ROZSUDEK SOUDNÍHO DVORA (pátého senátu)

24. února 2022 ( *1 )

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 2 – Oblast působnosti – Článek 4 – Pojem ‚zpracování‘ – Článek 5 – Zásady zpracování – Omezení účelů – Minimalizace údajů – Článek 6 – Zákonnost zpracování – Zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu, kterým je pověřen správce – Zpracování nezbytné pro splnění právní povinnosti, která se na správce vztahuje – Článek 23 – Omezení – Zpracování údajů pro daňové účely – Žádost o sdělení informací o inzerátech na prodej vozidel zveřejněných na internetu – Přiměřenost“

Ve věci C‑175/20,

jejímž předmětem je žádost o rozhodnutí o předběžné otázce na základě článku 267 SFEU, podaná rozhodnutím Administratīvā apgabaltiesa (Regionální správní soud, Lotyšsko)] ze dne 11. března 2020, došlým Soudnímu dvoru dne 14. dubna 2020, v řízení

„SS“ SIA

proti

Valsts ieņēmumu dienests,

SOUDNÍ DVŮR (pátý senát),

ve složení E. Regan, předseda senátu, K. Lenaerts, předseda Soudního dvora vykonávající funkci soudce pátého senátu, C. Lycourgos, předseda čtvrtého senátu, I. Jarukaitis a M. Ilešič (zpravodaj), soudci,

generální advokát: M. Bobek,

vedoucí soudní kanceláře: A. Calot Escobar,

s přihlédnutím k písemné části řízení,

s ohledem na vyjádření předložená:

–	za „SS“ SIA M. Ruķersem,

–	za lotyšskou vládu původně K. Pommere, V. Soņeca a L. Juškeviča, poté K. Pommere, jako zmocněnkyněmi,

–	za belgickou vládu J.-C. Halleuxem a P. Cottinem, jako zmocněnci, ve spolupráci s C. Molitorem, avocat,

–	za řeckou vládu E.-M. Mamouna a O. Patsopoulou, jako zmocněnkyněmi,

–	za španělskou vládu původně J. Rodríguez de la Rúa Puigem a S. Jiménez Garcíou, poté J. Rodríguez de la Rúa Puigem, jako zmocněnci,

–	za Evropskou komisi původně H. Kranenborgem a D. Nardim, jakož i I. Rubene, poté H. Kranenborgem a I. Rubene, jako zmocněnci,

po vyslechnutí stanoviska generálního advokáta na jednání konaném dne 2. září 2021,

vydává tento

Rozsudek

Žádost o rozhodnutí o předběžné otázce se týká výkladu nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, a oprava Úř. věst. 2018, L 127, s. 2), zejména jeho čl. 5 odst. 1.

2	Tato žádost byla předložena v rámci sporu mezi společností „SS“ SIA a Valsts ieņēmumu dienests (daňová správa, Lotyšsko) (dále jen „lotyšská daňová správa“) ve věci žádosti o sdělení informací týkajících se inzerátů na prodej vozidel zveřejněných na internetových stránkách společnosti SS.

Právní rámec

Unijní právo

Nařízení 2016/679

3	Nařízení 2016/679, které je založeno na článku 16 SFEU, se podle svého čl. 99 odst. 2 použije ode dne 25. května 2018.

V bodech 1, 4, 10, 19, 26, 31, 39, 41 a 50 odůvodnění tohoto nařízení se uvádí:

„(1)	Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen ‚Listina‘) a čl. 16 odst. 1 [SFEU] přiznávají každému právo na ochranu osobních údajů, které se jej týkají.

[…]

(4)

Zpracování osobních údajů by mělo sloužit lidem. Právo na ochranu osobních údajů není právem absolutním; musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy. Toto nařízení ctí všechna základní práva a dodržuje svobody a zásady uznávané Listinou, jak jsou zakotveny ve Smlouvách, zejména respektování soukromého a rodinného života, obydlí a komunikace, ochranu osobních údajů, svobodu myšlení, svědomí a náboženského vyznání, svobodu projevu a informací, svobodu podnikání, právo na účinnou právní ochranu a spravedlivý proces, jakož i kulturní, náboženskou a jazykovou rozmanitost.

[…]

(10)	S cílem zajistit soudržnou a vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů v rámci Unie by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech. […]

[…]

(19)

Ochrana fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem předcházení trestným činům nebo jejich vyšetřování, odhalování či stíhání nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení a volný pohyb těchto údajů jsou upraveny zvláštním právním aktem Unie. Proto by se toto nařízení nemělo uplatňovat na činnosti zpracování za těmito účely. Na osobní údaje zpracovávané orgány veřejné moci podle tohoto nařízení, pokud jsou používány za těmito účely, by se však měl vztahovat konkrétnější právní akt Unie, totiž směrnice Evropského parlamentu a Rady (EU) 2016/680 [ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. 2016, L 119, s. 89)]. […]

[…]

(26)

Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby. […] Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby […]

[…]

(31)

Orgány veřejné moci, kterým jsou osobní údaje sdělovány na základě právní povinnosti pro účely výkonu jejich úředních povinností, jako jsou daňové a celní orgány, finanční vyšetřovací jednotky, nezávislé správní orgány nebo orgány finančního trhu příslušné pro regulaci trhů s cennými papíry a dohled nad nimi, by neměly být považovány za příjemce, pokud obdrží osobní údaje, které jsou nezbytné pro provedení konkrétního šetření v obecném zájmu v souladu s právem Unie či členského státu. Žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci ani vést k propojení evidencí. Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování.

[…]

(39)

[…] Zásada transparentnosti vyžaduje, aby všechny informace a všechna sdělení týkající se zpracování těchto osobních údajů byly snadno přístupné a srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků. Tato zásada se dotýká zejména informování subjektů údajů o totožnosti správce a účelech zpracování a o dalších záležitostech v zájmu zajištění spravedlivého a transparentního zpracování ve vztahu k dotčeným fyzickým osobám a jejich práva získat potvrzení a na sdělení zpracovávaných osobních údajů, které se jich týkají. Fyzické osoby by měly být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním jejich osobních údajů a jak mají v souvislosti s tímto zpracováním uplatňovat svá práva. Zejména je zapotřebí, aby konkrétní účely, pro které jsou osobní údaje zpracovávány, byly jednoznačné a legitimní a aby byly stanoveny v okamžiku shromažďování osobních údajů. Osobní údaje by měly být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelů, pro které jsou zpracovávány. Je nezbytné zejména zajistit, aby byla doba, po kterou jsou osobní údaje uchovávány, omezena na nezbytné minimum. Osobní údaje by měly být zpracovány pouze tehdy, nemůže-li být účelu zpracování přiměřeně dosaženo jinými prostředky. […]

[…]

(41)

Odkazy v tomto nařízení na právní základ či legislativní opatření neznamenají nutně legislativní akt přijatý parlamentem, aniž jsou dotčeny požadavky vyplývající z ústavního řádu dotčeného členského státu. Toto právo, právní předpisy, právní základ či legislativní opatření členského státu by však měly být jasné a přesné a jejich použití by mělo být předvídatelné pro osoby, na něž se vztahují, jak to vyžaduje judikatura Soudního dvora a Evropského soudu pro lidská práva..

[…]

(50)

Zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je slučitelné s účely, pro které byly osobní údaje původně shromážděny. V takovém případě není třeba právní základ odlišný od toho, který umožnil shromáždění osobních údajů. Pokud je zpracování nezbytné ke splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce, mohou být v právu Unie nebo členského státu určeny a vymezeny úkoly a účely, pro které se další zpracování považuje za slučitelné a zákonné. Další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo být považováno za slučitelné zákonné operace zpracování. Právní základ pro zpracování osobních údajů podle práva Unie nebo členského státu může rovněž posloužit jako právní základ pro další zpracování. S cílem zjistit, zda je účel dalšího zpracování slučitelný s účelem, pro který byly osobní údaje původně shromážděny, by měl správce, po splnění všech požadavků na zákonnost původního zpracování, vzít mimo jiné v úvahu jakoukoliv vazbu mezi těmito účely a účely zamýšleného dalšího zpracování, kontext, v němž byly osobní údaje shromážděny, zejména přiměřená očekávání ohledně dalšího použití osobních údajů, která mají subjekty údajů na základě svého vztahu se správcem, povahu osobních údajů, důsledky zamýšleného dalšího zpracování pro subjekty údajů a existenci vhodných záruk jak během původních, tak během zamýšlených dalších operací zpracování.“

Článek 2 nařízení 2016/679, nadepsaný „Věcná působnost“, stanoví:

„1. Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

2. Toto nařízení se nevztahuje na zpracování osobních údajů prováděné:

a)	při výkonu činností, které nespadají do oblasti působnosti práva Unie;

b)	členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;

c)	fyzickou osobou v průběhu výlučně osobních či domácích činností;

d)	příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

[…]“

Článek 4 tohoto nařízení, nadepsaný „Definice“, zní takto:

„Pro účely tohoto nařízení se rozumí:

‚osobními údaji‘ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen ‚subjekt údajů‘); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

‚zpracováním‘ jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

[…]

6)	‚evidencí‘ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;

7)	‚správcem‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů; […]

[…]

‚příjemcem‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;

[…]“

Článek 5 uvedeného nařízení, nadepsaný „Zásady zpracování osobních údajů“, zní:

„1. Osobní údaje musí být:

a)	ve vztahu k subjektu údajů zpracovávány korektně, zákonným a transparentním způsobem (‚zákonnost, korektnost a transparentnost‘);

b)	shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; […] (‚účelové omezení‘)

c)	přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány (‚minimalizace údajů‘);

d)	přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny (‚přesnost‘);

e)	uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; […] (‚omezení uložení‘);

f)	zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením (‚integrita a důvěrnost‘).

2. Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

Článek 6 téhož nařízení, nadepsaný „Zákonnost zpracování“, stanoví:

„1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

a)	subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

b)	zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;

c)	zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;

d)	zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;

e)	zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;

f)	zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.

2. Členské státy mohou zachovat nebo zavést konkrétnější ustanovení, aby přizpůsobily používání pravidel tohoto nařízení ohledně zpracování ke splnění odst. 1 písm. c) a e) tím, že přesněji určí konkrétní požadavky na zpracování a jiná opatření k zajištění zákonného a spravedlivého zpracování, a to i u jiných zvláštních situací, při nichž dochází ke zpracování, jak stanoví kapitola IX.

3. Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:

a)	právem Unie nebo

b)	právem členského státu, které se na správce vztahuje.

Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. […] Právo Unie nebo členského státu musí splňovat cíl veřejného zájmu a musí být přiměřené sledovanému legitimnímu cíli.

4. Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 23 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:

a)	jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;

b)	okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;

c)	povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 9 nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle článku 10;

d)	možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;

e)	existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.“

9	Článek 13 odst. 3 nařízení 2016/679 zní: „Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.“

Článek 14 tohoto nařízení stanoví:

„1. Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne správce subjektu údajů tyto informace:

[…]

c)	účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;

[…]

5. Odstavce 1 až 4 se nepoužijí, pokud a do té míry, v níž:

[…]

c)	je získávání nebo zpřístupnění výslovně stanoveno právem Unie nebo členského státu, které se na správce vztahuje a v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů; […]

[…]“

Článek 23 odst. 1 písm. e) uvedeného nařízení zní:

„Právo Unie nebo členského státu, které se na správce nebo zpracovatele vztahuje, může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v článcích 12 až 22 a v článku 34, jakož i v článku 5, v rozsahu, v jakém ustanovení tohoto článku odpovídají právům a povinnostem stanoveným v článcích 12 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:

[…]

e)	jiné důležité cíle obecného veřejného zájmu Unie nebo členského státu, zejména důležitý hospodářský nebo finanční zájem Unie nebo členského státu, včetně peněžních, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení;

[…]“

Článek 25 odst. 2 nařízení 2016/679 stanoví:

„Správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.“

Směrnice 2016/680

Body 10 a 11 odůvodnění směrnice 2016/680 uvádějí:

„(10)

V prohlášení č. 21 o ochraně osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce, připojeném k závěrečnému aktu mezivládní konference, která přijala Lisabonskou smlouvu, konference uznala, že zvláštní pravidla pro ochranu osobních údajů a volný pohyb osobních údajů v oblastech justiční spolupráce v trestních věcech a policejní spolupráce, založená na článku 16 [SFEU], by se mohla vzhledem ke specifické povaze těchto oblastí ukázat jako nezbytná.

(11)

Je proto vhodné, aby byly tyto oblasti upraveny v samostatné směrnici, která stanoví zvláštní pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, při respektování zvláštní povahy těchto činností. Tyto příslušné orgány mohou zahrnovat nejen orgány veřejné moci, jako jsou justiční orgány, policie nebo jiné donucovací orgány, ale také jakýkoli jiný orgán nebo subjekt pověřený právem členského státu plnit veřejnou funkci a vykonávat veřejnou moc pro účely této směrnice. Pokud takový orgán nebo subjekt zpracovává osobní údaje pro jiné účely než pro účely této směrnice, použije se nařízení [2016/679]. Nařízení [2016/679] se proto použije v případech, kdy orgán nebo subjekt shromažďuje osobní údaje pro jiné účely a tyto osobní údaje dále zpracovává za účelem splnění právní povinnosti, která mu je uložena. […]“

Článek 3 této směrnice stanoví:

„Pro účely této směrnice se rozumějí:

[…]

7. ‚příslušným orgánem‘:

a)	jakýkoliv orgán veřejné moci příslušný k prevenci, vyšetřování, odhalování či stíhání trestných činů či výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení; nebo

b)	jakýkoliv jiný orgán nebo subjekt pověřený právem členského státu plnit veřejnou funkci a vykonávat veřejnou moc pro účely prevence, vyšetřování, odhalování či stíhání trestných činů či výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení;

[…]“

Lotyšské právo

Podle čl. 15 odst. 6 likums „Par nodokļiem un nodevām“ (zákon o daních a poplatcích, Latvijas Vēstnesis, 1995, č. 26), ve znění použitelném na spor v původním řízení (dále jen „zákon o daních a poplatcích“), je poskytovatel internetových inzertních služeb povinen na žádost lotyšské daňové správy poskytnout informace, které má k dispozici, týkající se daňových poplatníků, kteří s využitím jeho služeb zveřejnili inzeráty.

Spor v původním řízení a předběžné otázky

16	Společnost SS je poskytovatelem internetových inzertních služeb usazeným v Lotyšsku.

Dne 28. srpna 2018 lotyšská daňová správa zaslala společnosti SS žádost o sdělení na základě čl. 15 odst. 6 zákona o daních a poplatcích, v níž tuto společnost vyzvala, aby obnovila přístup, který měla tato daňová správa k identifikačním číslům vozidel, kterých se týká inzerát zveřejněný na internetovém portálu uvedené společnosti, jakož i k telefonním číslům prodejců, a aby jí nejpozději dne 3. září 2018 poskytla informace o inzerátech zveřejněných v období od 14. července do 31. srpna 2018 v rubrice nadepsané „Osobní automobil“ na tomto portálu.

18	Tato žádost upřesňovala, že tyto informace obsahující odkaz na inzerát, text tohoto inzerátu, značku, model, identifikační číslo a cenu vozidla, jakož i telefonní číslo prodejce musí být předloženy elektronicky ve formátu umožňujícím filtrování nebo výběr údajů.

Kromě toho v případě, že by přístup k informacím uvedeným v inzerátech zveřejněných na dotčeném internetovém portálu nemohl být obnoven, byla společnost SS vyzvána, aby uvedla důvod tohoto neobnovení a poskytla nejpozději třetí den každého měsíce příslušné informace týkající se inzerátů zveřejněných v předchozím měsíci.

20	Vzhledem k tomu, že společnost SS měla za to, že žádost lotyšské daňové správy o sdělení není v souladu se zásadami proporcionality a minimalizace osobních údajů zakotvenými v nařízení 2016/679, podala proti této žádosti stížnost ke generálnímu řediteli zastupujícímu lotyšskou daňovou správu.

21	Rozhodnutím ze dne 30. října 2018 uvedená správa tuto stížnost zamítla, přičemž zejména uvedla, že v rámci zpracování osobních údajů, o které jde ve věci v původním řízení, vykonává lotyšská daňová správa pravomoci, které jsou jí svěřeny zákonem.

Společnost SS podala k administratīvā rajona tiesa (okresní správní soud, Lotyšsko) žalobu znějící na zrušení tohoto rozhodnutí. Vedle argumentů, které uvedla ve své stížnosti, v žalobě tvrdila, že uvedené rozhodnutí neuvádí konkrétní účel zpracování osobních údajů zamýšleného lotyšskou daňovou správou, ani množství údajů nezbytných k tomuto zpracování, což je v rozporu s čl. 5 odst. 1 nařízení 2016/679.

Rozsudkem ze dne 21. května 2019 administratīvā rajona tiesa (okresní správní soud) tuto žalobu zamítl, přičemž v podstatě uvedl, že lotyšská daňová správa byla oprávněna požadovat přístup k informacím týkajícím se všech osob a v neomezeném množství, ledaže by tyto informace byly považovány za neslučitelné s účely výběru daní. Tento soud měl mimoto za to, že se na tuto správu nevztahují ustanovení nařízení 2016/679.

Společnost SS podala proti tomuto rozsudku odvolání k předkládajícímu soudu, přičemž tvrdila, že lotyšská daňová správa podléhá ustanovením nařízení 2016/679 a že tato správa tím, že vyžadovala měsíčně a bez časového omezení značné množství osobních údajů týkajících se neomezeného počtu inzerátů, aniž identifikovala daňové poplatníky, vůči kterým byla zahájena daňová kontrola, porušila zásadu proporcionality.

Předkládající soud uvádí, že v rámci sporu v původním řízení není zpochybňováno, že vyhovění dotčené žádosti o sdělení je vnitřně spjato se zpracováním osobních údajů, ani že lotyšská daňová správa má právo na získání informací, které má poskytovatel služeb zprostředkovávání reklamy na internetu k dispozici a které jsou nezbytné k provedení zvláštních opatření v oblasti výběru daní.

26	Spor v původním řízení se týká množství a druhu informací, které může lotyšská daňová správa požadovat, omezené či neomezené povahy těchto informací, jakož i otázky, zda sdělovací povinnost, které podléhá společnost SS, musí být časově omezena.

Předkládající soud má zejména za to, že mu přísluší určit, zda je za okolností věci v původním řízení zpracování osobních údajů prováděno ve vztahu k subjektům údajů transparentně, zda jsou informace uvedené v dotčené žádosti o sdělení požadovány pro určité, výslovně vyjádřené a legitimní účely a zda je zpracování osobních údajů prováděno pouze v rozsahu, v němž je skutečně nezbytné k výkonu funkcí lotyšské daňové správy ve smyslu čl. 5 odst. 1 nařízení 2016/679.

Za tímto účelem je nezbytné vymezit kritéria umožňující posoudit, zda žádost lotyšské daňové správy o sdělení respektuje podstatu základních svobod a práv a zda žádost o sdělení dotčená ve věci v původním řízení může být považována za nezbytnou a přiměřenou v demokratické společnosti za účelem zajištění důležitých cílů Unie a lotyšských veřejných zájmů v rozpočtové a daňové oblasti.

Za těchto podmínek se Administratīvā apgabaltiesa (regionální správní soud, Lotyšsko) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

„1)

Musí být požadavky stanovené v nařízení [2016/679] vykládány v tom smyslu, že taková žádost o sdělení informací vystavená daňovou správou, jako je žádost dotčená v projednávané věci, prostřednictvím které se požaduje poskytnutí informací obsahujících značné množství osobních údajů, musí dodržovat požadavky stanovené v nařízení 2016/679 (zejména v jeho čl. 5 odst. 1)?

2)	Musí být požadavky stanovené v nařízení [2016/679] vykládány v tom smyslu, že se daňová správa může odchýlit od ustanovení čl. 5 odst. 1 nařízení [2016/679], i když právní předpisy platné v Lotyšsku takové právo uvedené správě nepřiznávají?

Lze mít s ohledem na požadavky stanovené v nařízení [2016/679] za to, že existuje legitimní cíl odůvodňující povinnost uloženou takovou žádostí o sdělení informací, jako je žádost dotčená v projednávané věci, poskytnout všechny požadované informace v neomezeném množství a po neomezenou dobu, tedy bez určení data, kdy má plnění povinností vyplývajících z uvedené žádosti o informace skončit?

4)	Existuje s ohledem na požadavky nařízení [2016/679] legitimní cíl, který odůvodňuje povinnost poskytnout všechny požadované údaje uloženou takovou žádostí o sdělení, jako je žádost dotčená v projednávané věci, i když žádost o sdělení neupřesňuje účel sdělení informací (nebo jej upřesňuje neúplně)?

Lze mít s ohledem na požadavky stanovené v nařízení [2016/679] za to, že existuje legitimní cíl odůvodňující povinnost uloženou takovou žádostí o informace, jako je žádost dotčená v projednávané věci, poskytnout všechny požadované údaje, i když v praxi by se tato žádost týkala absolutně všech subjektů údajů, které uveřejnily inzerát v rubrice nadepsané ‚Osobní automobil‘ internetového portálu?

6)	Jaká kritéria je třeba uplatnit k ověření, zda daňová správa jakožto správce řádně zajišťuje soulad zpracování údajů (včetně shromažďování informací) s požadavky stanovenými v nařízení [2016/679]?

7)	Jaká kritéria je třeba uplatnit k ověření, zda taková žádost o sdělení informací, jako je žádost dotčená v projednávané věci, je řádně odůvodněná a týká se jednotlivého případu?

8)	Jaká kritéria je třeba uplatnit k ověření, zda je zpracování osobních údajů prováděno v nezbytném rozsahu a v souladu s požadavky stanovenými v nařízení [2016/679]?

9)	Jaká kritéria je třeba uplatnit k ověření, zda daňová správa jakožto správce zajišťuje soulad zpracování údajů s požadavky stanovenými v čl. 5 odst. 1 nařízení [2016/679] (odpovědnost)?“

K předběžným otázkám

K první otázce

Podstatou první otázky předkládajícího soudu je, zda musí být ustanovení nařízení 2016/679 vykládána v tom smyslu, že požadavkům stanoveným tímto nařízením, zejména požadavkům uvedeným v jeho čl. 5 odst. 1, podléhá shromažďování informací, které zahrnují značné množství osobních údajů, daňovou správou členského státu od hospodářského subjektu.

31	K podání odpovědi na tuto otázku je třeba zaprvé ověřit, zda taková žádost spadá do věcné působnosti nařízení 2016/679, jak je definována v jeho čl. 2 odst. 1, a zadruhé zda nepatří mezi zpracování osobních údajů, která čl. 2 odst. 2 tohoto nařízení z této působnosti vylučuje.

32	Zaprvé se podle čl. 2 odst. 1 nařízení 2016/679 toto nařízení vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

Článek 4 bod 1 nařízení 2016/679 upřesňuje, že „osobními údaji“ se rozumějí veškeré informace o identifikované nebo identifikovatelné fyzické osobě, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Bod 26 odůvodnění tohoto nařízení v tomto ohledu upřesňuje, že při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby.

34	V rámci sporu v původním řízení je nesporné, že informace, jejichž sdělení lotyšská daňová správa požaduje, jsou osobními údaji ve smyslu čl. 4 bodu 1 nařízení 2016/679.

Podle čl. 4 bodu 2 tohoto nařízení představuje „zpracování“ ve smyslu uvedeného nařízení shromažďování, konzultace, sdělení prostřednictvím přenosu nebo jakékoli jiné zpřístupnění osobních údajů. Ze znění tohoto ustanovení, zejména z výrazu „jakákoliv operace“, vyplývá, že unijní normotvůrce zamýšlel přiznat pojmu „zpracování“ široký dosah. Tento výklad je potvrzen demonstrativní povahou výčtu operací uvedených v tomto ustanovení, vyjádřenou slovním spojením „jako je“.

36	Lotyšská daňová správa v projednávané věci požaduje, aby dotyčný hospodářský subjekt obnovil přístup útvarů této správy k identifikačním číslům vozidel, kterých se týká inzerát zveřejněný na jeho internetovém portálu, a aby mu poskytl informace o inzerátech zveřejněných na tomto portálu.

Taková žádost, kterou daňová správa členského státu požaduje od hospodářského subjektu sdělení a zpřístupnění osobních údajů, které je podle vnitrostátní právní úpravy tohoto členského státu tento hospodářský subjekt povinen poskytnout a zpřístupnit, zahajuje proces „shromáždění“ těchto údajů ve smyslu čl. 4 bodu 2 nařízení 2016/679.

38	Kromě toho sdělení a zpřístupnění uvedených údajů této správě dotčeným hospodářským subjektem znamená „zpracování“ ve smyslu tohoto čl. 4 bodu 2.

39	Zadruhé je třeba zkoumat, zda lze mít za to, že operace, kterou se daňová správa členského státu snaží získat od hospodářského subjektu osobní údaje týkající se některých daňových poplatníků, je vyňata z působnosti nařízení 2016/679 na základě jeho čl. 2 odst. 2.

40	V tomto ohledu je třeba nejprve připomenout, že toto ustanovení stanoví výjimky z působnosti tohoto nařízení, jak je vymezena v jeho čl. 2 odst. 1, a že tyto výjimky musí být vykládány striktně (rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 84).

Konkrétně čl. 2 odst. 2 písm. d) nařízení 2016/679 stanoví, že se toto nařízení nevztahuje na zpracování osobních údajů prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

Jak vyplývá z bodu 19 odůvodnění tohoto nařízení, tato výjimka je odůvodněna tím, že na zpracování osobních údajů, které provádí příslušné orgány za takovými účely, se vztahuje konkrétní unijní akt, a sice směrnice 2016/680, která byla přijata ve stejný den jako nařízení 2016/679 a která v čl. 3 bodu 7 definuje, co se rozumí „příslušným orgánem“, přičemž taková definice musí být obdobně použita i na čl. 2 odst. 2 písm. d) tohoto nařízení [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, body 69].

Z bodu 10 odůvodnění směrnice 2016/680 vyplývá, že pojem „příslušný orgán“ musí být vykládán v souvislosti s ochranou osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce s přihlédnutím k úpravám, které se v tomto ohledu mohou vzhledem ke specifické povaze těchto oblastí ukázat jako nezbytné. V bodě 11 odůvodnění této směrnice je kromě toho upřesněno, že se nařízení 2016/679 použije na zpracování osobních údajů prováděné „příslušným orgánem“ ve smyslu čl. 3 odst. 7 zmíněné směrnice, ale pro jiné účely, než jsou účely uvedené v této směrnici [rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 70].

Žádá-li tedy daňová správa členského státu hospodářský subjekt o poskytnutí osobních údajů týkajících se některých daňových poplatníků pro účely výběru daně a boje proti daňovým únikům, nic nenasvědčuje tomu, že by tato správa mohla být považována za „příslušný orgán“ ve smyslu čl. 3 bodu 7 směrnice 2016/680, a tudíž ani tomu, že by takové žádosti o informace mohly spadat pod výjimku stanovenou v čl. 2 odst. 2 písm. d) nařízení 2016/679.

Kromě toho, i když není vyloučeno, že by osobní údaje dotčené ve věci v původním řízení mohly být použity v rámci trestních stíhání, která by mohla být vedena v případě protiprávního jednání v daňové oblasti proti určitým subjektům údajů, nejeví se, že by tyto údaje byly shromažďovány s konkrétním cílem vedení takových trestních stíhání nebo v rámci činností státu v oblasti trestního práva (v tomto smyslu viz rozsudek ze dne 27. září 2017, Puškár, C‑73/16, EU:C:2017:725, bod 40).

Shromažďování osobních údajů týkajících se inzerátů na prodej vozidel zveřejněných na internetových stránkách hospodářského subjektu daňovou správou členského státu tudíž spadá do věcné působnosti nařízení 2016/679, a tato správa tedy musí dodržovat zejména zásady zpracování osobních údajů stanovené v článku 5 tohoto nařízení.

S ohledem na všechny výše uvedené úvahy je třeba na první otázku odpovědět tak, že ustanovení nařízení 2016/679 musí být vykládána v tom smyslu, že požadavkům stanoveným tímto nařízením, zejména požadavkům uvedeným v jeho čl. 5 odst. 1, podléhá shromažďování informací, které zahrnují značné množství osobních údajů, daňovou správou členského státu od hospodářského subjektu.

K druhé otázce

48	Podstatou druhé otázky předkládajícího soudu je, zda musí být ustanovení nařízení 2016/679 vykládána v tom smyslu, že se daňová správa členského státu může odchýlit od ustanovení čl. 5 odst. 1 tohoto nařízení, i když jí takové právo nebylo přiznáno vnitrostátním právem tohoto členského státu.

49	Úvodem je třeba připomenout, že jak vyplývá z bodu 10 jeho odůvodnění, je cílem nařízení 2016/679 mimo jiné zajistit vysokou úroveň ochrany fyzických osob v rámci Unie.

Za tímto účelem stanoví kapitoly II a III nařízení 2016/679 zásady, jimiž se řídí zpracování osobních údajů, jakož i práva subjektu údajů, která musí dodržovat každé zpracování osobních údajů. Konkrétně musí být každé zpracování osobních údajů zejména v souladu se zásadami zpracování takových údajů stanovenými v článku 5 uvedeného nařízení (v tomto smyslu viz rozsudek ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 208).

Článek 23 nařízení 2016/679 nicméně dovoluje Unii a členským státům přijmout „legislativní opatření“ omezující rozsah povinností a práv stanovených zejména v článku 5 tohoto nařízení za předpokladu, že odpovídají právům a povinnostem stanoveným v článcích 12 až 22 uvedeného nařízení, pokud takové omezení respektuje podstatu základních svobod a práv a představuje v demokratické společnosti nezbytné a přiměřené opatření k zajištění důležitých cílů obecného veřejného zájmu Unie nebo dotčeného členského státu, jako je zejména důležitý hospodářský nebo finanční zájem, včetně rozpočtových a daňových záležitostí.

52	V tomto ohledu z bodu 41 odůvodnění nařízení 2016/679 vyplývá, že odkaz v tomto nařízení na „legislativní opatření“ nutně neznamená, že je vyžadováno přijetí legislativního aktu parlamentem.

53	Je však třeba připomenout, že jak je uvedeno v bodě 4 jeho odůvodnění, nařízení 2016/679 ctí všechna základní práva a zachovává svobody a zásady uznané v Listině, které jsou zakotveny ve Smlouvách, mezi něž patří zejména ochrana osobních údajů.

Podle čl. 52 odst. 1 první věty Listiny musí přitom být každé omezení výkonu práv a svobod uznaných touto Listinou, mezi něž patří zejména právo na respektování soukromého života zaručené článkem 7 Listiny a právo na ochranu osobních údajů zakotvené v jejím článku 8, stanoveno zákonem, což zejména znamená, že právní základ, který umožňuje zásah do těchto práv, musí sám definovat rozsah omezení výkonu dotyčného práva (v tomto smyslu viz rozsudek ze dne 6. října 2020, Privacy International, C‑623/17, EU:C:2020:790, bod 65 a citovaná judikatura).

V tomto ohledu Soudní dvůr mimoto rozhodl, že právní úprava zahrnující opatření umožňující takový zásah musí stanovit jasná a přesná pravidla pro rozsah a použití předmětného opatření a vymezit minimální požadavky, tak aby osoby, jejichž osobní údaje byly předány, měly dostatečné záruky umožňující účinně chránit tyto údaje před rizikem zneužití [v tomto smyslu viz rozsudek ze dne 2. března 2021, Prokuratuur (Podmínky přístupu k údajům o elektronické komunikaci)C‑746/18, EU:C:2021:152, bod 48 a citovaná judikatura].

Proto musí být každé opatření přijaté na základě článku 23 nařízení 2016/679 – jak ostatně zdůraznil unijní normotvůrce v bodě 41 odůvodnění tohoto nařízení – jasné a přesné a jeho použití musí být pro osoby, na něž se vztahuje, předvídatelné. Tyto osoby musí být zejména schopny určit okolnosti a podmínky, za kterých může být rozsah práv, která jim uvedené nařízení přiznává, omezen.

Z výše uvedených úvah vyplývá, že se daňová správa členského státu nemůže odchýlit od ustanovení článku 5 nařízení 2016/679, pokud neexistuje jasný a přesný právní základ v unijním nebo vnitrostátním právu, jehož použití je pro osoby, na něž se vztahuje, předvídatelné, který stanoví okolnosti a podmínky, za kterých může být rozsah povinností a práv stanovených v tomto článku 5 omezen.

Na druhou otázku je tudíž třeba odpovědět tak, že ustanovení nařízení 2016/679 musí být vykládána v tom smyslu, že se daňová správa členského státu nemůže odchýlit od ustanovení čl. 5 odst. 1 tohoto nařízení, pokud jí takové právo nebylo přiznáno legislativním opatřením ve smyslu čl. 23 odst. 1 tohoto nařízení.

Ke třetí až deváté otázce

Podstatou třetí až deváté otázky předkládajícího soudu, které je třeba zkoumat společně, je, zda musí být ustanovení nařízení 2016/679 vykládána v tom smyslu, že brání tomu, aby daňová správa členského státu uložila poskytovateli internetových inzertních služeb povinnost, aby jí po neurčitou dobu a bez upřesnění účelu této žádosti o sdělení poskytoval informace o všech daňových poplatnících, kteří zveřejnili inzeráty v některé z rubrik jeho internetového portálu.

Úvodem je třeba poznamenat, že v takové situaci, o jakou jde ve věci v původním řízení, může dojít ke dvěma zpracováním osobních údajů. Jak vyplývá z bodů 37 a 38 tohoto rozsudku, jedná se o shromáždění osobních údajů daňovou správou od dotyčného poskytovatele služeb a v tomto rámci o zpřístupnění přenosem těchto údajů tímto poskytovatelem této správě.

Jak vyplývá z judikatury citované v bodě 50 tohoto rozsudku, každá z těchto operací zpracování musí, s výhradou výjimek povolených v článku 23 nařízení 2016/679, dodržovat zásady zpracování osobních údajů stanovené v článku 5 tohoto nařízení, jakož i práva subjektu údajů uvedená v článcích 12 až 22 tohoto nařízení.

62	V projednávané věci se předkládající soud zabývá zejména okolností, že se zpracování zmíněná v bodě 60 tohoto rozsudku týkají neomezeného množství informací vztahujících se k neurčitému období, a dále tím, že účel těchto zpracování není v žádosti o sdělení upřesněn.

63	V tomto ohledu je třeba zaprvé zdůraznit, že čl. 5 odst. 1 písm. b) nařízení 2016/679 stanoví, že osobní údaje musí být shromažďovány zejména pro určité, výslovně vyjádřené a legitimní účely.

64	Předně požadavek, aby byly účely zpracování určité, znamená – jak vyplývá z bodu 39 odůvodnění tohoto nařízení – že tyto účely musí být identifikovány nejpozději v okamžiku shromažďování osobních údajů.

65	Dále musí být účely zpracování výslovně vyjádřené, což znamená, že musí být vyjádřeny jasně.

66	Konečně musí být tyto účely legitimní. Je tedy nutno, aby zajišťovaly zákonné zpracování ve smyslu čl. 6 odst. 1 uvedeného nařízení.

Zpracování uvedená v bodě 60 tohoto rozsudku jsou zahájena žádostí o sdělení osobních údajů, kterou lotyšská daňová správa zasílá poskytovateli internetových inzertních služeb. V tomto ohledu se jeví, že podle čl. 15 odst. 6 zákona o daních a poplatcích je tento poskytovatel povinen takové žádosti vyhovět.

68	S ohledem na úvahy uvedené v bodech 64 a 65 tohoto rozsudku je nezbytné, aby účely těchto zpracování byly v této žádosti jasně uvedeny.

Jsou-li účely takto uvedené ve zmíněné žádosti nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřena daňová správa, postačuje tato okolnost – jak vyplývá z čl. 6 odst. 1 prvního pododstavce návětí a písm. e) nařízení 2016/679, vykládaného ve spojení s čl. 6 odst. 3 druhým pododstavcem tohoto nařízení – k tomu, aby uvedená zpracování splňovala též požadavek zákonnosti připomenutý v bodě 66 tohoto rozsudku.

70	V tomto ohledu je třeba připomenout, že výběr daní a boj proti daňovým podvodům musí být považovány za úkoly prováděné ve veřejném zájmu ve smyslu čl. 6 odst. 1 prvního pododstavce písm. e) nařízení 2016/679 (obdobně viz rozsudek ze dne 27. září 2017, Puškár, C‑73/16, EU:C:2017:725, bod 108).

Z toho vyplývá, že v případě, kdy sdělování dotčených osobních údajů není přímo založeno na právním ustanovení, které je jeho základem, ale vyplývá ze žádosti příslušného orgánu veřejné moci, je nezbytné, aby tato žádost upřesňovala, jaké jsou konkrétní účely tohoto shromažďování údajů s ohledem na úkol prováděný ve veřejném zájmu nebo při výkonu veřejné moci, aby se adresát uvedené žádosti mohl ujistit, že předání dotčených osobních údajů je zákonné, a vnitrostátní soudy mohly provést přezkum zákonnosti dotčených zpracování.

72	Zadruhé podle čl. 5 odst. 1 písm. c) nařízení 2016/679 musí být osobní údaje přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.

V tomto ohledu je třeba připomenout, že podle ustálené judikatury musí být výjimky ze zásady ochrany takových údajů a její omezení činěny v mezích toho, co je naprosto nezbytné [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 110 a citovaná judikatura].

74	Z toho vyplývá, že správce, včetně případu, kdy jedná v rámci úkolu prováděného ve veřejném zájmu, který mu byl svěřen, nemůže shromažďovat osobní údaje plošně a nerozlišujícím způsobem a nesmí shromažďovat údaje, které nejsou naprosto nezbytné ve vztahu k účelu zpracování.

V projednávané věci je třeba podotknout, že jak vyplývá z bodů 17 až 19 tohoto rozsudku, lotyšská daňová správa požádala dotyčný hospodářský subjekt o poskytnutí údajů o inzerátech na prodej osobních automobilů zveřejněných na jeho internetových stránkách v období od 14. července do 31. srpna 2018 a v případě, že by přístup k těmto informacím nemohl být obnoven, aby jí nejpozději třetí den každého měsíce poskytl údaje o inzerátech na prodej osobních automobilů zveřejněných na jeho internetových stránkách během předchozího měsíce, aniž tuto žádost časově omezila.

S ohledem na úvahy uvedené v bodě 74 tohoto rozsudku je na předkládajícím soudu, aby ověřil, zda lze účelu shromažďování těchto údajů dosáhnout bez toho, aby lotyšská daňová správa měla potenciálně k dispozici údaje o všech inzerátech na prodej osobních automobilů zveřejněných na internetových stránkách uvedeného hospodářského subjektu, a zejména zda je myslitelné, že se tato správa zaměří na určité inzeráty prostřednictvím zvláštních kritérií.

77	V této souvislosti je třeba zdůraznit, že v souladu se zásadou odpovědnosti zakotvenou v čl. 5 odst. 2 nařízení 2016/679 musí být správce schopen prokázat, že dodržuje zásady zpracování osobních údajů uvedené v odstavci 1 tohoto článku.

78	Je tedy na lotyšské daňové správě, aby prokázala, že se v souladu s čl. 25 odst. 2 tohoto nařízení snažila v nejvyšší možné míře minimalizovat množství shromažďovaných osobních údajů.

Pokud jde o okolnost, že žádost lotyšské daňové správy o sdělení nestanoví v případě, že dotyčný poskytovatel inzertních služeb neobnoví přístup k inzerátům zveřejněným v období, na které se žádost vztahuje, žádné časové omezení, je třeba připomenout, že s ohledem na zásadu minimalizace údajů je správce rovněž povinen omezit dobu shromažďování dotčených osobních údajů na to, co je naprosto nezbytné, s ohledem na účel zamýšleného zpracování.

80	Doba, po kterou jsou údaje shromažďovány, tedy nemůže přesáhnout dobu nezbytně nutnou k dosažení sledovaného cíle obecného zájmu.

81	Jak vyplývá z bodu 77 tohoto rozsudku, důkazní břemeno v tomto ohledu nese lotyšská daňová správa.

82	Nicméně okolnost, že uvedené údaje jsou shromažďovány, aniž lotyšská daňová správa v samotné žádosti o sdělení takovéto zpracování časově omezila, neumožňuje sama o sobě dovodit, že doba trvání zpracování přesahuje dobu nezbytně nutnou k dosažení sledovaného cíle.

V této souvislosti je však třeba připomenout, že ke splnění požadavku přiměřenosti, který je vyjádřen v čl. 5 odst. 1 písm. c) nařízení 2016/679 [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 98 a citovaná judikatura], musí právní úprava, na které je zpracování založeno, stanovit jasná a přesná pravidla pro rozsah a použití předmětného opatření a vymezit minimální požadavky, tak aby osoby, o jejichž osobní údaje jde, měly dostatečné záruky umožňující účinně chránit tyto údaje před rizikem zneužití. Tato právní úprava musí být právně závazná ve vnitrostátním právu a musí zejména vymezit okolnosti a podmínky, za nichž může být přijato opatření týkající se zpracovávání takových údajů, čímž zaručí, že se zásah omezí na to, co je nezbytně nutné (rozsudek ze dne 6. října 2020, Privacy International, C‑623/17, EU:C:2020:790, bod 68 a citovaná judikatura).

Z toho vyplývá, že vnitrostátní právní úprava upravující takovou žádost o sdělení, o jakou jde ve věci v původním řízení, musí vycházet z objektivních kritérií, na jejichž základě jsou vymezeny okolnosti a podmínky, za nichž je poskytovatel on-line služeb povinen předávat osobní údaje týkající se jeho uživatelů (v tomto smyslu viz rozsudek ze dne 6. října 2020, Privacy International, C‑623/17, EU:C:2020:790, bod 78 a citovaná judikatura).

S ohledem na všechny výše uvedené úvahy je třeba na třetí až devátou otázku odpovědět tak, že ustanovení nařízení 2016/679 musí být vykládána v tom smyslu, že nebrání tomu, aby daňová správa členského státu uložila poskytovateli internetových inzertních služeb povinnost sdělit jí informace týkající se daňových poplatníků, kteří zveřejnili inzeráty v některé z rubrik jeho internetového portálu, pokud zejména platí, že jsou tyto údaje nezbytné pro konkrétní účely, pro které jsou shromažďovány, a doba, po kterou jsou uvedené údaje shromažďovány, nepřesahuje dobu nezbytně nutnou k dosažení sledovaného cíle obecného zájmu.

K nákladům řízení

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (pátý senát) rozhodl takto:

Ustanovení nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) musí být vykládána v tom smyslu, že požadavkům stanoveným tímto nařízením, zejména požadavkům uvedeným v jeho čl. 5 odst. 1, podléhá shromažďování informací, které zahrnují značné množství osobních údajů, daňovou správou členského státu od hospodářského subjektu.

2)	Ustanovení nařízení 2016/679 musí být vykládána v tom smyslu, že se daňová správa členského státu nemůže odchýlit od ustanovení čl. 5 odst. 1 tohoto nařízení, pokud jí takové právo nebylo přiznáno legislativním opatřením ve smyslu čl. 23 odst. 1 tohoto nařízení.

Ustanovení nařízení 2016/679 musí být vykládána v tom smyslu, že nebrání tomu, aby daňová správa členského státu uložila poskytovateli internetových inzertních služeb povinnost sdělit jí informace týkající se daňových poplatníků, kteří zveřejnili inzeráty v některé z rubrik jeho internetového portálu, pokud zejména platí, že jsou tyto údaje nezbytné pro konkrétní účely, pro které jsou shromažďovány, a doba, po kterou jsou uvedené údaje shromažďovány, nepřesahuje dobu nezbytně nutnou k dosažení sledovaného cíle obecného zájmu.

Podpisy.

( *1 ) – Jednací jazyk: lotyština.