Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62019CJ0439

Domstolens dom (Store Afdeling) af 22. juni 2021.
Sag anlagt af B.
Anmodning om præjudiciel afgørelse indgivet af Satversmes tiesa.
Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 5, 6 og 10 – national lovgivning om aktindsigt i personoplysninger vedrørende strafpoint for færdselsforseelser – lovlig – begrebet »personoplysninger vedrørende straffedomme og lovovertrædelser« – videregivelse med henblik på forbedring af trafiksikkerheden – ret til aktindsigt i officielle dokumenter – informationsfrihed – forenelighed med de grundlæggende rettigheder til respekt for privatlivet og til beskyttelse af personoplysninger – videreanvendelse af oplysninger – artikel 267 TEUF – tidsmæssige virkninger af en præjudiciel afgørelse – en medlemsstats forfatningsdomstols mulighed for at opretholde retsvirkningerne af en national lovgivning, der er uforenelig med EU-retten – princippet om EU-rettens forrang og retssikkerhedsprincippet.
Sag C-439/19.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2021:504

 DOMSTOLENS DOM (Store Afdeling)

22. juni 2021 ( *1 )

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 5, 6 og 10 – national lovgivning om aktindsigt i personoplysninger vedrørende strafpoint for færdselsforseelser – lovlig – begrebet »personoplysninger vedrørende straffedomme og lovovertrædelser« – videregivelse med henblik på forbedring af trafiksikkerheden – ret til aktindsigt i officielle dokumenter – informationsfrihed – forenelighed med de grundlæggende rettigheder til respekt for privatlivet og til beskyttelse af personoplysninger – videreanvendelse af oplysninger – artikel 267 TEUF – tidsmæssige virkninger af en præjudiciel afgørelse – en medlemsstats forfatningsdomstols mulighed for at opretholde retsvirkningerne af en national lovgivning, der er uforenelig med EU-retten – princippet om EU-rettens forrang og retssikkerhedsprincippet«

I sag C-439/19,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Latvijas Republikas Satversmes tiesa (Republikken Letlands forfatningsdomstol) ved afgørelse af 4. juni 2019, indgået til Domstolen den 11. juni 2019, i sagen anlagt af

B,

procesdeltager:

Latvijas Republikas Saeima,

har

DOMSTOLEN (Store Afdeling),

sammensat af præsidenten, K. Lenaerts, vicepræsidenten, R. Silva de Lapuerta, afdelingsformændene J.-C. Bonichot, A. Arabadjiev, E. Regan, M. Ilešič (refererende dommer) og N. Piçarra, samt dommerne E. Juhász, M. Safjan, D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe, C. Lycourgos og P.G. Xuereb,

generaladvokat: M. Szpunar,

justitssekretær: A. Calot Escobar,

på grundlag af den skriftlige forhandling,

efter at der er afgivet indlæg af:

den lettiske regering først ved V. Soņeca og K. Pommere, derefter ved K. Pommere, som befuldmægtigede,

den nederlandske regering ved M.K. Bulterman og M. Noort, som befuldmægtigede,

den østrigske regering ved J. Schmoll og G. Kunnert, som befuldmægtigede,

den portugisiske regering ved L. Inez Fernandes, P. Barros da Costa, A.C. Guerra og I. Oliveira, som befuldmægtigede,

den svenske regering ved C. Meyer-Seitz, H. Shev, H. Eklinder, R. Shahsavan Eriksson, A. Runeskjöld, M. Salborn Hodgson, O. Simonsson og J. Lundberg, som befuldmægtigede,

Europa-Kommissionen ved D. Nardi, H. Kranenborg og I. Rubene, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 17. december 2020,

afsagt følgende

Dom

1

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 5, 6 og 10 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«), artikel 1, stk. 2, litra cc), i Europa-Parlamentets og Rådets direktiv 2003/98/EF af 17. november 2003 om videreanvendelse af den offentlige sektors informationer (EUT 2003, L 345, s. 90), som ændret ved Europa-Parlamentets og Rådets direktiv 2013/37/EU af 26. juni 2013 (EUT 2013, L 175, s. 1) (herefter »direktiv 2003/98«), samt af princippet om EU-rettens forrang og retssikkerhedsprincippet.

2

Denne anmodning er blevet indgivet i forbindelse med en sag anlagt af B vedrørende lovligheden af en national lovgivning, som fastsætter bestemmelse om aktindsigt i personoplysninger vedrørende de strafpoint, som pålægges for færdselsforseelser.

Retsforskrifter

EU-retten

Direktiv 95/46/EF

3

Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31) blev ophævet ved databeskyttelsesforordningen med virkning fra den 25. maj 2018. Direktivets artikel 3 med overskriften »Anvendelsesområde« havde følgende ordlyd:

»1.   Dette direktivs bestemmelser anvendes på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb, samt på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

2.   Dette direktiv gælder ikke for sådan behandling af personoplysninger,

som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f. eks. de aktiviteter, der er fastsat i afsnit V og VI i [EU-traktaten som affattet før Lissabontraktaten], og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område

[…]«

Databeskyttelsesforordningen

4

Følgende fremgår af 1., 4., 10., 16., 19., 39., 50. og 154. betragtning til databeskyttelsesforordningen:

»(1)

Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«) og i artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF) fastsættes det, at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.

[…]

(4)

Behandling af personoplysninger bør have til formål at tjene menneskeheden. Retten til beskyttelse af personoplysninger er ikke en absolut ret; den skal ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet. Denne forordning overholder alle de grundlæggende rettigheder og følger de frihedsrettigheder og principper, der anerkendes i chartret som forankret i traktaterne, navnlig respekten for privatliv og familieliv, hjem og kommunikation, beskyttelsen af personoplysninger, retten til at tænke frit, til samvittigheds- og religionsfrihed, ytrings- og informationsfrihed, frihed til at oprette og drive egen virksomhed, adgang til effektive retsmidler og til en retfærdig rettergang og kulturel, religiøs og sproglig mangfoldighed.

[…]

(10)

For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for Unionen bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. […]

[…]

(16)

Denne forordning finder ikke anvendelse på spørgsmål vedrørende beskyttelse af grundlæggende rettigheder og frihedsrettigheder eller fri udveksling af personoplysninger, der vedrører aktiviteter, som falder uden for EU-retten, såsom aktiviteter vedrørende statens sikkerhed. Denne forordning finder ikke anvendelse på behandling af personoplysninger, der foretages af medlemsstaterne, når de udfører aktiviteter i forbindelse med Unionens fælles udenrigs- og sikkerhedspolitik.

[…]

(19)

Beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskyttelsen mod og forebyggelsen af trusler mod den offentlige sikkerhed og den frie udveksling af sådanne oplysninger, er genstand for en specifik EU-retsakt. Denne forordning bør derfor ikke gælde for behandlingsaktiviteter med disse formål. Behandling af personoplysninger af offentlige myndigheder, som er omfattet af denne forordning, med henblik på disse formål bør imidlertid være genstand for en mere specifik EU-retsakt, Europa-Parlamentets og Rådets direktiv (EU) 2016/680 [af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT 2016, L 119, s. 89)]. […]

[…]

(39)

[…] Især bør de specifikke formål med behandlingen af personoplysninger være udtrykkelige og legitime og fastlagt, når personoplysningerne indsamles. […] Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde. […]

[…]

(50)

Behandling af personoplysninger til andre formål end de formål, som personoplysningerne oprindelig blev indsamlet til, bør kun tillades, hvis behandlingen er forenelig med de formål, som personoplysningerne oprindelig blev indsamlet til. I dette tilfælde kræves der ikke andet retsgrundlag end det, der begrundede indsamlingen af personoplysningerne. Hvis behandling er nødvendig for at udføre en opgave i samfundets interesse eller henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, kan EU-retten eller medlemsstaternes nationale ret fastsætte og præcisere de opgaver og formål, hvortil det bør være foreneligt og lovligt at foretage viderebehandling. […]

[…]

(154)

Denne forordning giver mulighed for, at der ved anvendelsen af denne forordning[…] kan tages hensyn til princippet om aktindsigt i officielle dokumenter. Aktindsigt i officielle dokumenter kan anses for at være i samfundets interesse. Personoplysninger i dokumenter, der opbevares af en offentlig myndighed eller et offentligt organ, bør kunne offentliggøres af denne myndighed eller dette organ, hvis dette er fastsat i EU-retten eller medlemsstaternes nationale ret, som den offentlige myndighed eller det offentlige organ er underlagt. Sådanne regler bør forene aktindsigt i officielle dokumenter og videreanvendelse af den offentlige sektors information med retten til beskyttelse af personoplysninger og kan derfor indeholde den nødvendige forening med retten til beskyttelse af personoplysninger i henhold til denne forordning. Offentlige myndigheder og organer bør i denne sammenhæng omfatte alle myndigheder eller andre organer, der er omfattet af medlemsstaternes nationale ret om aktindsigt. [Direktiv 2003/98/EF] opretholder og griber på ingen måde ind i beskyttelsesniveauet for fysiske personer med hensyn til behandling af personoplysninger i henhold til EU-retten og medlemsstaternes nationale ret, og det ændrer navnlig ikke de forpligtelser og rettigheder, der er fastsat i denne forordning. Dette direktiv bør navnlig ikke gælde for dokumenter, hvortil adgang er udelukket eller begrænset i henhold til aktindsigtsordningerne under henvisning til beskyttelse af personoplysninger, og dele af dokumenter, der i henhold til disse ordninger er adgang til, og som indeholder personoplysninger, hvis videreanvendelse ifølge lovgivningen er uforenelig med lovgivningen om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.«

5

Denne forordnings artikel 1 med overskriften »Genstand og formål« har følgende ordlyd:

»1.   I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger.

2.   Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.

3.   Den frie udveksling af personoplysninger i Unionen må hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.«

6

Nævnte forordnings artikel 2 med overskriften »Materielt anvendelsesområde« fastsætter i stk. 1 og 2:

»1.   Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

2.   Denne forordning gælder ikke for behandling af personoplysninger:

a)

under udøvelse af aktiviteter, der falder uden for EU-retten

b)

som foretages af medlemsstaterne, når de udfører aktiviteter, der falder inden for rammerne af afsnit V, kapitel 2, i TEU

c)

som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter

d)

som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.«

7

Forordningens artikel 4 med overskriften »Definitioner« er affattet således:

»I denne forordning forstås ved:

1)

»personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person […]

2)

»behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

[…]

7)

»dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret

[…]«

8

Databeskyttelsesforordningens artikel 5 med overskriften »Principper for behandling af personoplysninger« fastsætter:

»1.   Personoplysninger skal:

a)

behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

b)

indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; […] (»formålsbegrænsning«)

c)

være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)

d)

være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)

e)

opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; […] (»opbevaringsbegrænsning«)

f)

behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

2.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

9

Forordningens artikel 6 med overskriften »Lovlig behandling« bestemmer i stk. 1:

»Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

a)

Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

b)

Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.

c)

Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

d)

Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

e)

Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

f)

Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.«

10

Nævnte forordnings artikel 10 med overskriften »Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser« har følgende ordlyd:

»Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger på grundlag af artikel 6, stk. 1, må kun foretages under kontrol af en offentlig myndighed, eller hvis behandling har hjemmel i EU-retten eller medlemsstaternes nationale ret, som giver passende garantier for registreredes rettigheder og frihedsrettigheder. Ethvert omfattende register over straffedomme må kun føres under kontrol af en offentlig myndighed.«

11

Forordningens artikel 51 med overskriften »Tilsynsmyndighed« bestemmer i stk. 1:

»Hver medlemsstat sikrer, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre tilsyn med anvendelsen af denne forordning, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen (»tilsynsmyndighed«).«

12

Databeskyttelsesforordningens artikel 85 med overskriften »Behandling og ytrings- og informationsfriheden« fastsætter følgende i stk. 1:

»Medlemsstaterne forener ved lov retten til beskyttelse af personoplysninger i henhold til denne forordning med retten til ytrings- og informationsfrihed, herunder behandling i journalistisk øjemed og med henblik på akademisk, kunstnerisk eller litterær virksomhed.«

13

Denne forordnings artikel 86 med overskriften »Behandling og aktindsigt i officielle dokumenter« bestemmer:

»Personoplysninger i officielle dokumenter, som en offentlig myndighed eller et offentligt eller privat organ er i besiddelse af med henblik på udførelse af en opgave i samfundets interesse, må videregives af myndigheden eller organet i overensstemmelse med EU-retten eller medlemsstaternes nationale ret, som den offentlige myndighed eller organet er underlagt, for at forene aktindsigt i officielle dokumenter med retten til beskyttelse af personoplysninger i henhold til denne forordning.«

14

Forordningens artikel 87 med overskriften »Behandling af nationalt identifikationsnummer« har følgende ordlyd:

»Medlemsstaterne kan nærmere fastsætte de specifikke betingelser for behandling af et nationalt identifikationsnummer eller andre almene midler til identifikation. I så fald anvendes det nationale identifikationsnummer eller ethvert andet alment middel til identifikation udelukkende med de fornødne garantier for den registreredes rettigheder og frihedsrettigheder i henhold til denne forordning.«

15

Forordningens artikel 94 bestemmer:

»1.   Direktiv [95/46] ophæves med virkning fra den 25. maj 2018.

2.   Henvisninger til det ophævede direktiv gælder som henvisninger til denne forordning. […]«

Direktiv 2016/680

16

10., 11. og 13. betragtning til direktiv 2016/680 har følgende ordlyd:

»(10)

I erklæring nr. 21 om beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde, der er knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabontraktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke regler om beskyttelse af personoplysninger og om fri bevægelighed for personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 i TEUF som følge af disse områders specifikke karakter.

(11)

Det er derfor hensigtsmæssigt at disse områder behandles i et direktiv, der fastsætter særlige regler for beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, idet disse aktiviteters særlige karakter respekteres. Disse kompetente myndigheder kan omfatte ikke blot offentlige myndigheder som judicielle myndigheder, politi eller andre retshåndhævende myndigheder, men også alle andre organer eller enheder, som i henhold til medlemsstaternes nationale ret udøver offentlig myndighed eller offentlige beføjelser med henblik på dette direktiv. Hvis det pågældende organ eller den pågældende enhed behandler personoplysninger til andre formål end med henblik på dette direktiv, finder [databeskyttelsesforordningen] anvendelse. [Databeskyttelsesforordningen] finder derfor anvendelse i tilfælde, hvor et organ eller en enhed indsamler personoplysninger til andre formål og viderebehandler disse personoplysninger for at opfylde en retlig forpligtelse, som det/den er underlagt. […]

[…]

(13)

En strafbar handling som omhandlet i dette direktiv bør være et selvstændigt EU-retligt begreb som fortolket af Den Europæiske Unions Domstol […]«

17

Dette direktivs artikel 3 bestemmer:

»I dette direktiv forstås ved:

[…]

7.   »kompetent myndighed«

a)

enhver offentlig myndighed, der er kompetent med hensyn til at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, eller

b)

ethvert andet organ eller enhver anden enhed, som i henhold til medlemsstaternes nationale ret udøver offentlig myndighed og offentlige beføjelser med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed

[…]«

Direktiv 2003/98

18

21. betragtning til direktiv 2003/98 har følgende ordlyd:

»Nærværende direktiv bør gennemføres og anvendes i fuld overensstemmelse med principperne om beskyttelse af personoplysninger i henhold til [direktiv 95/46].«

19

Artikel 1 i direktiv 2003/98 med overskriften »Genstand og anvendelsesområde« fastsætter:

»1.   Dette direktiv fastlægger et minimum af regler for videreanvendelse og midler til i praksis at fremme videreanvendelse af eksisterende dokumenter, som medlemsstaternes offentlige myndigheder er i besiddelse af.

2.   Direktivet gælder ikke for:

[…]

cc)

dokumenter, hvortil adgang er udelukket eller begrænset i henhold til aktindsigtordningerne, under henvisning til beskyttelse af personoplysninger, og dele af dokumenter, der i henhold til disse ordninger er adgang til, som indeholder personoplysninger, hvis videreanvendelse ifølge lovgivningen er uforenelig med lovgivningen om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger

[…]

3.   Dette direktiv er baseret på og berører ikke de eksisterende aktindsigtsordninger i medlemsstaterne.

4.   Dette direktiv opretholder og griber på ingen måde ind i beskyttelsesniveauet for fysiske personer med hensyn til behandling af personoplysninger i henhold til EU-lovgivningen og national lovgivning, og det ændrer navnlig ikke de forpligtelser og rettigheder, der er fastsat i direktiv [95/46].

[…]«

Lettisk ret

20

Artikel 96 i Latvijas Republikas Satversme (Republikken Letlands forfatning, herefter »den lettiske forfatning«) bestemmer:

»Enhver har ret til respekt for sit privatliv, sit hjem og sin korrespondance.«

21

Ifølge artikel 1, stk. 5, i Informācijas atklātības likums (lov om informationsfrihed) af 29. oktober 1998 (Latvijas Vēstnesis, 1998, nr. 334/335) består videreanvendelse i, at offentligt tilgængelige oplysninger, som indehaves og er udarbejdet af en myndighed, anvendes til andre kommercielle og ikke-kommercielle formål end det oprindelige formål, hvortil oplysningerne blev udarbejdet, såfremt denne anvendelse foretages af en privatperson og ikke henhører under de offentlige myndigheders opgaver.

22

I overensstemmelse med denne lovs artikel 4 er offentligt tilgængelige oplysninger de oplysninger, som ikke henhører under kategorien oplysninger med begrænset adgang.

23

I nævnte lovs artikel 5, stk. 1, bestemmes, at oplysninger er undergivet begrænset adgang, når de er rettet til en begrænset gruppe personer med henblik på opfyldelsen af deres opgaver eller deres faglige forpligtelser, og når videregivelsen eller fortabelsen af disse oplysninger som følge af arten og indholdet heraf er til hinder for eller kan være til hinder for en myndigheds aktiviteter eller skader eller kan skade personers lovbeskyttede interesser. Det fremgår af denne artikels stk. 2, at oplysninger anses for at være oplysninger, hvortil adgangen er begrænset, navnlig når loven i stk. 6 foreskriver og præciserer, at allerede offentliggjorte oplysninger ikke kan anses for at være oplysninger, hvortil adgangen er begrænset.

24

Ifølge lovens artikel 10, stk. 3, kan offentligt tilgængelige oplysninger udleveres efter anmodning, idet den, der fremsætter anmodningen, ikke er forpligtet til specifikt at godtgøre sin interesse i at få disse oplysninger, og vedkommende kan ikke nægtes indsigt heri med den begrundelse, at oplysningerne ikke vedrører den pågældende.

25

Artikel 141 i Ceļu satiksmes likums (færdselsloven) af 1. oktober 1997 (Latvijas Vēstnesis, 1997, nr. 274/276) med overskriften »Indsigt i oplysninger i det nationale register over motorkøretøjer og førere […]« bestemmer i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »færdselsloven«), følgende i stk. 2:

»Oplysninger om […] en persons ret til at føre et motorkøretøj, bøder, der pålægges en person for færdselsforseelser og ikke er betalt inden for de lovbestemte frister, og andre oplysninger i det nationale register over motorkøretøjer og førere […] skal betragtes som oplysninger, der er tilgængelige for offentligheden.«

26

Færdselslovens artikel 431 med overskriften »Strafpointsystem« bestemmer i stk. 1:

»For at påvirke den adfærd, som udvises af førere af motorkøretøjer, ved at fremme sikker færdsel med køretøjer og overholdelse af færdselsloven og for i videst muligt omfang at minimere risiciene for personers liv, helbred og ejendom, indføres disse føreres administrative forseelser i registret over straffedomme, og strafpointene indføres i det nationale register over motorkøretøjer og førere.«

27

I overensstemmelse med punkt 1 og 4 i Ministru kabineta noteikumi Nr. 551 »Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi« (ministerrådets bekendtgørelse nr. 551 om regler for anvendelsen af strafpointsystemet) af 21. juni 2004 (Latvijas Vēstnesis, 2004, nr. 102) indføres strafpoint for de administrative forseelser, som førere af motorkøretøjer begår på færdselsområdet, automatisk i registret, når fristen for indgivelse af en klage over afgørelsen om pålæggelse af en administrativ sanktion udløber.

28

Ifølge denne bekendtgørelses punkt 7 slettes strafpointene, når forældelse indtræder.

29

I medfør af bekendtgørelsens punkt 12 pålægges førerne på grundlag af antallet af strafpoint foranstaltninger, der kan bestå i advarsler, pligt til at undergå uddannelse eller til at aflægge prøver vedrørende trafiksikkerhed eller et forbud mod at udøve førerretten i en bestemt periode.

30

Som det fremgår af artikel 32, stk. 1, i Satversmes tiesas likums (lov om forfatningsdomstolen) af 5. juni 1996 (Latvijas Vēstnesis, 1996, nr. 103), er en dom afsagt af Latvijas Republikas Satversmes tiesa (Republikken Letlands forfatningsdomstol) endelig og kan fuldbyrdes fra afsigelsen heraf. I henhold til denne lovs artikel 32, stk. 3, anses en retlig bestemmelse, som Latvijas Republikas Satversmes tiesa (forfatningsdomstol) har erklæret uforenelig med en højere rangerende retsforskrift, for ugyldig fra datoen for offentliggørelsen af forfatningsdomstolens dom, medmindre denne domstol bestemmer anderledes.

Tvisten i hovedsagen og de præjudicielle spørgsmål

31

B er en fysisk person, som er blevet pålagt strafpoint som følge af en eller flere færdselsforseelser. I overensstemmelse med færdselsloven og bekendtgørelse nr. 551 af 21. juni 2004 indførte Ceļu satiksmes drošības direkcija (direktoratet for færdselssikkerhed, Letland) (herefter »CSDD«) disse strafpoint i det nationale register over køretøjer og førere.

32

Eftersom de oplysninger om nævnte strafpoint, som er indeholdt i dette register, er tilgængelige for offentligheden og ifølge B i øvrigt med henblik på videreanvendelse blev meddelt flere erhvervsdrivende, har B anlagt et forfatningssøgsmål ved Latvijas Republikas Satversmes tiesa (forfatningsdomstol) med henblik på, at denne domstol undersøger, om færdselslovens artikel 141, stk. 2, er forenelig med den grundlæggende ret til respekt for privatlivet, som er fastsat i den lettiske forfatnings artikel 96.

33

Latvijas Republikas Saeima (Republikken Letlands parlament, herefter »det lettiske parlament«) deltager i proceduren som den institution, der vedtog færdselsloven. Desuden er der gennemført en høring såvel af CSDD, som behandler oplysninger vedrørende de strafpoint, der pålægges for færdselsforseelser, som af Datu valsts inspekcija (databeskyttelsesmyndigheden), der er tilsynsmyndighed i Letland som omhandlet i databeskyttelsesforordningens artikel 51, ligesom flere andre myndigheder og personer er blevet hørt.

34

I søgsmålet i hovedsagen har det lettiske parlament bekræftet, at i henhold til færdselslovens artikel 141, stk. 2, kan enhver person få adgang til oplysninger vedrørende de strafpoint, som en anden person er blevet pålagt, enten ved at anmode CSDD herom direkte eller ved at anvende tjenester fra kommercielle videreanvendelsesvirksomheder.

35

Det lettiske parlament har fremhævet, at denne bestemmelse er lovlig, eftersom den er begrundet i formålet om forbedring af trafiksikkerheden. Denne almene interesse kræver, at personer, der overtræder færdselsloven, navnlig dem, der overtræder denne lov systematisk og i ond tro, uden videre kan identificeres, og at førere af motorkøretøjer ved denne gennemsigtighed afskrækkes fra at begå overtrædelser.

36

Nævnte bestemmelse er endvidere begrundet i den ret til aktindsigt, som foreskrives i den lettiske forfatning.

37

Det lettiske parlament har præciseret, at oplysningerne i det nationale register over motorkøretøjer og førere i praksis meddeles på betingelse af, at den person, der anmoder om oplysninger, angiver det nationale identifikationsnummer på den fører, hvorom vedkommende ønsker oplysninger. Denne betingelse for at få oplysninger forklares med, at et nationalt identifikationsnummer, i modsætning til en persons navn, som kan være identisk med andre personers navne, er en entydig identifikator.

38

CSDD har for sin del anført, at færdselslovens artikel 141, stk. 2, hverken indeholder begrænsninger af adgangen til aktindsigt i oplysningerne vedrørende strafpoint eller af videreanvendelsen af disse oplysninger. Hvad angår de aftaler, som CSDD indgår med kommercielle videreanvendelsesvirksomheder, har direktoratet fremhævet, at disse aftaler ikke fastsætter nogen retlig overdragelse af oplysninger, og at videreanvendelsesvirksomhederne skal sikre, at de oplysninger, der overføres til kunderne, ikke går videre end det, der kan indhentes fra CSDD. Som led i disse aftaler erklærer erhververen endvidere, at vedkommende vil anvende de indhentede oplysninger i overensstemmelse med de formål, der er anført i aftalen, og under iagttagelse af gældende lovgivning.

39

Datu valsts inspekcija (databeskyttelsesmyndigheden) har udtrykt tvivl om, hvorvidt færdselslovens artikel 141, stk. 2, er forenelig med den lettiske forfatnings artikel 96, som foreskriver retten til respekt for privatlivet. Det er denne myndigheds opfattelse, at betydningen og formålet med den behandling, der foretages i henhold til den af hovedsagen omhandlede bestemmelse, ikke er klart fastlagt, hvorfor det ikke kan udelukkes, at denne behandling er upassende og uforholdsmæssig. Selv om statistikkerne om færdselsuheld i Letland viser et fald i antallet af uheld, er det nemlig imidlertid ikke godtgjort, at strafpointsystemet og offentlighedens indsigt i oplysninger om dette system har bidraget til denne positive udvikling.

40

Latvijas Republikas Satversmes tiesa (forfatningsdomstol) har indledningsvis anført, at søgsmålet alene vedrører færdselslovens artikel 141, stk. 2, for så vidt som denne bestemmelse gør oplysningerne vedrørende strafpoint, der er registreret i det nationale register over motorkøretøjer og førere, offentligt tilgængelige.

41

Forfatningsdomstolen har desuden anført, at strafpointene er personoplysninger, og at der ved vurderingen af overholdelsen af den ret til respekt for privatlivet, som er fastsat i den lettiske forfatnings artikel 96, skal tages hensyn til databeskyttelsesforordningen samt mere generelt til artikel 16 TEUF og chartrets artikel 8.

42

Hvad angår formålet med den lettiske lovgivning på færdselsområdet har nævnte domstol anført, at det bl.a. er med henblik på at fremme trafiksikkerheden, at føreres overtrædelser, der kvalificeres som administrative forseelser i Letland, indføres i registret over straffedomme, og at strafpointene indføres i det nationale register over motorkøretøjer og førere.

43

Hvad navnlig angår det nationale register over motorkøretøjer og førere giver dette mulighed for at få kendskab til det antal færdselsforseelser, der begås, og at gennemføre foranstaltninger afhængig af dette antal. Systemet med point, der indføres i dette register, har således til formål at forbedre trafiksikkerheden, idet det for det første gør det muligt at adskille de førere af motorkøretøjer, som systematisk og i ond tro tilsidesætter færdselsreglerne, fra de førere, som en gang imellem begår overtrædelser. For det andet kan dette system ligeledes påvirke trafikanters adfærd præventivt ved at tilskynde dem til at overholde færdselsreglerne.

44

Forfatningsdomstolen har anført, at det står fast, at færdselslovens artikel 141, stk. 2, giver enhver person ret til at anmode CSDD om at modtage oplysninger fra det nationale register over motorkøretøjer og førere vedrørende strafpoint, som sådanne førere er blevet pålagt. Denne domstol har i denne henseende bekræftet, at i praksis udleveres disse oplysninger til den person, der har anmodet herom, så snart vedkommende angiver den pågældende førers nationale identifikationsnummer.

45

Latvijas Republikas Satversmes tiesa (forfatningsdomstol) har efterfølgende præciseret, at strafpoint på grund af deres kvalificering som offentligt tilgængelige oplysninger er omfattet af lov om informationsfrihed, og at de derfor kan videreanvendes til andre kommercielle og ikke-kommercielle formål end det oprindelige formål, hvortil oplysningerne blev udarbejdet.

46

For at kunne fortolke og anvende den lettiske forfatnings artikel 96 i overensstemmelse med EU-retten ønsker denne domstol for det første oplyst, om oplysninger vedrørende strafpoint er omfattet af de oplysninger, der er nævnt i databeskyttelsesforordningens artikel 10, dvs. »personoplysninger vedrørende straffedomme og lovovertrædelser«. I bekræftende fald er det muligt at anlægge den betragtning, at færdselslovens artikel 141, stk. 2, tilsidesætter kravet i nævnte artikel 10 om, at behandlingen af de oplysninger, som bestemmelsen vedrører, kun kan finde sted »under kontrol af en offentlig myndighed«, eller forudsat at der er »passende garantier for registreredes rettigheder og frihedsrettigheder«.

47

Nævnte domstol har anført, at artikel 8, stk. 5, i direktiv 95/46, som overlod det til den enkelte medlemsstat at vurdere, om særreglerne om oplysninger vedrørende lovovertrædelser og straffedomme skulle udstrækkes til oplysninger om administrative forseelser og sanktioner, med virkning fra den 1. september 2007 blev gennemført i Letland, således at personoplysninger om administrative forseelser ligesom oplysninger vedrørende lovovertrædelser og straffedomme kun kan behandles af de ved lov fastsatte personer under de ved lov fastsatte omstændigheder.

48

Forfatningsdomstolen har ligeledes fremhævet, at rækkevidden af databeskyttelsesforordningens artikel 10 i overensstemmelse med fjerde betragtning til denne forordning skal vurderes under hensyntagen til de grundlæggende rettigheders funktion i samfundet. I denne henseende kan formålet med at undgå, at en persons privatliv og arbejdsliv påvirkes uforholdsmæssigt negativt af en tidligere dom, imidlertid finde anvendelse på både straffedomme og på administrative forseelser. Der skal i denne henseende tages hensyn til Den Europæiske Menneskerettighedsdomstols praksis vedrørende ligestillingen af visse administrative sager med straffesager.

49

Latvijas Republikas Satversmes tiesa (forfatningsdomstol) er for det andet i tvivl om rækkevidden af databeskyttelsesforordningens artikel 5. Denne domstol ønsker navnlig oplyst, om den lettiske lovgiver har overholdt forpligtelsen i denne artikels stk. 1, litra f), til at behandle personoplysninger med »integritet og fortrolighed«. Den har anført, at færdselslovens artikel 141, stk. 2, som ved at give adgang til aktindsigt i oplysninger vedrørende strafpoint gør det muligt at fastslå, om en person er blevet dømt for en færdselsforseelse, ikke er blevet ledsaget af særlige foranstaltninger til sikring af sådanne oplysningers sikkerhed.

50

Denne domstol ønsker for det tredje oplyst, om direktiv 2003/98 er relevant for vurderingen af, om færdselslovens artikel 141, stk. 2, er forenelig med retten til respekt for privatlivet. Det fremgår nemlig af dette direktiv, at videreanvendelse af personoplysninger kun kan tillades, hvis nævnte rettighed respekteres.

51

For det fjerde ønsker forfatningsdomstolen – under hensyn til Domstolens praksis, hvorefter fortolkningen af EU-retten i præjudicielle afgørelser har virkning erga omnes og ex tunc – oplyst, om det, hvis færdselslovens artikel 141, stk. 2, er uforenelig med den lettiske forfatnings artikel 96, sammenholdt med databeskyttelsesforordningen og chartret, alligevel er muligt at opretholde de tidsmæssige virkninger af nævnte artikel 141, stk. 2, indtil det tidspunkt, hvor der afsiges dom, henset til det store antal omhandlede retsforhold.

52

Latvijas Republikas Satversmes tiesa (forfatningsdomstol) har i denne henseende anført, at i henhold til lettisk ret skal en retsakt, der fastslås at være forfatningsstridig, anses for ugyldig fra dagen for afsigelsen af forfatningsdomstolens dom, medmindre denne bestemmer andet. Denne domstol har forklaret, at den i denne forbindelse skal sikre en ligevægt mellem retssikkerhedsprincippet og de forskellige berørte personers grundlæggende rettigheder.

53

Under disse omstændigheder har Latvijas Republikas Satversmes tiesa (forfatningsdomstol) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)

[Skal] begrebet »behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger« i [databeskyttelsesforordningens] artikel 10 […] fortolkes således, at det omfatter behandling af oplysninger om de [strafpoint], som førere [af motorkøretøjer] pålægges[,] […] i henhold til den omtvistede bestemmelse?

2)

Uanset svaret på det første spørgsmål, [skal] bestemmelserne i [databeskyttelsesforordningen], navnlig princippet om »integritet og fortrolighed«, jf. nævnte forordnings artikel 5, stk. 1, litra f), fortolkes som et forbud mod, at medlemsstaterne fastsætter, at oplysninger om de [straf]point, der pålægges førere [af motorkøretøjer], er tilgængelige for offentligheden, og at de pågældende oplysninger kan behandles ved at videregives?

3)

[Skal] 50. og 154. betragtning til, artikel 5, stk. 1, litra b), og artikel 10 i [databeskyttelsesforordningen] samt artikel 1, stk. 2, litra cc), i [direktiv 2003/98] fortolkes således, at de er til hinder for en ordning i en medlemsstat, der tillader videregivelse af oplysninger om de [straf]point, der pålægges førere [af motorkøretøjer], med henblik på videreanvendelse?

4)

Såfremt nogen af de ovennævnte spørgsmål besvares bekræftende, skal princippet om EU-rettens forrang og retssikkerhedsprincippet da fortolkes således, at det kan være tilladt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil [Satversmes tiesas (forfatningsdomstol)] endelige afgørelse bliver retskraftig?«

Om de præjudicielle spørgsmål

Det første spørgsmål

54

Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 10 skal fortolkes således, at denne bestemmelse finder anvendelse på en behandling af personoplysninger vedrørende de strafpoint, der pålægges førere af motorkøretøjer for færdselsforseelser, som består i videregivelse til offentligheden af sådanne oplysninger.

55

I medfør af databeskyttelsesforordningens artikel 10 må behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger på grundlag af artikel 6, stk. 1, kun foretages under kontrol af en offentlig myndighed, eller hvis behandlingen har hjemmel i EU-retten eller medlemsstaternes nationale ret, som giver passende garantier for registreredes rettigheder og frihedsrettigheder.

56

Det skal således indledningsvis efterprøves, om de oplysninger vedrørende strafpoint, som videregives til tredjemand i medfør af den af hovedsagen omhandlede lovgivning, udgør »personoplysninger« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), og om denne videregivelse udgør en »behandling« af sådanne oplysninger som omhandlet i denne forordnings artikel 4, nr. 2), der henhører under forordningens materielle anvendelsesområde som defineret i dennes artikel 2.

57

Det skal i denne henseende for det første fastslås, at det fremgår af forelæggelsesafgørelsen, at den lettiske lovgivning foreskriver, at førere af motorkøretøjer, som har begået en færdselsforseelse, og som er blevet pålagt en økonomisk eller anden sanktion, pålægges strafpoint. Et offentligt organ, CSDD, indfører disse point i det nationale register over køretøjer og førere ved udløbet af fristen for at klage over afgørelsen om pålæggelse af denne sanktion.

58

Det fremgår ligeledes af forelæggelsesafgørelsen, at færdselsforseelser og sanktioner, der har til formål at straffe disse, i Letland henhører under forvaltningsretten, og at pålæggelsen af strafpoint ikke tilsigter at pålægge en yderligere sanktion, men at skabe forståelse hos de pågældende førere ved at tilskynde dem til at køre mere sikkert. Når føreren når et bestemt antal strafpoint, kan vedkommende pålægges et kørselsforbud i en bestemt periode.

59

Det fremgår ligeledes af denne afgørelse, at den af hovedsagen omhandlede lovgivning forpligter CSDD til at videregive oplysningerne vedrørende de strafpoint, som en bestemt fører er blevet pålagt, til enhver, som anmoder om aktindsigt i disse oplysninger. Med henblik herpå kræver CSDD blot, at den person, der anmoder om disse oplysninger, behørigt identificerer den omhandlede fører ved at fremlægge den pågældendes nationale identifikationsnummer.

60

Det skal således fastslås, at oplysninger vedrørende strafpoint, der vedrører en identificeret fysisk person, udgør »personoplysninger« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), og at CSDD’s videregivelse heraf til tredjemand udgør »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2).

61

For det andet skal det fastslås, at videregivelsen af disse oplysninger henhører under den meget vide definition af det materielle anvendelsesområde for databeskyttelsesforordningen som fastlagt i forordningens artikel 2, stk. 1, og at en sådan videregivelse ikke er nævnt blandt de behandlinger af personoplysninger, som ved databeskyttelsesforordningens artikel 2, stk. 2, litra a) og d), er udelukket fra dette anvendelsesområde.

62

Hvad angår databeskyttelsesforordningens artikel 2, stk. 2, litra a), fastsætter denne bestemmelse, at forordningen ikke gælder for behandling af personoplysninger »under udøvelse af aktiviteter, der falder uden for EU-retten«. Denne undtagelse til anvendelsen af databeskyttelsesforordningen skal i lighed med andre undtagelser, der er fastsat i denne forordnings artikel 2, stk. 2, fortolkes strengt (jf. i denne retning dom af 9.7.2020, Land Hessen, C-272/19, EU:C:2020:535, præmis 68, og af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 84).

63

I denne henseende skal databeskyttelsesforordningens artikel 2, stk. 2, litra a), sammenholdes med forordningens artikel 2, stk. 2, litra b), og med 16. betragtning hertil, som præciserer, at nævnte forordning ikke gælder for behandling af personoplysninger, der vedrører »aktiviteter, som falder uden for EU-retten, såsom aktiviteter vedrørende statens sikkerhed«, samt »aktiviteter i forbindelse med Unionens fælles udenrigs- og sikkerhedspolitik«.

64

Det følger heraf, at databeskyttelsesforordningens artikel 2, stk. 2), litra a) og b), delvist er baseret på artikel 3, stk. 2, første led, i direktiv 95/46. Databeskyttelsesforordningens artikel 2, stk. 2, litra a) og b), kan følgelig ikke fortolkes således, at denne bestemmelse har en videre rækkevidde end den undtagelse, der fulgte af artikel 3, stk. 2, første led, i direktiv 95/46, som fra anvendelsesområdet for dette direktiv allerede udelukkede bl.a. behandling af personoplysninger vedrørende »aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i [EU-traktaten som affattet før Lissabontraktaten], og under ingen omstændigheder […] behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed […]«.

65

Som Domstolen gentagne gange har fastslået, er kun den behandling af personoplysninger, som iværksættes med henblik på udøvelsen af statens eller statslige myndigheders aktiviteter, således som det udtrykkeligt fremgik af nævnte artikel 3, stk. 2, eller med henblik på en aktivitet, som kan henføres til samme kategori, udelukket fra anvendelsesområdet for nævnte direktiv (jf. i denne retning dom af 6.11.2003, Lindqvist, C-101/01, EU:C:2003:596, præmis 42-44, af 27.9.2017, Puškár, C-73/16, EU:C:2017:725, præmis 36 og 37, og af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 38).

66

Det følger heraf, at databeskyttelsesforordningens artikel 2, stk. 2, litra a), sammenholdt med 16. betragtning til denne forordning, skal anses for alene at have til formål at udelukke statslige myndigheders behandling af personoplysninger under udøvelse af en aktivitet, som tilsigter at beskytte statens sikkerhed, eller en aktivitet, som kan henføres til samme kategori, fra anvendelsesområdet for nævnte forordning, hvorfor den omstændighed alene, at en aktivitet er statens eller en offentlig myndigheds, ikke er tilstrækkelig til, at denne undtagelse automatisk finder anvendelse på en sådan aktivitet (jf. i denne retning dom af 9.7.2020, Land Hessen, C-272/19, EU:C:2020:535, præmis 70).

67

De aktiviteter, som har til formål at beskytte den nationale sikkerhed, og som er omhandlet i databeskyttelsesforordningens artikel 2, stk. 2, litra a), omfatter navnlig, som generaladvokaten ligeledes i det væsentlige har anført i punkt 57 og 58 i forslaget til afgørelse, de aktiviteter, hvis formål er at beskytte centrale statslige funktioner og samfundets grundlæggende interesser.

68

Aktiviteter vedrørende trafiksikkerheden forfølger ikke et sådant formål og kan derfor ikke henføres under samme kategori som de aktiviteter, som har til formål at sikre den nationale sikkerhed, og som er omhandlet i databeskyttelsesforordningens artikel 2, stk. 2, litra a).

69

Hvad endvidere angår databeskyttelsesforordningens artikel 2, stk. 2, litra d), fastsætter denne bestemmelse, at denne forordning ikke gælder for behandling af personoplysninger, »som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed«. Som det fremgår af 19. betragtning til nævnte forordning, er denne undtagelse begrundet med den omstændighed, at de kompetente myndigheders behandling af personoplysninger med dette formål er genstand for en mere specifik EU-retsakt, nemlig direktiv 2016/680, som blev vedtaget samme dag som databeskyttelsesforordningen, og hvis artikel 3, nr. 7), definerer, hvad der forstås ved »kompetent myndighed«, idet denne definition skal anvendes analogt på artikel 2, stk. 2, litra d).

70

Det fremgår af tiende betragtning til direktiv 2016/680, at begrebet »kompetent myndighed« skal forstås i forbindelse med beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde, under hensyntagen til de tilpasninger, der kan vise sig nødvendige i denne henseende som følge af disse områders specifikke karakter. 11. betragtning til dette direktiv præciserer endvidere, at databeskyttelsesforordningen gælder for den behandling af personoplysninger, som foretages af en »kompetent myndighed« som omhandlet i nævnte direktivs artikel 3, nr. 7), men til andre formål end de i dette direktiv fastsatte.

71

Henset til de oplysninger, som Domstolen råder over, fremgår det ikke, at CSDD ved udøvelsen af de af hovedsagen omhandlede aktiviteter, som består i at videregive personoplysninger vedrørende strafpoint til offentligheden i trafiksikkerhedens interesse, kan anses for at være en »kompetent myndighed« som omhandlet i artikel 3, nr. 7), i direktiv 2016/680 og dermed at sådanne aktiviteter kan henhøre under den undtagelse, der er fastsat i databeskyttelsesforordningens artikel 2, stk. 2, litra d).

72

CSDD’s videregivelse af personoplysninger vedrørende strafpoint, der pålægges førere af motorkøretøjer for færdselsforseelser, henhører dermed under anvendelsesområdet for databeskyttelsesforordningen.

73

Hvad angår spørgsmålet om anvendelsen af databeskyttelsesforordningens artikel 10 på en sådan videregivelse, skal det afklares, om de således videregivne oplysninger udgør personoplysninger »vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger« som omhandlet i denne bestemmelse, hvis behandling »[kun må] foretages under kontrol af en offentlig myndighed«, medmindre behandlingen »har hjemmel i EU-retten eller medlemsstaternes nationale ret, som giver passende garantier for registreredes rettigheder og frihedsrettigheder«.

74

Det skal i denne forbindelse bemærkes, at nævnte artikel 10 tilsigter at sikre en øget beskyttelse mod behandlinger, der som følge af de pågældende oplysningers særligt følsomme karakter kan udgøre et særligt alvorligt indgreb i de grundlæggende rettigheder til respekt for privatlivet og til beskyttelse af personoplysninger, som er sikret ved chartrets artikel 7 og 8 (jf. i denne retning dom af 24.9.2019, GC m.fl. (Fjernelse af følsomme oplysninger), C-136/17, EU:C:2019:773, præmis 44).

75

Eftersom de oplysninger, der henvises til i databeskyttelsesforordningens artikel 10, vedrører adfærd, som medfører samfundets misbilligelse, kan indrømmelsen af indsigt i sådanne oplysninger nemlig stigmatisere den pågældende person og således udgøre et alvorligt indgreb i vedkommendes privat- eller arbejdsliv.

76

I det foreliggende tilfælde er det korrekt, at de lettiske myndigheders afgørelser med henblik på at straffe færdselsforseelser, som den lettiske regering har fremhævet i sine svar på Domstolens spørgsmål, indføres i det register over straffedomme, som offentligheden kun har adgang til i begrænsede tilfælde, og ikke i registret over køretøjer og førere, som færdselslovens artikel 141, stk. 2, giver fri adgang til. Som den forelæggende ret har fremhævet, giver CSDD’s videregivelse af de personoplysninger vedrørende strafpoint, som er indført i sidstnævnte register, imidlertid offentligheden mulighed for at få kendskab til, om en bestemt person har begået færdselsforseelser, og i bekræftende fald heraf at udlede alvoren og hyppigheden af disse overtrædelser. En sådan ordning for videregivelse af strafpoint svarer således til at give aktindsigt i personoplysninger vedrørende færdselsforseelser.

77

For at afgøre, om en sådan aktindsigt udgør behandling af personoplysninger vedrørende »lovovertrædelser« som omhandlet i databeskyttelsesforordningens artikel 10, skal det for det første bemærkes, at dette begreb alene henviser til strafbare handlinger, som det bl.a. fremgår af denne forordnings tilblivelseshistorie. Selv om Europa-Parlamentet udtrykkeligt foreslog, at »administrative sanktioner« skulle være udtrykkeligt omfattet af denne bestemmelse (EUT 2017, C 378, s. 430), blev dette forslag nemlig ikke medtaget. Denne omstændighed er så meget desto mere bemærkelsesværdig, eftersom den bestemmelse, der gik forud for databeskyttelsesforordningens artikel 10, nemlig artikel 8, stk. 5, i direktiv 95/46, som i første afsnit henviste til »lovovertrædelser« og »straffedomme«, i andet afsnit gav medlemsstaterne mulighed for at »fastsætte bestemmelser om, at behandling af oplysninger vedrørende administrative sanktioner […] ligeledes [skulle] foretages under en offentlig myndigheds kontrol«. Det fremgår således klart af læsningen af denne artikel 8, stk. 5, som helhed, at begrebet »lovovertrædelse« alene henviste til strafbare handlinger.

78

På denne baggrund må det lægges til grund, at EU-lovgiver ved bevidst at undlade at medtage tillægsordet »administrativ« i databeskyttelsesforordningens artikel 10 har haft til hensigt alene at lade den øgede beskyttelse, der er fastsat i denne bestemmelse, gælde for det strafferetlige område.

79

Som generaladvokaten har anført i punkt 74-77 i forslaget til afgørelse, understøttes denne fortolkning af den omstændighed, at flere af sprogversionerne af databeskyttelsesforordningens artikel 10 udtrykkeligt henviser til »strafbare handlinger«, såsom den tyske sprogversion (Straftaten), den spanske (infracciones penales), den italienske (reati), den litauiske (nusikalstamas veikas), den maltesiske (reati) og den nederlandske (strafbare feiten).

80

For det andet er den omstændighed, at færdselsforseelser i Letland kvalificeres som administrative forseelser, ikke afgørende for at vurdere, om disse forseelser henhører under databeskyttelsesforordningens artikel 10.

81

I denne henseende skal det bemærkes, at ordlyden af en bestemmelse i EU-retten, som ikke indeholder nogen udtrykkelig henvisning til medlemsstaternes ret med henblik på at fastlægge dens betydning og rækkevidde, normalt skal undergives en selvstændig og ensartet fortolkning i hele Unionen (dom af 19.9.2000, Linster, C-287/98, EU:C:2000:468, præmis 43, og af 1.10.2019, Planet49, C-673/17, EU:C:2019:801, præmis 47).

82

Det skal i det foreliggende tilfælde indledningsvis bemærkes, at databeskyttelsesforordningen ikke indeholder nogen henvisning til de nationale lovgivninger hvad angår rækkevidden af de udtryk, der fremgår af denne forordnings artikel 10, navnlig udtrykkene »lovovertrædelser« og »straffedomme«.

83

Det fremgår endvidere af tiende betragtning til databeskyttelsesforordningen, at forordningen har til formål at bidrage til skabelsen af et område med frihed, sikkerhed og retfærdighed ved at sikre et ensartet og højt niveau for beskyttelse af fysiske personer i forbindelse med behandlingen af personoplysninger, hvilket forudsætter, at dette beskyttelsesniveau er tilsvarende og ensartet i alle medlemsstaterne. Det ville således være i strid med dette formål, hvis den øgede beskyttelse, der foreskrives i denne bestemmelse, kun gjaldt for behandlingen af personoplysninger vedrørende færdselsforseelser i visse medlemsstater og ikke i andre medlemsstater, alene fordi disse forseelser ikke kvalificeres som strafbare handlinger i de sidstnævnte medlemsstater.

84

Som generaladvokaten har anført i punkt 84 i forslaget til afgørelse, understøttes denne konstatering endelig af 13. betragtning til direktiv 2016/680, hvori anføres, at en »strafbar handling som omhandlet i dette direktiv bør være et selvstændigt EU-retligt begreb som fortolket af Den Europæiske Unions Domstol«.

85

Det følger heraf, at begrebet »strafbar handling«, som er afgørende for at beslutte, om databeskyttelsesforordningens artikel 10 finder anvendelse på personoplysninger vedrørende færdselsforseelser som de af hovedsagen omhandlede, i hele Unionen skal undergives en selvstændig og ensartet fortolkning, som skal søges under hensyntagen til formålet med denne bestemmelse og den sammenhæng, hvori den indgår, og at den pågældende medlemsstats kvalificering af disse overtrædelser ikke er afgørende i denne henseende, idet denne kvalificering kan variere fra land til land (jf. i denne retning dom af 14.11.2013, Baláž, C-60/12, EU:C:2013:733, præmis 26 og 35).

86

For det tredje skal det undersøges, om færdselsforseelser som dem, der giver anledning til, at der i registret over køretøjer og førere indføres strafpoint, som kan videregives til tredjemand i medfør af den omtvistede bestemmelse, udgør en »strafbar handling« som omhandlet i databeskyttelsesforordningens artikel 10.

87

Ifølge Domstolens praksis er tre kriterier relevante for at vurdere, om en lovovertrædelse har karakter af en strafbar handling. Det første kriterium er den retlige kvalificering af lovovertrædelsen i national ret, det andet kriterium er selve lovovertrædelsens art, og det tredje kriterium er karakteren og strengheden af den sanktion, som den pågældende risikerer at blive pålagt (jf. i denne retning dom af 5.6.2012, Bonda, C-489/10, EU:C:2012:319, præmis 37, af 20.3.2018, Garlsson Real Estate m.fl., C-537/16, EU:C:2018:193, præmis 28, og af 2.2.2021, Consob, C-481/19, EU:C:2021:84, præmis 42).

88

Selv for overtrædelser, der ikke kvalificeres som »strafferetlige« i national ret, kan en sådan karakter ikke desto mindre følge af selve den pågældende overtrædelses art og strengheden af de sanktioner, som denne kan medføre (jf. i denne retning dom af 20.3.2018, Garlsson Real Estate m.fl., C-537/16, EU:C:2018:193, præmis 28 og 32).

89

Hvad angår det andet kriterium vedrørende selve lovovertrædelsens art skal det undersøges, om den omhandlede sanktion navnlig har et repressivt formål, uden at den omstændighed, at sanktionen ligeledes forfølger et præventivt formål, i sig selv kan fratage den sin karakter af strafferetlig sanktion. Det følger nemlig af selve de strafferetlige sanktioners natur, at de både tilsigter at straffe og at forebygge ulovlig adfærd. En foranstaltning, der blot kompenserer for skader forårsaget af den pågældende lovovertrædelse, er derimod ikke af strafferetlig karakter (jf. i denne retning dom af 5.6.2012, Bonda, C-489/10, EU:C:2012:319, præmis 39, og af 20.3.2018, Garlsson Real Estate m.fl., C-537/16, EU:C:2018:193, præmis 33). Det står fast, at tildelingen af strafpoint for færdselsforseelser ligesom bøder og andre sanktioner, som disse overtrædelser kan medføre, ikke alene har til formål at erstatte de skader, som de nævnte overtrædelser eventuelt har forårsaget, men ligeledes forfølger et repressivt formål.

90

Hvad angår kriteriet om strengheden af de sanktioner, som disse overtrædelser kan medføre, skal det indledningsvis bemærkes, at alene færdselsforseelser af en vis grovhed fører til tildeling af strafpoint, og at sådanne overtrædelser derfor kan medføre sanktioner af en vis strenghed. Pålæggelsen af strafpoint er endvidere generelt et supplement til den sanktion, der pålægges for at have begået en overtrædelse, hvilket, som det er anført i nærværende doms præmis 58, i øvrigt er tilfældet i den af hovedsagen omhandlede lovgivning. Endelig har kumulationen af nævnte point i sig selv retsvirkninger såsom pligt til at bestå en prøve eller endda et kørselsforbud.

91

Denne analyse understøttes af Den Europæiske Menneskerettighedsdomstols praksis, hvorefter færdselsforseelser på trods af tendensen til »afkriminalisering« af disse overtrædelser i visse stater, under hensyn til de pålagte sanktioners både præventive og repressive formål og til den strenghed, som disse sanktioner kan have, generelt skal anses for at være af strafferetlig karakter (jf. i denne retning Menneskerettighedsdomstolens dom af 21.2.1984, Öztürk mod Tyskland, CE:ECHR:1984:0221JUD 000854479, §§ 49-53, af 29.6.2007, O’Halloran og Francis mod Det Forenede Kongerige, CE:ECHR:2007:0629JUD 001580902, §§ 33-36, og af 4.10.2016, Rivard mod Schweiz, CE:ECHR:2016:1004JUD 002156312, §§ 23 og 24).

92

Kvalificeringen af færdselsforseelser, der kan medføre tildeling af strafpoint, som »strafbar handling« som omhandlet i databeskyttelsesforordningens artikel 10 stemmer ligeledes overens med formålet med denne bestemmelse. Videregivelsen til offentligheden af personoplysninger vedrørende færdselsforseelser, herunder de strafpoint, der pålægges for at have begået disse, kan, under hensyn til den omstændighed, at sådanne overtrædelser udgør et brud på trafiksikkerheden, nemlig fremkalde samfundets misbilligelse og medføre en stigmatisering af den pågældende person, navnlig når disse point vidner om en vis grovhed eller en vis hyppighed af de nævnte overtrædelser.

93

Det følger heraf, at færdselsforseelser, som kan medføre tildeling af strafpoint, henhører under begrebet »lovovertrædelser« i databeskyttelsesforordningens artikel 10.

94

Henset til samtlige ovenstående betragtninger skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 10 skal fortolkes således, at denne bestemmelse finder anvendelse på behandling af personoplysninger vedrørende de strafpoint, der pålægges førere af motorkøretøjer for færdselsforseelser.

Det andet spørgsmål

95

Med det andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens bestemmelser skal fortolkes således, at de er til hinder for en national lovgivning, som pålægger et offentligt organ, der fører det register, hvori de strafpoint, som pålægges førere af motorkøretøjer for færdselsforseelser, er indført, at videregive disse oplysninger til enhver, der anmoder herom, uden at vedkommende skal godtgøre en særlig interesse i at få de nævnte oplysninger.

96

Det skal i denne forbindelse bemærkes, at enhver behandling af personoplysninger både skal foregå i overensstemmelse med de principper for behandling af oplysninger, der er opregnet i databeskyttelsesforordningens artikel 5, og overholde et af de principper om behandlingens lovlighed, som er opstillet i nævnte forordnings artikel 6 (jf. i denne retning dom af 16.1.2019, Deutsche Post, C-496/17, EU:C:2019:26, præmis 57 og den deri nævnte retspraksis).

97

Hvad angår principperne om behandlingen af personoplysninger er det korrekt, at forelæggelsesafgørelsen specifikt henviser til de principper om »integritet« og »fortrolighed«, der er fastsat i databeskyttelsesforordningens artikel 5, stk. 1, litra f). Når dette er sagt, fremgår det af nævnte rets tvivl, at den søger mere generelt at afgøre, om den i hovedsagen omhandlede behandling af personoplysninger kan anses for at være ulovlig under hensyn til samtlige bestemmelser i nævnte forordning, og navnlig i betragtning af proportionalitetsprincippet.

98

Det følger heraf, at der i besvarelsen til denne ret ligeledes skal tages hensyn til de øvrige principper, som er opregnet i nævnte forordnings artikel 5, stk. 1, navnlig princippet om »dataminimering« i bestemmelsens litra c), hvorefter personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles, som er udtryk for proportionalitetsprincippet (jf. i denne retning dom af 11.12.2019, Asociaţia de Proprietari bloc M5A-ScaraA, C-708/18, EU:C:2019:1064, præmis 48).

99

Hvad angår principperne om behandlingens lovlighed fastsætter databeskyttelsesforordningens artikel 6 en udtømmende og fuldstændig liste over de tilfælde, hvor behandling af personoplysninger kan anses for at være lovlig. For at kunne anses for at være lovlig skal behandlingen således være omfattet af et af de tilfælde, som er omhandlet i nævnte artikel 6 (jf. i denne retning dom af 11.12.2019, Asociaţia de Proprietari bloc M5A-ScaraA, C-708/18, EU:C:2019:1064, præmis 37 og 38). I denne henseende kan den i hovedsagen omhandlede behandling af personoplysninger, som CSDD har foretaget, dvs. videregivelsen til offentligheden af oplysninger vedrørende de strafpoint, som er blevet pålagt for færdselsforseelser, henhøre under databeskyttelsesforordningens artikel 6, stk. 1, litra e), hvorefter behandlingen er lovlig, hvis og i det omfang den er »nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt«.

100

For så vidt som personoplysninger vedrørende strafpoint, som førere af motorkøretøjer pålægges for færdselsforseelser, henhører under databeskyttelsesforordningens artikel 10, er behandlingen heraf, som det er fastslået i nærværende doms præmis 94, undergivet yderligere begrænsninger, der er fastsat i denne bestemmelse. I henhold til denne bestemmelse må behandling af disse oplysninger »kun foretages under kontrol af en offentlig myndighed«, medmindre behandlingen »har hjemmel i EU-retten eller medlemsstaternes nationale ret, som giver passende garantier for registreredes rettigheder og frihedsrettigheder«. Bestemmelsen præciserer endvidere, at »[e]thvert omfattende register over straffedomme [kun må] føres under kontrol af en offentlig myndighed«.

101

I det foreliggende tilfælde står det fast, at den i hovedsagen omhandlede behandling af personoplysninger, dvs. videregivelsen til offentligheden af oplysninger vedrørende de strafpoint, som pålægges for færdselsforseelser, varetages af et offentligt organ, CSDD, der har ansvaret for behandlingen som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7) (jf. analogt dom af 9.3.2017, Manni, C-398/15, EU:C:2017:197, præmis 35). Det står imidlertid ligeledes klart, at disse oplysninger, når de er blevet videregivet, tilgås af personer, som har anmodet om videregivelsen heraf, og at disse personer eventuelt opbevarer eller udbreder disse oplysninger. For så vidt som disse senere behandlinger af oplysningerne ikke længere foretages »under kontrol« af CSDD eller en anden offentlig myndighed, skal den nationale lovgivning, der tillader CSDD’s videregivelse af de nævnte oplysninger, fastsætte »passende garantier for registreredes rettigheder og frihedsrettigheder«.

102

Det er således under hensyn til såvel de generelle betingelser om lovlighed, navnlig dem, der er fastsat i databeskyttelsesforordningens artikel 5, stk. 1, litra c), og artikel 6, stk. 1, litra e), som til de i denne forordnings artikel 10 fastsatte begrænsninger, at det skal undersøges, om en national lovgivning som den i hovedsagen omhandlede er forenelig med denne forordning.

103

Det skal i denne henseende fastslås, at ingen af disse bestemmelser indeholder et generelt og absolut forbud mod, at en offentlig myndighed i henhold til national lovgivning bemyndiges, eller endda forpligtes, til at videregive personoplysninger til personer, som har fremsat anmodning herom.

104

Selv om databeskyttelsesforordningens artikel 5, stk. 1, litra c), kræver, at behandlingen af personoplysninger skal ske i overensstemmelse med princippet om »dataminimering«, fremgår det nemlig klart af ordlyden af denne bestemmelse, at den ikke tilsigter at indføre et sådant generelt og absolut forbud, og at den navnlig ikke er til hinder for, at personoplysninger videregives til offentligheden, når denne videregivelse er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller henhører under offentlig myndighedsudøvelse som omhandlet i forordningens artikel 6, stk. 1, litra e). Det samme gælder, når de pågældende oplysninger henhører under databeskyttelsesforordningens artikel 10, forudsat at den lovgivning, som tillader denne videregivelse, fastsætter passende garantier for de berørte personers rettigheder og frihedsrettigheder (jf. i denne retning dom af 24.9.2019, GC m.fl. (Fjernelse af følsomme oplysninger), C-136/17, EU:C:2019:773, præmis 73).

105

Det skal i denne forbindelse bemærkes, at de grundlæggende rettigheder til respekt for privatlivet og til beskyttelse af personoplysninger ikke er absolutte rettigheder, men skal ses i sammenhæng med deres funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder. Der kan således indføres begrænsninger, forudsat at de i overensstemmelse med chartrets artikel 52, stk. 1, er fastlagt i lovgivningen og respekterer de grundlæggende rettigheders væsentligste indhold samt proportionalitetsprincippet. I medfør af sidstnævnte princip kan der kun indføres begrænsninger, såfremt disse er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder. De skal holdes inden for det strengt nødvendige, og den lovgivning, som indebærer indgrebet, skal fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af den pågældende foranstaltning (jf. i denne retning dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 172-176).

106

For at afgøre, om en videregivelse af personoplysninger vedrørende strafpoint til offentligheden som den i hovedsagen omhandlede er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller henhører under offentlig myndighedsudøvelse som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, litra e), og om den lovgivning, der tillader en sådan videregivelse, fastsætter passende garantier for de berørte personers rettigheder og frihedsrettigheder som omhandlet i forordningens artikel 10, skal det dermed navnlig efterprøves, om videregivelsen, under hensyn til alvoren af det indgreb i retten til respekt for privatlivet og i retten til beskyttelse af personoplysninger, som denne videregivelse forårsager, er begrundet, og navnlig forholdsmæssig, med henblik på at nå de forfulgte mål.

107

I det foreliggende tilfælde har det lettiske parlament i sine bemærkninger til den forelæggende ret og den lettiske regering i sine bemærkninger til Domstolen gjort gældende, at CSDD’s videregivelse af personoplysninger vedrørende strafpoint til enhver person, der anmoder herom, henhører under en opgave i samfundets interesse, som dette organ udfører med henblik på at forbedre trafiksikkerheden, og som i denne forbindelse bl.a. tilsigter at gøre det muligt at identificere de førere af motorkøretøjer, som systematisk overtræder færdselsreglerne, og at påvirke trafikanternes adfærd ved at tilskynde dem til en adfærd, der er i overensstemmelse med de nævnte regler.

108

Det skal i denne forbindelse bemærkes, at en forbedring af trafiksikkerheden er et mål af almen interesse, der er anerkendt af Unionen (jf. i denne retning dom af 23.4.2015, Aykul, C-260/13, EU:C:2015:257, præmis 69 og den deri nævnte retspraksis). Medlemsstaterne har således grundlag for at kvalificere trafiksikkerheden som en »opgave i samfundets interesse« som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, litra e).

109

For at opfylde de betingelser, der er fastsat i sidstnævnte bestemmelse, skal videregivelsen af de personoplysninger vedrørende strafpoint, som er indført i CSDD’s register, imidlertid faktisk opfylde det mål af almen interesse, der består i forbedring af trafiksikkerheden, og må ikke gå ud over, hvad der er nødvendigt for at nå dette mål.

110

Som fremhævet i 39. betragtning til databeskyttelsesforordningen er dette nødvendighedskrav ikke opfyldt, når det omhandlede mål af almen interesse med rimelighed kan nås lige så godt på en anden måde, som er mindre indgribende i de berørte personers grundlæggende rettigheder, navnlig den ret til respekt for privatlivet og til beskyttelse af personoplysninger, der er sikret ved chartrets artikel 7 og 8, idet undtagelser og begrænsninger i princippet om beskyttelse af sådanne oplysninger skal holdes inden for det strengt nødvendige (jf. i denne retning dom af 11.12.2019, Asociaţia de Proprietari bloc M5A-ScaraA, C-708/18, EU:C:2019:1064, præmis 46 og 47).

111

Som det fremgår af medlemsstaternes praksis, har de hver især en bred vifte af handlemuligheder, hvorunder navnlig hører muligheden for med afskrækkende virkning at sanktionere færdselsforseelser, særligt ved at fratage de pågældende førere førerretten, mens der for så vidt angår overtrædelsen af et sådant forbud kan idømmes en faktisk straf, uden at det er nødvendigt at informere offentligheden om vedtagelsen af sådanne foranstaltninger. Det fremgår ligeledes af denne praksis, at der endvidere kan træffes talrige forebyggelsesforanstaltninger, som omfatter alt fra kampagner for fælles bevidstgørelse til vedtagelsen af individuelle foranstaltninger, hvorved en fører pålægges at følge kurser eller gennemføre prøver, uden at det er nødvendigt at informere offentligheden om vedtagelsen af sådanne individuelle foranstaltninger. Det fremgår således ikke af sagsakterne for Domstolen, at den lettiske lovgiver havde undersøgt og foretrukket sådanne foranstaltninger i stedet for vedtagelsen af den i hovedsagen omhandlede lovgivning.

112

Som det er anført i nærværende doms præmis 92, kan videregivelsen til offentligheden af personoplysninger vedrørende færdselsforseelser, herunder oplysninger vedrørende strafpoint pålagt for at have begået disse forseelser, desuden udgøre et alvorligt indgreb i de grundlæggende rettigheder til respekt for privatlivet og til beskyttelse af personoplysninger, eftersom videregivelsen kan fremkalde samfundets misbilligelse og føre til stigmatisering af den berørte person.

113

Henset til for det første følsomheden af de pågældende oplysninger og alvoren af det nævnte indgreb i de berørte personers grundlæggende rettigheder til respekt for privatlivet og til beskyttelse af personoplysninger samt for det andet til den omstændighed, at det, henset til konstateringerne i nærværende doms præmis 111, ikke fremgår, at formålet om forbedring af trafiksikkerheden kan nås lige så effektivt på en anden måde, der er mindre indgribende, kan det ikke anses for godtgjort, at det for at nå dette mål er nødvendigt at indføre en sådan ordning med videregivelse af personoplysninger vedrørende de strafpoint, der pålægges for færdselsforseelser (jf. analogt dom af 9.11.2010, Volker und Markus Schecke og Eifert, C-92/09 og C-93/09, EU:C:2010:662, præmis 86).

114

Selv om det kan være begrundet at sondre mellem førere, der systematisk og i ond tro overtræder færdselsreglerne, og førere, som lejlighedsvis begår overtrædelser, kan det således imidlertid ikke findes, at det med henblik på at forbedre trafiksikkerheden er nødvendigt, at den første kategori af disse førere kan identificeres af offentligheden, eller at oplysninger om denne kategori deles med offentligheden, hvorfor der ligeledes kan næres tvivl om den i hovedsagen omhandlede lovgivnings egnethed til at nå det første af de mål, der er omtalt i nærværende doms præmis 107.

115

Det fremgår indledningsvis af sagsakterne for Domstolen, at CSDD ikke alene videregiver oplysninger om de strafpoint, som pålægges førere, der systematisk og i ond tro overtræder færdselsreglerne, til offentligheden, men ligeledes videregiver oplysninger om de strafpoint, som pålægges førere, der lejlighedsvis begår overtrædelser. Det fremgår således, at den i hovedsagen omhandlede lovgivning ved at foreskrive en generel adgang til aktindsigt for offentligheden i strafpoint under alle omstændigheder går ud over, hvad der er nødvendigt for at sikre formålet om at bekæmpe den systematiske tilsidesættelse i ond tro af færdselsreglerne.

116

Hvad angår det andet af de formål, som forfølges med den i hovedsagen omhandlede lovgivning, og som er anført i nærværende doms præmis 107, fremgår det af nævnte sagsakter, at selv om der i Letland har kunnet konstateres en faldende tendens i antallet af færdselsulykker, er der intet grundlag for at konkludere, at denne tendens snarere er knyttet til videregivelsen af oplysninger vedrørende strafpoint end til selve oprettelsen af et strafpointsystem.

117

Konklusionen i nærværende doms præmis 113 svækkes ikke af den omstændighed, at CSDD i praksis gør den omhandlede videregivelse af personoplysninger betinget af, at den person, der fremsætter anmodningen, oplyser det nationale identifikationsnummer på den fører, hvorom vedkommende ønsker oplysninger.

118

Selv hvis det antages, som den lettiske regering har anført, at videregivelsen af de nationale identifikationsnumre fra de offentlige organer, som fører befolkningsregistrene, er underlagt strenge krav og således opfylder databeskyttelsesforordningens artikel 87, forholder det sig ikke desto mindre således, at den i hovedsagen omhandlede nationale lovgivning som anvendt af CSDD nemlig giver enhver, der kender en bestemt førers nationale identifikationsnummer, mulighed for uden at opfylde andre betingelser at indhente personoplysninger om de strafpoint, som denne fører er blevet pålagt. En sådan videregivelsesordning kan føre til en situation, hvor disse oplysninger videregives til personer, der af andre hensyn end målet af almen interesse om forbedring af trafiksikkerheden ønsker at få oplysninger om de strafpoint, som en given person er blevet pålagt.

119

Den i nærværende doms præmis 113 anførte konklusion svækkes heller ikke af den omstændighed, at det nationale register over køretøjer og førere er et officielt dokument som omhandlet i databeskyttelsesforordningens artikel 86.

120

Selv om aktindsigt i officielle dokumenter, som det følger af 154. betragtning til denne forordning, udgør en offentlig interesse, som kan legitimere videregivelsen af personoplysninger, der er indeholdt i sådanne dokumenter, skal denne aktindsigt ikke desto mindre være forenelig med de grundlæggende rettigheder til respekt for privatlivet og til beskyttelse af personoplysninger, som det i øvrigt udtrykkeligt kræves i nævnte artikel 86. Henset til bl.a. følsomheden af oplysningerne om de strafpoint, der pålægges for færdselsforseelser, og til alvoren af det indgreb i de berørte personers grundlæggende rettigheder til respekt for privatlivet og til beskyttelse af personoplysninger, som videregivelsen af disse oplysninger indebærer, skal disse rettigheder anses for at gå forud for offentlighedens interesse i at få aktindsigt i officielle dokumenter, navnlig det nationale register over køretøjer og førere.

121

Af samme grund kan den ret til informationsfrihed, som er omfattet af databeskyttelsesforordningens artikel 85, endvidere ikke fortolkes således, at den begrunder, at personoplysninger vedrørende de strafpoint, der pålægges for færdselsforseelser, kan videregives til enhver, der anmoder herom.

122

Henset til samtlige ovenstående betragtninger skal det andet spørgsmål besvares med, at databeskyttelsesforordningens bestemmelser, navnlig denne forordnings artikel 5, stk. 1, artikel 6, stk. 1, litra e), og artikel 10, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, som pålægger et offentligt organ, der fører det register, hvori de strafpoint, som pålægges førere af motorkøretøjer for færdselsforseelser, er indført, at gøre disse oplysninger tilgængelige for offentligheden, uden at den person, der anmoder om aktindsigt, skal godtgøre en særlig interesse i at få de nævnte oplysninger.

Det tredje spørgsmål

123

Med det tredje spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens bestemmelser, navnlig denne forordnings artikel 5, stk. 1, litra b), og artikel 10, samt artikel 1, stk. 2, litra cc), i direktiv 2003/98 skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, som tillader det offentlige organ, som fører det register, hvori de strafpoint, der pålægges førere af motorkøretøjer for færdselsforseelser, indføres, at videregive disse oplysninger til erhvervsdrivende med henblik på videreanvendelse.

124

Som den forelæggende ret har fremhævet, udspringer dette spørgsmål af den omstændighed, at CSDD indgår aftaler med erhvervsdrivende, i medfør af hvilke direktoratet tilsender de sidstnævnte personoplysningerne vedrørende de strafpoint, der er indført i det nationale register over køretøjer og førere, navnlig således at enhver, der ønsker at indhente oplysninger om de strafpoint, som en bestemt fører er blevet pålagt, kan opnå disse oplysninger ikke blot fra CSDD, men ligeledes fra disse erhvervsdrivende.

125

Det følger af besvarelsen på det andet spørgsmål, at databeskyttelsesforordningens bestemmelser, navnlig denne forordnings artikel 5, stk. 1, artikel 6, stk. 1, litra e), og artikel 10, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, som pålægger et offentligt organ, der fører det register, hvori de strafpoint, som pålægges førere af motorkøretøjer for færdselsforseelser, er indført, at gøre disse oplysninger tilgængelige for offentligheden, uden at den person, der anmoder om aktindsigt, skal godtgøre en særlig interesse i at få de nævnte oplysninger.

126

Disse bestemmelser skal af de samme grunde som dem, der er anført i besvarelsen af det andet spørgsmål, fortolkes således, at de ligeledes er til hinder for en national lovgivning, som tillader et offentligt organ at videregive oplysninger af denne art til erhvervsdrivende, med henblik på at de sidstnævnte videreanvender oplysningerne og videregiver dem til offentligheden.

127

Endelig skal det hvad angår artikel 1, stk. 2, litra cc), i direktiv 2003/98, som det tredje spørgsmål ligeledes vedrører, fastslås, således som generaladvokaten har anført i punkt 128 og 129 i forslaget til afgørelse, at denne bestemmelse ikke er relevant med henblik på at afgøre, om de EU-retlige regler om beskyttelse af personoplysninger er til hinder for en lovgivning som den i hovedsagen omhandlede.

128

Uafhængigt af, om oplysningerne vedrørende de strafpoint, som førere pålægges for færdselsforseelser, henhører under anvendelsesområdet for direktiv 2003/98, skal rækkevidden af beskyttelsen af disse oplysninger nemlig under alle omstændigheder fastlægges på grundlag af databeskyttelsesforordningen, som det fremgår af både 154. betragtning til denne forordning og af 21. betragtning til og artikel 1, stk. 4, i dette direktiv, sammenholdt med databeskyttelsesforordningens artikel 94, stk. 2, og direktivets artikel 1, stk. 4, som i det væsentlige bestemmer, at direktivet opretholder og på ingen måde griber ind i beskyttelsesniveauet for fysiske personer med hensyn til behandling af personoplysninger bl.a. i henhold til EU-lovgivningen, og at direktivet navnlig ikke ændrer de forpligtelser og rettigheder, der er fastsat i databeskyttelsesforordningen.

129

Henset til det ovenstående skal det tredje spørgsmål besvares med, at databeskyttelsesforordningens bestemmelser, navnlig denne forordnings artikel 5, stk. 1, artikel 6, stk. 1, litra e), og artikel 10, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, som tillader et offentligt organ, der fører det register, hvori de strafpoint, som pålægges førere af motorkøretøjer for færdselsforseelser, er indført, at videregive disse oplysninger til erhvervsdrivende med henblik på videreanvendelse.

Det fjerde spørgsmål

130

Med det fjerde spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om princippet om EU-rettens forrang skal fortolkes således, at dette princip er til hinder for, at en medlemsstats forfatningsdomstol, som er forelagt et søgsmål til prøvelse af en national lovgivning, der i lyset af en præjudiciel afgørelse fra Domstolen er uforenelig med EU-retten, beslutter i medfør af retssikkerhedsprincippet, at retsvirkningerne af denne lovgivning opretholdes indtil afsigelsen af den dom, hvorved denne forfatningsdomstol træffer endelig afgørelse i forfatningssøgsmålet.

131

Som det fremgår af forelæggelsesafgørelsen, er dette spørgsmål rejst som følge af det store antal retsforhold, der påvirkes af den i hovedsagen omhandlede nationale lovgivning, og idet den forelæggende ret i medfør af artikel 32, stk. 3, i loven om forfatningsdomstolen og retspraksis herom ved udøvelsen af opgaven med at sikre en ligevægt mellem retssikkerhedsprincippet og de berørte personers grundlæggende rettigheder kan begrænse den tilbagevirkende kraft af sine domme for at undgå, at disse domme skader andres rettigheder alvorligt.

132

Det skal i denne forbindelse bemærkes, at den fortolkning, som Domstolen foretager af EU-retlige regler under udøvelse af sin kompetence i henhold til artikel 267 TEUF, skal belyse og præcisere betydningen og rækkevidden af disse regler, således som de skal forstås og anvendes, henholdsvis burde have været forstået og anvendt fra deres ikrafttræden. Domstolen vil kun undtagelsesvis i henhold til et almindeligt retssikkerhedsprincip, der er sikret i Unionens retsorden, finde anledning til at begrænse borgernes mulighed for at påberåbe sig den således fortolkede bestemmelse med henblik på anfægtelse af tidligere i god tro stiftede retsforhold. For at der kan træffes bestemmelse om en sådan begrænsning, skal to hovedbetingelser være opfyldt, nemlig at de berørte parter skal være i god tro, og at der skal være fare for alvorlige forstyrrelser (dom af 6.3.2007, Meilicke, C-292/04, EU:C:2007:132, præmis 34 og 35, af 22.1.2015, Balazs, C-401/13 og C-432/13, EU:C:2015:26, præmis 49 og 50, og af 29.9.2015, Gmina Wrocław, C-276/14, EU:C:2015:635, præmis 44 og 45).

133

En sådan begrænsning kan i henhold til Domstolens faste praksis kun antages at bestå på grundlag af selve den dom, der afgør fortolkningsspørgsmålet. Det er nemlig nødvendigt at have et bestemt tidspunkt for fastsættelse af den tidsmæssige virkning af den fortolkning, som Domstolen foretager af en EU-retlig regel. Princippet om, at en begrænsning kun antages at bestå på grundlag af selve den dom, der afgør fortolkningsspørgsmålet, sikrer ligebehandling af medlemsstaterne og de øvrige retssubjekter og opfylder derved endog de krav, der følger af retssikkerhedsprincippet (dom af 6.3.2007, Meilicke, C-292/04, EU:C:2007:132, præmis 36 og 37; jf. i denne retning dom af 23.10.2012, Nelson m.fl., C-581/10 og C-629/10, EU:C:2012:657, præmis 91, og af 7.11.2018, O’Brien, C-432/17, EU:C:2018:879, præmis 34).

134

Følgelig kan de tidsmæssige virkninger af en præjudiciel afgørelse fra Domstolen ikke afhænge af datoen for afsigelsen af den dom, hvorved den forelæggende ret træffer endelig afgørelse i hovedsagen, endsige af denne rets bedømmelse af behovet for at opretholde retsvirkningerne af den pågældende nationale lovgivning.

135

I medfør af princippet om EU-rettens forrang kan det nemlig ikke tillades, at bestemmelser i national ret, selv hvis der er tale om forfatningsbestemmelser, skader EU-rettens enhed og effektivitet (jf. i denne retning dom af 26.2.2013, Melloni, C-399/11, EU:C:2013:107, præmis 59, og af 29.7.2019, Pelham m.fl., C-476/17, EU:C:2019:624, præmis 78). Selv hvis det antages, at tvingende retssikkerhedsmæssige hensyn undtagelsesvist kan bevirke en midlertidig suspension af den fortrængende virkning, som en direkte anvendelig EU-bestemmelse har i forhold til national ret, der er i strid hermed, kan kun Domstolen fastsætte betingelserne for en sådan suspension (jf. i denne retning dom af 8.9.2010, Winner Wetten, C-409/06, EU:C:2010:503, præmis 61 og 67).

136

I det foreliggende tilfælde er der, eftersom det ikke er godtgjort, at Domstolens fortolkning i nærværende dom vil medføre risiko for alvorlige forstyrrelser, ikke grundlag for at begrænse dommens tidsmæssige virkninger, idet de i nærværende doms præmis 132 anførte kriterier er kumulative.

137

Henset til det ovenstående skal det fjerde spørgsmål besvares med, at princippet om EU-rettens forrang skal fortolkes således, at dette princip er til hinder for, at en medlemsstats forfatningsdomstol, som er forelagt et søgsmål til prøvelse af en national lovgivning, der i lyset af en præjudiciel afgørelse fra Domstolen er uforenelig med EU-retten, beslutter i medfør af retssikkerhedsprincippet, at retsvirkningerne af denne lovgivning opretholdes indtil afsigelsen af den dom, hvorved denne forfatningsdomstol træffer endelig afgørelse i forfatningssøgsmålet.

Sagsomkostninger

138

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

 

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret:

 

1)

Artikel 10 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne bestemmelse finder anvendelse på behandling af personoplysninger vedrørende de strafpoint, der pålægges førere af motorkøretøjer for færdselsforseelser.

 

2)

Bestemmelserne i forordning (EU) 2016/679, navnlig denne forordnings artikel 5, stk. 1, artikel 6, stk. 1, litra e), og artikel 10, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, som pålægger et offentligt organ, der fører det register, hvori de strafpoint, som pålægges førere af motorkøretøjer for færdselsforseelser, er indført, at gøre disse oplysninger tilgængelige for offentligheden, uden at den person, der anmoder om aktindsigt, skal godtgøre en særlig interesse i at få de nævnte oplysninger.

 

3)

Bestemmelserne i forordning (EU) 2016/679, navnlig denne forordnings artikel 5, stk. 1, artikel 6, stk. 1, litra e), og artikel 10, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, som tillader et offentligt organ, der fører det register, hvori de strafpoint, som pålægges førere af motorkøretøjer for færdselsforseelser, er indført, at videregive disse oplysninger til erhvervsdrivende med henblik på videreanvendelse.

 

4)

Princippet om EU-rettens forrang skal fortolkes således, at dette princip er til hinder for, at en medlemsstats forfatningsdomstol, som er forelagt et søgsmål til prøvelse af en national lovgivning, der i lyset af en præjudiciel afgørelse fra Domstolen er uforenelig med EU-retten, beslutter i medfør af retssikkerhedsprincippet, at retsvirkningerne af denne lovgivning opretholdes indtil afsigelsen af den dom, hvorved denne forfatningsdomstol træffer endelig afgørelse i forfatningssøgsmålet.

 

Underskrifter


( *1 ) – Processprog: lettisk.

Top