ЗАКЛЮЧЕНИЕ НА ГЕНЕРАЛНИЯ АДВОКАТ

M. SZPUNAR

представено на 17 декември 2020 година ( 1 )

Дело C‑439/19

B

встъпила страна:

Latvijas Republikas Saeima

(Преюдициално запитване, отправено от Satversmes tiesa (Конституционен съд, Латвия)

„Преюдициално запитване — Регламент (ЕС) 2016/679 — Обработване на лични данни — Информация относно отчитането на точки за нарушения на правилата за движение по пътищата — Понятие за обработване на лични данни във връзка с присъди и нарушения — Национални разпоредби, които предвиждат оповестяването на тази информация и допускат повторната ѝ употреба“

I. Въведение

1.

През 1946 г. Джордж Оруел коментира кампанията „Да не допускаме смъртта по пътищата“, провеждана тогава в бивша държава — членка на Европейския съюз, по следния начин: „Ако наистина искаме да не допускаме смъртта по пътищата, ще трябва да преустроим цялата пътна система по такъв начин, че сблъсъците да станат невъзможни. Помислете какво означава това (то би предполагало например да се разруши и изгради наново цял Лондон) и може да видите, че това е далеч извън силите на която и да е нация в момента. Ако това е невъзможно, може да се предприемат единствено палиативни мерки, които в крайна сметка се свеждат до това да се повиши вниманието на хората“ ( 2 ).

2.

Делото пред Satversmes tiesa (Конституционен съд, Латвия), който сезира Съда с настоящото преюдициално запитване, по същество се отнася до посочените по-горе „палиативни мерки“: с цел да се подобри безопасността на движението по пътищата, като се повишат бдителността и вниманието на водачите, на извършилите пътнотранспортни нарушения се налагат точки. Впоследствие тази информация се оповестява и предава за повторна употреба. Запитващата юрисдикция разглежда конституционна жалба, с която е сезирана, и иска да прецени съвместимостта на въпросния национален закон с Регламент (ЕС) 2016/679 ( 3 ) (наричан по-нататък „ОРЗД“).

3.

Поради това настоящият случай представлява почти класическо дело за защита на данните, в смисъл че казусът е изцяло извън интернет и се отнася до вертикални отношения между държава и частноправен субект, като се вписва безпроблемно в поредица от дела, стигнали до Съда след основополагащото решение Stauder ( 4 ), което вероятно е първото дело относно защитата на данните в широк смисъл ( 5 ).

4.

За да се прецени в каква степен държава членка може да се намесва в личните права на дадено лице, за да преследва целта си за подобряване на безопасността на движението по пътищата, ще предложа на Съда да приеме, че мерки като разглежданото латвийско законодателство не са пропорционални на целта, която се стремят да постигнат.

5.

Преди обаче да стигнем до този извод, настоящото дело поставя цяла поредица от основополагащи и сложни въпроси, които ще ни поведат на шеметно пътешествие през ОРЗД. Закопчайте предпазните колани. Така може да си спестите някоя и друга наказателна точка.

II. Правна уредба

A.   Правото на Съюза

1. ОРЗД

6.

Глава I от ОРЗД е озаглавена „Общи разпоредби“ и съдържа членове 1—4, в които са установени предметът и целите, материалният и териториалният обхват, както и определенията.

7.

Член 1 от ОРЗД е озаглавен „Предмет и цели“ и гласи:

„1.   С настоящия регламент се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни.

2.   С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни.

3.   Свободното движение на лични данни в рамките на Съюза не се ограничава, нито се забранява по причини, свързани със защитата на физическите лица във връзка с обработването на лични данни“.

8.

Член 2 от ОРЗД е озаглавен „Материален обхват“ и предвижда:

„1.   Настоящият регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни.

2.   Настоящият регламент не се прилага за обработването на лични данни:

a)

в хода на дейности, които са извън приложното поле на правото на Съюза;

б)

от държавите членки, когато извършват дейности, които попадат в приложното поле на дял V, глава 2 от ДЕС;

в)

от физическо лице в хода на чисто лични или домашни занимания;

г)

от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност.

[…]“.

9.

Глава II от ОРЗД съдържа членове 5—11 и установява принципите на Регламента: принципи, свързани с обработването на лични данни, законосъобразност на обработването, условия за даване на съгласие, включително за съгласието на дете във връзка с услугите на информационното общество, обработване на специални категории лични данни и на лични данни, свързани с присъди и нарушения, както и обработване, за което не се изисква идентифициране.

10.

Съгласно член 5 от ОРЗД, озаглавен „Принципи, свързани с обработването на лични данни“:

„1.   Личните данни са:

a)

обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б)

събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);

в)

подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

г)

точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

д)

съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);

е)

обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“).

2.   Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

11.

Член 10 от ОРЗД е озаглавен „Обработване на лични данни, свързани с присъди и нарушения“ и гласи:

„Обработването на лични данни, свързани с присъди и нарушения или със свързаните с тях мерки за сигурност, въз основа на член 6, параграф 1, се извършва само под контрола на официален орган или когато обработването е разрешено от правото на Съюза или правото на държава членка, в което са предвидени подходящи гаранции за правата и свободите на субектите на данни. Пълен регистър на присъдите по наказателни дела се поддържа само под контрола на официален орган“.

2. Директива 2003/98/ЕО

12.

Член 1 от Директива 2003/98/ЕО ( 6 ) е озаглавен „Предмет и обхват“ и гласи:

1.   Настоящата директива установява минимален набор от правила, ръководещи повторното използване и практическите средства за улесняване на повторното използване на съществуващите документи, притежавани от органите от обществения сектор в държавите членки.

2.   Настоящата директива не се прилага по отношение на:

а)

документи, предоставянето на които е дейност, попадаща извън обхвата на обществената задача на съответните органи от обществения сектор съгласно определеното от закона и или от други задължителни правила в държавата членка, а при липса на такива правила — съгласно определението в съответствие с общата административна практика във въпросната държава членка, при условие че обхватът на обществените задачи е прозрачен и подлежи на преглед;

б)

документи, за които правата върху интелектуалната собственост се държат от трети страни;

в)

документи, които са изключени от достъп по силата на режимите за достъп в държавите членки, включително въз основа на:

защита на националната сигурност (например държавна сигурност), отбраната или обществената безопасност,

статистическа поверителност,

търговска поверителност (например, търговски, професионални или дружествени тайни);

ва)

документи, достъпът до които е ограничен по силата на режимите за достъп в държавите членки, включително в случаи, при които гражданите или дружествата трябва да докажат конкретен интерес, за да получат достъп до документи;

вб)

части от документи, които съдържат само емблеми, гербове и отличителни знаци;

вв)

документи, достъпът до които е изключен или ограничен по силата на режимите за достъп на основание защитата на личните данни, както и части от документи, достъпни по силата на тези режими, които съдържат лични данни, чиято повторна употреба е определена от закона като несъвместима със закона за защита на физическите лица по отношение на обработката на лични данни;

г)

документи, притежание на лица, занимаващи се с разпространение на обществени услуги и техните филиали, както и притежание на други органи или техни филиали за осъществяване на разпространение на обществени услуги в рамките на техните компетенции;

д)

документи, притежание на учебни и изследователски заведения, включително организации, създадени за разпространение на резултати от научноизследователска дейност, училища и университети, освен университетски библиотеки и

е)

документи, притежание на културни институции, различни от библиотеки, музеи и архиви.

3.   Настоящата директива надгражда и не засяга режимите на достъп в държавите членки.

4.   Настоящата директива оставя непроменени и по никакъв начин не засяга нивото на защита на физическите лица що се отнася до обработката на лични данни съгласно разпоредбите на Съюза и на националното законодателство, нито, в частност, променя задълженията и правата, установени в Директива 95/46/ЕО [ ( 7 )].

5.   Задълженията, които се налагат от настоящата директива, се прилагат само дотолкова, доколкото тези задължения са съвместими с разпоредбите на международните споразумения в областта на защитата на правата върху интелектуалната собственост, и по-специално, Бернската конвенция[ ( 8 )] и Споразумението TRIPS [ ( 9 )]“.

13.

Член 2 от Директива 2003/98 е озаглавен „Определения“ и гласи:

„За целите на настоящата директива се прилагат следните дефиниции:

1.

„орган от обществения сектор“ означава държавните, регионалните или местните власти и органи, институции, ръководени от публичното право, и асоциации, формирани от един или повече такива органи или един или повече такива органи, които се управляват от публичното право;

2.

„орган, управляван от публичното право“ означава всеки орган, който е:

а)

създаден с конкретната цел да отговори на нуждите от общ интерес, и който няма промишлен, нито търговски характер; и

б)

юридическо лице; и

в)

получава по-голямата част от финансирането си от държавата или от регионалните или от местните власти или от други органи, ръководени от публичното право; или е субект, чието управление се контролира от такива органи; или има административен, управителен или надзорен съвет, повечето от половината от членовете на чийто състав са посочени от държавата, регионалните или местните власти или от други институции, управлявани от публичното право;

3.

„документ“ означава:

а)

всяко съдържание, независимо от носителя му (хартиен или съхраняван в електронна форма, или като звукозапис, видеозапис, или аудиовизуален запис);

б)

всяка част от такова съдържание;

4.

„повторно използване“ означава използването от страна на физически или юридически лица на документи, притежание на институциите в обществения сектор, за търговски или нетърговски цели, различни от първоначалната цел в рамките на обществената задача, за която документите са били създадени. Обменът на документи между органите от обществения сектор само с цел преследването на техните обществени задачи не представлява повторно използване;

5.

„лични данни“ означава данни, както е определено в член 2, буква а) от Директива 95/46/ЕО.

6.

„машинночетим формат“ означава файлов формат, който е структуриран по начин, по който софтуерните приложения да могат лесно да идентифицират, разпознават и извличат специфични данни, включително отделни факти и тяхната вътрешна структура;

7.

„отворен формат“ означава файлов формат, който не зависи от платформа и е предоставен на обществеността без никакви ограничения, които биха възпрепятствали повторната употреба на документите;

8.

„официален отворен стандарт“ означава стандарт, който е установен в писмена форма и описва спецификациите за изискванията как да се осигури софтуерна оперативна съвместимост;

9.

„университет“ означава всеки орган от обществения сектор, който след завършване на средно образование предоставя образование, водещо до академични степени“.

14.

Член 3 от Директива 2003/98 е озаглавен „Общ принцип“ и гласи:

„1.   Ако са изпълнени условията на параграф 2, държавите членки гарантират, че документите, за които се прилага настоящата директива в съответствие с член 1, се предоставят за повторна употреба за търговски или нетърговски цели съгласно условията, посочени в глави III и IV.

2.   По отношение на документи, за които правата върху интелектуалната собственост са притежание на библиотеки, включително университетски библиотеки, музеи и архиви, държавите членки гарантират, че когато повторната употреба на документите е разрешена, такива документи са на разположение за повторна употреба за търговски и нетърговски цели в съответствие с условията, посочени в глави III и IV“.

Б.   Латвийското право

15.

Член 141, параграф 2 от Ceļu satiksmes likums (Закон за движението по пътищата) ( 10 ) гласи следното:

„Информацията относно превозно средство, собственост на юридическо лице, […] правото на лице да управлява превозни средства, наложените, но неплатени в законоустановените срокове глоби за пътнотранспортни нарушения, както и друга информация, вписана в националния регистър на превозните средства и техните водачи [„националния регистър на превозните средства“] и в информационната система за теглителните средства и техните водачи, се счита за общественодостъпна“.

III. Факти, производство и преюдициални въпроси

16.

B е жалбоподателят в производството пред запитващата юрисдикция и е физическо лице, на което са наложени точки за пътнотранспортни нарушения съгласно Закона за движението по пътищата и на съответно постановление ( 11 ). Ceļu satiksmes drošības direkcija (Дирекция „Безопасност на движението по пътищата“, Латвия, наричана по-нататък „CSDD“) е публичноправният орган, който вписва тези точки за пътнотранспортни нарушения в националния регистър на превозните средства.

17.

Тъй като информацията относно въпросните точки за пътнотранспортни нарушения може да се съобщава при поискване и според B се предава на няколко дружества за повторна употреба, B сезира запитващата юрисдикция с конституционна жалба, като оспорва съответствието на член 141, параграф 2 от Закона за движението по пътищата с правото на неприкосновеност на личния живот, закрепено в член 96 от Latvijas Republikas Satversme (Конституция на Латвия).

18.

Тъй като член 141, параграф 2 от Закона за движението по пътищата е приет от Latvijas Republikas Saeima (латвийския парламент, наричан по-нататък „Saeima“), тази институция участва в производството. Изслушана е и CSDD, която обработва разглежданите данни. Освен това Datu valsts inspekcija (орган за защита на данните, Латвия) — надзорният орган в Латвия по смисъла на член 51 от ОРЗД — както и няколко други органа и лица са поканени да представят пред запитващата юрисдикция становища като amici curiae.

19.

Saeima признава, че по силата на спорната разпоредба всяко лице може да получи информация относно наложените точки за пътнотранспортни нарушения на друго лице или като направи справка направо в CSDD, или като използва услугите, предоставяни от повторни ползватели с търговска цел.

20.

При все това Saeima счита, че спорната разпоредба е законосъобразна, тъй като е обоснована от целта за повишаване на безопасността на движението по пътищата, която изисква самоличността на нарушителите да се оповестява публично и да се разубеждават водачите от извършването на нарушения.

21.

Освен това следва да се зачита правото на достъп до информация, предвидено в член 100 от Конституцията на Латвия. Във всеки случай обработването на информацията във връзка с наложените точки за пътнотранспортни нарушения се извършва под контрола на публичния орган и при спазване на подходящи гаранции за правата и свободите на субектите на данни.

22.

Saeima също така обяснява, че на практика съобщаването на съдържащата се в националния регистър на превозните средства информация се извършва, при условие че заявителят предостави националния идентификационен номер на водача, за който иска да се осведоми. Тази предпоставка за получаване на информацията се дължи на факта, че за разлика от името на лицето, националният идентификационен номер е уникален идентификатор.

23.

От своя страна CSDD обяснява на запитващата юрисдикция функционирането на системата от точки за пътнотранспортни нарушения и потвърждава, че националната правна уредба не налага ограничения върху достъпа на обществеността до данните за наложените точки за пътнотранспортни нарушения и повторната им употреба.

24.

CSDD също така описва подробно договорите, сключени с повторни ползватели с търговска цел. Той подчертава, че тези договори не предвиждат законно прехвърляне на данни и че повторните ползватели гарантират, че предоставената на техните клиенти информация не надхвърля информацията, която може да бъде получена от CSDD. Освен това една от договорните клаузи предвижда, че приобретателят на информацията трябва да я използва по начина, предвиден в действащата нормативна уредба, и в съответствие с посочените в договора цели.

25.

Органът за защита на данните изразява съмнения относно съответствието на спорната разпоредба с член 96 от Конституцията на Латвия. Той не изключва възможността обработването на разглежданите данни да е неподходящо или непропорционално.

26.

Този орган отбелязва също, че макар статистическите данни за пътнотранспортните произшествия в Латвия да показват намаляване на броя на произшествията, няма доказателства, че системата от точки за пътнотранспортни нарушения и достъпът на обществеността до свързаната с нея информация са допринесли за това благоприятно развитие.

27.

Най-напред Satversmes tiesa (Конституционен съд) отбелязва, че висящото пред него производство не се отнася до целия член 141, параграф 2 от Закона за движението по пътищата, а само доколкото тя предоставя достъп на обществеността до наложените точки за пътнотранспортни нарушения, вписани в националния регистър на превозните средства.

28.

Освен това тази юрисдикция счита, че въпросните точки за пътнотранспортни нарушения са лични данни и следователно трябва да се обработват в съответствие с правото на неприкосновеност на личния живот. Тя подчертава, че за да се прецени обхватът на член 96 от Конституцията на Латвия, трябва да се вземе предвид ОРЗД, както и член 16 ДФЕС и член 8 от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“).

29.

Що се отнася до целите на Закона за движение по пътищата, запитващата юрисдикция посочва, че за да се повлияе върху поведението на водачите на превозни средства и така да се сведат до минимум рисковете за живота, здравето и имуществото на лицата, извършените от водачите на превозни средства нарушения, квалифицирани като административни нарушения в Латвия, се вписват в националния регистър на присъдите, а наложените точки за пътнотранспортни нарушения се вписват в националния регистър на превозните средства.

30.

Националният регистър на присъдите представлява единен регистър на присъдите на лица, извършили правонарушения (било то престъпления или административни нарушения), като целта е по-специално да се улесни контролът върху наложените наказания. За сметка на това националният регистър на превозните средства позволява да се води отчетност на нарушенията на правилата за движение по пътищата и да се прилагат мерки в зависимост от броя на извършените такива нарушения. Системата от точки за пътнотранспортни нарушения има за цел да повиши безопасността на движението по пътищата, като разграничава водачите на превозни средства, които системно и недобросъвестно не спазват правилата за движение по пътищата, от водачите, които извършват нарушения в редки случаи, и като влияе разубеждаващо върху поведението на участниците в движението по пътищата.

31.

Запитващата юрисдикция отбелязва, че член 141, параграф 2 от Закона за движението по пътищата дава право на всяко лице да поиска и да получи от CSDD съдържащата се в националния регистър на превозните средства информация за наложените на водачите точки за пътнотранспортни нарушения. На практика заявителят получава информация за наложените точки за пътнотранспортни нарушения непосредствено след като посочи националния идентификационен номер на съответния шофьор.

32.

По-нататък Satversmes tiesa (Конституционен съд) уточнява, че поради класифицирането им като общественодостъпна информация наложените точки за пътнотранспортни нарушения попадат в приложното поле на Закона за оповестяването на информация и следователно могат да бъдат използвани повторно за търговски или нетърговски цели, различни от първоначалната цел, за която е вписана информацията.

33.

За да тълкува и приложи член 96 от Конституцията на Латвия в съответствие с правото на Съюза, запитващата юрисдикция иска да се установи, първо, дали точките за пътнотранспортни нарушения като установените в латвийското право попадат в приложното поле на член 10 от ОРЗД. Всъщност запитващата юрисдикция иска да установи дали член 141, параграф 2 от Закона за движението по пътищата да нарушава изискванията по член 10 от ОРЗД, съгласно които обработването на посочените в тази разпоредба данни може да се извършва само „под контрола на официален орган“ или при спазване на „подходящи гаранции за правата и свободите на субектите на данни“.

34.

Тази юрисдикция отбелязва, че член 8, параграф 5 от Директива 95/46 — който оставя на всяка държава членка грижата да прецени дали следва да разшири обхвата на специалния режим на данните за нарушения и присъди до данните, свързани с административни нарушения и санкции — е транспонирана в Латвия с член 12 от Fizisko personu datu aizsardzības likums (Закон за защита на данните на физическите лица), съгласно който, подобно на данните във връзка с престъпления и присъди, личните данни във връзка с административни нарушения могат да се обработват само от лицата и при обстоятелствата, предвидени по закон.

35.

От това следва, че в продължение на повече от десетилетие в Латвия са прилагани сходни изисквания за обработването на лични данни, отнасящи се до престъпления и присъди, и на лични данни, отнасящи до административни нарушения.

36.

Освен това същата юрисдикция отбелязва, че в съответствие със съображение 4 от ОРЗД обхватът на член 10 от ОРЗД трябва да се прецени, като се отчита функцията на основните права в обществото. В това отношение тя счита, че целта да се гарантира, че предишна присъда на дадено лице няма да окаже прекомерно отрицателно въздействие върху личния и професионалния му живот, би могла да важи както за присъдите, така и за административните нарушения.

37.

На второ място, Satversmes tiesa (Конституционен съд) иска да се установи обхватът на член 5 от ОРЗД. По-специално той иска да се установи дали с оглед на съображение 39 от този регламент латвийският законодател е изпълнил задължението, посочено в член 5, параграф 1, буква е) от ОРЗД, да гарантира, че личните данни са обработвани личните данни при осигуряване на „цялостност и поверителност“. Той отбелязва, че като допуска достъп до информацията относно точките за пътнотранспортни нарушения, член 141, параграф 2 от Закона за движението по пътищата, който дава възможност да се установи дали дадено лице е осъдено за нарушение на правилата за движение по пътищата, като допуска достъпа до информация относно точките за пътнотранспортни нарушения, не е придружен от конкретни мерки, гарантиращи сигурността на тези данни.

38.

На трето място, запитващата юрисдикция иска да се установи дали Директива 2003/98 е релевантна за преценката на съвместимостта на член 141, параграф 2 от Закона за движението по пътищата с член 96 от Конституцията на Латвия. Тя посочва, че съгласно тази директива би следвало, че повторната употреба на лични данни може да се допусне само ако се зачита правото на неприкосновеност на личния живот.

39.

Четвърто, предвид практиката на Съда, съгласно която тълкуването на правото на Съюза, предоставено в решения, постановени по производства по преюдициални запитвания, има действие erga omnes и ex tunc, запитващата юрисдикция иска да се установи дали в случай на несъвместимост на член 141, параграф 2 от Закона за движението по пътищата с член 96 от Конституцията на Латвия във връзка с правото на Съюза, както е тълкувано от Съда, тя все пак би могла да постанови, че член 141, параграф 2 продължава запазва правните си последици до датата на постановяване на нейното решение, с което обявява разпоредбата обявява за противоконституционна, тъй като това решение ще засегне голям брой правоотношения.

40.

В това отношение запитващата юрисдикция обяснява, че съгласно латвийското право обявеният за противоконституционен акт следва да се счита за недействителен, считано от датата на публикуване на решението на Satversmes tiesa (Конституционен съд), освен ако тази юрисдикция не постанови друго. Тя обяснява и практиката по постигане на баланс между принципа на правна сигурност и основните права на различните заинтересовани страни при определянето на датата, от която обявената за противоконституционна разпоредба вече не е в сила.

41.

Именно в този контекст с акт от 4 юни 2019 г., постъпил в Съда на 11 юни 2019 г., Satversmes tiesa (Конституционен съд) отправя следните преюдициални въпроси:

„1)

Трябва ли понятието „обработване на лични данни, свързани с присъди и нарушения или със свързаните с тях мерки за сигурност“, в член 10 от ОРЗД да се тълкува в смисъл, че обхваща предвиденото в спорната разпоредба обработване на информация относно наложените на водачите точки за пътнотранспортни нарушения?

2)

Независимо от отговора на първия въпрос, могат ли разпоредбите на ОРЗД, и по-специално принципът на „цялостност и поверителност“, залегнал в член 5, параграф 1, буква е) от него, да се тълкуват в смисъл, че не допускат възможността държавите членки да предвидят достъпност за обществеността на информацията относно наложените на водачите точки за пътнотранспортни нарушения и да разрешат обработването на съответните данни посредством тяхното съобщаване?

3)

Трябва ли съображения 50 и 154, член 5, параграф 1, буква б) и член 10 от ОРЗД, както и член 1, параграф 2, буква вв) от Директива 2003/98 да се тълкуват в смисъл, че не допускат правна уредба на държава членка, която разрешава предаването на информацията относно наложените на водачите точки за пътнотранспортни нарушения с цел повторна употреба?

4)

При утвърдителен отговор на някой от предходните въпроси, трябва ли принципът на предимство на правото на Съюза и принципът на правната сигурност да се тълкуват в смисъл, че би могло да бъде допустимо прилагането на спорната разпоредба и запазването на правните ѝ последици до влизането в сила на окончателното решение на Satversmes tiesa (Конституционен съд)?“.

42.

Писмени становища представят латвийското, нидерландското, австрийското и португалското правителство, както и Европейската комисия.

43.

В контекста на разпространението на вируса SARS-CoV-2 Съдът решава да отмени насроченото за 11 май 2020 г. съдебно заседание по настоящото дело. В рамките на процесуално-организационните действия и поради наличието на изключителни обстоятелства Съдът взе решение да замени съдебното заседание с въпроси, на които да се даде писмен отговор. Латвийското и шведското правителство и Комисията отговарят на поставените им от Съда въпроси.

IV. Анализ

44.

Настоящото преюдициално запитване поставя редица основополагащи въпроси относно ОРЗД. Всички тези въпроси обаче предполагат, че ОРЗД се прилага към разглеждания случай ( 12 ). Изтъквам това обстоятелство с оглед на факта, че Европейският съюз не е приемал законодателни актове във връзка с точки за пътнотранспортни нарушения.

A.   По материалния обхват на ОРЗД — член 2, параграф 2, буква а)

45.

Съгласно 2, параграф 2, буква а) от ОРЗД този регламент не се прилага за обработването на лични данни в хода на дейности, които са извън приложното поле на правото на Съюза. Очевидно е, че докато член 2, параграф 1 от ОРЗД формулира положително материалния обхват на този регламент ( 13 ), член 2, параграф 2 от Регламента изключва четири вида дейности от приложното му поле. Като изключение от общото правило член 2, параграф 2 от ОРЗД трябва да се тълкува стриктно ( 14 ).

46.

Законодателят на Съюза е избрал регламента като форма на правен инструмент, за да повиши степента на уеднаквяване на правото на Съюза в областта на защитата на данните, и по-специално за да създаде еднакви условия на конкуренция между (икономическите) оператори в рамките на вътрешния пазар, независимо къде са установени тези оператори ( 15 ).

47.

Член 16 ДФЕС не само съдържа правното основание за приемането на актове като ОРЗД, но и — тъй като е включен в част първа, дял II от Договора за функционирането на Европейския съюз ( 16 ) — в по-общ смисъл представлява хоризонтална разпоредба с конституционен характер, която трябва да се вземе предвид при упражняването на всяка компетентност на Съюза.

48.

Също както предшестващата го Директива 95/46, ОРЗД има за цел да гарантира висока степен на защита на основните права и свободи на физическите лица, и по-специално правото им на неприкосновеност на личния живот при обработването на лични данни ( 17 ).

49.

Текстът на член 2, параграф 2, буква а) от ОРЗД по същество е огледален на текста на член 16, параграф 2 ДФЕС ( 18 ), който е правното основание за този регламент в първичното право. Съгласно член 16, параграф 2 ДФЕС законодателят на ЕС трябва да определи правилата за защита на физическите лица по отношение на обработката на личните данни от страна на държавите членки „при извършване на дейности, които попадат в обхвата на правото на Съюза, както и по отношение на свободното движение на тези данни“ ( 19 ). Следователно той има декларативен характер. Ето защо последващият анализ се прилага в еднаква степен за член 2, параграф 2, буква а) от ОРЗД и за член 16, параграф 2 ДФЕС.

50.

Първото обстоятелство, което се установява, е че текстът на член 2, параграф 2, буква а) от ОРЗД („дейности, които са извън приложното поле на правото на Съюза“) се различава от този на член 51, параграф 1 от Хартата ( 20 ), съгласно който „[р]азпоредбите на настоящата харта се отнасят за […] държавите членки, единствено когато те прилагат правото на Съюза“ ( 21 ).

51.

Ако се приеме, че това сочи, че текстът на член 2, параграф 2, буква а) от ОРЗД е по-широко формулиран от този на член 51, параграф 1 от Хартата ( 22 ), тъй като Съдът тълкува член 51, параграф 1 от Хартата в смисъл, че Хартата се прилага, „когато националната правна уредба попада в приложното поле на правото на Съюза“ ( 23 ), няма съществена разлика между текста на тези две разпоредби, така както се тълкуват от Съда ( 24 ).

52.

При това положение не мисля, че трябва да се правят аналогии с практиката на Съда относно на приложното поле на Хартата ( 25 ). Това би било твърде ограничаващо и в разрез с целта, преследвана от член 16 ДФЕС и от ОРЗД. Наистина логиката на Хартата е съвсем различна от тази на ОРЗД: Хартата има за цел да „култивира“ упражняването на правомощия от институциите на Съюза и държавите членки, когато извършват дейност в приложното поле на правото на Съюза, и обратно, да осигури защита, за да могат частноправните субекти да упражняват съответните си права. От друга страна, защитата на личните данни е нещо повече от основно право. Както е видно от член 16 ДФЕС ( 26 ), защитата на данните представлява самостоятелна област от политиката на Съюза. Целта на ОРЗД е именно да се прилага за всяка форма на обработване на лични данни, независимо в каква област — като впрочем е без значение дали то е извършвано от държавите членки или физически лица. Ограничителното тълкуване на условията по член 2, параграф 2, буква а) от ОРЗД би било в пълно противоречие с тази цел. ОРЗД, който е бил замислен като тигър в областта на защитата на данните, би се оказал домашно котенце.

53.

В това отношение е показателно самото съществуване на разпоредба като член 10 от ОРЗД, който ще бъде тълкуван подробно по-нататък в рамките на моя анализ на първия въпрос на запитващата юрисдикция. При положение че присъдите и нарушенията се определят почти изключително съгласно националното право, а не съгласно правото на Съюза, ако ОРЗД се отнася до „обработването на лични данни, свързани с присъди и нарушения или със свързаните с тях мерки за сигурност, въз основа на член 6, параграф 1“ от ОРЗД ( 27 ), то този регламент не може да има второстепенна присъща за Хартата, функция, освен ако член 10 от ОРЗД е невалиден.

54.

Същото се отнася и за съществуването на член 87 от ОРЗД, който позволява на държавите членки да определят и специалните условия за обработването на национален идентификационен номер ( 28 ).

55.

Освен това следва да се вземе предвид съображение 16 от ОРЗД, което е огледално на член 2 от ОРЗД в незадължителната, но все пак пояснителна част от този регламент. В този случай националната сигурност е посочена като пример за област, която e извън приложното поле на правото на Съюза. Същото важи в еднаква степен и за необвързващата декларация по член 16 ( 29 ) от Договора за функционирането на Европейския съюз, в която се изтъква, че „при всяко приемане на правила за защита на личните данни въз основа на член 16 [от ДФЕС], които биха могли да окажат пряко влияние върху националната сигурност, това следва надлежно да се вземе предвид“, и се припомня, че „по-специално Директива 95/46 […] предвижда специфични дерогации в това отношение“ ( 30 ).

56.

Това изрично съсредоточаване върху националната сигурност е ясен знак какво са имали предвид както авторите на Договора за функционирането на ЕС (член 16 ДФЕС), така и законодателят на Съюза (член 2, параграф 2, буква а) от ОРЗД) при съставянето на съответните пасажи.

57.

Отново в контекста на защитата на данните законодателят на Съюза уточнява на други места, че в този контекст националната сигурност се разбира като „държавна сигурност“ ( 31 ).

58.

В това отношение член 2, параграф 2, буква а) от ОРЗД следва да се разглежда в контекста на член 4, параграф 2 ДЕС, който предвижда, че Европейският съюз трябва да зачита съществените функции на държавата в държавите членки ( 32 ), и в тази връзка уточнява посредством пример, че „националната сигурност остава единствено в рамките на отговорността на всяка държава членка“. Член 2, параграф 2, буква а) от ОРЗД единствено повтаря това конституционно изискване за това, което е необходимо да се гарантира, за да функционира държавата ( 33 ).

59.

Въз основа на гореизложения анализ нямам основание да считам, че член 2, параграф 2, буква а) от ОРЗД въвежда критерий с висок праг, който трябва да бъде изпълнен, за да се приложи ОРЗД, нито че това е било намерението на законодателя на Съюза.

60.

Накрая, този анализ се потвърждава от бърз преглед на останалите три изключения от материалния обхват на ОРЗД, съдържащи се в член 2, параграф 2, букви б)—г). Следователно ОРЗД не се прилага към обработването на лични данни от държавите членки, когато извършват дейности, които попадат в приложното поле на общата външна политика и политика на сигурност на Съюза ( 34 ), от физическо лице в хода на чисто лични или домашни занимания ( 35 ) и от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност ( 36 ).

61.

Изключването на общата външна политика и политика на сигурност, която все още е предимно междуправителствена, е напълно логично ( 37 ). Чисто личните и домашните занимания на физическите лица във всеки случай по принцип са изключени от приложното поле на правото на Съюза, в смисъл че не се уреждат от първичното или вторичното право. Същото важи по принцип и за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания. Независимо от това, последното изключение е мотивирано от факта, че Съюзът е приел специална директива ( 38 ), която по случайност е приета в същия ден като ОРЗД. Освен това от член 23, параграф 1, буква г) от ОРЗД следва, че обработването на лични данни за същите цели от частноправни субекти попада в приложното поле на ОРЗД ( 39 ).

62.

Следователно, за да имат последните две изключения каквото и да е нормативно правно значение, не може да се счита, че те попадат извън приложното поле на правото на Съюза по смисъла на член 2, параграф 2, буква а) от ОРЗД.

63.

На последно място, следва да се отбележи, че не могат да се установят никакви доказателства, че Съдът по принцип би приложил стриктен критерий по отношение на приложното поле на ОРЗД или на Директива 95/46 по силата съответно на член 2 от ОРЗД и на член 3 от Директива 95/46 ( 40 ). Напротив, Съдът като цяло подчертава, че „приложимостта на Директива 95/46 не може да зависи от това дали конкретните положения, разглеждани в главното производство, имат достатъчна връзка с упражняването на гарантираните от Договора основни свободи“ ( 41 ).

64.

В заключение на тази предварителна част от анализа, при правилно тълкуване на член 2, параграф 2, буква а) от ОРЗД този регламент се прилага към обработването на лични данни във или от държава членка, освен ако обработването се извършва в област, в която Европейският съюз не е компетентен.

65.

Следователно ОРЗД е приложим към разглеждания случай и трябва да се вземе предвид от запитващата юрисдикция при преценката на валидността на националното право.

Б.   По член 86 от ОРЗД

66.

За изчерпателност бих искал накратко да разгледам разпоредбата на член 86 от ОРЗД в разглеждания случай.

67.

Съгласно тази разпоредба лични данни в официални документи, държани от публичен орган или публична или частна структура за изпълнение на задача от обществен интерес, могат да бъдат разкривани от този орган или структура в съответствие с правото на Съюза или правото на държавата членка, на което се подчинява публичният орган или структура, за да се съгласува публичният достъп до официални документи с правото на защита на личните данни в съответствие с ОРЗД.

68.

Тази разпоредба само признава значението на публичния достъп до официални документи. Освен това, както правилно изтъква Комисията, тази разпоредба не дава никакви допълнителни указания как следва да се съгласува публичният достъп до официални документи с правилата в областта на защитата на данните ( 42 ). Посочената разпоредба има по-скоро декларативен характер и прилича повече на съображение, отколкото на задължителна разпоредба от правен акт ( 43 ). Ето защо според мен „описателната норма“ в член 86 от ОРЗД не е от значение за анализа по-долу.

B.   По първия въпрос: точки за пътнотранспортни нарушения съгласно член 10 от ОРЗД

69.

С първия си въпрос запитващата юрисдикция иска да се установи дали член 10 от ОРЗД трябва да се тълкува в смисъл, че в неговия обхват попадат случаите на обработване на информация относно точките, наложени на водачите за пътнотранспортни нарушения съобразно предвиденото в национална правна уредба.

70.

По силата на тази разпоредба обработването на лични данни относно присъди и нарушения или свързаните с тях мерки за сигурност въз основа на член 6, параграф 1 от ОРЗД ( 44 ) трябва да се извършва само под контрола на официален орган ( 45 ). Пълен регистър на присъдите по наказателни дела трябва да се поддържа само под контрола на официален орган.

71.

Предвид факта, че CSDD, изглежда, във всички случаи е официален — в смисъл на „публичен“ — орган, може да се запитаме дали първият въпрос е релевантен и дали той е хипотетичен по смисъла на практиката на Съда относно допустимостта. Ще разсея обаче тези съмнения, като изтъкна, че настоящият случай се отнася както до съобщаването (от CSDD) на наложените точки за пътнотранспортни нарушения, така и до повторната употреба на тези данни от други органи. Според мен първият въпрос е допустим, доколкото се отнася до тези други органи.

1. Лични данни

72.

Член 4, точка 1 от ОРЗД гласи, че „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, икономическата, културната или социална идентичност на това физическо лице.

73.

Няма никакво основание за съмнение, че информацията относно наложените на водачите точки за пътнотранспортни нарушения представлява лични данни по смисъла на член 4, параграф 1 от ОРЗД.

2. … свързани с присъди и нарушения или със свързаните с тях мерки за сигурност

74.

Що се отнася до посочените в член 10 от ОРЗД „нарушения“, следва да се отбележи, че от текстовете на тази разпоредба на всички езици не става съвсем ясно дали тя се отнася само до престъпления, или обхваща и административни нарушения. Най-естественото и интуитивно тълкуване на текста на английски език е, че думата „criminal“ (наказателноправен) е изведена, така да се каже, пред скоба и се отнася едновременно до „convictions“ („присъди“) и „offences“ („нарушения“). В това отношение текстовете на някои езици ( 46 ) не оставят никакво място за съмнение: понятието „нарушения“ по смисъла на член 10 от ОРЗД трябва да се разбира в смисъл на „наказателноправни“. Текстовете на други езици ( 47 ) са двусмислени, тъй като позволяват повече от едно тълкуване. Текстът на латвийски език (saistītiem drošības pasākumiem), с който се предполага, че е най-добре запозната запитващата юрисдикция, също е двусмислен. В този случай не само не е уточнено дали „нарушенията“ (pārkāpumi’) са наказателноправни, но е оставен открит и въпросът дали са такива и „присъдите“ (sodāmība) ( 48 ).

75.

Макар текстовете на различните езици да оставят впечатление за бъркотия, още на този етап могат да бъдат направени някои изводи.

76.

Всички официални езици на Европейския съюз са автентични езици за актовете, на които са съставени, поради което по принцип трябва да се признае еднаква стойност на текстовете на актовете на Съюза на всички езици ( 49 ). Така тълкуване на дадена разпоредба на правото на Съюза налага сравнение на редакциите на различни езици ( 50 ). Нещо повече, текстовете на различните езици на разпоредба от правото на Съюза трябва да се тълкуват по еднакъв начин ( 51 ).

77.

При тези условия за правилен трябва да се счита смисълът на „по-прецизните“ текстове на различните езици, по-специално доколкото този по-прецизен смисъл е и едно от възможните тълкувания съгласно не толкова прецизните текстове на други езици, при които едно от възможните тълкувания е „нарушенията“ да са само от „наказателноправен“ характер. Ето защо на този етап стигам до междинния извод, че въз основа на сравнителен прочит на текстовете на член 10 от ОРЗД на различните езици понятието „наказателноправен“ се отнася както до „присъди“, така и до „нарушения“ ( 52 ).

78.

Нещо повече, това предложение за тълкуване на член 10 от ОРЗД запазва безпроблемно разграничението, което се прави в действащата преди това разпоредба, а именно член 8, параграф 5 от Директива 95/46. По силата на тази разпоредба за присъди и нарушения има задължение за контрол от страна на публичен орган ( 53 ), докато за административните санкции съществува възможност за контрол от страна на публичен орган ( 54 ). Ако съгласно член 81 параграф 5 от Директива 95/46 се счита, че понятието „нарушения“ обхваща „административни нарушения“, втората част от тази разпоредба не би имала никакъв смисъл.

79.

Тази констатация обаче не дава отговор на въпроса какво точно трябва да се разбира под понятието „престъпления“.

80.

На това място най-напред възниква въпросът дали това понятие представлява самостоятелно понятие от правото на Съюза, или тълкуването му е оставено на държавите членки.

81.

Съгласно постоянната практика на Съда както от изискването за еднакво прилагане на правото на Съюза, така и от принципа за равенство следва, че разпоредба от правото на Съюза, чийто текст не съдържа изрично препращане към правото на държава членка с оглед на определяне на нейния смисъл и обхват, трябва по принцип да получи самостоятелно и еднакво тълкуване навсякъде в Съюза ( 55 ). При това тълкуване трябва да се вземат предвид текстът, целите и контекстът на въпросната разпоредба, както и всички разпоредби на правото на Съюза. Генезисът на разпоредбата от правото на Съюза също може да разкрие обстоятелства, които са релевантни за тълкуването ѝ ( 56 ).

82.

В случая е ясно, че по принцип наказателното законодателство и нормите на наказателния процес са от компетентността на държавите членки ( 57 ). В съответствие с това именно държавите членки ще бъдат в позиция да определят какво съставлява нарушение ( 58 ).

83.

След като обаче законодателят на Съюза е избрал правната форма на регламент, а не директива, според мен правилото следва да бъде еднаквото тълкуване на текста на този регламент в целия Европейски съюз, така че да се гарантира общото му прилагане и пряката му приложимост във всички държави членки в съответствие с член 288, параграф 2 ДФЕС.

84.

В същия ред на мисли са налице обстоятелства, които сочат, че законодателят на Съюза не е искал да препраща към националното право или националните правопорядъци за тълкуването на понятието „нарушения“. Така съображение 13 от Директива 2016/680 ( 59 ) гласи, че престъпление по смисъла на тази директива следва да бъде автономно понятие в правото на Съюза съобразно тълкуването на Съда на Европейския съюз. В дух на maiore ad minus считам, че подобно твърдение важи и за ОРЗД, който, както бе посочено по-горе, в качеството си на регламент представлява правен акт, който автоматично разполага с по-висока степен на интеграция и централизация.

85.

Вторият въпрос, който се състои в това да се установи дали разглежданите лични данни се отнасят до присъди и нарушения или свързаните с тях мерки за сигурност по смисъла на член 10 от ОРЗД, е по-труден.

86.

Съдът вече е имал повод да се произнесе по определението на понятието „престъпление“ в рамките на принципа ne bis in idem ( 60 ) съгласно член 50 от Хартата ( 61 ).

87.

При това Съдът се опира на практиката на Европейския съд по правата на човека ( 62 ), съгласно която за определяне на понятието „наказателни производства“ са релевантни три критерия: правната квалификация на нарушението във вътрешното право, самото естество на нарушението и естеството и тежестта на санкцията, която може да бъде наложена на съответното лице ( 63 ).

88.

Бих казал, че пътнотранспортните нарушения, за които се налагат точки като предвидените съгласно разглежданата национална правна уредба, не могат да бъдат квалифицирани като престъпление по силата на тази съдебна практика, тъй като не отговарят на тези критерии. На практика тези точки не представляват особено строга санкция ( 64 ).

89.

В заключение държа да подчертая, че след този анализ няма нужда да се разглежда разграничението между член 10 от ОРЗД и разпоредбите на Директива 2016/680, тъй като посочената директива не е приложима в разглеждания понастоящем казус.

3. Предложение за отговор

90.

Ето защо предлагам на първия въпрос да се отговори, че член 10 от ОРЗД трябва да се тълкува в смисъл, че в неговия обхват не попадат случаите на обработване на информация относно наложените на водачите точки за пътнотранспортни нарушения съобразно предвиденото в национална правна уредба като член 141, параграф 2 от Закона за движението по пътищата.

Г.   По втория въпрос: съобщаване на точки за пътнотранспортни нарушения

91.

С втория си въпрос запитващата юрисдикция иска по същество да се установи дали съгласно разпоредбите на ОРЗД е недопустимо държава членка да обработва и да съобщава информация относно наложените на водачите точки за пътнотранспортни нарушения.

92.

Макар запитващата юрисдикция да посочва като пример принципа на цялостност и поверителност, съдържащ се в член 5, параграф 1, буква е) от ОРЗД ( 65 ), въпросът е широко формулиран, тъй като препраща към разпоредбите на този регламент като цяло ( 66 ). Поради това анализът по-долу ще обхване и други разпоредби на ОРЗД освен посочената от запитващата юрисдикция във въпроса ѝ.

93.

Всяко обработване на лични данни трябва да отговаря, от една страна, на отнасящите се до качеството на данните принципи, прогласени в член 5 от ОРЗД, и от друга страна, на някой от критериите за законосъобразност на обработването на лични данни, изброени в член 6 от този регламент ( 67 ). От текста на тези две разпоредби може да се заключи, че първите принципи имат кумулативен ( 68 ), а вторите — алтернативен характер ( 69 ).

94.

Вторият въпрос се отнася до принципите за качество на данните. Съвсем основателно запитващата юрисдикция, изглежда, приема, че CSDD обработва данни, и поставя под въпрос не вписването на самите точки за пътнотранспортни нарушения, а съобщаването на точките при поискване.

95.

CSDD безспорно е „администратор“ по смисъла на член 4, точка 7 от ОРЗД, който обработва лични данни по смисъла на член 4, точка 2 от този регламент, като вписва точките за пътнотранспортни нарушения в националния регистър на превозните средства.

96.

Достатъчно е да се отбележи, че що се отнася до публичен „дружествен регистър“, Съдът е постановил, че като вписва и съхранява посочените сведения в регистъра и при необходимост ги съобщава на трети лица по тяхна молба, органът, на който е възложено воденето на този регистър, извършва „обработване на лични данни“, на което е „администратор“ по смисъла на съдържащите се в Директива 95/46 ( 70 ) определения, които предшестват определенията по член 4, точки 2 и 7 от ОРЗД ( 71 ).

1. По член 5, параграф 1, буква е) от ОРЗД: цялостност и поверителност

97.

Това повдига въпроса дали са спазени принципите на цялостност и поверителност, прогласени в член 5, параграф 1, буква е) от ОРЗД — разпоредба, на която самата запитваща юрисдикция се позовава във въпроса си.

98.

Съгласно член 5, параграф 1, буква е) от ОРЗД личните данни трябва да се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

99.

Както е видно от нейната формулировка, тази разпоредба се отнася до мерките за сигурност и до техническите и организационните мерки, свързани с обработването на лични данни ( 72 ). Тук става въпрос за общи формални изисквания във връзка със сигурността на данните ( 73 ).

100.

За разлика от това запитващата юрисдикция иска по-основни насоки, които се отнасят до правната възможност за такова обработване. С други думи и по-образно казано, запитващата юрисдикция иска насоки по въпроса дали е налице обработване на лични данни, докато член 5, параграф 1, буква е) от ОРЗД се отнася до това как се извършва това обработване. Ето защо член 5, параграф 1, буква е) от ОРЗД не е релевантен за разглеждания случай.

2. По член 5, параграф 1, буква а) от ОРЗД: законосъобразност, добросъвестност и прозрачност

101.

Съгласно член 5, параграф 1, буква а) от ОРЗД личните данни трябва да се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.

102.

Следва да се отбележи, че понятието „законосъобразност“ се съдържа както в член 5, параграф 1, буква а), така и в член 6 от ОРЗД. Разглеждането на подробните изисквания на член 6 като съдържащи се в член 5 от този регламент не би имало никакъв смисъл от гледна точка на нормотворчеството, ако член 5 трябваше да включва и критериите по член 6 от ОРЗД.

103.

Законосъобразността по смисъла на член 5, параграф 1, буква а) от ОРЗД би трябвало по-скоро да се разглежда в светлината на съображение 40 от този регламент ( 74 ), което изисква обработването да се извършва въз основа на съгласие или на друго правно основание, установено в закон ( 75 ).

104.

При това положение (налице е правно основание съгласно националното право) не виждам никакво основание за съмнение относно законосъобразността на обработването в разглеждания случай ( 76 ).

105.

Ето защо споделям становището на австрийското правителство ( 77 ), че този принцип не е относим към фактите по разглеждания случай.

3. По член 5, параграф 1, буква б) от ОРЗД: ограничение на целите

106.

Член 5, параграф 1, буква б) от ОРЗД установява принципа за „ограничение на целите“, като предвижда, че личните данни трябва да се събират за конкретни, изрично указани и легитимни цели и да не се обработват по-нататък по начин, несъвместим с тези цели ( 78 ).

107.

Запитващата юрисдикция уточнява, че разглежданата разпоредба — член 141, параграф 2 от Закона за движението по пътищата, преследва целта за безопасност на движението по пътищата, като излага на показ водачите, които не спазват правилата. Само по себе си съобщаването на точките за пътнотранспортни нарушения, изглежда, е конкретна, изрично указана и легитимна цел. Освен това обработването на лични данни не изглежда несъвместимо с тази цел.

4. По член 5, параграф 1, буква в) от ОРЗД: свеждане на данните до минимум

108.

Съгласно член 5, параграф 1, буква в) от ОРЗД принципът за свеждане на данните до минимум изисква лични данните да са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват. Съответно съображение 39 от ОРЗД гласи, че личните данни следва да се обработват единствено ако целта на обработването не може да бъде постигната в достатъчна степен с други средства.

109.

Подобно на останалите принципи, закрепени в член 5, параграф 1 от ОРЗД, разбирам този принцип като отражение на принципа на пропорционалност ( 79 ), поради което считам за целесъобразно да разгледам на този етап дали въпросната национална правна уредба е пропорционална на целта, която се стреми да постигне.

110.

Съгласно постоянната съдебна практика принципът на пропорционалност като основен принцип на общностното право изисква установените с акт на Съюза мерки да бъдат в състояние да осъществят легитимните цели, преследвани от съответната правна уредба, и да не надхвърлят необходимото за тяхното постигане ( 80 ).

111.

Действително член 141, параграф 2 от Закона за движението по пътищата трябва да е подходящ и необходим, за да преследва своята предполагаема цел, а именно подобряване на безопасността на движението по пътищата.

а) Целесъобразност

112.

Първата предполагаема цел на националната правна уредба е да могат да се идентифицират водачите на превозни средства, които системно и недобросъвестно не спазват правилата на системата за движение по пътищата. Очевидно е, че идентифицирането на нарушителите на правилата за движение по пътищата по никакъв начин не зависи от публичния (общодостъпен) характер на точките за пътнотранспортни нарушения, наложени на извършителя на дадено нарушение. Публичният орган отговаря само за правилното идентифициране тези нарушители и за воденето на регистър за наложените им точки за пътнотранспортни нарушения, за да настъпят целесъобразните правни последици и да се наложат съответните санкции.

113.

Втората изтъкната от Saeima цел на спорната разпоредба, която разрешава разкриването на въпросните лични данни, е да повлияе превантивно на поведението на участниците в движението по пътищата, за да възпре евентуалните нарушители да извършват други нарушения. Тук би могло да се приеме, че предоставянето на всяко лице на възможността да научи кой нарушава правилата за движение по пътищата вероятно ще окаже известен възпиращ ефект: много от водачите вероятно не биха искали тази информация за тях да бъде разкривана на широката общественост, за да не бъдат обозначени като нарушители на закона.

114.

Тази цел е ясно посочена и в член 431 от Закона за движението по пътищата като целта, за която се въвежда системата от точки за пътнотранспортни нарушения. Очевидно е, че публичното оповестяване на наложените точки за пътнотранспортни нарушения може в известна степен да представлява допълнителен възпиращ фактор. Ето защо спорната разпоредба по принцип би могла да е в съответствие с преследвания общ интерес, а именно да се насърчи безопасността на движението по пътищата и да се избегнат произшествия.

115.

При това положение, ако разглежданите лични данни са достъпни при поискване и ако заявителят трябва да предостави личния идентификационен номер на съответното лице, това поставя въпроса колко е трудно получаването на този номер. Всъщност колкото по-трудно е получаването на такива данни, толкова по-слабо възпиращо действие ще има режимът на разкриване, тъй като обстоятелството дали данните са публично достъпни, ще зависи от други трудно предвидими фактори.

116.

Именно поради тази причина изпитвам сериозни съмнения относно целесъобразността на разглежданата национална правна уредба.

117.

Запитващата юрисдикция следва да определи с оглед на всички обстоятелства по случая дали член 141, параграф 2 от Закона за движението по пътищата действително е целесъобразен за постигането на законосъобразната цел за повишаване на безопасността на движението по пътищата.

б) Необходимост

118.

Що се отнася до въпроса за необходимостта, т.е. че разглежданата мярка не надхвърля необходимото за постигане на преследваната цел, положението изглежда по-ясно.

119.

И в този случай запитващата юрисдикция трябва да прецени с оглед на всички обстоятелства по случая дали спорната разпоредба действително е необходима. Въз основа на наличната информация обаче не виждам как тази разпоредба би могла по какъвто и да е начин да се счита за необходима.

120.

Въпреки че целта за насърчаване на безопасността на движението по пътищата е важна, трябва да се постигне справедлив баланс между засегнатите различни интереси и следователно националният законодател трябва да прецени дали разкриването на разглежданите лични данни не надхвърля необходимото за постигането на преследваните легитимни цели, по-специално с оглед на породеното от това разкриване нарушаване на основните права.

121.

В акта за преюдициално запитване не се посочва дали преди приемането на спорната разпоредба Saeima е разгледал други средства за постигане на целта за насърчаване на безопасността на движението по пътищата, които биха засегнали в по-малка степен правото на физическите лица на защита на данните. Освен това законодателят трябва да е в състояние да докаже, че дерогациите и ограниченията на защитата на данните са в пълно съответствие с поставените ограничения. Преди публикуването на набор от информация (или преди приемането на закон, с който се изисква неговото публикуване) следва да се извърши внимателна оценка на въздействието върху защитата на данните, като се оценят и възможностите за повторна употреба и потенциалното въздействие от повторната употреба.

122.

Наличието и точността на тази информация са от съществено значение, за да се определи дали целите за безопасността на движението по пътищата и за намаляването на пътнотранспортните произшествия могат да бъдат постигнати чрез мерки, които засягат в по-малка степен правата на съответните лица, и по този начин да се избегне или поне да се смекчи нарушаването на защитата, предоставена с член 8 от Хартата.

123.

Засягането на неприкосновеността на личния живот вследствие на публикуването на данни за нарушенията и наложените наказания само по себе си е особено сериозно: с него публично се оповестява информация за извършените от дадено лице нарушения. Освен това не може да се изключи възможността такова обработване на данни, присъщо за публикуването на разглежданите данни, да доведе до стигматизирането на нарушителя и до други отрицателни последици. Поради това такива „черни списъци“ трябва да бъдат строго регламентирани.

124.

Накрая, както подчертава органът за защита на данните, превантивният характер на спорната разпоредба и статистическите данни, сочещи наличието на благоприятни тенденции, а именно намаляване на броя на пътнотранспортните произшествия, не доказват, че това намаляване е свързано с въвеждането на самата система от точки за пътнотранспортни нарушения или с факта, че информацията относно наложените точки за пътнотранспортни нарушения е достъпна за обществеността.

5. Предложен отговор

125.

В съответствие с това предлагам на Съда да отговори на втория въпрос, че член 5, параграф 1, буква в) от ОРЗД не допуска национална правна уредба като член 141, параграф 2 от Закона за движението по пътищата, която позволява обработването и съобщаването на информация относно наложените на водачите точки за пътнотранспортни нарушения.

Д.  По третия въпрос: повторна употреба на лични данни

1. Директива 2003/98

126.

Както е посочено в член 1, параграф 1 от Директива 2003/98, тази директива установява минимален набор от правила, уреждащи повторното използване и практическите средства за улесняване на повторното използване на съществуващите документи, притежавани от органите от обществения сектор в държавите членки.

127.

Можем да приемем в случая, че точките за пътнотранспортни нарушения се вписват в документи, които се държат от CSDD като орган от обществения сектор по смисъла на тази разпоредба.

128.

Настоящият случай обаче не попада в приложното поле на посочената директива, тъй като член 1, параграф 2, буква вв) от нея гласи, че тази директива не се прилага по отношение на документи, които са изключени от достъп или достъпът до които е ограничен по силата на режимите за достъп въз основа на защита на личните данни ( 81 ). Освен това съгласно член 1, параграф 4 от Директива 2003/98 тази директива оставя непроменено и по никакъв начин не засяга нивото на защита на физическите лица, що се отнася до обработката на лични данни съгласно разпоредбите на Съюза и на националното законодателство, нито, в частност, променя задълженията и правата, установени в ОРЗД ( 82 ).

129.

От посочените разпоредби следва, че въпросното обработване на лични данни трябва да се прецени с оглед на правната уредба на Съюза в областта на защитата на данните, по-конкретно ОРЗД, а не с оглед на Директива 2003/98 ( 83 ).

2. По повторната употреба

130.

Както правилно отбелязва запитващата юрисдикция, ако информацията относно наложените на водачите точки за пътнотранспортни нарушения може да бъде съобщавана на всяко лице, включително на операторите, осъществяващи повторна употреба, целите на последващото обработване на данните не могат да се установят или да се прецени дали личните данни се обработват по начин, несъвместим с тези цели.

131.

В рамките на този контекст моят анализ по втория преюдициален въпрос важи изцяло не само mutatis mutandis, но и a fortiori: частните дружества могат да се изкушат да използват личните данни за търговски цели, тоест за цели, които са несъвместими с целта на обработването, която е да се повиши безопасността на движението по пътищата.

132.

Освен това възможността за обработване на личните данни от трети страни очевидно надхвърля ограничението на целите, установено в член 5, параграф 1, буква б) от ОРЗД.

3. Предложен отговор

133.

В съответствие с това предлагам на третия въпрос да се отговори в смисъл, че национална правна уредба като член 141, параграф 2 от Закона за движението по пътищата, която позволява обработването и съобщаването, включително с цел повторна употреба, на информацията относно наложените на водачите точки за пътнотранспортни нарушения, не се урежда от разпоредбите на Директива 2003/98. Освен това член 5, параграф 1, буква в) от ОРЗД не допуска такава правна уредба.

Е.   По четвъртия въпрос

134.

С четвъртия си въпрос запитващата юрисдикция иска да се установи — ако се приеме, че въпросната национална правна уредба противоречи на правото на Съюза — дали би било възможно разглежданата разпоредба да се прилага и да запази правните си последици до влизането в сила на окончателното решение на Satversmes tiesa (Конституционен съд).

135.

Следователно запитващата юрисдикция иска правните последици на спорната разпоредба да се запазят, докато постанови окончателното си решение.

136.

Съгласно постоянната съдебна практика тълкуването, което Съдът дава на норма на правото на Съюза при упражняване на компетентността си по член 267 ДФЕС, уточнява и изяснява значението и приложното поле на тази норма, както тя трябва или е трябвало да се разбира и прилага от момента на нейното влизане в сила ( 84 ). Следователно, така разтълкувана, нормата може и трябва да се прилага от съда към правоотношения, възникнали и установени преди решението по искането за тълкуване, ако освен това са налице условията, които позволяват пред компетентните съдилища да се отнесе спор по прилагането на посочената норма ( 85 ). Съдът може да ограничи възможността всяко заинтересовано лице да се позовава на разтълкувана от него разпоредба, за да постави под въпрос добросъвестно установени правоотношения, единствено по изключение, въз основа на общия принцип на правната сигурност, присъщ на правния ред на Съюза ( 86 ).

137.

Във всеки случай единствено Съдът би могъл да определи условията за евентуално отлагане на последиците ( 87 ) и с право: в противен случай национална юрисдикция би могла да отложи действието на това решение, като по този начин засегне неговия характер erga omnes, чиято първостепенна цел е да се гарантира еднаквото прилагане на правото на Съюза и правната сигурност във всички държави членки и да се създадат еднакви условия на конкуренция за държавите членки, гражданите и икономическите оператори. В това отношение не може да се допусне норми на националното право, макар и конституционни, да накърняват единството и ефикасността на правото на Съюза ( 88 ).

138.

За да може да се наложи подобно ограничение, е необходимо да бъдат изпълнени два основни критерия, а именно заинтересованите лица да са действали добросъвестно и да е налице риск от тежки смущения ( 89 ).

139.

Следва да се добави, че Съдът е прибягвал до това разрешение само по изключение ( 90 ) и при точно определени обстоятелства: когато е съществувал риск от тежки икономически последици, дължащи се преди всичко на големия брой правоотношения, установени добросъвестно въз основа на считаната за валидно действаща правна уредба, и когато лицата и националните власти са били подтикнати към поведение, което не съответства на правото на Съюза, поради обективна и значителна несигурност по отношение на обхвата на разпоредбите на правото на Съюза — несигурност, за която евентуално е допринесло и самото поведение, възприето от други държави членки или от Съюза ( 91 ).

140.

В настоящия случай посочените в акта за преюдициално запитване обстоятелства не позволяват да се заключи, че биха били засегнати голям брой добросъвестни правоотношения, основани на спорната разпоредба, и следователно че би било особено трудно да се осигури спазването ex tunc на преюдициалното запитване на Съда, с което тази разпоредба се обявява за несъвместима с правото на Съюза.

141.

Следователно не е необходимо действието на решението на Съда по настоящото дело да бъде ограничено във времето.

142.

Поради това предлагам на четвъртия въпрос да се отговори, че не е възможно разглежданата разпоредба да се прилага и да запази правните си последици до влизането в сила на окончателно решение на Satversmes tiesa (Конституционен съд).

V. Заключение

143.

С оглед на изложените съображения предлагам на Съда да отговори на въпросите, отправени от Satversmes tiesa (Конституционен съд, Латвия), по следния начин:

„1)

Член 10 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) трябва да се тълкува в смисъл, че в неговия обхват не попадат случаите на обработване на лични данни, свързани с наложените на водачите точки за пътнотранспортни нарушения съобразно предвиденото в национална правна уредба като член 141, параграф 2 от Ceļu satiksmes likums (Закон за движението по пътищата).

2)

Член 5, параграф 1, буква в) от Регламент 2016/679 не допуска държава членка да обработва и съобщава лични данни относно наложените на водачите точки за пътнотранспортни нарушения.

3)

Член 5, параграф 1, букви б) и в) от Регламент № 2016/679 не допускат държава членка да обработва и да съобщава лични данни относно наложените на водачите точки за пътнотранспортни нарушения, когато това съобщаване се извършва с цел повторна употреба.

4)

Директива 2003/98 на Европейския парламент и на Съвета от 17 ноември 2003 година относно повторната употреба на информацията в обществения сектор не урежда обработването и съобщаването, включително с цел повторна употреба, на лични данни във връзка с наложените на водачите точки за пътнотранспортни нарушения.

5)

Не е възможно разглежданата разпоредба да се прилага и да се запазят правните ѝ последици до влизането в сила на окончателно решение на Satversmes tiesa (Конституционен съд)“.


( 1 ) Език на оригиналния текст: английски.

( 2 ) Вж. списание Tribune от 8 ноември 1946 г.

( 3 ) Регламент на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1).

( 4 ) Вж. решение от 12 ноември 1969 г. (29/69, EU:C:1969:57, т. 7).

( 5 ) И несъмнено първото дело относно основните права в правния ред на Съюза.

( 6 ) Директива на Европейския парламент и на Съвета от 17 ноември 2003 година относно повторната употреба на информацията в обществения сектор (ОВ L 345, 2003 г., стр. 90; Специално издание на български език, 2007 г., глава 13, том 41, стр. 73), изменена с Директива 2013/37/ЕС на Европейския парламент и на Съвета от 26 юни 2013 г. (ОВ L 175, 2013 г., стр. 1).

( 7 ) Директива на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10).

( 8 ) Бернска конвенция за закрила на литературните и художествени произведения, Парижки акт от 24 юли 1971 г., изменена на 28 септември 1979 г.

( 9 ) Споразумението TRIPS (Споразумение за свързаните с търговията аспекти на правата върху интелектуалната собственост) представлява приложение 1В към Споразумението за създаване на Световната търговска организация (Споразумение за СТО), одобрено от името на Общността, що се отнася до въпроси от нейната компетентност, с Решение 94/800/ЕО на Съвета от 22 декември 1994 г. (ОВ L 336, 1994 г., стр. 1; Специално издание на български език, 2007 г., глава 11, том 10, стр. 3).

( 10 ) В изменената му редакция, влязла в сила на 10 май 2018 г.

( 11 ) Ministru kabineta 2004. gada 21. jūnija noteikumi Nr.551 “Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi” (Постановление на Министерския съвет № 551 от 21 юни 2004 г., „Правилник за прилагане на системата за точки за пътнотранспортни нарушения“).

( 12 ) Макар че това може да изглежда нелогично, текстът „приложното поле на правото на Съюза“, съдържащ се в член 2, параграф 2, буква а) от ОРЗД, изобщо не е ясен в контекста на ОРЗД, вж. Wolff, H.A., In: M. Pechstein, C. Nowak, U. Häde (eds). Frankfurter Kommentar zu EUV, GRC und AEUV. Band II, Mohr Siebeck, Tübingen, 2017, Art. 16 AEUV, pt.19.

( 13 ) А именно обработването на лични данни изцяло или частично с автоматични средства и обработването с други средства на лични данни, които са част от регистър с лични данни или са предназначени да съставляват част от регистър с лични данни.

( 14 ) Що се отнася до член 3, параграф 2 от Директива 95/46, същото се посочва в постоянната практика на Съда, вж. решение от 10 юли 2018 г., Jehovan todistajat (C‑25/17, EU:C:2018:551, т. 37 и цитираната съдебна практика). Вж. също Sobotta, Chr. In: E. Grabitz, M. Hilf et M. Nettesheim. Das Recht der Europäischen Union. 71. EL., актуализирано през август 2020 г., C.H. Beck, München, Art. 16 AEUV, pt. 22, който подчертава широкият обхват ratione materiae на уредбата на ЕС в областта на защитата на данните.

( 15 ) В това отношение виж също Hatje, A. In: J. Schwarze, U. Becker, A. Hatje, J. Schoo (eds), EU-Kommentar. 4th ed., Nomos, Baden-Baden, 2019, Art. 16, pt. 10, и Brühann, U. In: H. von der Groeben, H., J. Schwarze, A. Hatje (eds). Europäisches Unionsrecht (Kommentar). Band 1, 7. ed., Nomos, Baden-Baden, 2015, Art. 16 AEUV, pt. 130.

( 16 ) Който се отнася до „разпоредби с общо приложение“.

( 17 ) По отношение на Директива 95/46 вж. например решения от 13 май 2014 г., Google Spain и Google (C‑131/12, EU:C:2014:317, т. 66), и от 10 юли 2018 г., Jehovan todistajat (C‑25/17, EU:C:2018:551, т. 35).

( 18 ) Свързаната с вътрешния пазар първоначална логика на режима на ЕС за уредба на защитата на данните продължава да съществува успоредно със защитата на данните сама по себе си. Както е видно още от заглавието на ОРЗД и е определено в член 1 от него, предметът и целите на ОРЗД са две: да установи правила по отношение на защитата на физическите лица във връзка с обработването на лични данни и правила по отношение на свободното движение на лични данни. Освен това в съображение 13 от ОРЗД се уточнява, че трябва да се попречи на различията да възпрепятстват свободното движение на лични данни в рамките на вътрешния пазар и че за доброто функциониране на вътрешния пазар е необходимо свободното движение на лични данни в рамките на Съюза да не се ограничава, нито забранява по причини, свързани със защитата на физическите лица във връзка с обработването на лични данни.

( 19 ) Курсивът е мой.

( 20 ) Тази разпоредба определя приложното поле на Хартата.

( 21 ) Курсивът е мой.

( 22 ) Вж. например Zerdick, Th. In: E. Ehmann, M. Selmayr (eds), Datenschutz-Grundverordnung, Kommentar. C.H. Beck, München, 2. ed., 2018, Art. 2, pt. 5.

( 23 ) Това представлява постоянна съдебна практика след решението от 26 февруари 2013 г., Åkerberg Fransson (C‑617/10, EU:C:2013:105, т. 21). Вж. също решения от 21 декември 2016 г., AGET Iraklis (C‑201/15, EU:C:2016:972, т. 62), от 21 май 2019 г., Комисия/Унгария (Ползване на земеделски земи) (C‑235/17, EU:C:2019:432, т. 63), и от 24 септември 2020 г., NK (Професионални пенсии на ръководен персонал) (C‑223/19, EU:C:2020:753, т. 78).

( 24 ) Според мен текстът на член 2, параграф 2, буква а) от ОРЗД не е категоричен. Съгласно постоянната практика на Съда, за да се тълкува разпоредба от правото на Съюза, трябва да се вземе предвид не само нейният текст, но и контекстът ѝ, както и целите, преследвани от правната уредба, от която тя е част, и по-специално генезисът на тази правна уредба; вж. в този смисъл решение от 17 април 2018 г., Egenberger (C‑414/16, EU:C:2018:257, т. 44 и цитираната съдебна практика).

( 25 ) Вж. в този смисъл и Lubasz, D. In: D. Lubasz (ed.), Ochrona danych osobowych. Wolters Kluwer, Warszawa, 2020, pt. 92.

( 26 ) Като това преди е важало в същата степен и за член 114 ДФЕС.

( 27 ) Вж. член 10 от ОРЗД.

( 28 ) По-специално ако се приеме, че такъв национален идентификационен номер обикновено се дава при официалната регистрация на дадено раждане — тема, която обикновено не е свързана с компетентност на Съюза.

( 29 ) Вж. Декларация № 20, приложена към Заключителния акт на Междуправителствената конференция, която прие Договора от Лисабон, подписан на 13 декември 2007 г.

( 30 ) От член 94, параграф 2 от ОРЗД следва, че позоваванията на Директива 95/46 следва да се считат за позовавания на ОРЗД.

( 31 ) Вж. член 15, параграф 1 от Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 2002 г., стр. 37; Специално издание на български език, 2007 г., глава 13, том 36, стр. 63). По отношение на тази разпоредба вж. решение от 29 януари 2008 г., Promusicae (C‑275/06, EU:C:2008:54, т. 49).

( 32 ) Включително за осигуряване на териториалната цялост на държавата, поддържане на обществения ред и опазване на националната сигурност.

( 33 ) По отношение на този термин вж. Franzius, C. In: M. Pechstein, C. Nowak, U. Häde (eds), Frankfurter Kommentar zu EUV, GRC und AEUV. Band I, Mohr Siebeck, Tübingen, 2017, Art. 4 EUV, pt. 50: ‘Staatsfunktionengarantie’.

( 34 ) Вж. член 2, параграф 2, буква б) от ОРЗД.

( 35 ) Вж. член 2, параграф 2, буква в) от ОРЗД.

( 36 ) Вж. член 2, параграф 2, буква г) от ОРЗД.

( 37 ) Освен това член 39 ДЕС съдържа специално правно основание за обработването на лични данни от държавите членки при извършването на дейности в областта на общата външна политика и политика на сигурност. Следователно в това отношение с Договора от Лисабон е запазено разграничаването по „стълбове“, вж. Lynskey, O. The Foundations of EU Data Protection Law. OUP, Oxford, 2015, p. 18.

( 38 ) Вж. Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ L 119, 2016 г., стр. 89).

( 39 ) Вж. освен това решение от 6 октомври 2020 г., La Quadrature du Net и др. (C‑511/18, C‑512/18 и C‑520/18, EU:C:2020:791, т. 102).

( 40 ) Пример за това е обстоятелството, че Съдът не извършва например положителна проверка дали благотворителните и религиозните дейности попадат в приложното поле на правото на Съюза (вж. решение от 6 ноември 2003 г., Lindqvist,C‑101/01, EU:C:2003:596, т. 48).

( 41 ) Вж. решение от 20 май 2003 г., Österreichischer Rundfunk и др. (C‑465/00, C‑138/01 и C‑139/01, EU:C:2003:294, т. 42).

( 42 ) В правната доктрина, вж. освен това Kranenborg, H. In: Chr. Kuner, L.A. Bygrave, Chr. Docksey (eds), The EU General Data Protection Regulation (GDPR). OUP, Oxford, 2020, Art.86, A., p. 1214. Вж. също Pauly, D.A. In: B.P. Paal, D.A. Pauly, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz. C.H. Beck, München, 2018, Art. 86 DS-GVO, pt. 9.

( 43 ) В това отношение вж. също Kranenborg, H., op. cit., Art.86, C.1., p. 1217, включително бележка под линия 14. Същият автор правилно изтъква факта, че по този въпрос в първоначалното предложение на Комисията е включено само едно съображение, без да се предвиждат никакви разпоредби.

( 44 ) Съгласно тази разпоредба, ако субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели, обработването е законосъобразно в рамките на предоставеното съгласие.

( 45 ) Или когато обработването е разрешено от правото на Съюза или правото на държава членка, в което са предвидени подходящи гаранции за правата и свободите на субектите на данни.

( 46 ) Като например текстовете на испански (condenas e infracciones penales), немски (strafrechtliche Verurteilungen und Straftaten), италиански (condanne penali e […] reati’), литовски (apkaltinamuosius nuosprendžius ir nusikalstamas veikas), малтийски (kundanni kriminali u reati) и нидерландски език (strafrechtelijke veroordelingen en strafbare feiten).

( 47 ) Като например текстовете на френски (condamnations pénales et […] infractions), полски (wyroków skazujących oraz naruszeń prawa), португалски (condenações penais e infrações) и румънски език (condamnări penale și infracțiuni).

( 48 ) Всъщност, ако се вземе предвид единствено текстът, дори понятието „присъди“ теоретично би могло да е с административен характер.

( 49 ) Вж. например решение от 25 юни 2020 г., A и др. (Вятърни генератори в Алтер и Невеле) (C‑24/19, EU:C:2020:503, т. 39 и цитираната съдебна практика).

( 50 ) Вж. решение от 6 октомври 1982 г., Cilfit и др. (283/81, EU:C:1982:335, т. 18).

( 51 ) Вж. например решения от 30 май 2013 г., Genil 48 и Comercial Hostelera de Grandes Vinos (C‑604/11, EU:C:2013:344, т. 38 и цитираната съдебна практика), и от 6 септември 2012 г., Парламент/Съвет (C‑490/10, EU:C:2012:525, т. 68).

( 52 ) Вж. в този смисъл също Kawecki, M., Barta, P. In: P. Litwiński (ed.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz. C.H. Beck, Warszawa, 2018, член 10, точка 3.

( 53 ) „Обработването на данни, отнасящи се до закононарушения, наказателни присъди или мерки за сигурност, може да се извършва само под контрола на официален орган […]“. Курсивът е мой.

( 54 ) „Държавите членки могат да предвидят, че данните, отнасящи се до административни санкции или до решения по граждански дела, също се обработват под контрола на официален орган“. Курсивът е мой.

( 55 ) Вж. например решение от 1 октомври 2019 г., Planet49 (C‑673/17, EU:C:2019:801, т. 47 и цитираната съдебна практика).

( 56 ) Пак там.

( 57 ) Вж. решение от 17 септември 2020 г., JZ (Наказание лишаване от свобода при забрана за влизане) (C‑806/18, EU:C:2020:724, т. 26 и цитираната съдебна практика).

( 58 ) В този смисъл вж. също Georgieva, L. The EU General Data Protection Regulation (GDPR), op. cit., Art. 10, C.1., p. 388, и Schiff, A. Datenschutz-Grundverordnung, Kommentar, op. cit., Art. 10, pt. 4.

( 59 ) Която по случайност е приета в същия ден като ОРЗД.

( 60 ) Тоест правото на всеки да не бъде съден или наказван два пъти за едно и също престъпление.

( 61 ) Вж. също поучителното заключение на генералния адвокат Kokott по дело Bonda (C‑489/10, EU:C:2011:845, т. 32 и сл.).

( 62 ) Вж. решения на ЕСПЧ от 8 юни 1976 г., Engel и др./Нидерландия (CE:ECHR:1976:0608JUD000510071, т. 80—82), и от 10 февруари 2009 г., Сергей Золотухин/Русия (CE:ECHR:2009:0210JUD001493903, т. 52 и 53).

( 63 ) Вж. решение от 5 юни 2012 г., Bonda (C‑489/10, EU:C:2012:319, т. 37).

( 64 ) Като се има предвид, че тук става въпрос за точки за пътнотранспортни нарушения, които, както видяхме, не представляват строга санкция, тази констатация не се поставя под въпрос от решението на Съда от 14 ноември, Baláž (C‑60/12, EU:C:2013:733), в което се разглежда по-широкообхватният и по-общ въпрос за „компетентност и по наказателни дела“ по отношение на нарушенията на правилата за движение по пътищата като цяло, а не само по отношение на случаите, в които се налагат точки за пътнотранспортни нарушения, в контекста на Рамково решение 2005/214/ПВР на Съвета от 24 февруари 2005 година относно прилагането на принципа за взаимно признаване на финансови санкции (ОВ L 76, 2005 г., стр. 16; Специално издание на български език, 2007 г., глава 19, том 7, стр. 150).

( 65 ) Която, както ще видим по-нататък, във всеки случай не е приложима.

( 66 ) В този контекст може основателно да се постави въпросът дали са спазени изискванията на член 94, буква в) от Процедурния правилник на Съда, като в противен случай въпросът би бил недопустим.

( 67 ) Вж. решение от 16 януари 2019 г., Deutsche Post (C‑496/17, EU:C:2019:26, т. 57 и цитираната съдебна практика).

( 68 ) Член 5 от ОРЗД е формулиран императивно („[личните данни] са“) и различните принципи са свързани с точка и запетая, което предполага „и“, а не „или“.

( 69 ) В член 6 от ОРЗД се прави позоваване на „поне едно от следните условия“.

( 70 ) Вж. решение от 9 март 2017 г., Manni (C‑398/15, EU:C:2017:197, т. 35).

( 71 ) Член 2, букви б) и г) от Директива 95/46.

( 72 ) Този принцип е развит допълнително в глава IV, раздел 2 от ОРЗД (членове 32—34).

( 73 ) В този смисъл вж. също Pötters, St. In: P. Gola (ed), Datenschutz-Grundverordnung VO (EU) 2016/679, Kommentar. C.H. Beck, München, 2. ed., 2018, Art. 5, pt. 29.

( 74 ) Което гласи, че за да бъде обработването законосъобразно, личните данни следва да бъдат обработвани въз основа на съгласието на съответния субект на данни или на друго легитимно основание, установено по законодателен път в ОРЗД или в друг правен акт на Съюза или на държава членка, както е посочено в този регламент, включващо необходимостта от спазване на правното задължение, наложено на администратора на лични данни, или необходимостта от изпълнение на договор, по който субектът на данни е страна, или с оглед предприемане на стъпки по искане на субекта на данни преди встъпване в договорни отношения.

( 75 ) Вж. в това отношение и Herbst, T. In: J. Buchner, B. Kühling (eds), Datenschutz-Grundverordnung/BDSG, Kommentar. 2. ed., C.H. Beck, München, 2018, Art. 5 DS-GVO, pt. 11, и Pötters, St., op. cit., Art. 5, pt. 6. За по-широко тълкуване на законосъобразността като изискване за спазване на всички разпоредби на регламента вж. Lubasz, D. In: D. Lubasz (ed.), Ochrona danych osobowych. Wolters Kluwer, Warzsawa 2020, pt. 186.

( 76 ) Дори ако се приеме за необходимо да се проверят изискванията по член 6 от ОРЗД в контекста на член 5 от този регламент, според мен обработването е законосъобразно и по смисъла на член 6, параграф 1, буква в) от ОРЗД като обработване, което е необходимо за спазването на законово задължение, което се прилага спрямо администратора, като се има предвид, че като съобщава на обществеността наложените точки за пътнотранспортни нарушения, CSDD изпълнява законовото си задължение съгласно националното право.

( 77 ) Що се отнася до позоваването от австрийското правителство в това отношение на решение на Bundesverfassungsgericht (Федерален конституционен съд) от 27 февруари 2008 г. (1 BvR 370/07 и 1 BvR 595/07 (ECLI:DE:BVerfG:2008:rs20080227.1bvr037007), BVerfGE 120, 274 и сл., стр. 314, достъпно на адрес: http://www.bverfg.de/e/rs20080227_1bvr037007en.html), не съм толкова сигурен, че то е релевантно, тъй като това решение се отнася до основно материално право, докато, както беше установено в предходните точки от настоящото заключение, член 5, параграф 1, буква е) от ОРЗД се отнася до формални изисквания.

( 78 ) На следващо място в разпоредбата се посочва, че по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита съгласно член 89, параграф 1 от ОРЗД за несъвместимо с първоначалните цели.

( 79 ) Вж. в този смисъл Lubasz, D. In: D. Lubasz (ed), Ochrona danych osobowych. Wolters Kluwer, Warzsawa 2020, pt. 202.

( 80 ) Вж. например решение от 9 ноември 2010 г., Volker und Markus Schecke и Eifert (C‑92/09 и C‑93/09, EU:C:2010:662, т. 74 и цитираната съдебна практика).

( 81 ) Тази разпоредба е добавена към Директива 2003/98 през 2013 г.; вж. член 1, параграф 1, буква а), подточка iii) от Директива 2013/37/ЕС на Европейския парламент и на Съвета от 26 юни 2013 година за изменение на Директива 2003/98/ЕО относно повторната употреба на информацията в обществения сектор (ОВ L 175, 2013 г., стр. 1—8).

( 82 ) В това отношение член 1, параграф 4 от Директива 2003/98/ЕС се позовава на Директива 95/46.

( 83 ) Що се отнася до Директива (ЕС) 2019/1024 на Европейския парламент и на Съвета от 20 юни 2019 година относно отворените данни и повторното използване на информацията от обществения сектор (ОВ L 172, 2019 г., стр. 56), по силата на член 19 от който се отменя Директива 2003/98, считано от 17 юли 2021 г.; вж. член 1, параграф 2, буква е) от Директива 2019/1024.

( 84 ) Това обикновено се нарича действие ex tunc на преюдициалните запитвания по член 267 ДФЕС.

( 85 ) Вж. например решения от 29 септември 2015 г., Gmina Wrocław (C‑276/14, EU:C:2015:635, т. 44), и от 28 октомври 2020 г., Bundesrepublik Deutschland (Определяне на тол такси за ползване на автомагистрали) (C‑321/19, EU:C:2020:866, т. 54).

( 86 ) Вж. например решения от 29 септември 2015 г., Gmina Wrocław (C‑276/14, EU:C:2015:635, т. 45), и от 28 октомври 2020 г., Bundesrepublik Deutschland (Определяне на тол такси за ползване на автомагистрали) (C‑321/19, EU:C:2020:866, т. 55).

( 87 ) Вж. решения от 8 септември 2010 г., Winner Wetten (C‑409/06, EU:C:2010:503, т. 67), и от 19 ноември 2009 г., Filipiak (C‑314/08, EU:C:2009:719, т. 84). Вж. също решение от 6 март 2007 г., Meilicke и др. (C‑292/04, EU:C:2007:132, т. 36 и цитираната съдебна практика).

( 88 ) Вж. решения от 17 декември 1970 г., Internationale Handelsgesellschaft (11/70, EU:C:1970:114, т. 3), и от 8 септември 2010 г., Winner Wetten (C‑409/06, EU:C:2010:503, т. 61).

( 89 ) Вж. например решения от 29 септември 2015 г., Gmina Wrocław (C‑276/14, EU:C:2015:635, т. 45), и от 28 октомври 2020 г., Bundesrepublik Deutschland (Определяне на тол такси за ползване на автомагистрали) (C‑321/19, EU:C:2020:866, т. 55).

( 90 ) Вж. също Lenaerts, K., I. Maselis, K. Gutman. EU Procedural Law. Oxford University Press, Oxford, 2014, pt. 6.34, p. 247.

( 91 ) Вж. например решение от 16 септември 2020 г., Romenergo и Aris Capital (C‑339/19, EU:C:2020:709, т. 49 и цитираната съдебна практика).