Скандално решение на Съда на ЕС по дело C-484/24
Представете си следната ситуация: работодател подозира свой служител в измама, влиза тайно в личните му профили чрез служебния компютър, извлича историята на браузъра и намира неоспорими доказателства за злоупотреба. Но тъй като тези данни са събрани в пълно нарушение на GDPR, те могат ли да се използват в съда?
Отговорът за мен е категорично „не“, но на 18 юни 2026 г. обаче Съдът на Европейския съюз (СЕС) излезе с решение по дело C-484/24 (NTH Haustechnik GmbH), което пренаписа правилата на играта.
Всичко започва в Германия, където компания съди своя бивша служителка за обезщетение. Работодателят открива, че тя е продавала фирмено имущество през личния си профил в eBay. Начинът, по който фирмата се сдобива с доказателствата обаче, е меко казано спорен – чрез достъп до пароли, хронология на браузъра и дори манипулиране на SIM карта:
NTH, предприятие за отопление и климатизация, наема на работа EM, която е била омъжена за неговия управител.
На 31 октомври 2019 г. трудовото правоотношение между NTH и EM е прекратено. До 26 юни 2022 г. обаче, когато се разделя с управителя на NTH, EM има достъп до помещенията на NTH и продължава да използва намиращите се в тях компютри.
Непосредствено след тази раздяла NTH, действайки главно чрез служителя си F, който е син на ЕМ и управителя на предприятието, установява, че посредством платформата за онлайн продажби eBay EM е продала за своя сметка и на обща препродажна цена от 13 217,09 евро имущество, за което NTH твърди, че е негова собственост. Предвид покупната цена на това имущество и размера на административните разходи, направени поради необходимостта то да бъде заменено, общата сума на претърпяната от NTH вреда съответно възлизала на 46 567,91 евро.
EM отрича да е продала въпросното имущество без знанието на NTH. Всъщност ставало въпрос основно за върнати от клиенти дефектни или остарели вещи, които NTH не можело да използва и които следователно вече нямали стойност за него. NTH ги преотстъпило безвъзмездно на EM, която ги продала, за да покрие разходите на домакинството си с управителя на NTH.
Landesarbeitsgericht Niedersachsen (Областен трудов съд Долна Саксония, Германия), който е запитващата юрисдикция, посочва, че NTH е узнало за извършените от EM продажби, сдобивайки се с достъп до личния ѝ профил на платформата за онлайн продажби eBay. За целта служителят F. е използвал потребителското име и паролата на EM за тази платформа.
Що се отнася до това откъде този служител е имал въпросното потребителско име и въпросната парола, управителят на NTH твърди, че служителят F е узнал как EM е използвала платформата, от историята на браузъра на използвания от нея служебен компютър, а паролата ѝ – от създадената на сървъра му „семейна папка“. От своя страна EM твърди, че не е запазвала паролата си в пространството за съхранение на компютъра на NTH. За сметка на това тя поддържа, че управителят на NTH е бил декларирал, че е изгубил регистрирания на името на предприятието, но използван от нея мобилен телефон, за да поиска нова SIM карта (Subscriber Identity Module – модул за идентификация на абоната) от съответния телефонен оператор, което му позволило да използва телефонния номер за този телефон, за да промени паролата за личния ѝ профил в същата платформа и да получи достъп до същия.
Германският Областен трудов съд Долна Саксония се изправя пред дилема: да защити личните данни на служителката или да позволи на работодателя да докаже кражбата? Така казусът стига до СЕС в Люксембург:
„По изложените съображения Съдът (пети състав) реши:
1) Член 6, параграф 1, първа алинея, буква в) и параграф 3 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), във връзка с член 8, параграф 2 и член 52 от Хартата на основните права на Европейския съюз, трябва да се тълкува в смисъл, че допуска национална правна уредба, която, що се отнася до обработването на лични данни при извършваните от съдилищата преценка на фактите и събиране на доказателствата, просто предвижда, че страните следва да представят подробни и отговарящи на действителността факти, а съдилищата – да ги вземат изцяло под внимание, преди евентуално да ги преценяват, без да посочва обстоятелствата и условията, при които изнесените от страните факти и доказателства, съдържащи лични данни, могат да бъдат използвани от съдилищата, стига да съществува ясна, точна и с предвидимо прилагане национална съдебна практика, установяваща самата тя обстоятелствата и условията, при които изнесените от страните факти и доказателства, съдържащи лични данни, могат да бъдат използвани от съдилищата, и стига тази практика да е съобразена с цел от обществен интерес и да е пропорционална на нея.
2) Член 17, параграф 3, буква д) от Регламент 2016/679 трябва да се тълкува в смисъл, че не съдържа алтернативно условие за законосъобразност, на което би могло да отговаря дадено обработване, за да бъде в съответствие с член 5, параграф 1, буква а) от този регламент, и което да е различно от изброените в член 6, параграф 1, първа алинея от същия.
3) Член 5, параграф 1, буква в) от Регламент 2016/679 във връзка с член 52, параграф 1, второ изречение от Хартата на основните права трябва да се тълкува в смисъл, че стига да са изпълнени предвидените в член 5, параграф 1, буква в) от Регламент 2016/679 условия, принципът на „свеждане на данните до минимум“ не изисква съдът да гарантира, че при всяко обработване на лични данни е спазен принципът на пропорционалност, уверявайки се, че обработваните по този повод данни дават възможност и са строго необходими за постигането на преследваната с обработването цел и че тежестта на евентуалната намеса в основните права поради вземането предвид на такива данни при това обработване е съразмерна спрямо интереса му от използването на тези данни за целите на въпросното обработване.
4) Членове 7 и 8 от Хартата на основните права, член 5, параграф 1, член 6, параграф 1, първа алинея, буква в) във връзка с член 6, параграф 3 от Регламент 2016/679 и принципът на „свеждане на данните до минимум“ трябва да се тълкуват в смисъл, че допускат националният съд да използва доказателства, съдържащи лични данни, които предалата му ги страна е получила в нарушение на правото на защита на личния живот и на правото на защита на личните данни, когато тази страна няма законен интерес от такова обработване, който да надхвърля интереса от простото доказване на изнесените от нея факти. За сметка на това, преди да ги разкрие на другите страни или на трети лица, този съд трябва да провери дали тези данни са ограничени до необходимото във връзка с целите на разкриването им и евентуално да вземе определени мерки, за да сведе до минимум нарушаването на правото на защита на личните данни, до което може да доведе въпросното разкриване.
5) Член 13, параграфи 1 и 2 от Регламент 2016/679 трябва да се тълкува в смисъл, че допуска при изпълнение на съдебните си функции националният съд да използва данни, събрани от страни или трети лица, които не са спазили задълженията си за предоставяне на информация по тази разпоредба.
6) Регламент 2016/679 трябва да се тълкува в смисъл, че съдът е длъжен в рамките на изпълнението на съдебните си функции да следи за спазването на този регламент, когато обработва лични данни на трети за съответното производство лица. Правото на Съюза не изисква едната от страните в производството да може да се позове на това, че в нарушение на правата, които тези трети лица черпят от посочения регламент, другата страна е събрала или съхранявала въпросните данни незаконосъобразно по смисъла на същия регламент.“