„Trimitere preliminară – Stat de drept – Independența judecătorilor – Articolul 19 alineatul (1) al doilea paragraf TUE – Protecție jurisdicțională efectivă în domeniile reglementate de dreptul Uniunii – Organ judiciar competent să propună inițierea unor proceduri disciplinare împotriva magistraților în vederea aplicării unor sancțiuni disciplinare – Menținerea funcțiilor membrilor organului judiciar după încheierea mandatului lor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Securitatea datelor – Accesul unui organ judiciar la datele privind conturile bancare ale magistraților și ale membrilor familiilor lor – Autorizație jurisdicțională în scopul ridicării secretului bancar – Instanță care autorizează ridicarea secretului bancar – Articolul 4 punctul 7 – Noțiunea de «operator» – Articolul 51 – Noțiunea de «autoritate de supraveghere»”
În cauzele conexate C‑313/23, C‑316/23 și C‑332/23
având ca obiect trei cereri de decizie preliminară formulate în temeiul articolului 267 TFUE de Sofiyski rayonen sad (Tribunalul de Raion din Sofia, Bulgaria), prin deciziile din 22 mai 2023 (C‑313/23 și C‑332/23) și din 23 mai 2023 (C‑316/23), primite de Curte la 22 mai 2023 (C‑313/23), la 23 mai 2023 (C‑316/23) și la 25 mai 2023 (C‑332/23), în procedurile inițiate de
Inspektorat kam Visshia sadeben savet,
CURTEA (Camera întâi),
compusă din domnul K. Lenaerts, președintele Curții, îndeplinind funcția de președinte al Camerei întâi, domnul T. von Danwitz (raportor), vicepreședintele Curții, domnul A. Kumin și doamnele I. Ziemele și O. Spineanu‑Matei, judecători,
avocat general: domnul P. Pikamäe,
grefier: domnul A. Calot Escobar,
având în vedere procedura scrisă,
luând în considerare observațiile prezentate:
– pentru Inspektorat kam Visshia sadeben savet, de T. Tochkova, în calitate de agent;
– pentru guvernul bulgar, de T. Mitova, S. Ruseva și R. Stoyanov, în calitate de agenți;
– pentru guvernul polonez, de B. Majczyna, în calitate de agent;
– pentru Comisia Europeană, de A. Bouchagiar, C. Georgieva, H. Kranenborg și P. Van Nuffel, în calitate de agenți,
după ascultarea concluziilor avocatului general în ședința din 4 octombrie 2024,
pronunță prezenta
Hotărâre
1 Cererile de decizie preliminară privesc interpretarea articolului 19 alineatul (2) primul paragraf TUE, precum și a articolului 2 alineatul (2) litera (a), a articolului 4 punctul 7, a articolului 32 alineatul (1) litera (b), a articolului 33 alineatul (3) litera (d) și a articolului 79 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”) coroborate cu articolul 47 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).
2 Aceste cereri au fost formulate în cadrul unor proceduri introduse de Inspektorat kam Visshia sadeben savet (Inspectoratul de pe lângă Consiliul Judiciar Suprem, Bulgaria) (denumit în continuare „Inspectoratul”) pentru a se dispune divulgarea către acesta a datelor privind conturile bancare ale mai multor magistrați și ale membrilor familiilor lor.
Cadrul juridic
Dreptul Uniunii
3 Considerentele (16) și (20) ale RGPD precizează:
„(16) Prezentul regulament nu se aplică chestiunilor de protecție a drepturilor și libertăților fundamentale sau la libera circulație a datelor cu caracter personal referitoare la activități care nu intră în domeniul de aplicare al dreptului Uniunii, de exemplu activitățile privind securitatea națională. […]
[…]
(20) Deși prezentul regulament se aplică, inter alia, activităților instanțelor și ale altor autorități judiciare, dreptul Uniunii sau al statelor membre ar putea să precizeze operațiunile și procedurile de prelucrare în ceea ce privește prelucrarea datelor cu caracter personal de către instanțe și alte autorități judiciare. Prelucrarea datelor cu caracter personal nu ar trebui să fie de competența autorităților de supraveghere în cazul în care instanțele își exercită atribuțiile judiciare, în scopul garantării independenței sistemului judiciar în îndeplinirea sarcinilor sale judiciare, inclusiv în luarea deciziilor. Supravegherea unor astfel de operațiuni de prelucrare a datelor ar trebui să poată fi încredințată unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui să asigure în special respectarea normelor prevăzute de prezentul regulament, să sensibilizeze membrii sistemului judiciar cu privire la obligațiile care le revin în temeiul prezentului regulament și să trateze plângerile în legătură cu astfel de operațiuni de prelucrare a datelor.”
4 Articolul 2 din acest regulament, intitulat „Domeniul de aplicare material”, prevede la alineatele (1) și (2):
„(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor.
(2) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:
(a) în cadrul unei activități care nu intră sub incidența dreptului Uniunii;
[…]”
5 Articolul 4 din regulamentul menționat, intitulat „Definiții”, prevede:
„În sensul prezentului regulament:
[…]
- «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
[…]
- «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
[…]”
6 Articolul 12 din RGPD, intitulat „Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, prevede la alineatul (1):
„Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 13 și 14 și orice comunicări în temeiul articolelor 15-22 și 34 referitoare la prelucrare, într‑o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu […]. Informațiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. […]”
7 Articolul 14 din acest regulament, intitulat „Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”, prevede la alineatele (1) și (2):
„(1) În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, operatorul furnizează persoanei vizate următoarele informații:
(a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;
(b) datele de contact ale responsabilului cu protecția datelor, după caz;
(c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;
(d) categoriile de date cu caracter personal vizate;
(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
(f) dacă este cazul, intenția operatorului de a transfera date cu caracter personal către un destinatar dintr‑o țară terță sau o organizație internațională […];
(2) Pe lângă informațiile menționate la alineatul (1), operatorul furnizează persoanei vizate următoarele informații necesare pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată:
(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
(b) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmărite de operator sau de o parte terță;
(c) existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării și a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;
(d) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;
(e) dreptul de a depune o plângere în fața unei autorități de supraveghere;
(f) sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea provin din surse disponibile public;
(g) existența procesului decizional automatizat […]”
8 Articolul 21 din RGPD, intitulat „Dreptul la opoziție”, prevede la alineatul (1):
„În orice moment, persoana vizată are dreptul să se opună, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1) litera (e) sau (f), a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.”
9 Articolul 32 din acest regulament, intitulat „Securitatea prelucrării”, prevede la alineatul (1):
„Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
[…]
(b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
[…]”
10 Articolul 33 din regulamentul menționat, intitulat „Notificarea autorității de supraveghere cu privire la încălcarea securității datelor cu caracter personal”, prevede la alineatele (1) și (3):
„(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea către autoritatea de supraveghere nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată pentru întârziere.
[…]
(3) Notificarea menționată la alineatul (1) cel puțin:
[…]
(d) descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.”
11 Capitolul VI din RGPD, intitulat „Autorități de supraveghere independente”, cuprinde articolele 51-59 din acesta.
12 Articolul 51 din acest regulament, intitulat „Autoritatea de supraveghere”, are următorul cuprins:
„(1) Fiecare stat membru se asigură că una sau mai multe autorități publice independente sunt responsabile de monitorizarea aplicării prezentului regulament, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii («autoritatea de supraveghere»).
[…]
(3) În cazul în care mai multe autorități de supraveghere sunt instituite într‑un stat membru, acesta desemnează autoritatea de supraveghere care reprezintă autoritățile respective în cadrul [comitetului european pentru protecția datelor] și instituie un mecanism prin care să asigure respectarea de către celelalte autorități a normelor privind mecanismul pentru asigurarea coerenței prevăzut la articolul 63.
(4) Fiecare stat membru notifică Comisiei dispozițiile de drept pe care le adoptă în temeiul prezentului capitol până la 25 mai 2018 și, fără întârziere, orice modificare ulterioară pe care o aduce acestor dispoziții.”
13 Articolul 55 din regulamentul menționat, intitulat „Competența”, prevede:
„(1) Fiecare autoritate de supraveghere are competența să îndeplinească sarcinile și să exercite competențele care îi sunt conferite în conformitate cu prezentul regulament pe teritoriul statului membru de care aparține.
(2) În cazul în care prelucrarea este efectuată de autorități publice sau de organisme private care acționează pe baza articolului 6 alineatul (1) litera (c) sau (e), autoritatea de supraveghere din statul membru respectiv are competență. În astfel de cazuri, articolul 56 nu se aplică.
(3) Autoritățile de supraveghere nu sunt competente să supravegheze operațiunile de prelucrare ale instanțelor care acționează în exercițiul funcției lor judiciare.”
14 Articolul 57 din RGPD, intitulat „Sarcini”, prevede la alineatul (1):
„Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, fiecare autoritate de supraveghere, pe teritoriul său:
(a) monitorizează și asigură aplicarea prezentului regulament;
[…]
(h) desfășoară investigații privind aplicarea prezentului regulament, inclusiv pe baza unor informații primite de la o altă autoritate de supraveghere sau de la o altă autoritate publică;
[…]”
15 Articolul 58 din acest regulament, intitulat „Competențe”, enumeră, la alineatul (1), competențele de investigare de care dispune fiecare autoritate de supraveghere și, la alineatul (2), măsurile corective pe care aceasta le poate adopta.
16 Capitolul VIII din RGPD, intitulat „Căi de atac, răspundere și sancțiuni”, cuprinde articolele 77-84 din acesta.
17 Articolul 77 din acest regulament, intitulat „Dreptul de a depune o plângere la o autoritate de supraveghere”, prevede la alineatul (1):
„Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.”
18 Articolul 78 din regulamentul menționat, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere”, prevede la alineatul (1):
„Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.”
19 Articolul 79 din același regulament, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de operator”, prevede la alineatul (1):
„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”
Dreptul bulgar
Constituția bulgară
20 Articolul 117 alineatul (2) din Konstitutsia na Republika Bulgaria (Constituția Republicii Bulgaria), în versiunea aplicabilă faptelor din litigiile principale (denumită în continuare „Constituția bulgară”), prevede:
„Puterea judiciară este independentă. În exercitarea funcțiilor lor, judecătorii, jurații, procurorii și judecătorii de instrucție se supun doar legii.”
21 Articolul 132a din Constituția bulgară, în versiunea aplicabilă la data introducerii prezentelor cereri de deciziei preliminară, prevede:
„(1) Pe lângă Consiliul Judiciar Suprem se înființează un inspectorat care este compus dintr‑un inspector‑șef și zece inspectori.
(2) Inspectorul‑șef este ales de Adunarea Națională cu o majoritate de două treimi din membrii săi, pentru o perioadă de cinci ani.
(3) Inspectorii sunt aleși de Adunarea Națională pentru o perioadă de patru ani, în conformitate cu procedura stabilită la alineatul (2).
(4) Inspectorul‑șef și inspectorii pot fi realeși, dar nu pentru două mandate consecutive.
[…]
(6) Inspectoratul verifică activitatea organelor sistemului judiciar, fără a aduce atingere independenței judecătorilor, a juraților, a procurorilor și a judecătorilor de instrucție în exercitarea funcțiilor lor. [Inspectoratul] efectuează controale privind integritatea și conflictele de interese ale judecătorilor, procurorilor și judecătorilor de instrucție, declarațiile de avere ale acestora, precum și pentru identificarea acțiunilor care aduc atingere prestigiului puterii judiciare și a celor săvârșite cu încălcarea independenței judecătorilor, procurorilor și judecătorilor de instrucție. În exercitarea funcțiilor lor, inspectorul‑șef și inspectorii sunt independenți și se supun doar legii.
(7) Inspectoratul acționează din oficiu, la inițiativa cetățenilor, a persoanelor juridice și a organelor de stat, inclusiv a judecătorilor, procurorilor și judecătorilor de instrucție.
[…]
(10) Condițiile și procedura aplicabile alegerii și revocării inspectorului‑șef și a inspectorilor, precum și organizarea și funcționarea Inspectoratului se stabilesc prin lege.”
ZSV
22 Articolul 46 din Zakon za sadebnata vlast (Legea privind puterea judiciară) (DV nr. 64 din 7 august 2007), în versiunea aplicabilă faptelor din litigiile principale (denumită în continuare „ZSV”), prevede:
„Adunarea Națională alege inspectorul-șef și pe fiecare dintre inspectori în mod individual, cu o majoritate de două treimi din deputați.”
23 Articolul 54 alineatele 1 și 2 din această lege prevede:
„(1) Inspectoratul:
[…]
- verifică organizarea inițierii și a desfășurării procedurilor judiciare, a procedurilor de urmărire penală de către parchet și a anchetelor, precum și închiderea cauzelor în termenele stabilite;
[…]
- propune sancțiuni disciplinare împotriva judecătorilor, procurorilor, judecătorilor de instrucție și responsabililor administrativi ai organelor puterii judiciare;
- emite alerte, sugestii și rapoarte adresate altor organe de stat, inclusiv organelor competente ale puterii judiciare;
- efectuează controale privind integritatea și conflictele de interese ale judecătorilor, procurorilor și judecătorilor de instrucție, declarațiile de avere ale acestora, precum și pentru identificarea acțiunilor care aduc atingere prestigiului puterii judiciare și a celor săvârșite cu încălcarea independenței judecătorilor, procurorilor și judecătorilor de instrucție.
[…]
- controlează prelucrarea datelor cu caracter personal în cazurile menționate la articolul 17 alineatul (1) din Legea privind protecția datelor cu caracter personal.
(2) Atunci când asigură controlul prevăzut la alineatul (1) punctul 15, [Inspectoratul] îndeplinește sarcinile și exercită competențele prevăzute de Legea privind protecția datelor cu caracter personal.”
24 Articolul 175a alineatul 1 din legea menționată prevede:
„Judecătorii, procurorii și judecătorii de instrucție prezintă [Inspectoratului] următoarele declarații:
- o declarație în două părți privind averea și interesele declarantului;
- o declarație privind modificarea împrejurărilor din declarația prevăzută la punctul 1 în partea referitoare la interesele menționate la articolul 175b alineatul (1) punctele 11-13 și referitoare la originea fondurilor în cazul rambursării anticipate a datoriilor și a împrumuturilor.”
25 Articolul 175b alineatul 4 din ZSV are următorul cuprins:
„Judecătorii, procurorii și judecătorii de instrucție declară bunurile și veniturile soților sau concubinilor lor, precum și ale copiilor lor minori.”
26 Articolul 175d din această lege prevede:
„(1) [Inspectoratul] ține și păstrează registre publice electronice:
- ale declarațiilor în temeiul articolului 175a alineatul 1 punctele 1 și 2;
- ale deciziilor de sancționare administrativă rămase definitive.
(2) [Inspectoratul] introduce în registrul public menționat la alineatul 1 punctul 1 declarațiile de avere și de interese, precum și declarațiile de modificare a împrejurărilor declarate. Această introducere se efectuează exclusiv de către agenți împuterniciți de inspectorul‑șef.
[…]
(4) Orice persoană are drept de acces la datele conținute în registrul public.
(5) Accesul este asigurat prin intermediul site‑ului internet al [Inspectoratului], sub rezerva cerințelor privind protecția datelor cu caracter personal.”
27 Articolul 175e alineatele 1 și 6 din această lege prevede:
„(1) În termen de șase luni de la expirarea termenului de depunere a declarației, [Inspectoratul] verifică veridicitatea faptelor declarate. […]
[…]
(6) [Inspectoratul] poate obține informații din sistemele de informații menționate la articolele 56 și 56a din Legea privind instituțiile de credit. Inspectorul‑șef și inspectorii [Inspectoratului] pot solicita Rayonen sad (Tribunalul de Raion) în a cărui rază teritorială își are domiciliul persoana în cauză ridicarea secretului bancar, cu excepția cazului în care a fost dat consimțământul în conformitate cu articolul 62 alineatul (5) punctul 1 din Legea privind instituțiile de credit. Consimțământul se dă în fața [Inspectoratului], în scris, fără certificarea notarială a semnăturii, pe un formular aprobat de inspectorul‑șef.”
28 Articolul 307 alineatul 2 din ZSV prevede:
„Abaterea disciplinară reprezintă o neîndeplinire culpabilă a obligațiilor profesionale, precum și o atingere adusă prestigiului puterii judecătorești.”
29 Articolul 311 din această lege are următorul cuprins:
„Sancțiunea disciplinară se aplică:
- de către responsabilul administrativ, pentru sancțiunea prevăzută la articolul 308 alineatul 1 punctul 1;
- de către secția în cauză a Consiliului Judiciar Suprem (Secția pentru judecători, procurori sau judecători de instrucție), pentru sancțiunile prevăzute la articolul 308 alineatul 1 punctele 2, 3, 4 și 6;
[…]
- de Plenul Consiliului Judiciar Suprem, pentru sancțiunile prevăzute la articolul 308 alineatul 2, care sunt aplicate unui membru ales al Consiliului Judiciar Suprem.”
30 Articolul 312 alineatul 1 legea menționată prevede:
„O propunere de inițiere a unei proceduri disciplinare în vederea aplicării unei sancțiuni disciplinare unui judecător, unui procuror sau unui judecător de instrucție, unui responsabil administrativ sau unui responsabil administrativ adjunct poate fi făcută de:
[…]
(3) [Inspectorat]:
[…]”
31 Articolul 323 alineatul 1 din aceeași lege prevede:
„Decizia Plenului sau a secției în cauză a Consiliului Judiciar Suprem poate fi contestată de persoana vizată de sancțiunea disciplinară și – în cazul în care nu a fost aplicată nicio sancțiune disciplinară sau aceasta este mai puțin severă decât cea propusă – de autorul propunerii în fața Varhoven administrativen sad [(Curtea Administrativă Supremă, Bulgaria)] în termen de 14 zile de la comunicarea sau notificarea acestei decizii.”
ZKI
32 Articolul 62 din Zakon za kreditnite institutsii (Legea privind instituțiile de credit) (DV nr. 59 din 21 iulie 2006), în versiunea aplicabilă faptelor din litigiile principale (denumită în continuare „ZKI”), prevede:
„(1) Se interzice angajaților băncilor, membrilor organelor de administrare și de supraveghere a băncilor, agenților [Băncii Naționale a Bulgariei (BNB)], angajaților și membrilor consiliului de administrație al Fondului de garantare a depozitelor, lichidatorilor, administratorilor temporari și administratorilor judiciari, precum și oricăror alte persoane care lucrează pentru o bancă să divulge sau să utilizeze în beneficiul lor personal sau în beneficiul membrilor familiilor lor informații care constituie secret bancar.
(2) Secretul bancar este constituit din faptele și circumstanțele care afectează soldurile și operațiunile conturilor și depozitelor clienților băncii.
[…]
(5) Cu excepția BNB și în scopurile și în condițiile prevăzute la articolul 56, banca poate furniza informațiile menționate la alineatul (2) cu privire la clienții individuali numai:
- cu acordul lor;
- în temeiul unei hotărâri a unei instanțe judecătorești, pronunțată în conformitate cu alineatele (6) și (7);
- printr‑o ordonanță a unei instanțe, atunci când acest lucru este necesar pentru a clarifica circumstanțele unei cauze cu care este sesizată;
- în situațiile menționate la alineatul (12), în cazul unei bănci care face obiectul unei proceduri de insolvență sau
- în cadrul unei proceduri arbitrale internaționale în curs, la care Republica Bulgaria este parte.
(6) Instanța poate dispune de asemenea divulgarea informațiilor menționate la alineatul (2) la cererea:
[…]
- Inspectorului-șef sau a unui inspector al [Inspectoratului].
(7) Judecătorul Rayonen sad [Tribunalul de Raion] se pronunță în camera de consiliu prin decizie motivată cu privire la cererea menționată la alineatul (6), în termen de cel mult 24 de ore de la primirea cererii, precizând perioada la care se referă informațiile menționate la alineatul (1). Decizia instanței nu este supusă unei căi de atac.
[…]”
ZZLD
33 Articolul 6 alineatul (1) din Zakon za zashtita na lichnite danni (Legea privind protecția datelor cu caracter personal) (DV nr. 1 din 4 ianuarie 2002), în versiunea aplicabilă faptelor din litigiile principale (denumită în continuare „ZZLD”), are următorul cuprins:
„Komisia za zashtita na lichnite danni [(Comisia pentru Protecția Datelor cu Caracter Personal, Bulgaria) (denumită în continuare «KZLD»)] este o autoritate permanentă și independentă de supraveghere care asigură protecția persoanelor cu ocazia prelucrării datelor lor cu caracter personal și cu ocazia accesului la aceste date, precum și supravegherea respectării [RGPD] și a prezentei legi.”
34 Articolul 17 alineatele (1) și (2) din această lege prevede:
„(1) Inspectoratul supraveghează și controlează respectarea [RGPD], a prezentei legi și a actelor privind protecția datelor cu caracter personal atunci când datele cu caracter personal sunt prelucrate de:
- instanță în exercitarea funcțiilor sale de autoritate a puterii judiciare și
- parchet și organele de urmărire penală în exercitarea funcțiilor lor de autorități ale puterii judiciare, în scopul prevenirii, depistării, cercetării sau urmăririi penale a infracțiunilor sau al executării pedepselor.
(2) Modalitățile de punere în aplicare a activității menționate la alineatul (1), inclusiv efectuarea de controale și examinarea procedurilor în fața Inspectoratului, sunt stabilite prin regulamentul menționat la articolul 55 alineatul (8) [din ZSV].”
35 Articolul 17a alineatul (1) din ZZLD prevede:
„Atunci când supraveghează prelucrarea datelor cu caracter personal de către o instanță în exercitarea funcțiilor sale de autoritate judiciară, cu excepția cazului prelucrării datelor cu caracter personal în sensul articolului 42 alineatul (1), Inspectoratul:
- îndeplinește sarcinile menționate la articolul 57 alineatul (1) literele (a)-(i), (l), (u) și (v) și alineatele (2) și (3) din [RGPD];
- exercită competențele conferite de articolul 58 alineatul (1) literele (a), (b), (d), (e), (f), alineatul (2) literele (a)-(g), (i) și (j) și alineatul (3) literele (a), (b) și (c) din [RGPD];
- aplică lista stabilită de [KZLD], în conformitate cu articolul 35 alineatul (4) din [RGPD] coroborat cu cerința unei evaluări a impactului asupra protecției datelor;
- sesizează instanța în cazul încălcării [RGPD].”
36 Articolul 39 din ZZLD prevede:
„(1) În cazul încălcării drepturilor sale conferite de [RGPD] și de prezenta lege, persoana vizată poate contesta actele și acțiunile operatorului și ale persoanei împuternicite de operator în fața unei instanțe în conformitate cu procedura prevăzută de Codul de procedură administrativă.
[…]
(4) Persoana vizată nu poate sesiza instanța în cazul în care o procedură este pendinte în fața [KZLD] cu privire la aceeași încălcare sau în cazul în care o decizie a [KZLD] privind aceeași încălcare a făcut obiectul unei căi de atac și nu există o hotărâre judecătorească rămasă definitivă. La cererea persoanei vizate sau a instanței, [KZLD] certifică absența unei proceduri pendinte în fața sa în cadrul aceluiași litigiu.
(5) Alineatul (4) se aplică și în cazul unei proceduri pendinte în fața Inspectoratului.”
Litigiile principale și întrebările preliminare
37 La 15 mai 2023, după expirarea termenului prevăzut pentru depunerea declarațiilor anuale de avere a magistraților și a familiilor acestora pentru anul 2022, prevăzut la articolele 175a și 175b din ZSV, Inspectoratul a sesizat Sofiyski rayonen sad (Tribunalul de Raion din Sofia, Bulgaria), care este instanța de trimitere, cu o cerere de ridicare a secretului bancar privind conturile bancare ale mai multor magistrați și ale membrilor familiilor lor, în temeiul articolului 62 alineatul (6) punctul 12 din ZKI.
38 Instanța de trimitere arată, în primul rând, că trebuie să verifice dacă Inspectoratul are competența de a o sesiza cu o astfel de cerere. În această privință, ea precizează că acest organ, care a fost creat printr‑un amendament la Constituția bulgară adoptat în cursul anului 2007, are sarcina de a investiga exercitarea unor influențe nejustificate asupra magistraților, de a verifica declarațiile de avere ale acestora și de a identifica eventuale conflicte de interese, precum și atingeri aduse independenței puterii judecătorești.
39 Instanța de trimitere arată că Inspectoratul este compus dintr‑un inspector‑șef și zece inspectori care sunt aleși de Adunarea Națională pentru un mandat de cinci ani și, respectiv, de patru ani. Or, mandatele tuturor membrilor Inspectoratului s‑ar fi încheiat în cursul anului 2020, fără ca Adunarea Națională să fi procedat la alegerea de noi membri.
40 Desigur, printr‑o hotărâre din 27 septembrie 2022, Konstitutsionen sad (Curtea Constituțională, Bulgaria) ar fi statuat că Constituția bulgară trebuie interpretată în sensul că inspectorul-șef și inspectorii al căror mandat a expirat continuă să își exercite atribuțiile până când Adunarea Națională alege noi membri ai Inspectoratului, considerând că menținerea misiunii încredințate Inspectoratului este mai importantă decât riscurile de abuz din partea membrilor săi al căror mandat a expirat. Instanța de trimitere arată însă că această hotărâre nu a abordat problema dacă membrii Inspectoratului care continuă să își exercite funcțiile după expirarea mandatului lor ar putea exercita o influență nejustificată asupra puterii judecătorești sau ar putea ei înșiși să fie supuși unor presiuni din partea deputaților.
41 Instanța menționată ridică, așadar, problema dacă dreptul Uniunii impune condiții mai stricte decât Constituția bulgară, astfel cum a fost interpretată de Konstitutsionen sad (Curtea Constituțională). În special, ținând seama de jurisprudența Curții stabilită în Hotărârea din 11 mai 2023, Inspecția Judiciară (C‑817/21, EU:C:2023:391, punctele 50 și 51), aceasta se întreabă dacă o prelungire a mandatelor membrilor Inspectoratului poate aduce atingere garanțiilor de independență a acestei autorități în calitate de autoritate abilitată să inițieze proceduri disciplinare în privința magistraților și, în cazul unui răspuns afirmativ, care sunt criteriile care permit să se aprecieze dacă o astfel de prelungire este admisibilă și pentru ce durată.
42 În al doilea rând, instanța de trimitere ridică problema rolului și a obligațiilor instanțelor naționale atunci când acestea încuviințează accesul Inspectoratului la datele cu caracter personal ale magistraților.
43 În această privință, instanța de trimitere arată că, în cursul anului 2019, o problemă gravă privind securitatea datelor deținute de Inspectorat a atras atenția mijloacelor de informare în masă bulgare. Astfel, KZLD ar fi constatat că datele cu caracter personal a aproximativ 20 de judecători și de procurori, deținute de Inspectorat, fuseseră publicate în întregime în mod nelegal pe site‑ul internet al acestuia, ceea ce ar fi determinat KZLD să aplice o amendă Inspectoratului. Or, instanța de trimitere arată că nu dispune de nicio informație care să îi permită să știe dacă, de la acest incident, au fost luate măsuri pentru a asigura securitatea datelor.
44 Instanța de trimitere se întreabă dacă activitatea sa constând în autorizarea Inspectoratului să aibă acces la date cu caracter personal supuse secretului bancar intră în domeniul de aplicare al RGPD și, în cazul unui răspuns afirmativ, care ar fi efectele acesteia asupra controlului pe care trebuie să îl exercite. Ea subliniază, în această privință, că RGPD impune obligații persoanelor care efectuează o prelucrare de date cu caracter personal, operatorilor și autorităților de supraveghere.
45 În schimb, obligațiile unei instanțe care acordă unei autorități autorizația de acces la astfel de date nu ar fi reglementate în mod direct de RGPD. Prin urmare, ar trebui să se stabilească dacă trebuie să se considere că o astfel de instanță are calitatea de „operator”, în sensul articolului 4 punctul 7 din RGPD, sau de „autoritate de supraveghere”, în sensul articolului 51 din acest regulament, în măsura în care ar acorda Inspectoratului o autorizație în lipsa căreia accesul la datele în cauză nu ar putea avea loc. Inspectoratul ar colecta și ar verifica, în scopurile prevăzute la articolele 175a și 175d din ZSV, date referitoare la averea magistraților, în timp ce instanțele ar controla această activitate acordând sau refuzând accesul la datele în cauză.
46 În această privință, instanța de trimitere observă că controlul său ar trebui, potrivit interpretării dreptului național care prevalează în Bulgaria, să fie pur formal și să se limiteze la a verifica dacă persoanele în privința cărora se solicită ridicarea secretului bancar au calitatea de persoane supuse obligației de declarare în sensul ZSV, cu alte cuvinte dacă sunt magistrați sau persoane care au o relație familială sau un alt raport prevăzut de acest drept cu aceștia din urmă. În principiu, atunci când aceste condiții sunt îndeplinite, instanțele ar trebui să permită întotdeauna ridicarea secretului bancar. În schimb, situația ar fi diferită dacă instanțele care exercită controlul prealabil ar putea fi considerate operatori de date cu caracter personal la care acordă accesul, astfel încât ele ar trebui să asigure securitatea datelor în temeiul articolelor 32-34 din RGPD.
47 Or, deși aceste instanțe nu au acces direct la datele cu caracter personal acoperite de secretul bancar, ele ar stabili într‑o anumită măsură scopurile prelucrării prin autorizarea sau prin interzicerea accesului la aceste date. Pe de altă parte, dispozițiile naționale aplicabile în cauzele principale nu ar preciza, atunci când scopurile prelucrării datelor cu caracter personal sunt stabilite prin lege, care autoritate este supusă drepturilor și obligațiilor unui operator de date cu caracter personal.
48 În plus, instanța de trimitere ridică problema dacă poate verifica, înainte de a autoriza accesul la date, dacă Inspectoratul a luat măsuri pentru a asigura o prelucrare a datelor în conformitate cu legea, pentru a nu acționa ca o simplă cameră de înregistrare.
49 În sfârșit, chiar dacă instanța însărcinată cu autorizarea accesului Inspectoratului la datele cu caracter personal acoperite de secretul bancar nu ar avea calitatea de operator sau de autoritate de supraveghere, s‑ar ridica problema dacă aceasta trebuie să efectueze astfel de controale pentru a asigura protecția jurisdicțională efectivă prevăzută la articolul 79 din RGPD. Desigur, această dispoziție reglementează cazurile în care persoana vizată sesizează instanța în vederea protejării drepturilor sale. Cu toate acestea, în cazul în care procedura privind divulgarea datelor se desfășoară fără participarea persoanei vizate, iar dreptul național prevede un control jurisdicțional prealabil, o obligație similară ar trebui impusă din oficiu. Acest lucru ar decurge de asemenea din dreptul la o cale de atac jurisdicțională efectivă, consacrat la articolul 47 din cartă. În lipsa unei astfel de obligații, instanța s‑ar limita întotdeauna la o examinare formală și la o confirmare a acțiunii administrației, ceea ce ar putea părea contrar obiectivelor articolului 79 din RGPD.
50 În aceste condiții, Sofiyski rayonen sad (Tribunalul de Raion din Sofia) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare, formulate în termeni identici în cauzele C‑313/23, C‑316/23 și C‑332/23:
„1) Articolul 19 alineatul (1) al doilea paragraf TUE coroborat cu articolul 47 alineatul (2) din [cartă] trebuie interpretat în sensul că prelungirea fără un termen clar definit a funcțiilor unei autorități care poate aplica sancțiuni disciplinare judecătorilor și care dispune de competența de a colecta date referitoare la averea acestora, după expirarea duratei stabilite de Constituție a mandatului său, constituie în sine sau în anumite condiții o încălcare a obligației statelor membre de a garanta căi de atac efective pentru un control jurisdicțional independent? Dacă este permisă o asemenea prelungire a acestei competențe, care sunt condițiile pentru aceasta?
2) Articolul 2 alineatul (2) litera (a) din [RGPD] trebuie interpretat în sensul că ridicarea secretului bancar în scopul verificării averii magistraților, care este apoi făcută publică, constituie o activitate care nu intră în domeniul de aplicare al dreptului Uniunii? Răspunsul este diferit în situația în care această activitate cuprinde și divulgarea datelor aparținând membrilor de familie ai magistraților, care nu au această calitate?
3) În cazul unui răspuns la a doua întrebare în sensul că dreptul Uniunii este aplicabil, articolul 4 punctul 7 din [RGPD] trebuie interpretat în sensul că o autoritate judiciară care încuviințează unui alte autorități publice accesul la datele privind soldul conturilor magistraților și ale membrilor de familie ai acestora stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, având astfel calitatea de «operator» de prelucrare a datelor cu caracter personal?
4) În cazul unui răspuns la a doua întrebare în sensul că dreptul Uniunii este aplicabil și al unui răspuns negativ la a treia întrebare, articolul 51 din [RGPD] trebuie interpretat în sensul că o autoritate judiciară care încuviințează unei alte autorități publice accesul la datele privind soldul conturilor magistraților și ale membrilor de familie ai acestora răspunde pentru supravegherea [aplicării] acestui regulament și din acest motiv are calitatea de «autoritate de supraveghere» în raport cu aceste date?
5) În cazul unui răspuns la a doua întrebare în sensul că dreptul Uniunii este aplicabil și al unui răspuns afirmativ la a treia sau la a patra întrebare, articolul 32 alineatul (1) litera (b) din [RGPD] sau articolul 57 alineatul (1) litera (a) din acest regulament trebuie interpretat în sensul că o autoritate judiciară care încuviințează unei alte autorități publice accesul la datele privind soldul conturilor magistraților și ale membrilor de familie ai acestora este obligată, în cazul în care există date privind o încălcare anterioară a securității datelor cu caracter personal săvârșită de autoritatea căreia urmează să i se încuviințeze accesul la date, să solicite informații privind măsurile adoptate pentru protecția datelor și să evalueze, în decizia privind încuviințarea accesului, caracterul adecvat al acestor măsuri?
6) În cazul unui răspuns la a doua întrebare în sensul că dreptul Uniunii este aplicabil și independent de răspunsurile la a treia sau la a patra întrebare, articolul 79 alineatul (1) din [RGPD] coroborat cu articolul 47 din [cartă] trebuie interpretat în sensul că, în situația în care dreptul național al unui stat membru prevede că anumite categorii de date pot fi divulgate numai cu încuviințarea instanței, instanța care ia respectiva decizie trebuie să garanteze din oficiu protecția persoanelor ale căror date sunt divulgate, obligând autoritatea care solicită accesul la date și despre care se știe că a săvârșit în trecut încălcări ale securității datelor cu caracter personal să îi pună la dispoziție informații cu privire la măsurile adoptate în conformitate cu articolul 33 alineatul (3) litera (d) din [RGPD] și cu privire la aplicarea efectivă a acestor măsuri?”
Procedura în fața Curții
Cu privire la conexare
51 Prin decizia președintelui Curții din 30 iunie 2023, cauzele C‑313/23, C‑316/23 și C‑332/23 au fost conexate pentru buna desfășurare a procedurii scrise și orale, precum și în vederea pronunțării hotărârii.
Cu privire la cererea de redeschidere a fazei orale a procedurii
52 Prin înscrisul depus la grefa Curții la 30 octombrie 2024, Inspectoratul a solicitat să se dispună, în temeiul articolului 83 din Regulamentul de procedură al Curții, redeschiderea fazei scrise a procedurii. Din moment ce articolul 83 menționat reglementează redeschiderea fazei orale a procedurii și în speță această fază a fost închisă după prezentarea concluziilor avocatului general, această cerere trebuie înțeleasă ca vizând redeschiderea fazei orale.
53 În susținerea cererii sale, Inspectoratul prezintă două motive în legătură cu prima întrebare preliminară. În primul rând, ar fi survenit un fapt nou, și anume modificarea, în luna decembrie 2023, a articolului 132a alineatul 4 din Constituția bulgară, în sensul că membrii Inspectoratului ar putea fi aleși de acum înainte pentru două mandate consecutive. În al doilea rând, în concluziile sale, domnul avocat general ar fi făcut o apreciere inexactă a situației în discuție în litigiile principale făcând referire la o reglementare națională și la un aviz al Comisiei Europene pentru Democrație prin Drept, denumită „Comisia de la Veneția”, care nu sunt pertinente pentru prezentele cauze.
54 În această privință, trebuie amintit, pe de o parte, că Statutul Curții de Justiție a Uniunii Europene și Regulamentul de procedură nu prevăd posibilitatea ca persoanele interesate menționate la articolul 23 din acest statut să prezinte observații ca răspuns la concluziile prezentate de avocatul general. Pe de altă parte, în temeiul articolului 252 al doilea paragraf TFUE, avocatul general prezintă în mod public, cu deplină imparțialitate și în deplină independență, concluzii motivate cu privire la cauzele care, în conformitate cu statutul menționat, necesită intervenția sa. Nici concluziile acestuia, nici motivarea pe care se întemeiază avocatul general nu sunt obligatorii pentru Curte. În consecință, dezacordul unei persoane interesate față de concluziile avocatului general, oricare ar fi chestiunile pe care acesta le examinează în cadrul lor, nu poate constitui prin el însuși un motiv care să justifice redeschiderea procedurii orale (Hotărârea din 19 decembrie 2024, Ford Italia, C‑157/23, EU:C:2024:1045, punctul 26 și jurisprudența citată).
55 Desigur, în conformitate cu articolul 83 din Regulamentul de procedură, Curtea poate oricând să dispună, după ascultarea avocatului general, deschiderea sau redeschiderea fazei orale a procedurii, în special atunci când consideră că nu este suficient de lămurită sau atunci când o parte a invocat, după închiderea acestei faze, un fapt nou de natură să aibă o influență decisivă asupra deciziei Curții sau atunci când cauza trebuie soluționată pe baza unui argument care nu a fost pus în discuția persoanelor interesate.
56 Cu toate acestea, în speță Curtea dispune de toate elementele necesare pentru a se pronunța cu privire la cererile de decizie preliminară, iar prezentele cauze nu trebuie să fie soluționate pe baza unor argumente care nu ar fi fost puse în discuția persoanelor interesate. În plus, cererea de redeschidere a fazei orale a procedurii nu evidențiază niciun fapt nou de natură să poată avea o influență decisivă asupra deciziei pe care Curtea este chemată să o pronunțe în aceste cauze.
57 În aceste condiții, Curtea consideră, după ascultarea avocatului general, că nu este necesar să dispună redeschiderea fazei orale a procedurii.
Cu privire la admisibilitatea cererilor de decizie preliminară
58 Guvernul bulgar exprimă îndoieli cu privire la admisibilitatea cererilor de decizie preliminară, pentru motivul că organismul de trimitere din litigiile principale nu ar prezenta, în cadrul procedurilor principale, caracterul unei „instanțe” în sensul articolului 267 TFUE. Astfel, pe de o parte, procedurile în fața acestui organism ar fi unilaterale, întrucât s‑ar desfășura fără participarea persoanelor în cauză. Pe de altă parte, aceste proceduri nu ar avea ca obiect soluționarea unui litigiu juridic, întrucât singura lor finalitate ar fi să se verifice dacă sunt îndeplinite condițiile necesare pentru ridicarea secretului bancar.
59 Potrivit jurisprudenței constante a Curții, pentru a aprecia dacă organismul de trimitere în discuție are caracterul unei „instanțe” în sensul articolului 267 TFUE, aspect care ține exclusiv de dreptul Uniunii, Curtea ia în considerare un ansamblu de elemente precum printre altele originea legală a acestui organism, caracterul său permanent, caracterul obligatoriu al competenței sale, natura contradictorie a procedurii, aplicarea de către organismul respectiv a normelor de drept, precum și independența acestuia (a se vedea în acest sens Hotărârea din 29 martie 2022, Getin Noble Bank, C‑132/20, EU:C:2022:235, punctul 66, precum și Hotărârea din 7 mai 2024, NADA ș.a., C‑115/22, EU:C:2024:384, punctul 35 și jurisprudența citată).
60 Reiese de asemenea dintr‑o jurisprudență constantă că, deși articolul 267 TFUE nu condiționează sesizarea Curții de caracterul contradictoriu al procedurii în cursul căreia instanța națională formulează o întrebare preliminară, instanțele naționale nu pot sesiza Curtea decât dacă un litigiu este pendinte în fața lor și dacă sunt chemate să se pronunțe în cadrul unei proceduri destinate să se finalizeze printr‑o decizie cu caracter jurisdicțional. Prin urmare, competența unui organism de a sesiza Curtea trebuie să se stabilească atât în funcție de criterii structurale, cât și de criterii funcționale. Un organism național poate fi calificat drept „instanță” în sensul articolului 267 TFUE atunci când îndeplinește o funcție jurisdicțională, în timp ce, atunci când exercită alte funcții, în special de natură administrativă, această calificare nu îi poate fi recunoscută (a se vedea în acest sens Hotărârea din 3 mai 2022, CityRail, C‑453/20, EU:C:2022:341, punctele 42 și 43, precum și jurisprudența citată).
61 Nu se contestă că Sofiyski rayonen sad (Tribunalul de Raion din Sofia), ca atare, îndeplinește cerințele amintite la punctul 59 din prezenta hotărâre în ceea ce privește originea sa, caracterul său permanent, aplicarea normelor de drept, precum și independența sa și niciun element din dosarul de care dispune Curtea nu conduce la exprimarea unor îndoieli în această privință. Ceea ce, în speță, este pus în discuție de guvernul bulgar este problema dacă această instanță este chemată să se pronunțe în cadrul unei proceduri destinate să se finalizeze printr‑o decizie cu caracter jurisdicțional. În această privință, este necesar să se arate că această instanță este sesizată cu o cerere a Inspectoratului prin care se urmărește ridicarea secretului bancar în temeiul articolului 62 alineatul (6) punctul 12 din ZKI. Deși guvernul bulgar susține că examinarea pe care instanța de trimitere trebuie să o efectueze este de natură pur formală, aceasta este chemată totuși să controleze dacă sunt îndeplinite condițiile legale cărora le este subordonată ridicarea secretului bancar, să se pronunțe prin decizie motivată și să stabilească perioada pentru care secretul bancar este ridicat.
62 În special, autorizația pe care instanța de trimitere o poate acorda are vocația de a se substitui, astfel cum reiese din articolul 62 alineatul (5) din ZKI, consimțământului persoanelor în cauză. Această autorizație este opozabilă băncilor la care aceste persoane dispun de conturi bancare și are ca efect să permită Inspectoratului să acceadă la datele cu caracter personal referitoare la aceste conturi. În plus, un astfel de acces implică o ingerință în drepturile fundamentale ale persoanelor menționate, consacrate la articolele 7 și 8 din cartă [a se vedea în acest sens Hotărârea din 6 octombrie 2020, État luxembourgeois (Dreptul la o cale de atac împotriva unei cereri de informații în materie fiscală), C‑245/19 și C‑246/19, EU:C:2020:795, punctul 74].
63 În aceste condiții, funcțiile pe care le exercită instanța de trimitere în temeiul articolului 62 alineatul (6) punctul 12 din ZKI nu constau în adoptarea unor acte de natură administrativă supuse căilor de atac jurisdicționale, ci trebuie calificate drept jurisdicționale, această instanță fiind efectiv chemată să se pronunțe în mod independent pentru a asigura legalitatea ridicării secretului bancar (a se vedea prin analogie Ordonanța din 15 ianuarie 2004, Saetti și Frediani, C‑235/02, EU:C:2004:26, punctul 23).
64 În consecință, cererile de decizie preliminară sunt admisibile.
Cu privire la întrebările preliminare
Cu privire la prima întrebare
65 Cu titlu introductiv, trebuie amintit că, potrivit unei jurisprudențe constante, în cadrul procedurii de cooperare între instanțele naționale și Curte instituite prin articolul 267 TFUE, este de competența acesteia din urmă să ofere instanței naționale un răspuns util, care să îi permită să soluționeze litigiul cu care este sesizată. Din această perspectivă, Curtea trebuie, dacă este cazul, să reformuleze întrebarea care îi este adresată (Hotărârea din 30 ianuarie 2024, Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia, C‑118/22, EU:C:2024:97, punctul 31 și jurisprudența citată).
66 În speță, deși prima întrebare se referă la un organ judiciar „care poate aplica sancțiuni disciplinare judecătorilor și care dispune de competența de a colecta date referitoare la averea acestora”, atât din cererile de decizie preliminară, cât și din dosarul de care dispune Curtea reiese că acest organ controlează activitatea magistraților în exercitarea funcției lor, integritatea lor și lipsa conflictelor de interese în privința acestora și că dispune, în acest cadru, de competența de a colecta date cu caracter personal care îi privesc. În special, organul respectiv este abilitat, în urma unor astfel de controale, să propună unui alt organ judiciar inițierea unei proceduri disciplinare în vederea impunerii unor sancțiuni disciplinare în privința lor.
67 Or, astfel cum reiese din cererile de decizie preliminară, instanța de trimitere consideră că împrejurarea că membrii Inspectoratului, care sunt aleși cu o majoritate de două treimi din deputații Adunării Naționale, continuă să își exercite funcțiile în pofida expirării mandatelor lor este de natură să ridice semne de întrebare în raport cu cerința de independență a puterii judecătorești. Astfel, această instanță ridică problema dacă membrii acestui organ judiciar sunt susceptibili, într‑un asemenea context, să exercite o influență nejustificată asupra magistraților sau să își continue activitățile sub presiunea unor deputați ai Adunării Naționale.
68 Astfel, prima întrebare preliminară privește interpretarea articolului 19 alineatul (1) al doilea paragraf TUE, interpretat în lumina articolului 47 din cartă, numai în raport cu prelungirea mandatelor expirate ale membrilor Inspectoratului, fără ca întinderea competențelor acestui organ judiciar să fie ca atare vizată de această întrebare.
69 În aceste condiții, este necesar să se considere că, prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă și, eventual, în ce condiții articolul 19 alineatul (1) al doilea paragraf TUE, citit în lumina articolului 47 din cartă, se opune practicii unui stat membru potrivit căreia membrii unui organ judiciar al acestui stat membru, aleși de parlamentul acestuia pentru mandate cu o durată determinată și care sunt competenți să controleze activitatea magistraților în exercitarea funcției lor, integritatea lor și lipsa conflictelor de interese în privința acestora, precum și să propună unui alt organ judiciar deschiderea unei proceduri disciplinare în vederea impunerii de sancțiuni disciplinare în privința lor, continuă să își exercite atribuțiile dincolo de durata legală a mandatului lor, stabilită de Constituția statului membru respectiv, până când acest parlament alege noi membri.
Cu privire la competența Curții
70 Guvernul polonez susține că Curtea nu este competentă să răspundă la prima întrebare, întrucât Uniunea nu dispune de nicio competență în domeniul organizării justiției în statele membre.
71 În această privință, deși organizarea justiției în statele membre intră în competența acestora din urmă, totuși, în exercitarea acestei competențe, statele membre sunt ținute să respecte obligațiile care decurg pentru ele din dreptul Uniunii și în special din articolul 19 alineatul (1) al doilea paragraf TUE [a se vedea în acest sens Hotărârea din 9 ianuarie 2024, G. ș.a. (Numirea judecătorilor de drept comun în Polonia) (C‑181/21 și C‑269/21, EU:C:2024:1, punctul 57, precum și jurisprudența citată].
72 Acest lucru este valabil în cazul normelor naționale care reglementează răspunderea disciplinară a judecătorilor (a se vedea în acest sens Hotărârea din 21 decembrie 2021, Euro Box Promotion ș.a., C‑357/19, C‑379/19, C‑547/19, C‑811/19 și C‑840/19, EU:C:2021:1034, punctul 133, precum și Hotărârea din 11 mai 2023, Inspecția Judiciară, C‑817/21, EU:C:2023:391, punctul 44 și jurisprudența citată), inclusiv cele referitoare la organizarea și la funcționarea unui organ judiciar care, precum Inspectoratul, este competent să controleze activitatea judecătorilor în exercitarea funcțiilor lor, să verifice integritatea lor și eventuala existență a unor conflicte de interese în privința acestora și să propună unui alt organ judiciar deschiderea unei proceduri disciplinare în vederea impunerii de sancțiuni disciplinare în privința lor.
73 În aceste condiții și întrucât prima întrebare preliminară privește interpretarea dreptului Uniunii, Curtea este competentă să răspundă la această întrebare.
Cu privire la admisibilitate
74 Guvernul bulgar și Inspectoratul contestă admisibilitatea primei întrebări pentru motivul că Inspectoratul nu are competența de a aplica sancțiuni disciplinare, astfel încât această primă întrebare nu ar avea nicio legătură cu obiectul procedurilor principale.
75 În plus, Inspectoratul susține că prima întrebare este ipotetică. Astfel, pe de o parte, procedurile principale nu ar avea nicio legătură cu procedurile disciplinare. Pe de altă parte și în condițiile în care constatarea unei încălcări a articolului 19 alineatul (1) al doilea paragraf TUE necesită o încălcare structurală a cerințelor de independență, instanța de trimitere nu ar preciza în ce mod încălcarea invocată în discuție în litigiile principale ar fi de natură structurală.
76 În această privință, potrivit jurisprudenței constante, revine doar instanței naționale sesizate cu soluționarea litigiului, care trebuie să își asume răspunderea pentru hotărârea judecătorească ce urmează a fi pronunțată, competența să aprecieze, în raport cu particularitățile cauzei, atât necesitatea unei hotărâri preliminare pentru a fi în măsură să pronunțe propria hotărâre, cât și pertinența întrebărilor pe care le adresează Curții. În consecință, în cazul în care întrebările adresate privesc interpretarea unei norme de drept al Uniunii, Curtea este, în principiu, obligată să se pronunțe [Hotărârea din 16 februarie 2023, Rzecznik Praw Dziecka ș.a. (Suspendarea deciziei de returnare), C‑638/22 PPU, EU:C:2023:103, punctul 47, precum și Hotărârea din 24 iulie 2023, Lin, C‑107/23 PPU, EU:C:2023:606, punctul 61].
77 Întrebările privind dreptul Uniunii beneficiază, așadar, de o prezumție de pertinență. Refuzul Curții de a se pronunța asupra unei întrebări preliminare adresate de o instanță națională este posibil numai atunci când este evident că interpretarea solicitată a unei norme a dreptului Uniunii nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică ori atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările care i‑au fost adresate [a se vedea în acest sens Hotărârea din 16 februarie 2023, Rzecznik Praw Dziecka ș.a. (Suspendarea deciziei de returnare), C‑638/22 PPU, EU:C:2023:103, punctul 48, precum și Hotărârea din 24 iulie 2023, Lin, C‑107/23 PPU, EU:C:2023:606, punctul 62].
78 În speță, instanța de trimitere ridică problema soluției care trebuie dată cererilor Inspectoratului de a fi autorizat să acceadă la datele referitoare la conturile bancare ale mai multor magistrați și ale membrilor familiilor lor. În special, această instanță urmărește să afle dacă dreptul Uniunii se opune ca un astfel de organ judiciar să o poată sesiza cu cereri de această natură în condițiile în care mandatele tuturor membrilor săi au expirat de mai mulți ani. Rezultă, așadar, că revine instanței menționate sarcina de a se pronunța in limine litis cu titlu incident cu privire la acest aspect înainte de a putea decide cu privire la soluționarea cererilor cu care este sesizată. În consecință, interpretarea solicitată a dreptului Uniunii răspunde unei nevoi obiective pentru decizia pe care trebuie să o ia instanța de trimitere (a se vedea în acest sens Hotărârea din 18 mai 2021, Asociația „Forumul Judecătorilor din România” ș.a., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 și C‑397/19, EU:C:2021:393, punctele 118 și 119).
79 În ceea ce privește considerațiile Inspectoratului prezentate la punctul 75 din prezenta hotărâre, referitoare în special la competențele de care dispune în contextul procedurilor principale și la lipsa unei încălcări structurale a cerințelor care decurg din articolul 19 alineatul (1) al doilea paragraf TUE, acestea țin, în realitate, de examinarea pe fond a primei întrebări și, prin urmare, nu pot conduce la inadmisibilitatea sa.
80 Rezultă din ceea ce precedă că întrebarea preliminară este admisibilă.
Cu privire la fond
81 Orice stat membru trebuie, în temeiul articolului 19 alineatul (1) al doilea paragraf TUE, să se asigure că autoritățile care, în calitate de „instanță” în sensul dreptului Uniunii, sunt chemate să se pronunțe cu privire la chestiuni legate de aplicarea sau de interpretarea acestui drept și care fac parte astfel din sistemul său de căi de atac în domeniile reglementate de dreptul Uniunii îndeplinesc cerințele unei protecții jurisdicționale efective, printre care cea de independență (Hotărârea din 11 iulie 2024, Hann‑Invest ș.a., C‑554/21, C‑622/21 și C‑727/21, EU:C:2024:594, punctul 47, precum și jurisprudența citată).
82 Existența însăși a unui control jurisdicțional efectiv destinat să asigure respectarea dreptului Uniunii este inerentă unui stat de drept. În acest temei și astfel cum prevede articolul 19 alineatul (1) al doilea paragraf TUE, revine statelor membre sarcina să prevadă un sistem de căi de atac și de proceduri care să le asigure justițiabililor respectarea dreptului lor la protecție jurisdicțională efectivă în domeniile reglementate de dreptul Uniunii. Principiul protecției jurisdicționale efective a drepturilor conferite justițiabililor de dreptul Uniunii, la care se referă articolul 19 alineatul (1) al doilea paragraf TUE, constituie un principiu general al dreptului Uniunii care decurge din tradițiile constituționale comune ale statelor membre, care a fost consacrat la articolele 6 și 13 din Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale, semnată la Roma la 4 noiembrie 1950, și care în prezent este afirmat la articolul 47 din cartă (Hotărârea din 21 decembrie 2021, Euro Box Promotion ș.a., C‑357/19, C‑379/19, C‑547/19, C‑811/19 și C‑840/19, EU:C:2021:1034, punctul 219, precum și jurisprudența citată).
83 În acest scop, menținerea independenței instanțelor care pot fi chemate să statueze cu privire la chestiuni legate de aplicarea sau de interpretarea dreptului Uniunii este primordială, astfel cum se confirmă la articolul 47 al doilea paragraf din cartă, care menționează accesul la o instanță judecătorească „independentă” printre cerințele legate de dreptul fundamental la o cale de atac efectivă (Hotărârea din 18 mai 2021, Asociația „Forumul Judecătorilor din România” ș.a., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 și C‑397/19, EU:C:2021:393, punctul 194, precum și jurisprudența citată).
84 Această cerință de independență a instanțelor, care este inerentă activității de judecată, ține de conținutul esențial al dreptului la protecție jurisdicțională efectivă și al dreptului fundamental la un proces echitabil, acesta din urmă având o importanță esențială în calitate de garant al protecției ansamblului drepturilor conferite justițiabililor de dreptul Uniunii și al prezervării valorilor comune ale statelor membre prevăzute la articolul 2 TUE, în special a valorii statului de drept. Conform principiului separării puterilor ce caracterizează funcționarea unui stat de drept, trebuie în special să fie garantată independența instanțelor față de puterile legislativă și executivă (Hotărârea din 18 mai 2021, Asociația „Forumul Judecătorilor din România” ș.a., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 și C‑397/19, EU:C:2021:393, punctul 195, precum și jurisprudența citată).
85 Potrivit unei jurisprudențe constante, garanțiile de independență și de imparțialitate impuse în temeiul dreptului Uniunii postulează existența unor norme care să permită înlăturarea oricărei îndoieli legitime, în percepția justițiabililor, referitoare la impenetrabilitatea instanței în cauză în privința unor elemente exterioare și la neutralitatea sa în raport cu interesele care se înfruntă [Hotărârea din 20 aprilie 2021, Repubblika, C‑896/19, EU:C:2021:311, punctul 53 și jurisprudența citată, precum și Hotărârea din 18 mai 2021, Asociația „Forumul Judecătorilor din România” ș.a., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 și C‑397/19, EU:C:2021:393, punctul 196).
86 Referitor, mai precis, la normele care guvernează regimul disciplinar al judecătorilor, cerința de independență care decurge din articolul 19 alineatul (1) al doilea paragraf TUE impune ca acest regim să prezinte garanțiile necesare pentru a evita orice risc de utilizare a unui astfel de regim ca sistem de control politic al conținutului deciziilor judiciare. În această privință, adoptarea unor norme care definesc printre altele atât comportamentele ce constituie abateri disciplinare, cât și sancțiunile aplicabile în mod concret, care prevăd intervenția unei autorități independente în conformitate cu o procedură care garantează pe deplin drepturile consacrate la articolele 47 și 48 din cartă, în special dreptul la apărare, și care consacră posibilitatea de a contesta în justiție deciziile organelor disciplinare constituie un ansamblu de garanții esențiale pentru prezervarea independenței puterii judecătorești (Hotărârea din 18 mai 2021, Asociația „Forumul Judecătorilor din România” ș.a., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 și C‑397/19, EU:C:2021:393, punctul 198, și jurisprudența citată, precum și Hotărârea din 11 mai 2023, Inspecția Judiciară, C‑817/21, EU:C:2023:391, punctul 48 și jurisprudența citată).
87 Întrucât perspectiva inițierii unei cercetări disciplinare este în sine susceptibilă să exercite o presiune asupra celor care au sarcina de a judeca, Curtea a statuat deja că este esențial ca organul competent să efectueze cercetările și să exercite acțiunea disciplinară să acționeze în cadrul exercitării misiunilor sale în mod obiectiv și imparțial și, în acest scop, să fie la adăpost de orice influență exterioară (Hotărârea din 18 mai 2021, Asociația „Forumul Judecătorilor din România” ș.a., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 și C‑397/19, EU:C:2021:393, punctul 199, precum și Hotărârea din 11 mai 2023, Inspecția Judiciară, C‑817/19, EU:C:2021:391, punctul 49). Acest lucru este valabil în special în cazul unui organ judiciar care, precum Inspectoratul, dispune de o largă putere de a controla activitatea magistraților în exercitarea funcției lor, integritatea lor și lipsa conflictelor de interese în privința acestora, precum și de a propune, în urma unor astfel de controale, unui alt organ judiciar deschiderea unei proceduri disciplinare în vederea impunerii unor sancțiuni disciplinare în privința lor.
88 Astfel, este important ca toate normele care reglementează organizarea și funcționarea unui asemenea organ, inclusiv cele care guvernează procedura de numire a membrilor săi, să fie concepute astfel încât să nu poată da naștere niciunei îndoieli legitime, în percepția justițiabililor, cu privire la utilizarea prerogativelor și a funcțiilor unui asemenea organ ca instrument de presiune asupra activității judiciare sau de control politic al acestei activități (a se vedea în acest sens Hotărârea din 11 mai 2023, Inspecția Judiciară, C‑817/21, EU:C:2023:391, punctele 50 și 51, precum și jurisprudența citată).
89 Astfel, aceste norme sunt, în general, susceptibile să afecteze în mod direct practica organului menționat și, prin urmare, să prevină sau, dimpotrivă, să favorizeze exercitarea unor acțiuni disciplinare având ca obiect sau ca efect exercitarea unei presiuni în special asupra celor care au sarcina de a judeca sau asigurarea unui control politic al activității lor (a se vedea în acest sens Hotărârea din 11 mai 2023, Inspecția Judiciară, C‑817/21, EU:C:2023:391, punctul 52).
90 Revine instanței de trimitere sarcina de a se pronunța, în cele din urmă, cu privire la impenetrabilitatea organului în discuție în litigiile principale în privința oricărei influențe exterioare, precum și cu privire la obiectivitatea și imparțialitatea sa în raport cu exercitarea misiunilor sale, după ce a efectuat aprecierile necesare în acest scop. Astfel, trebuie să se amintească faptul că articolul 267 TFUE nu abilitează Curtea să aplice normele dreptului Uniunii la o speță determinată, ci numai să se pronunțe cu privire la interpretarea tratatelor și a actelor adoptate de instituțiile Uniunii. Cu toate acestea, conform unei jurisprudențe constante, în cadrul cooperării judiciare create prin acest articol 267 TFUE, Curtea, plecând de la elementele dosarului, poate furniza instanței naționale elementele de interpretare a dreptului Uniunii care ar putea să îi fie utile în aprecierea efectelor uneia sau ale alteia dintre dispozițiile acestuia (a se vedea în acest sens Hotărârea din 11 mai 2023, Inspecția Judiciară, C‑817/21, EU:C:2023:391, punctul 58).
91 În speță, Inspectoratul este format dintr‑un inspector‑șef și zece inspectori care sunt aleși de Adunarea Națională cu o majoritate de două treimi din membrii săi pentru un mandat de cinci ani și, respectiv, de patru ani. În conformitate cu legislația națională aplicabilă la data introducerii prezentelor cereri de decizie preliminară, membrii Inspectoratului nu puteau fi realeși pentru un al doilea mandat consecutiv.
92 În ceea ce privește situația în discuție în litigiile principale, în care mandatele membrilor Inspectoratului au expirat fără ca Adunarea Națională să fi procedat la alegerea noilor săi membri, reglementarea națională nu pare să cuprindă nicio normă cu privire la o posibilă continuare a exercitării funcțiilor lor de către membrii Inspectoratului al căror mandat a expirat. Desigur, potrivit indicațiilor instanței de trimitere, într‑o astfel de situație, membrii Inspectoratului continuă, în conformitate cu jurisprudența Konstitutsionen sad (Curtea Constituțională), să își exercite funcțiile până la alegerea de către Adunarea Națională a unor noi membri. Cu toate acestea, pe lângă faptul că dreptul bulgar nu conține norme de natură să reglementeze exercitarea astfel prelungită a acestor funcții, el nu conține niciun dispozitiv legal care să permită să se pună capăt unui eventual blocaj în procesul de numire a noilor membri ai Inspectoratului, astfel încât prelungirea mandatelor foștilor săi membri apare, în practică, ca fiind susceptibilă să se prelungească fără limitare în timp.
93 Or, pe de o parte, deși revine exclusiv statelor membre sarcina de a decide dacă autorizează sau nu exercitarea funcțiilor membrilor unui organ judiciar care este competent să controleze activitatea magistraților și să propună inițierea unor proceduri disciplinare în privința lor, dincolo de durata legală a mandatelor acestor membri, pentru a asigura continuitatea funcționării acestui organ, statele membre sunt obligate, atunci când optează pentru o astfel de prelungire a mandatelor, să se asigure că exercitarea funcțiilor după expirarea mandatului are la bază un temei juridic explicit în dreptul intern care cuprinde norme clare și precise de natură să încadreze această exercitare.
94 În plus, statele membre trebuie să se asigure că modalitățile și condițiile cărora le este supusă o astfel de exercitare sunt concepute astfel încât să permită membrilor în cauză ai unui asemenea organ judiciar să acționeze, în îndeplinirea misiunilor lor, în mod obiectiv și imparțial și să fie, în acest scop, la adăpost de orice influență exterioară, astfel cum impune jurisprudența citată la punctele 87 și 88 din prezenta hotărâre.
95 Pe de altă parte, astfel cum a arătat în esență domnul avocat general la punctul 58 din concluzii, deși, în anumite împrejurări, prelungirea mandatelor se poate dovedi necesară având în vedere importanța funcțiilor exercitate de organul judiciar în cauză, nu este mai puțin adevărat că, dincolo de durata legală a acestor mandate, organul menționat acționează în afara oricărui temei juridic explicit în dreptul intern care să cuprindă norme clare și precise de natură să încadreze exercitarea acestor funcții. Prin urmare, prelungirea menționată poate fi avută în vedere numai cu titlu excepțional și cu condiția să fie încadrată de norme clare și precise care să excludă în practică posibilitatea ca aceasta să fie nelimitată în timp.
96 Cu toate acestea, atunci când un stat membru efectuează o astfel de încadrare, el nu își poate modifica legislația și nici Constituția astfel încât să determine un regres al protecției valorii statului de drept, valoare care este concretizată printre altele prin articolul 19 TUE, în special în ceea ce privește garanțiile de independență a judecătorilor față de puterile legislativă și executivă (a se vedea în acest sens Hotărârea din 20 aprilie 2021, Repubblika, C‑896/19, EU:C:2021:311, punctele 63 și 65).
97 Având în vedere considerațiile care precedă, trebuie să se răspundă la prima întrebare că articolul 19 alineatul (1) al doilea paragraf TUE, citit în lumina articolului 47 din cartă, trebuie interpretat în sensul că principiul independenței judecătorilor se opune practicii unui stat membru potrivit căreia membrii unui organ judiciar al acestui stat membru, aleși de parlamentul acestuia pentru mandate cu o durată determinată și care sunt competenți să controleze activitatea magistraților în exercitarea funcției lor, integritatea lor și lipsa conflictelor de interese în privința acestora, precum și să propună unui alt organ judiciar deschiderea unei proceduri disciplinare în vederea impunerii de sancțiuni disciplinare în privința lor continuă să își exercite atribuțiile, dincolo de durata legală a mandatului lor, stabilită de Constituția statului membru respectiv, până când acest parlament alege noi membri, fără ca prelungirea mandatelor scadente să aibă la bază un temei juridic explicit în dreptul național care să cuprindă norme clare și precise de natură să încadreze exercitarea acestor funcții și fără a se asigura că această prelungire este, în practică, limitată în timp.
Cu privire la a doua întrebare
98 Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 2 din RGPD trebuie interpretat în sensul că divulgarea către un organ judiciar a unor date cu caracter personal care sunt protejate de secretul bancar și care privesc magistrați, precum și pe membrii familiilor lor, în vederea verificării declarațiilor acestor magistrați referitoare la averea lor, precum și la cea a membrilor familiilor lor, aceste declarații făcând obiectul unei publicări, constituie o prelucrare de date cu caracter personal care intră în domeniul de aplicare material al acestui regulament.
99 Potrivit unei jurisprudențe constante, articolul 2 alineatul (1) din RGPD dă o definiție foarte largă a domeniului de aplicare material al acestuia. Sub rezerva cazurilor menționate la articolul 2 alineatele (2) și (3) din RGPD, acesta se aplică prelucrărilor efectuate atât de persoane private, cât și de autoritățile publice, inclusiv, astfel cum se arată în considerentul (20) al acestuia, de către autoritățile judiciare (a se vedea în acest sens Hotărârea din 24 martie 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, punctul 25, precum și Hotărârea din 16 ianuarie 2024, Österreichische Datenschutzbehörde, C‑33/22, EU:C:2024:46, punctele 33 și 36).
100 În plus, Curtea a statuat deja că nici faptul că informații care fac obiectul unor dispoziții naționale au legătură cu judecători, nici împrejurarea că aceste informații ar fi eventual susceptibile să prezinte anumite legături cu exercitarea funcțiilor acestora nu sunt, ca atare, de natură să excludă aceste dispoziții naționale din domeniul de aplicare al RGPD [Hotărârea din 5 iunie 2023, Comisia/Polonia (Independența și viața privată a judecătorilor), C‑204/21, EU:C:2023:442, punctul 315].
101 Astfel, articolul 2 din RGPD stabilește la alineatele (2) și (3) în mod exhaustiv excepțiile de la norma care definește domeniul de aplicare material al acestui regulament enunțată la alineatul (1), iar aceste excepții, în special cele prevăzute la alineatul (2), trebuie să primească o interpretare strictă [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 62, Hotărârea din 5 iunie 2023, Comisia/Polonia (Independența și viața privată a judecătorilor), C‑204/21, EU:C:2023:442, punctul 316, precum și Hotărârea din 16 ianuarie 2024, Österreichische Datenschutzbehörde, C‑33/22, EU:C:2024:46, punctul 37].
102 Articolul 2 alineatul (2) litera (a) din RGPD, care este vizat în mod specific de a doua întrebare preliminară, prevede că acest regulament nu se aplică prelucrării datelor cu caracter personal „în cadrul unei activități care nu intră sub incidența dreptului Uniunii”.
103 Conform jurisprudenței constante, această dispoziție, interpretată în lumina considerentului (16) al RGPD, are ca unic obiect excluderea din domeniul de aplicare al acestuia a prelucrărilor de date cu caracter personal efectuate de autoritățile de stat în cadrul unei activități care urmărește apărarea securității naționale sau al unei activități care poate fi încadrată în aceeași categorie, precizându‑se că activitățile care au ca scop apărarea securității naționale le acoperă în special pe cele care au ca obiect protejarea funcțiilor esențiale ale statului și a intereselor fundamentale ale societății. Astfel, simplul fapt că o activitate este proprie statului sau unei autorități publice nu este suficient pentru ca această excepție să fie automat aplicabilă unei asemenea activități [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctele 66 și 67, Hotărârea din 8 decembrie 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Scopurile prelucrării datelor cu caracter personal – Anchetă penală), C‑180/21, EU:C:2022:967, punctul 79, precum și Hotărârea din 5 iunie 2023, Comisia/Polonia (Independența și viața privată a judecătorilor), C‑204/21, EU:C:2023:442, punctele 317 și 318].
104 Or, deși asigurarea bunei administrări a justiției în statele membre și în special adoptarea unor norme aplicabile statutului magistraților, în special al judecătorilor, și exercitării funcțiilor lor intră în competența acestor state [a se vedea în acest sens Hotărârea din 5 iunie 2023, Comisia/Polonia (Independența și viața privată a judecătorilor), C‑204/21, EU:C:2023:442, punctul 319], nu este mai puțin adevărat că o prelucrare de date precum cea în discuție în litigiile principale, care are ca obiectiv controlul integrității magistraților, precum și verificarea existenței unor eventuale conflicte de interese în privința lor, nu ține nici de o activitate care urmărește să protejeze securitatea națională, nici de o activitate care poate fi încadrată în aceeași categorie.
105 Pe de altă parte, trebuie să se observe că divulgarea către un organ judiciar a unor date cu caracter personal care sunt protejate de secretul bancar și care privesc magistrați, precum și membrii familiilor lor, în vederea verificării declarațiilor referitoare la averea lor, precum și la cea a membrilor familiilor lor, aceste declarații făcând obiectul unei publicări, constituie o „prelucrare” în sensul articolului 4 punctul 2 din RGPD. Astfel, o asemenea divulgare constituie o punere la dispoziție a acestor date cu caracter personal în favoarea acestui organ.
106 Prin urmare, trebuie să se răspundă la a doua întrebare preliminară că articolul 2 din RGPD trebuie interpretat în sensul că divulgarea către un organ judiciar a unor date cu caracter personal care sunt protejate de secretul bancar și care privesc magistrați, precum și pe membrii familiilor lor, în vederea verificării declarațiilor acestor magistrați referitoare la averea lor, precum și la cea a membrilor familiei lor, aceste declarații făcând obiectul unei publicări, constituie o prelucrare de date cu caracter personal care intră în domeniul de aplicare material al acestui regulament.
Cu privire la a treia întrebare
107 Prin intermediul celei de a treia întrebări, instanța de trimitere solicită să se stabilească dacă articolul 4 punctul 7 din RGPD trebuie interpretat în sensul că poate fi calificată drept operator în sensul acestei dispoziții o instanță competentă să autorizeze, la cererea unui alt organ judiciar, divulgarea de către o bancă acestui organ a unor date referitoare la conturile bancare ale magistraților, precum și ale membrilor familiilor lor.
108 În temeiul articolului 4 punctul 7 din RGPD, noțiunea de „operator” include persoanele fizice sau juridice, autoritățile publice, agențiile sau alte organisme care, singure sau împreună cu altele, stabilesc scopurile și mijloacele prelucrării. Această dispoziție prevede de asemenea că, atunci când scopurile și mijloacele unei astfel de prelucrări sunt stabilite în special prin legislația unui stat membru, operatorul sau criteriile specifice aplicabile pentru desemnarea acestuia pot fi prevăzute în acest drept.
109 Conform jurisprudenței constante a Curții, dispoziția menționată urmărește să asigure, printr‑o definiție largă a noțiunii de „operator”, în conformitate cu obiectivul RGPD, o protecție eficientă și completă a drepturilor și libertăților fundamentale ale persoanelor fizice, precum și în special un nivel ridicat de protecție a dreptului oricărei persoane la protecția datelor cu caracter personal care o privesc (a se vedea în acest sens Hotărârea din 5 decembrie 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punctele 28 și 29, precum și Hotărârea din 7 martie 2024, IAB Europe, C‑604/22, EU:C:2024:214, punctele 53-55 și jurisprudența citată).
110 Pentru a stabili dacă o persoană sau o entitate trebuie calificată drept operator, în sensul articolului 4 punctul 7 din RGPD, trebuie, așadar, să se verifice dacă această persoană sau această entitate stabilește, singură sau împreună cu altele, scopurile și mijloacele prelucrării sau dacă acestea sunt stabilite de dreptul intern. Atunci când o asemenea stabilire se face prin dreptul intern, trebuie să se verifice dacă acest drept desemnează operatorul sau prevede criteriile specifice pentru desemnarea acestuia (Hotărârea din 27 februarie 2025, Amt der Tiroler Landesregierung, C‑638/23, EU:C:2025:127, punctul 27).
111 Mai trebuie precizat că, având în vedere definiția largă a noțiunii de „operator” în sensul articolului 4 punctul 7 din RGPD, stabilirea scopurilor și a mijloacelor prelucrării și, dacă este cazul, desemnarea acestui operator prin dreptul intern pot fi nu doar explicite, ci și implicite. În acest din urmă caz, este totuși necesar ca această stabilire a scopurilor și a mijloacelor prelucrării să rezulte în mod suficient de cert din rolul, din misiunea și din atribuțiile conferite persoanei sau entității în cauză (Hotărârea din 27 februarie 2025, Amt der Tiroler Landesregierung, C‑638/23, EU:C:2025:127, punctul 28).
112 Astfel, protecția persoanelor în cauză s‑ar diminua dacă articolul 4 punctul 7 din RGPD ar fi interpretat în mod restrictiv pentru a include numai cazurile în care scopurile și mijloacele unei prelucrări de date efectuate de o persoană, de o autoritate publică, de o agenție sau de un organism sunt stabilite în mod expres prin dreptul intern, chiar dacă aceste scopuri și mijloace ar reieși în esență din dispozițiile legale care reglementează activitatea entității vizate [Hotărârea din 11 ianuarie 2024, État belge (Date prelucrate de un jurnal oficial), C‑231/22, EU:C:2024:7, punctul 30].
113 În speță, instanța de trimitere ridică problema dacă trebuie considerată ca fiind operator al prelucrării în discuție în litigiile principale, și anume al divulgării către Inspectorat a datelor cu caracter personal care sunt acoperite de secretul bancar, ca urmare a faptului că este însărcinată în mod legal să autorizeze o astfel de divulgare.
114 În această privință, în temeiul reglementării naționale aplicabile în cauzele principale, Inspectoratul este competent să efectueze printre altele controale privind integritatea și lipsa conflictelor de interese în privința magistraților, precum și declarațiile lor de avere. În acest scop, reglementarea menționată oferă Inspectoratului posibilitatea de a solicita accesul la datele referitoare la conturile bancare ale magistraților, precum și ale membrilor familiilor lor. În ipoteza în care persoanele vizate nu și‑au dat consimțământul la un astfel de acces, acest organ judiciar dispune, în temeiul reglementării menționate, de competența de a solicita o autorizație jurisdicțională prealabilă în scopul accesului la datele menționate.
115 Rezultă, așadar, că reglementarea națională aplicabilă în cauzele principale este cea care stabilește cercul de persoane și datele care pot face obiectul prelucrării, stabilește scopurile acestei prelucrări și desemnează organul competent, și anume Inspectoratul, în vederea realizării acestor scopuri. Instanța sesizată cu o cerere de autorizare a divulgării nu intervine decât la cererea Inspectoratului în scopul exercitării competențelor pe care i le conferă dreptul național și se limitează să verifice dacă sunt îndeplinite condițiile de legalitate stabilite de acest drept. De asemenea, nu această instanță, ci Inspectoratul este cel care stabilește, în funcție de normele naționale aplicabile, persoanele la ale căror date intenționează să acceadă în scopul exercitării acestor competențe și în raport cu care introduce o cerere de autorizare la instanța menționată.
116 Astfel, deși revine acestei instanțe sarcina de a examina dacă și în ce măsură condițiile de legalitate a prelucrării sunt îndeplinite într‑un anumit caz, ea nu stabilește din proprie inițiativă nici scopul prelucrării, nici persoanele și datele vizate. În aceste condiții, nu instanța menționată este operatorul, în sensul articolului 4 punctul 7 din RGPD, ci organul competent pentru realizarea scopurilor urmărite.
117 Având în vedere considerațiile care precedă, este necesar să se răspundă la a treia întrebare că articolul 4 punctul 7 din RGPD trebuie interpretat în sensul că nu poate fi calificată drept operator în sensul acestei dispoziții o instanță competentă să autorizeze, la cererea unui alt organ judiciar, divulgarea de către o bancă acestui organ a unor date referitoare la conturile bancare ale magistraților, precum și ale membrilor familiilor lor.
Cu privire la a patra întrebare
118 Prin intermediul celei de a patra întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 51 din RGPD trebuie interpretat în sensul că o instanță competentă să autorizeze divulgarea de date cu caracter personal unui alt organ judiciar constituie o autoritate de supraveghere, în sensul acestui articol.
119 Articolul 51 alineatul (1) din RGPD impune statelor membre să se asigure că una sau mai multe autorități publice independente sunt responsabile de monitorizarea aplicării acestui regulament. Instituirea unor astfel de autorități, care este de asemenea prevăzută de dreptul primar al Uniunii, și anume articolul 8 alineatul (3) din cartă și articolul 16 alineatul (2) TFUE, constituie un element esențial al respectării protecției persoanelor în ceea ce privește prelucrarea datelor cu caracter personal [a se vedea în acest sens Hotărârea din 8 aprilie 2014, Comisia/Ungaria, C‑288/12, EU:C:2014:237, punctul 48, și Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 229].
120 Respectivele autorități au ca sarcină principală, în temeiul articolului 51 alineatele (1) și (2), precum și al articolului 57 alineatul (1) literele (a) și (g) din RGPD, monitorizarea aplicării acestui regulament și asigurarea respectării sale, contribuind în același timp la aplicarea sa coerentă în Uniune, în scopul de a proteja drepturile și libertățile fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal și de a facilita libera circulație a unor astfel de date în cadrul Uniunii. În acest scop, ele dispun de diferitele competențe care le sunt conferite în temeiul articolului 58 din RGPD [a se vedea în acest sens Hotărârea din 4 iulie 2023, Meta Platforms ș.a. (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctul 45].
121 Statele membre sunt obligate, în conformitate cu articolul 51 alineatul (4) din RGPD, să notifice Comisiei dispozițiile legale, precum și modificările ulterioare pe care le adoptă în temeiul capitolului VI din acest regulament, în special cele referitoare la autoritatea sau autoritățile de supraveghere cărora le‑au încredințat sarcina de a controla aplicarea regulamentului menționat.
122 În speță, nu reiese din niciun element din dosarul de care dispune Curtea că instanța de trimitere ar fi însărcinată de dreptul bulgar cu monitorizarea aplicării RGPD și că în special aceasta ar deține competențele de care trebuie să dispună o autoritate de supraveghere în temeiul articolului 58 din acest regulament.
123 Prin urmare, trebuie să se răspundă la a patra întrebare că articolul 51 din RGPD trebuie interpretat în sensul că o instanță competentă să autorizeze divulgarea de date cu caracter personal unui alt organ judiciar nu constituie o autoritate de supraveghere, în sensul acestui articol, în cazul în care această instanță nu este însărcinată de statul membru de care aparține să monitorizeze aplicarea acestui regulament pentru a proteja în special drepturile și libertățile fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal.
Cu privire la a cincea întrebare
124 A cincea întrebare este adresată numai în ipoteza în care Curtea ar răspunde afirmativ la a treia sau la a patra întrebare. Or, astfel cum s‑a concluzionat la punctele 117 și 123 din prezenta hotărâre, a treia și a patra întrebare necesită un răspuns negativ.
125 Prin urmare, nu este necesar să se răspundă la a cincea întrebare preliminară.
Cu privire la a șasea întrebare
126 Prin intermediul celei de a șasea întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 79 alineatul (1) din RGPD, citit în lumina articolului 47 din cartă, trebuie interpretat în sensul că o instanță competentă să autorizeze divulgarea de date cu caracter personal unui alt organ judiciar este obligată, fără a fi sesizată cu o cale de atac în temeiul acestei dispoziții, să asigure din oficiu protecția persoanelor ale căror date sunt vizate în ceea ce privește respectarea dispozițiilor acestui regulament referitoare la securitatea datelor cu caracter personal, atunci când este de notorietate că acest organ a săvârșit, în trecut, o încălcare a acestor din urmă dispoziții.
127 În această privință, instanța de trimitere precizează că această întrebare este adresată în măsura în care procedura inițiată în fața sa se desfășoară fără participarea persoanelor ale căror date cu caracter personal sunt vizate, iar autorizarea jurisdicțională a divulgării acestor date către Inspectorat are vocația de a se substitui consimțământului acestor persoane fără a fi supusă unei căi de atac. Această instanță consideră că, în cazul în care s‑ar limita la o examinare pur formală a cererii de autorizare formulate de Inspectorat, fără a se asigura că acest organ garantează securitatea datelor persoanelor vizate, protecția jurisdicțională a persoanelor menționate, prevăzută la articolul 79 din RGPD, ar fi lipsită de efectul său util. În aceste condiții, instanța de trimitere ridică problema dacă este obligată să asigure din oficiu respectarea de către Inspectorat a normelor în materie de securitate a datelor, impunând acestuia să îi furnizeze informații cu privire la măsurile de securitate adoptate în temeiul articolului 33 alineatul (3) litera (d) din acest regulament.
128 În această privință, trebuie amintit că RGPD instituie un ansamblu de norme materiale și procedurale referitoare la securitatea datelor care trebuie respectate de operator, prevăzând în același timp, în capitolul VIII, căile de atac care urmăresc să protejeze drepturile persoanelor ale căror date cu caracter personal au făcut obiectul unei prelucrări pretins contrare dispozițiilor regulamentului menționat și care pot fi exercitate în mod concurent și independent de aceste persoane (a se vedea în acest sens Hotărârea din 12 ianuarie 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punctul 35).
129 Din moment ce nivelul protecției vizate de RGPD depinde de măsurile de securitate adoptate de operatori, aceștia trebuie să fie încurajați, prin faptul că suportă sarcina de a demonstra caracterul adecvat al acestor măsuri, să facă tot posibilul pentru a preveni apariția unor operațiuni de prelucrare neconforme cu acest regulament (Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punctul 55).
130 Monitorizarea respectării cerințelor de securitate impuse de RGPD revine, pe de o parte, autorităților de supraveghere și, pe de altă parte, instanțelor naționale sesizate cu o cale de atac în temeiul articolului 78 alineatul (1) sau al articolului 79 alineatul (1) din RGPD.
131 În ceea ce privește autoritățile de supraveghere, acestea au ca sarcină principală, astfel cum s‑a amintit la punctul 120 din prezenta hotărâre, monitorizarea aplicării RGPD și asigurarea respectării sale. În special, acestea trebuie să fie informate, în temeiul articolului 33 din acest regulament, cu privire la încălcarea securității datelor cu caracter personal de către operatori.
132 În plus, articolul 58 alineatele (1) și (2) din RGPD învestește autoritățile menționate cu importante competențe de investigare, precum și cu competența de a adopta diverse măsuri corective. Trebuie precizat, în această privință, că ele sunt obligate să intervină atunci când adoptarea uneia sau a mai multe dintre măsurile corective prevăzute la articolul 58 alineatul (2) din acest regulament este, ținând seama de toate împrejurările cazului concret, adecvată, necesară și proporțională pentru a remedia insuficiența constatată și pentru a garanta deplina respectare a regulamentului menționat [Hotărârea din 26 septembrie 2024, Land Hessen (Obligația de a acționa a autorității pentru protecția datelor), C‑768/21, EU:C:2024:785, punctul 42].
133 În plus, este de o importanță deosebită ca autoritățile de supraveghere să dispună de competențe efective pentru a acționa în mod eficace împotriva încălcărilor RGPD și în special pentru a pune capăt acestora, inclusiv în cazurile în care persoanele vizate nu sunt informate cu privire la prelucrarea datelor lor cu caracter personal, nu au cunoștință de aceasta sau, în orice caz, nu au depus o plângere în temeiul articolului 77 alineatul (1) din acest regulament (a se vedea în acest sens Hotărârea din 14 martie 2024, Újpesti Polgármesteri Hivatal, C‑46/23, EU:C:2024:239, punctul 41).
134 Aceste autorități trebuie, la fel ca instanțele naționale sesizate cu o cale de atac în temeiul articolului 78 alineatul (1) sau al articolului 79 alineatul (1) din RGPD, să se asigure că măsurile tehnice și organizatorice reținute de operator sunt adecvate pentru a garanta un nivel de securitate corespunzător riscului, astfel cum impune articolul 32 alineatul (1) din acest regulament, examinând în același timp aceste măsuri în mod concret pe fond, în raport cu toate criteriile menționate la articolul menționat, precum și cu circumstanțele proprii speței și cu elementele de probă de care dispun aceste autorități sau aceste instanțe în această privință (a se vedea în acest sens Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punctele 43 și 45, precum și Hotărârea din 28 noiembrie 2024, Másdi, C‑169/23/23, EU:C:2024:988, punctul 71).
135 În schimb, instanțele naționale care nu sunt sesizate cu o cale de atac în temeiul articolului 78 alineatul (1) sau al articolului 79 alineatul (1) din RGPD nu sunt obligate, în lipsa unor norme care să le confere în mod explicit competențe de supraveghere, să asigure respectarea dispozițiilor materiale ale acestui regulament pentru a asigura efectul lor util.
136 Întrucât instanța de trimitere ridică în special problema efectivității căii de atac jurisdicționale prevăzute la articolul 79 alineatul (1) din RGPD, pentru a‑i da un răspuns util, mai trebuie subliniat că statele membre trebuie să se asigure că modalitățile concrete de exercitare a căilor de atac prevăzute la articolul 77 alineatul (1), la articolul 78 alineatul (1) și la articolul 79 alineatul (1) din acest regulament îndeplinesc efectiv cerințele care decurg din dreptul la o cale de atac efectivă consacrat la articolul 47 din cartă (se vedea în acest sens Hotărârea din 12 ianuarie 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punctul 51).
137 În acest scop, este necesar ca operatorul, și anume organul judiciar competent căruia i s‑a acordat accesul la datele cu caracter personal, să furnizeze persoanelor ale căror date sunt vizate informațiile enumerate la articolul 14 alineatele (1) și (2) din RGPD, potrivit modalităților prevăzute la articolul 12 alineatul (1) și la articolul 14 alineatul (3) din acest regulament, aceste informații fiind necesare pentru a permite persoanelor menționate să își exercite, eventual, dreptul conferit de respectivul regulament, în special dreptul de a se opune prelucrării datelor lor cu caracter personal, prevăzut la articolul 21 din RGDP, precum și dreptul lor la o cale de atac în cazul în care suferă un prejudiciu, prevăzut la articolele 79 și 82 din acest regulament (a se vedea prin analogie Hotărârea din 22 iunie 2023, Pankki S, C‑579/21, EU:C:2023:501, punctul 58 și jurisprudența citată).
138 Având în vedere considerațiile care precedă, trebuie să se răspundă la a șasea întrebare că articolul 79 alineatul (1) din RGPD, citit în lumina articolului 47 din cartă, trebuie interpretat în sensul că o instanță competentă să autorizeze divulgarea de date cu caracter personal unui alt organ judiciar nu este obligată, atunci când nu este sesizată cu o cale de atac în temeiul acestei dispoziții, să asigure din oficiu protecția persoanelor ale căror date sunt vizate în ceea ce privește respectarea dispozițiilor acestui regulament referitoare la securitatea datelor cu caracter personal, inclusiv în cazul în care este de notorietate că acest organ a săvârșit, în trecut, o încălcare a acestor din urmă dispoziții.
Cu privire la cheltuielile de judecată
139 Întrucât, în privința părților din litigiile principale, procedura are caracterul unui incident survenit la instanțele de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.
Pentru aceste motive, Curtea (Camera întâi) declară:
1) Articolul 19 alineatul (1) al doilea paragraf TUE coroborat cu articolul 47 din Carta drepturilor fundamentale a Uniunii Europene
trebuie interpretat în sensul că
principiul independenței judecătorilor se opune practicii unui stat membru potrivit căreia membrii unui organ judiciar al acestui stat membru, aleși de parlamentul acestuia pentru mandate cu o durată determinată și care sunt competenți să controleze activitatea magistraților în exercitarea funcției lor, integritatea lor și lipsa conflictelor de interese în privința acestora, precum și să propună unui alt organ judiciar deschiderea unei proceduri disciplinare în vederea impunerii de sancțiuni disciplinare în privința lor continuă să își exercite atribuțiile, dincolo de durata legală a mandatului lor, stabilită de Constituția statului membru respectiv, până când acest parlament alege noi membri, fără ca prelungirea mandatelor expirate să aibă la bază un temei juridic explicit în dreptul național care să cuprindă norme clare și precise de natură să încadreze exercitarea acestor funcții și fără a se asigura că această prelungire este, în practică, limitată în timp.
2) Articolul 2 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
trebuie interpretat în sensul că
divulgarea către un organ judiciar a unor date cu caracter personal care sunt protejate de secretul bancar și care privesc magistrați, precum și pe membrii familiilor lor, în vederea verificării declarațiilor acestor magistrați referitoare la averea lor, precum și la cea a membrilor familiei lor, aceste declarații făcând obiectul unei publicări, constituie o prelucrare de date cu caracter personal care intră în domeniul de aplicare material al acestui regulament.
3) Articolul 4 punctul 7 din Regulamentul 2016/679
trebuie interpretat în sensul că
nu poate fi calificată drept operator în sensul acestei dispoziții o instanță competentă să autorizeze, la cererea unui alt organ judiciar, divulgarea de către o bancă acestui organ a unor date referitoare la conturile bancare ale magistraților, precum și ale membrilor familiilor lor.
4) Articolul 51 din Regulamentul 2016/679
trebuie interpretat în sensul că
o instanță competentă să autorizeze divulgarea de date cu caracter personal unui alt organ judiciar nu constituie o autoritate de supraveghere, în sensul acestui articol, în cazul în care această instanță nu este însărcinată de statul membru de care aparține să monitorizeze aplicarea acestui regulament pentru a proteja în special drepturile și libertățile fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal.
5) Articolul 79 alineatul (1) din Regulamentul 2016/679 citit în lumina articolului 47 din Carta drepturilor fundamentale
trebuie interpretat în sensul că
o instanță competentă să autorizeze divulgarea de date cu caracter personal unui alt organ judiciar nu este obligată, atunci când nu este sesizată cu o cale de atac în temeiul acestei dispoziții, să asigure din oficiu protecția persoanelor ale căror date sunt vizate în ceea ce privește respectarea dispozițiilor acestui regulament referitoare la securitatea datelor cu caracter personal, inclusiv în cazul în care este de notorietate că acest organ a săvârșit, în trecut, o încălcare a acestor din urmă dispoziții.
No related posts.