доколкото членове 7—11 от ОРЗД, които подобно на членове 5 и 6 се съдържат в глава II от този регламент, имат за цел да уточнят обхвата на задълженията на администратора по член 5, параграф 1, буква а) и член 6, параграф 1 от посочения регламент, за да бъде законосъобразно, обработването на лични данни трябва съгласно практиката на Съда да е съобразено и с тези други разпоредби от посочената глава, които по същество се отнасят до съгласието, обработването на специални категории чувствителни лични данни и обработването на лични данни, свързани с присъди и нарушения (решение от 4 май 2023 г., Bundesrepublik Deutschland (Електронна пощенска кутия на Съда), C‑60/22, EU:C:2023:373, т. 58 и цитираната съдебна практика).

78

От това следва по-специално, че доколкото член 9, параграф 2, буква з) от ОРЗД има за предмет да уточни обхвата на задълженията на администратора по член 5, параграф 1, буква а) и член 6, параграф 1 от този регламент, за да бъде законосъобразно, обработване на данни за здравословното състояние, което се основава на първата разпоредба, то трябва да спазва едновременно изискванията, произтичащи от нея, както и задълженията, произтичащи от последните две разпоредби, и по-специално да отговаря на поне едно от условията за законосъобразност, посочени в член 6, параграф 1.

79

С оглед на изложеното по-горе на третия въпрос следва да се отговори, че член 9, параграф 2, буква з) и член 6, параграф 1 от ОРЗД трябва да се тълкуват в смисъл, че за да бъде законосъобразно обработване на данни за здравословното състояние, основано на първата разпоредба, то трябва да спазва не само произтичащите от нея изисквания, но и да отговаря на поне едно от посочените в член 6, параграф 1 условия за законосъобразност.

80

С четвъртия си въпрос по същество запитващата юрисдикция иска да се установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че предвиденото в тази разпоредба право на обезщетение изпълнява не само компенсаторна, но и възпираща или наказателна функция, и ако това е така, дали тази последна функция трябва евентуално да се вземе предвид при определянето на размера на обезщетението за нематериални вреди на основание на тази разпоредба.

81

Следва да се припомни, че в съответствие с член 82, параграф 1 от ОРЗД „всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.

82

Съдът е разтълкувал тази разпоредба в смисъл, че самото нарушение на ОРЗД не е достатъчно, за да се присъди право на обезщетение, след като подчертава по-специално, че наличието на „вреди“, които са били „нанесени“, е едно от условията за правото на обезщетение, предвидено в член 82, параграф 1, както и наличието на нарушение на този регламент и на причинно-следствена връзка между тези вреди и това нарушение, като тези три условия са кумулативни (вж. в този смисъл решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 32 и 42).

83

Освен това Съдът е постановил, че тъй като ОРЗД не съдържа разпоредба, която да определя правилата за оценката на обезщетението, дължимо на основание на правото на обезщетение, закрепено в член 82 от този регламент, по силата на принципа на процесуалната автономия националните съдилища трябва да прилагат за тази цел вътрешните правила на всяка държава членка относно обхвата на паричното обезщетение, стига да са спазени принципите на равностойност и ефективност на правото на Съюза, както са определени в постоянната практика на Съда (вж. в този смисъл решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 53, 54 и 59).

84

В този смисъл и с оглед на съображение 146, шесто изречение от ОРЗД, според което този инструмент има за цел да осигури „пълно и действително обезщетение за претърпените […] вреди“, Съдът отбелязва, че с оглед на компенсаторната функция на предвиденото в член 82 от този регламент право на обезщетение, парично обезщетение на основание на този член трябва да се приема за „пълно и действително“, ако позволява да се обезщети изцяло конкретната вреда, претърпяна в резултат на нарушението на този регламент, без да е необходимо за целите на такова пълно обезщетяване да се налага изплащането на наказателно обезщетение (вж. в този смисъл решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 57 и 58).

85

В това отношение е важно да се подчертае, че член 82 от ОРЗД има не наказателна, а компенсаторна функция, за разлика от други разпоредби на този регламент, които също се съдържат в глава VIII от него, а именно членове 83 и 84 от него, които от своя страна имат предимно наказателна цел, тъй като позволяват налагането на административни наказания „глоба“ или „имуществена санкция“, както и на други санкции. Връзката между правилата, предвидени в посочения член 82, и тези, установени във въпросните членове 83 и 84, показва, че съществува разлика между тези две категории разпоредби, но и взаимно допълване от гледна точка на стимулите за спазване на ОРЗД, като се има предвид, че правото на всяко лице да иска обезщетение за вреди засилва оперативния характер на предвидените в този регламент правила за защита и може да възпре повторното извършване на неправомерни действия (вж. в този смисъл решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 38 и 40).

86

Тъй като предвиденото в член 82, параграф 1 от ОРЗД право на обезщетение не изпълнява възпираща, нито дори наказателна функция, както смята запитващата юрисдикция, тежестта на нарушението на този регламент, причинило съответните вреди, не може да повлияе върху размера на обезщетението, присъждано на основание на тази разпоредба, дори когато става въпрос не за материални, а за нематериални вреди. От това следва, че този размер не може да бъде определен на равнище, което надхвърля пълното обезщетяване на вредите.

87

Ето защо на четвъртия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че предвиденото в тази разпоредба право на обезщетение има компенсаторна функция, тъй като парично обезщетение на основание на посочената разпоредба трябва да позволява да се обезщети изцяло вредата, конкретно претърпяна от факта на нарушението на този регламент, а не възпираща или наказателна функция.

88

От данните, предоставени от запитващата юрисдикция в отговор на искане за разяснения, отправено ѝ в съответствие с член 101 от Процедурния правилник на Съда, става ясно, че петият въпрос цели да се установи, от една страна, дали вината и/или нейното доказване са необходими условия, за да може да се ангажира отговорността на администратора или на обработващия лични данни, и от друга страна, по какъв начин степента на вината на администратора или обработващия лични данни може да се отрази на конкретната оценка на обезщетението, което трябва да се присъди за нанесените нематериални вреди.

89

С оглед на този отговор на запитващата юрисдикция петият въпрос следва да се разбира като целящ по същество да се установи, от една страна, дали член 82 от ОРЗД трябва да се тълкува в смисъл, че ангажирането на отговорността на администратора зависи от неговата вина, и от друга страна, дали степента на тази вина трябва да се вземе предвид при определянето на размера на обезщетението за нематериални вреди на основание на тази разпоредба.

90

Що се отнася до първата част на този въпрос, следва да се отбележи, както бе припомнено в точка 82 от настоящото решение, че член 82, параграф 1 от ОРЗД обуславя правото на обезщетение от сбора на три елемента, а именно наличието на нарушение на този регламент, наличието на нанесени вреди, както и наличието на причинно-следствена връзка между нарушението и вредите.

91

От своя страна член 82, параграф 2 от ОРЗД гласи, че всеки администратор, който участва в обработването на лични данни, носи отговорност за вредите, произтичащи от извършеното обработване, което нарушава този регламент. Текстът на тази разпоредба на някои езици, и по-специално текстът на немски, който е езикът на производството по настоящото дело, обаче не позволява да се определи със сигурност дали въпросното нарушение трябва да бъде вменено на администратора, за да може да се ангажира отговорността му.

92

В това отношение от анализа на текста на член 82, параграф 2, първо изречение от ОРЗД на различните езици следва, че се презумира, че администраторът е участвал в обработването, което представлява посоченото нарушение на този регламент. Всъщност, докато текстовете на немски, френски или фински език са формулирани отворено, някои от текстовете на други езици се оказват по-точни и използват показателно местоимение за третата употреба на термина „обработване“, или за третото позоваване на този термин, така че е ясно, че тази трета употреба или позоваване препраща към същата операция като втората употреба на този термин. Такъв е случаят с текстовете на испански, естонски, гръцки, италиански или румънски език.

93

В това отношение член 82, параграф 3 от ОРЗД уточнява, че администраторът е освободен от отговорност на основание член 82, параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата.

94

Така от съвместния анализ на тези различни разпоредби на член 82 от ОРЗД следва, че този член предвижда режим на виновна отговорност, при който тежестта на доказване се носи не от лицето, което е понесло вреди, а от администратора.

95

Това тълкуване се потвърждава както от контекста, в който се вписва член 82, така и от целите, преследвани от законодателя на Съюза с ОРЗД.

96

В това отношение, първо, от текстовете на членове 24 и 32 от ОРЗД следва, че тези разпоредби само задължават администратора да приеме технически и организационни мерки, за да се избегне, доколкото е възможно, всякакво нарушение на сигурността на лични данни. Дали тези мерки са подходящи трябва да се оцени конкретно, като се провери дали те са приложени от администратора при отчитане на различните критерии, визирани в тези членове, и на нуждите от защита на данните, специфично присъщи на съответното обработване, както и на свързаните с него рискове (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 30).

97

Такова задължение обаче би било поставено под въпрос, ако след това администраторът е длъжен да поправи всички вреди, причинени от обработване, извършено в нарушение на ОРЗД.

98

Второ, що се отнася до целите на ОРЗД, от съображения 4—8 от този регламент следва, че той има за цел да постигне баланс между интересите на администраторите на лични данни и правата на лицата, чиито лични данни се обработват. Целта е да се даде възможност за развитие на цифровата икономика, като същевременно се гарантира високо ниво на защита на физическите лица. По този начин се цели претегляне на интересите на администратора и на лицата, чиито лични данни се обработват. Именно механизъм на виновна отговорност обаче, съчетан с обръщане на тежестта на доказване, както предвижда член 82 от ОРЗД, позволява да се осигури такова равновесие.

99

От една страна, както по същество отбелязва генералният адвокат в точка 93 от заключението си, не би било в съответствие с целта за такова високо ниво на защита да се приеме тълкуване, според което в рамките на иск за обезщетение по член 82 от ОРЗД субектите на данни, понесли вреди в резултат на нарушение на ОРЗД, следва да понесат тежестта от доказване не само на самото нарушение и на произтичащите от него вреди за тях, но и на вината на администратора, умишлена или поради небрежност, дори на степента на вината, при положение че посоченият член 82 не формулира такива изисквания (вж. по аналогия решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 56).

100

От друга страна, режимът на безвиновна отговорност не би гарантирал постигането на целта за правна сигурност, която законодателят преследва, както следва от съображение 7 от ОРЗД.

101

Що се отнася до втората част на петия въпрос, свързана с определянето на размера на евентуално дължимото по силата на член 82 от ОРЗД обезщетение, следва да се припомни, както бе подчертано в точка 83 от настоящото решение, че за да се оцени това обезщетение, националните съдилища трябва да приложат вътрешните правила на всяка държава членка относно обхвата на паричното обезщетение, стига да са спазени принципите на равностойност и ефективност на правото на Съюза, както са определени в постоянната практика на Съда.

102

Важно е да се уточни, че с оглед на компенсаторната си функция член 82 от ОРЗД не изисква степента на тежест на нарушението на този регламент, което се презумира, че е извършил администраторът, да бъде взета предвид при определянето на размера на обезщетението, присъдено за нематериални вреди на основание на тази разпоредба, а изисква този размер да бъде определен така, че да компенсира изцяло конкретните вреди, понесени в резултат на нарушението на посочения регламент, както следва от точки 84 и 87 от настоящото решение.

103

Ето защо на петия въпрос следва да се отговори, че член 82 от ОРЗД трябва да се тълкува в смисъл, че от една страна, ангажирането на отговорността на администратора е обусловено от неговата вина, която се презумира, освен ако последният докаже, че по никакъв начин не е отговорен за събитието, причинило вредите, и от друга страна, че посоченият член 82 не изисква при определянето на размера на обезщетението, присъдено за нематериални вреди на основание на тази разпоредба, да се вземе предвид степента на вината.

104

С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (трети състав) реши: