1.

Forordning (EU) 2016/679 (herefter »databeskyttelsesforordningen«) ( 2 ) udgør ikke en snæver lovgivning. Dens bredt definerede anvendelsesområde, den faktiske retlige bortskaffelse af undtagelser hertil ( 3 ) samt den definitionsbaserede, abstrakte og derfor ret vide tilgang til fortolkning heraf ( 4 ) har bidraget til at gøre databeskyttelsesforordningens anvendelsesområde nærmest ubegrænset. Med denne tilgang er det ret vanskeligt i dag at finde en situation, hvor der ikke er nogen, der behandler nogle personoplysninger et eller andet sted på et eller andet tidspunkt.

2.

Denne tilgang, der har rod i ophøjelsen af beskyttelse af personoplysninger i henhold til artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) til en helt grundlæggende (altoverskyggende) ret, fører ikke desto mindre til forskellige centripetalvirkninger, som beskyttelsen af personoplysninger er begyndt at udøve på andre retsområder og tvister, der er opstået inde for disse. Flere sager begynder pludselig at blive behandlet som spørgsmål om beskyttelse af personoplysninger og anlægges for Domstolen (og andre retter) med henblik på fortolkning af databeskyttelsesforordningen. De særlige problemer, der er rejst i disse tvister, er imidlertid ikke altid dem, der forventes at være reguleret af en lovgivning som databeskyttelsesforordningen, til trods for dens temmelig brede anvendelsesområde.

3.

Der var faktisk ikke mange, der på forhånd ville have troet, at databeskyttelsesforordningen eller dens forgænger, direktiv 95/46/EF ( 5 ), kunne blive opfattet således, at den ville omfatte regnskabselevers aktindsigt i deres prøvebesvarelser potentielt sammen med retten til at rette de pågældende personoplysninger efter prøven ( 6 ), eller således, at den ville hindre politiets identifikation af en person, der var impliceret i et færdselsuheld, hvorved skadelidte ikke kunne anlægge sag ved en civil domstol med påstand om erstatning for skader forvoldt på sidstnævntes køretøj ( 7 ), eller således, at den ville begrænse videregivelse af oplysninger om de skatter, et selskab, der er gået konkurs, tidligere havde betalt til selskabets kurator med henblik på at genoprette ligestilling af civilretlige og offentligretlige kreditorer i forbindelse med krav til undgåelse af insolvens ( 8 ) bare for at nævne nogle få af de mere spændende eksempler.

4.

Den foreliggende sag er endnu et eksempel på sådanne centripetalvirkninger af databeskyttelsesforordningen. SIA »SS« udbyder annonceringsydelser på internettet. I forbindelse med denne erhvervsmæssige virksomhed modtager virksomheden personoplysninger om annoncørerne på sit websted. Den kompetente nationale skatte- og afgiftsmyndighed har anmodet virksomheden om at fremsende visse oplysninger til den vedrørende annoncer om brugte biler, der blev indrykket på det pågældende websted, med henblik på at sikre en korrekt opkrævning af afgifter på bilsalget. Skatte- og afgiftsmyndigheden redegjorde detaljeret for, i hvilket format den ønskede oplysningerne fremsendt. Den præciserede ligeledes, at disse dataoverførsler anses for at være permanente og tilsyneladende uden økonomisk kompensation.

5.

I denne sammenhæng er den forelæggende ret i tvivl om den tilladelige rækkevidde af sådanne anmodninger om oplysninger. Som i tidligere sager synes databeskyttelsesforordningen at finde anvendelse i den foreliggende sag. Personoplysninger behandles eller vil blive behandlet af en eller anden person et eller andet sted, helt sikkert senere, når overførslen gennemføres. De registreredes rettigheder i forbindelse med denne behandling bør, ligesom de pågældende personoplysninger, beskyttes. Dette betyder imidlertid ikke, at databeskyttelsesforordningen specifikt regulerer forholdet mellem en fremtidig dataansvarlig (en offentlig myndighed) og en nuværende dataansvarlig (en privat virksomhed). Databeskyttelsesforordningen følger og beskytter nemlig oplysningerne, uanset hvor de er, og regulerer således de forpligtelser, som påhviler enhver efterfølgende dataansvarlig vedrørende oplysningerne og de registrerede. Med visse udtrykkelige undtagelser regulerer databeskyttelsesforordningen derimod ikke de konkrete detaljer i forholdet mellem to på hinanden følgende dataansvarlige for disse oplysninger. Databeskyttelsesforordningen fastsætter navnlig ikke de nøjagtige bestemmelser for en ordning mellem de dataansvarlige, uanset om den er af kontraktretlig eller offentligretlig oprindelse, i henhold til hvilken der kan anmodes om og indhentes oplysninger fra andre.

6.

31. betragtning til databeskyttelsesforordningen har følgende ordlyd:

»Offentlige myndigheder, til hvem personoplysninger videregives i overensstemmelse med en retlig forpligtelse i forbindelse med udøvelsen af deres officielle hverv, såsom skatte- og toldmyndigheder, finansielle efterforskningsenheder, uafhængige administrative myndigheder eller finansielle markedsmyndigheder, der er ansvarlige for regulering af og tilsyn med værdipapirmarkederne, bør ikke betragtes som værende modtagere, hvis de modtager personoplysninger, der er nødvendige som led i en isoleret forespørgsel af almen interesse i overensstemmelse med EU-retten eller medlemsstaternes nationale ret. Anmodninger om videregivelse af oplysninger sendt af offentlige myndigheder bør altid være skriftlige, begrundede og lejlighedsvise og bør ikke vedrøre et register som helhed eller føre til samkøring af registre. Disse offentlige myndigheders behandling af personoplysninger bør være i overensstemmelse med de gældende databeskyttelsesregler afhængigt af formålet med behandlingen.«

7.

45. betragtning til databeskyttelsesforordningen har følgende ordlyd:

»Hvis behandling foretages i overensstemmelse med en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, bør behandlingen have retsgrundlag i EU-retten eller medlemsstaternes nationale ret. Denne forordning indebærer ikke, at der kræves en specifik lov til hver enkelt behandling. Det kan være tilstrækkeligt med en lov som grundlag for adskillige databehandlingsaktiviteter, som baseres på en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse. Det bør også henhøre under EU-retten eller medlemsstaternes nationale ret at fastlægge formålet med behandlingen. Endvidere kan dette retsgrundlag præcisere denne forordnings generelle betingelser for lovlig behandling af personoplysninger og nærmere præcisere, hvem den dataansvarlige er, hvilken type personoplysninger der skal behandles, de berørte registrerede, hvilke enheder personoplysningerne kan videregives til, formålsbegrænsninger, opbevaringsperiode og andre foranstaltninger til at sikre lovlig og rimelig behandling. Det bør ligeledes henhøre under EU-retten eller medlemsstaternes nationale ret at afgøre, om den dataansvarlige, der udfører en opgave i samfundets interesse eller i forbindelse med offentlig myndighedsudøvelse, skal være en offentlig myndighed eller en anden fysisk eller juridisk person, der er omfattet af offentlig ret, eller, hvis dette er i samfundets interesse, herunder sundhedsformål, såsom folkesundhed og social sikring samt forvaltning af sundhedsydelser, af privatret som f.eks. en erhvervssammenslutning.«

8.

I artikel 2 fastsættes databeskyttelsesforordningens materielle anvendelsesområde:

»1.   Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

2.   Denne forordning gælder ikke for behandling af personoplysninger:

[…]

[…]«

9.

Artikel 4 indeholder definitioner i databeskyttelsesforordningens forstand:

»1)   »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); […]

2)   »behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

[…]

7)   »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret

8)   »databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne

9)   »modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. Offentlige myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel i henhold til EU-retten eller medlemsstaternes nationale ret, anses dog ikke for modtagere; de offentlige myndigheders behandling af disse oplysninger skal overholde de gældende databeskyttelsesregler afhængigt af formålet med behandlingen

[…]«

10.

I databeskyttelsesforordningens artikel 5 fastsættes principperne for behandling af personoplysninger:

»1.   Personoplysninger skal:

2.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

11.

Persondataforordningens artikel 6 bestemmer:

»1.   Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

[…]

[…]

[…]

2.   Medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af denne forordnings bestemmelser om behandling med henblik på overholdelse af stk. 1, litra c) og e), ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling, herunder for andre specifikke databehandlingssituationer som omhandlet i kapitel IX.

3.   Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:

Formålet med behandlingen skal være fastlagt i dette retsgrundlag eller for så vidt angår den behandling, der er omhandlet i stk. 1, litra e), være nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Dette retsgrundlag kan indeholde specifikke bestemmelser med henblik på at tilpasse anvendelsen af bestemmelserne i denne forordning, bl.a. de generelle betingelser for lovlighed af den dataansvarliges behandling, hvilke typer oplysninger der skal behandles, berørte registrerede, hvilke enheder personoplysninger må videregives til, og formålet hermed, formålsbegrænsninger, opbevaringsperioder og behandlingsaktiviteter samt behandlingsprocedurer, herunder foranstaltninger til sikring af lovlig og rimelig behandling såsom i andre specifikke databehandlingssituationer som omhandlet i kapitel IX. EU-retten eller medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges.«

12.

I artikel 12-22 i kapitel III med overskriften »Den registreredes rettigheder« fastsættes den dataansvarliges rettigheder og tilsvarende forpligtelser. Persondataforordningens artikel 23 markerer afslutningen på kapitlet. Den har overskriften »Begrænsninger« og bestemmer følgende:

»1.   EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt, kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 og 34 samt artikel 5, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:

[…]

[…]

2.   Navnlig skal enhver lovgivningsmæssig foranstaltning, der er omhandlet i stk. 1, som minimum, hvor det er relevant, indeholde specifikke bestemmelser vedrørende:

13.

I henhold til artikel 15, stk. 6, i Likums »Par nodokļiem un nodevām« (herefter »lov om skatter og afgifter«) i den affattelse, der var gældende på tidspunktet for de faktiske omstændigheder i den foreliggende sag, har udbydere af annonceringsydelser på internettet pligt til efter anmodning fra den statslige skatteforvaltning at fremlægge de oplysninger, som de måtte have om skatte- og afgiftspligtige personer, der har anvendt disse tjenesteydelser til at indrykke annoncer, og om de annoncer, de har indrykket.

14.

Den 28. august 2018 fremsendte direktøren for Nodokļu kontroles pārvalde (skattekontrolkontoret) under Valsts ieņēmumu dienests (den lettiske skatte- og afgiftsmyndighed) (herefter »sagsøgte«) en anmodning om oplysninger til SIA »SS« (herefter »sagsøgeren«) på grundlag af artikel 15, stk. 6, i lov om skatter og afgifter.

15.

I denne anmodning opfordrede sagsøgte kraftigt sagsøgeren til at forny førstnævntes adgang til oplysninger om annoncørernes telefonnumre samt stelnumrene på de køretøjer, der fremgik af de indrykkede annoncer på sagsøgerens websted (www.ss.com). Endvidere anmodede sagsøgte sagsøgeren om senest den 3. september 2018 at videregive oplysninger om de annoncer, der havde været indrykket i afsnittet »Personbiler« på webstedet i perioden fra den 14. juli til den 31. august 2018. Sagsøgeren blev bedt om at fremsende oplysningerne elektronisk i et format, som gjorde det muligt at filtrere og udvælge oplysninger. Sagsøgeren blev ligeledes bedt om at medtage følgende oplysninger i filen: link til annoncen, annoncens tekst, køretøjets mærke, model, stelnummer og pris samt sælgerens telefonnumre.

16.

Såfremt det ikke var muligt at forny adgangen, blev sagsøgeren anmodet om at angive årsagen eller årsagerne hertil og blev i givet fald bedt om senest den tredje dag i hver måned at videregive de nævnte oplysninger i forbindelse med de annoncer, der var blevet indrykket.

17.

Sagsøgeren indgav en administrativ klage over denne anmodning om oplysninger til sagsøgtes fungerende generaldirektør. Ifølge sagsøgeren havde rækkevidden af anmodningen om oplysninger, der udgør personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, stk. 1, ikke hjemmel i lovgivningen. Anmodningen præciserer ikke en særlig gruppe af registrerede og angiver hverken formålet med eller omfanget af den påtænkte behandling eller varigheden af forpligtelsen til at videregive oplysninger. Som sådan handlede sagsøgte i sin egenskab af dataansvarlig ikke i overensstemmelse med proportionalitetsprincippet eller princippet om, at behandlingen af personoplysninger skal minimeres i henhold til databeskyttelsesforordningen, som sagsøgte er underlagt.

18.

Ved afgørelse af 30. oktober 2018 (herefter »den omtvistede afgørelse«) afviste sagsøgte klagen og fastholdt anmodningen om oplysninger.

19.

I begrundelsen for denne afgørelse anførte sagsøgte i det væsentlige, at skatte- og afgiftsmyndigheden i forbindelse med behandlingen af ovennævnte oplysninger udøver de funktioner og beføjelser, som den er blevet tildelt ved lov. Skatte- og afgiftsmyndigheden er ansvarlig for opkrævning og kontrol af skatter og afgifter. Den er forpligtet ved lov til at overvåge fysiske og juridiske personers økonomiske og finansielle aktiviteter med henblik på at sikre, at de retmæssige beløb indbetales til staten og til EU-budgettet. Med henblik på udøvelsen af disse funktioner giver loven sagsøgte beføjelse til at indhente de dokumenter og oplysninger, som er nødvendige for at kunne foretage beregning og registrering af de afgiftsudløsende begivenheder eller for at kunne udøve kontrol med skatter og afgifter. Navnlig har udbydere af annonceringsydelser på internettet i henhold til artikel 15, stk. 6, i lov om skatter og afgifter pligt til efter anmodning at videregive til skatte- og afgiftsmyndigheden de oplysninger, som de måtte råde over vedrørende de skatte- og afgiftspligtige personer, der har indrykket annoncer ved hjælp af disse tjenesteydelser, og vedrørende selve annoncerne. De fortrolige oplysninger, som sagsøgte er i besiddelse af, er beskyttet ved lov, navnlig af det forbud mod videregivelse, som påhviler skatte- og afgiftsmyndighedens ansatte. Det følger heraf, at anmodningen om oplysninger er lovlig.

20.

Sagsøgeren anlagde annullationssøgsmål mod den omtvistede afgørelse ved Administratīvā rajona tiesa (distriktsdomstol i forvaltningsretlige sager, Letland) med påstand om, at begrundelsen for afgørelsen ikke indeholdt en angivelse af det konkrete formål med behandlingen af oplysninger eller af kriterierne for udvælgelse af de anmodede oplysninger i forbindelse med en bestemt gruppe identificerbare personer.

21.

Ved dom af 21. maj 2019 frifandt Administratīvā rajona tiesa (distriktsdomstol i forvaltningsretlige sager) sagsøgte. Den tiltrådte i det væsentlige sagsøgtes argumentation om, at mængden af oplysninger, som skatte- og afgiftsmyndigheden kan få adgang til i forbindelse med en person, ikke kan begrænses, medmindre de pågældende oplysninger ikke anses for at være i overensstemmelse med skatteforvaltningens formål. I henhold til denne dom var de anmodede oplysninger nødvendige for at kunne identificere ikke-indberettede økonomiske aktiviteter. Databeskyttelsesforordningens bestemmelser finder kun anvendelse på sagsøgeren i dennes egenskab af tjenesteyder og ikke på skatte- og afgiftsmyndigheden.

22.

Sagsøgeren iværksatte appel til prøvelse af denne dom ved Administratīvā apgabaltiesa (appeldomstol i forvaltningsretlige sager, Letland). Ifølge sagsøgeren finder databeskyttelsesforordningen anvendelse på den foreliggende sag. Med henblik på de personoplysninger, der indsamles ved anmodningen om oplysninger, anses sagsøgte for at være den dataansvarlige som omhandlet i denne forordning og skal derfor opfylde de deri fastsatte krav. Ved at fremsende anmodningen om oplysninger har sagsøgte imidlertid tilsidesat proportionalitetsprincippet ved at kræve, at den hver måned får tilsendt en betydelig mængde oplysninger vedrørende et ubestemt antal annoncer uden at angive, hvilke specifikke afgiftspligtige personer der er underlagt skattekontrol. Sagsøgeren har anført, at det i anmodningen om oplysninger ikke er angivet, hvor længe sagsøgeren har pligt til at videregive de i anmodningen nævnte oplysninger til sagsøgte. Sagsøgeren er således af den opfattelse, at sagsøgte har tilsidesat de principper, der gælder for behandling af personoplysninger, og som er fastsat i databeskyttelsesforordningens artikel 5 (lovlighed, rimelighed og gennemsigtighed). Sagsøgeren har gjort gældende, at det hverken i anmodningen om oplysninger eller i begrundelsen for afgørelsen er præciseret, hvilke specifikke rammer (formål) sagsøgtes påtænkte databehandling indgår i, eller hvilken mængde oplysninger der er nødvendig (dataminimering). Det er sagsøgerens opfattelse, at den administrative myndighed i sin anmodning om oplysninger skal opstille tydeligt definerede kriterier for udvælgelsen af de af den pågældende myndighed ønskede oplysninger i forbindelse med en specifik gruppe identificerbare personer.

23.

Efter den forelæggende rets opfattelse er det ikke muligt entydigt at konkludere, at en sådan anmodning om oplysninger kan anses for »behørigt begrundet« og »lejlighedsvis«, og at den ikke omfatter samtlige oplysninger i afsnittet »Personbiler« på sagsøgerens websted, eftersom skatte- og afgiftsmyndigheden i det væsentlige ønsker at udøve en løbende og udtømmende kontrol. Den forelæggende ret er i tvivl om, hvorvidt den af sagsøgte påtænkte behandling af personoplysninger kan anses for at være i overensstemmelse med de gældende databeskyttelsesregler afhængigt af formålet med behandlingen som omhandlet i 31. betragtning til databeskyttelsesforordningen. Det skal derfor afgøres, hvilke kriterier der gør det muligt at vurdere, om sagsøgtes anmodning om oplysninger overholder de grundlæggende rettigheder og friheder, og om denne anmodning kan anses for nødvendig og forholdsmæssig i et demokratisk samfund med henblik på at beskytte væsentlige mål i samfundets interesse i EU og Letland på skatte- og budgetområdet.

24.

Ifølge den forelæggende ret henviser den omhandlede anmodning om oplysninger ikke til nogen »bestemt undersøgelse« foretaget af sagsøgte som omhandlet i databeskyttelsesforordningens bestemmelser. Denne anmodning drejer sig ikke om oplysninger om bestemte personer, men vedrører snarere alle registrerede, som har indrykket annoncer i afsnittet »Personbiler« på webstedet. Skatte- og afgiftsmyndigheden har ligeledes anmodet om, at disse oplysninger fremsendes senest den tredje dag i hver måned (således at sagsøgeren skal give sagsøgte alle oplysninger om annoncer indrykket i den foregående måned). På baggrund af ovenstående er den forelæggende ret i tvivl om, hvorvidt denne praksis hos en national myndighed er forenelig med databeskyttelsesforordningens krav.

25.

På denne faktiske og retlige baggrund har Administratīvā apgabaltiesa (appeldomstol i forvaltningsretlige sager) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

26.

Den belgiske, den græske, den spanske og den lettiske regering samt Europa-Kommissionen har indgivet skriftlige indlæg. Sagsøgeren, den belgiske, den spanske og den lettiske regering samt Kommissionen har besvaret skriftlige spørgsmål fra Domstolen i henhold til artikel 61, stk. 1, i Domstolens procesreglement.

27.

Dette forslag til afgørelse er opbygget på følgende måde. Først undersøger jeg, om databeskyttelsesforordningen finder anvendelse på en anmodning fra en offentlig myndighed til en dataansvarlig om overførsel af en bestemt mængde personoplysninger. Henset til den forelæggende rets spørgsmål er det indledningsvis nødvendigt at foretage en dobbelt præcisering: Hvem er egentlig hvem i hovedsagen, og hvilke specifikke regler fastsætter databeskyttelsesforordningen i sådanne tilfælde (A). Derefter behandler jeg den (ret basale) retlige ramme, der følger af databeskyttelsesforordningen for så vidt angår offentlige myndigheders anmodninger om dataoverførsel henvendt til private virksomheder (B). Afslutningsvis fremsætter jeg en række bemærkninger om det, der i det mindste efter min opfattelse er det egentlige omstridte spørgsmål i den foreliggende sag, selv om det ikke er blevet rejst af den forelæggende ret (C).

28.

Den forelæggende ret har forelagt ni spørgsmål, der hver især på den ene eller anden måde vedrører lovligheden af den eller de specifikke anmodninger om videregivelse af visse personoplysninger fra en eller flere private virksomheder fremsat af en skatte- og afgiftsmyndighed med henblik på opkrævning af skatter og afsløring af skatteunddragelse. Den private virksomhed har opnået de omtvistede personoplysninger fra registrerede inden for rammerne af sin normale forretningsaktivitet.

29.

Ikke desto mindre fremgår det ikke klart af de ni præjudicielle spørgsmål, nøjagtigt hvem der er omfattet af hvilken forpligtelse og på grundlag af hvilken bestemmelse i databeskyttelsesforordningen. Denne uklarhed peger i retning af stor usikkerhed med hensyn til udformningen af den foreliggende sag på mindst to måder.

30.

For det første, inden for databeskyttelsesforordningens fastsatte kategorier, hvem er hvem i den foreliggende sag? Sagen omhandler overførsel fra den private virksomhed til den offentlige myndighed af visse oplysninger fra et større sæt af oplysninger, der er indsamlet og som kontrolleres af den private virksomhed. Det er den særlige behandlingsaktivitet som omhandlet i databeskyttelsesforordningens artikel 4, stk. 2, der udgør grundlaget for de spørgsmål, der er forelagt Domstolen.

31.

Det fremgår imidlertid også, at den forelæggende ret for så vidt angår den pågældende overførsel af oplysninger allerede anser skatte- og afgiftsmyndigheden (sagsøgte) for at være dataansvarlig for den konkrete behandlingsaktivitet ( 9 ). Denne antagelse, som ligger til grund for hele forelæggelsesafgørelsen, kommer til udtryk i det sjette og det niende spørgsmål. Dette kræver en indledende præcisering: Hvem er det egentlig, der skal overholde databeskyttelsesforordningen i den foreliggende sag? Hvem er dataansvarlig for den konkrete behandlingsaktivitet (2)?

32.

For det andet er der på grund af denne usikkerhed et andet vigtigt spørgsmål: Hvilke specifikke bestemmelser i databeskyttelsesforordningen gælder anmodninger om overførsel af oplysninger, og hvilke af disse bestemmelser gælder navnlig den type og mængde af oplysninger, som en offentlig myndighed måtte kræve af en privat virksomhed? I denne henseende er det ganske afslørende, at tre af den forelæggende rets spørgsmål kun nævner databeskyttelsesforordningens artikel 5, stk. 1, som er en tværgående bestemmelse, der fastsætter principperne for enhver dataansvarligs behandling af personoplysninger. De øvrige spørgsmål henviser derimod blot til de »i [databeskyttelsesforordningen] fastsatte krav«, uden at præcisere, hvilke specifikke bestemmelser der burde indeholde disse krav.

33.

Det er således nødvendigt at foretage en yderligere indledende præcisering med hensyn til den eller de bestemmelser i databeskyttelsesforordningen, der finder anvendelse, navnlig hvad angår forholdet mellem den sagsøgende virksomhed og den sagsøgte skatte- og afgiftsmyndighed. Hvorledes regulerer databeskyttelsesforordningen specifikt sådanne anmodninger om overførsel af oplysninger og gensidige rettigheder og forpligtelser mellem en privat virksomhed og en offentlig myndighed (3)?

34.

Når dette er sagt, vil jeg, inden jeg behandler disse to forhold, minde om grundene til, at anvendelsen og overholdelsen af databeskyttelsesforordningen efter min opfattelse ikke kan betragtes abstrakt ved at fortolke definitioner, der ikke vedrører en specifik behandlingsaktivitet, der burde anses for et udgangspunkt. Først når dette er forklaret, er det muligt at analysere aktørerne og deres respektive forpligtelser korrekt (1).

35.

I den foreliggende sag er alle de berørte parter, herunder den lettiske regering, enige om, at hvis udgangspunktet for analysen hviler på de lovgivningsmæssige definitioner af begreberne »personoplysninger« og »behandling« i databeskyttelsesforordningens artikel 4, finder dette instrument utvivlsomt anvendelse på hovedsagen.

36.

For det første er de oplysninger, der er omfattet af anmodningen om oplysninger, personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, stk. 1. De oplysninger, der anmodes om, såsom den registreredes telefonnummer eller bilens stelnummer, udgør »information om en identificeret eller identificerbar fysisk person«. Sådanne oplysninger gør det netop muligt at identificere bilsælgere og dermed potentielle skatte- og afgiftspligtige personer.

37.

For det andet følger det af fast retspraksis, at videregivelse af oplysninger ( 10 ) eller videregivelse af personoplysninger ved transmission, såsom opbevaring eller enhver anden form for overladelse af oplysninger, udgør behandling ( 11 ). Begrebet »videregivelse ved transmission« fremgår nemlig af den beskrivende liste over behandlingsaktiviteter i henhold til databeskyttelsesforordningens artikel 4, stk. 2.

38.

For det tredje foretages denne behandling af personoplysninger klart ved hjælp af elektroniske midler som omhandlet i databeskyttelsesforordningens artikel 2, stk. 1.

39.

Endvidere finder ingen af undtagelserne, som under alle omstændigheder skal fortolkes indskrænkende ( 12 ), anvendelse på den foreliggende sag. I lyset af dom Österreichischer Rundfunk m.fl. ( 13 ) og navnlig efter dommen i strafpointsagen ( 14 ) for nylig kan der ikke argumenteres for, at behandlingen af de pågældende personoplysninger har fundet sted »under udøvelse af aktiviteter, der falder uden for EU-retten« som omhandlet i databeskyttelsesforordningens artikel 2, stk. 2, litra a).

40.

På samme måde synes undtagelsen i databeskyttelsesforordningens artikel 2, stk. 2, litra d), heller ikke at være udløst. I henhold til denne bestemmelse synes »kompetente myndigheder« at omfatte organer som politiet eller den offentlige anklagemyndighed ( 15 ). De omfatter hverken skatte- og afgiftsmyndigheder, der handler med henblik på opkrævning af skatter og afgifter, eller, og så meget desto mindre, udbydere af annonceringsydelser på internettet. Endvidere, selv om de kompetente skatte- og afgiftsmyndigheders behandling af oplysninger i visse tilfælde i sidste ende kan føre til, at der opdages en straffelovsovertrædelse i form af skattesvig, er der kun tale om en hypotetisk mulighed på dette tidspunkt ( 16 ).

41.

Med denne tilgang må det således konkluderes, at databeskyttelsesforordningen finder anvendelse: der forekommer personoplysninger, som behandles ved hjælp af automatisk databehandling. Som det allerede blev antydet i indledningen til dette forslag til afgørelse, indebærer en sådan tilgang, der er baseret på, at de relevante begreber i henhold til databeskyttelsesforordningens artikel 4, f.eks. »behandling« ( 17 )»personoplysninger« ( 18 ) eller »dataansvarlig« ( 19 ), fortolkes udvidende og ikke inden for nogen specifik behandlingsaktivitet, at enhver videregivelse af nogen som helst oplysninger vil være omfattet af databeskyttelsesforordningen.

42.

For at fortolke alle de involverede aktørers forpligtelser korrekt bør udgangspunktet for en analyse i henhold til databeskyttelsesforordningen være en klar identifikation af en specifik databehandlingsaktivitet. Først da kan man behørigt gå videre til bedømmelse af de forpligtelser, der opstår som følge af databeskyttelsesforordningen for den specifikke aktivitet, for de faktiske aktører, der deltager i behandlingen ( 20 ). Det er den specifikke behandlingsaktivitet, arbejdet på og med oplysningerne, der reguleres. Databeskyttelsesforordningens lovgivningsmæssige logik og fokus er resultatbaseret og procesorienteret og dermed nødvendigvis dynamisk.

43.

Hvad er den specifikke behandlingsaktivitet i den foreliggende sag? Fuldbyrdelsen af anmodninger om oplysninger som de i hovedsagen omhandlede kræver utvivlsomt en behandling af personoplysninger, hvorpå databeskyttelsesforordningen i princippet finder anvendelse. I den foreliggende sag foretager to forskellige enheder behandling af oplysninger på et givet tidspunkt. Den forelæggende ret har i sine spørgsmål koncentreret sig om sagsøgtes, dvs. skatte- og afgiftsmyndighedens, behandling. Det fremgår imidlertid af sagens faktiske omstændigheder, at den behandling, der foretages af sagsøgeren, dvs. den private virksomhed, nødvendigvis udføres først.

44.

I Fashion ID-dommen ( 21 ) undersøgte Domstolen de omhandlede specifikke operationer med hensyn til behandling af oplysninger med det formål at identificere den eller de relevante registeransvarlige. Domstolen fastslog, at begrebet »registeransvarlig« ikke nødvendigvis henviser til et enkelt organ, og at det kan vedrøre flere aktører, som deltager i denne behandling, og derfor er de alle undergivet de anvendelige bestemmelser om databeskyttelse ( 22 ). En fysisk eller juridisk person kan imidlertid ikke anses for at være den registeransvarlige i forbindelse med operationer, der indtræder før eller efter i rækken af behandlinger, vedrørende hvilke den pågældende hverken fastlægger formål eller hjælpemidler ( 23 ).

45.

I den foreliggende sag vil sagsøgte sandsynligvis være den dataansvarlige, først når sagsøgte har modtaget de anmodede oplysninger fra sagsøgeren og indleder behandlingen heraf som omhandlet i databeskyttelsesforordningens artikel 4, stk. 2 ( 24 ). På dette tidspunkt vil sagsøgte ikke blot indlede behandlingen af oplysningerne, men vil sandsynligvis også definere hjælpemidlerne til og formålet med sin egen behandling som omhandlet i databeskyttelsesforordningens artikel 4, stk. 7. Når sagsøgte selv udfører eventuelle fremtidige behandlingsaktiviteter, er sagsøgte på det tidspunkt – forudsat at medlemsstaten i denne henseende ikke har indført begrænsninger i henhold til databeskyttelsesforordningens artikel 23 – forpligtet til at overholde principperne vedrørende oplysningernes kvalitet, som er fastsat i databeskyttelsesforordningens artikel 5, og forankre sin(e) behandlingsaktivitet(er) i et af de scenarier, der fremgår af databeskyttelsesforordningens artikel 6, stk. 1 ( 25 ).

46.

Det fremgår imidlertid af forelæggelsesafgørelsen, at den foreliggende sag endnu ikke er er nået dertil. Skatte- og afgiftsmyndigheden er ikke i besiddelse af de anmodede oplysninger. Derfor har den ikke været i stand til at indlede nogen som helst behandling af de pågældende oplysninger. Desuden har Domstolen ikke modtaget oplysninger om, hvad sagsøgte agter at gøre med de oplysninger eller den form for behandling, sagsøgte for sin del vil udføre.

47.

Det eneste, der indtil videre er sket, er, at skatte- og afgiftsmyndigheden har anmodet en privat virksomhed om at fremsende et bestemt sæt oplysninger til den. Det udgør ikke i sig selv behandling af personoplysninger, bestemt ikke af oplysninger, der ikke er indhentet endnu. I et sådant faktuelt scenario er sagsøgeren, den private virksomhed, stadig den dataansvarlige for oplysningerne for så vidt som den oprindeligt har indhentet oplysningerne som led i sin egen aktivitet, dvs. med de hjælpemidler og til de formål, som den selv har defineret. Under behandlingen af de oplysninger, som sagsøgeren er i besiddelse af med henblik på at videregive dem til sagsøgte på de modtagne betingelser, er sagsøgeren fortsat også den dataansvarlige for denne behandling. Det er sagsøgeren, der foretager en sådan efterfølgende behandling ( 26 ).

48.

I denne sammenhæng og i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra c), sikrer sagsøgeren således overholdelsen af en retlig forpligtelse, som denne er underlagt i sin egenskab af dataansvarlig, nemlig artikel 15, stk. 6, i lov om skatter og afgifter. Sagsøgeren er i sin egenskab af dataansvarlig ligeledes forpligtet til at overholde databeskyttelsesforordningen i forbindelse med behandlingen af personoplysninger og videregivelsen af disse oplysninger til sagsøgte. Den forelæggende ret har imidlertid ikke stillet spørgsmål om omfanget af den behandling af oplysninger, der kræves af sagsøgeren for at efterkomme den omhandlede anmodning. Faktisk har den forelæggende ret ikke stillet nogen spørgsmål om eventuelle forpligtelser med hjemmel i databeskyttelsesforordningen påhvilende sagsøgeren ved udførelse af den pågældende behandling.

49.

Ved at fremhæve sagsøgte som den formodede forpligtede part i henhold til databeskyttelsesforordningen synes den forelæggende ret at bekymre sig om (rets)grundlaget for behandlingen som omhandlet i databeskyttelsesforordningens artikel 6, stk. 3, dvs. artikel 15, stk. 6, i lov om skatter og afgifter, således som den er yderligere gennemført ved sagsøgtes indgivne anmodninger om oplysninger.

50.

Sammenfattende synes den centrale problemstilling, der ligger til grund for alle ni præjudicielle spørgsmål fra den forelæggende ret, at være rækkevidden af og betingelserne for overførsel af personoplysninger mellem to på hinanden følgende dataansvarlige ( 27 ). Hvilke eventuelle bestemmelser i databeskyttelsesforordningen regulerer forholdet mellem flere på hinanden følgende dataansvarlige? Indeholder databeskyttelsesforordningen (materielle eller tidsmæssige) grænser for rækkevidden af og den måde, hvorpå personoplysninger overføres mellem to dataansvarlige, i den foreliggende sag en privat virksomhed og en offentlig myndighed? Alle disse spørgsmål vedrører netop retsgrundlaget for indhentning af personoplysninger og vedrører egentlig ikke behandlingsaktiviteten.

51.

Databeskyttelsesforordningen vedrører hovedsagelig beskyttelsen af de registreredes personoplysninger og forholdet mellem de registrerede og enhver enhed, der behandler deres personoplysninger. Med henblik herpå fastsætter databeskyttelsesforordningen de registreredes rettigheder og de relevante dataansvarliges forpligtelser i forbindelse med behandlingen af personoplysninger.

52.

Denne lovgivningsmæssige logik fokuserer på oplysningerne og de enheder, der har adgang til dem og arbejder med dem. Der er meget få bestemmelser i databeskyttelsesforordningen, som direkte og udtrykkeligt regulerer forholdet mellem databehandlende enheder ( 28 ). Ganske vist berører databeskyttelsesforordningen indirekte disse forhold. Den forpligter enhver efterfølgende enhed, der indhenter oplysningerne, til at beskytte de registreredes oplysninger og rettigheder. På denne måde fastsætter databeskyttelsesforordningen netop visse betingelser for videregivelse og overførsel af oplysninger. Dette betyder dog bestemt ikke, at databeskyttelsesforordningen direkte regulerer forholdet mellem disse enheder.

53.

Hvis oplysninger skulle betragtes som varer, ville databeskyttelsesforordningens lovgivningsmæssige logik på en måde svare til en specifik offentligretlig ordning for visse typer (værdifulde, kunstneriske, historiske) varer. Under en sådan ordning pålægges disse varer visse begrænsninger: hvorledes disse varer kan fremstilles, hvorledes de skal anvendes, under hvilke betingelser de kan ændres, opbevares, videresælges eller tilintetgøres. En sådan særlig ordning beskytter varerne og er således indirekte bindende for enhver successiv ejer eller indehaver af disse varer. Denne specifikke ordning er imidlertid som sådan fortsat knyttet til varerne. Den regulerer hverken den private ordning, inden for rammerne af hvilken sådanne varer kan sælges mellem to privatpersoner, eller betingelserne for, at de samme varer kan eller skal videregives fra en privat til en offentlig enhed. Lovgivning om varerne adskiller sig fra lovgivning om den underliggende retlige adkomst til og handelen med disse varer.

54.

Kun ved at præcisere denne lovgivningsmæssige logik i databeskyttelsesforordningen og fokusere på den specifikke behandlingsaktivitet som udgangspunkt for de potentielle forpligtelser, der følger af dette instrument, kan databeskyttelsesforordningen med rimelighed fortolkes. I modsat fald vil databeskyttelsesforordningen nemlig altid finde anvendelse, mens der, uanset hvor kreativt den læses, simpelthen ikke findes nogen bestemmelse, som regulerer det specifikke fremsendte spørgsmål. Sådanne tilfælde medfører nødvendigvis, at databeskyttelsesforordningen ikke er til hinder for visse former for national lovgivning eller praksis. Denne »manglende modstand« vil imidlertid ikke nødvendigvis være resultatet af de nationale ordningers generelle lovlighed, men snarere, at et sådant forhold ganske enkelt ikke er reguleret af databeskyttelsesforordningen, selv om det på den ene eller den anden måde vedrører personoplysninger.

55.

I Domstolens praksis forekommer sådanne »falsk positive« forpligtelser for så vidt angår de forskellige forpligtelser til at videregive oplysninger, der er fastsat i national ret af forskellige grunde. De fleste sådanne sager vedrører endnu en gang ikke en igangværende behandlingsaktivitet som sådan, men snarere det forudgående spørgsmål om retsgrundlaget for en sådan fremtidig aktivitet. De strækker sig fra anlæggelse af civilt søgsmål til håndhævelse af ophavsrettigheder ( 29 ) til hensigtsmæssig forvaltning af offentlige midler ( 30 ) eller beskyttelse af statens sikkerhed ( 31 ). Eksempler i denne retning kan også omfatte sager som Rīgas satiksme-sagen ( 32 ), Promusicae-sagen ( 33 ), Bonnier-sagen ( 34 ) eller sagen J & S Service ( 35 ).

56.

I alle disse situationer fandt databeskyttelsesforordningen ganske vist anvendelse for så vidt angår de registreredes rettigheder over for den eller de dataansvarlige i forbindelse med de specifikke behandlingsaktiviteter, der lige havde fundet sted eller umiddelbart ville finde sted. Den lovgivningsmæssige logik og det relevante anvendelsesområde for databeskyttelsesforordningen skal imidlertid endnu en gang følge datastrømmen og sikre beskyttelsen af personoplysninger i forbindelse med behandlingsaktiviteter. Den har ikke til formål at regulere ethvert forudgående forhold mellem forskellige enheder, der kan være i besiddelse af oplysninger, herunder hvorfor og hvorledes de måtte komme i besiddelse af disse oplysninger. Databeskyttelsesforordningen sikrer med andre ord ikke »rettigheder« for en dataansvarlig over for en anden dataansvarlig.

57.

Det betyder ikke, at sådanne spørgsmål ikke er reguleret ved lov. Det er de, men ved andre instrumenter, der hovedsagelig drejer sig om retshåndhævelse. Det er disse instrumenter, der først og fremmest udgør retsgrundlaget for den behandling, der kræves i henhold til databeskyttelsesforordningens artikel 6, stk. 3. Når der er tale om obligatorisk overførsel af personoplysninger, synes sådanne overførsler netop ret logisk at være reguleret ved »retshåndhævelsesinstrumenter«, det være sig i henhold til EU-retten ( 36 ) eller national ret. Når det drejer sig om frivillig overførsel af personoplysninger, så vidt det er muligt og tilladt i henhold til den offentligretlige ordning, som databeskyttelsesforordningen udgør, er grundlaget for disse overførsler national erhvervsret eller aftaleret, henset til den type ordning, der findes mellem de på hinanden følgende dataansvarlige.

58.

Under hensyntagen til disse præciseringer er det min opfattelse, at den foreliggende sag (endnu) ikke vedrører nogen behandlingsaktivitet. Den handler om retsgrundlaget for den pågældende behandling, dvs. et forhold, som databeskyttelsesforordningen kun henviser til, men ikke regulerer direkte. Når dette er sagt, og i bestræbelserne på at bistå den forelæggende ret fuldt ud, er indholdet i den følgende del af dette forslag til afgørelse en skitsering af den grundlæggende ramme, der følger af databeskyttelsesforordningen, og som finder anvendelse på behandlingsaktiviteten, når denne foretages af den dataansvarlige, dvs. den private virksomhed (B). Databeskyttelsesforordningen har til formål at beskytte den registrerede og ikke en privat virksomhed mod et offentligt indgreb i dennes frihed til at drive egen virksomhed eller dennes ejendomsret i form af udnyttelse af oplysninger. Det er ikke for at antyde, at et sådant spørgsmål ikke kan give anledning til gyldig bekymring, men snarere, at det næppe kan være reguleret af databeskyttelsesforordningen (C).

59.

Nedenstående er en temmelig generel drøftelse af retsgrundlaget for den behandling af oplysninger, som sagsøgeren skal foretage ved efterlevelse af sagsøgtes anmodning om oplysninger. I denne henseende kan den relevante bestemmelse sandsynligvis være databeskyttelsesforordningens artikel 6, og navnlig dennes stk. 1 og 3, sammenholdt med 45. betragtning hertil.

60.

Det skal indledningsvis bemærkes, at Domstolen ikke specifikt er blevet oplyst om eventuelle supplerende gældende nationale regler om databeskyttelse under omstændigheder som de i hovedsagen omhandlede. Desuden har Domstolen heller ikke modtaget oplysninger om, hvorvidt der ud over artikel 15, stk. 6, i lov om skatter og afgifter findes andre almengyldige nationale retsakter (f.eks. et dekret eller retningslinjer for gennemførelse), som yderligere regulerer den omhandlede forpligtelse for tjenesteudbydere (af annonceydelser på internettet) til at meddele skatte- og afgiftsmyndighederne visse oplysninger. Der er ligeledes meget få oplysninger om den nationale lovgivningsramme til gennemførelse af databeskyttelsesforordningen generelt.

61.

Desuden er det ikke blevet præciseret, om databeskyttelsesforordningens artikel 23, stk. 1, litra e), på nogen måde blevet gennemført i national ret. Spørgsmålet om, hvorvidt denne EU-retlige bestemmelse er blevet gennemført eller ej, er ikke afgørende for, om anmodningen om overførsel af oplysninger er lovlig. Det er imidlertid relevant at fastlægge rækkevidden og arten af de forpligtelser, som en efterfølgende dataansvarlig (en offentlig myndighed) kan have i forhold til de registrerede, samt at fastlægge den oprindelige dataansvarliges forpligtelser og de oplysninger, som sidstnævnte skal give de registrerede.

62.

Følgelig kan nedenstående diskussion kun være temmelig overordnet. Jeg behandler de principper, der følger af databeskyttelsesforordningens artikel 6, for så vidt angår den fremtidige behandling, som en privat virksomhed skal foretage for at efterkomme en anmodning om oplysninger fra en offentlig myndighed, først med hensyn til formålet med sådanne overførsler (1) samt deres rækkevidde og varighed (2). Dernæst behandler jeg retsgrundlaget for sådanne overførsler, eftersom kravene til dette grundlag bliver tydeligere, når de foregående underspørgsmål er blevet behandlet (3).

63.

Generelt er det overordnede formål, med henblik på hvilket skatte- og afgiftsmyndigheden anmoder om videregivelse af personoplysninger i hovedsagen, uden tvivl legitimt. At sikre en korrekt skatteopkrævning og afsløre eventuelle tilsidesættelser af skattepligten kan nemlig med sikkerhed være omfattet af de legitime mål og formål med behandling af oplysninger i henhold til databeskyttelsesforordningens artikel 6, stk. 1 og 3 ( 37 ).

64.

Nøglen til de spørgsmål, der rejses af den foreliggende sag, er det abstraktionsniveau, hvorpå et sådant mål bør angives. Henset hertil synes der at være en vis sammenblanding mellem to typer af specifikke mål: i) at søge efter visse typer oplysninger (for at afsløre lovovertrædelser) i modsætning til ii) at kontrollere, at visse overtrædelser har fundet sted (og søge videregivelse af specifikke typer oplysninger for at bekræfte denne antagelse).

65.

Karakteren (og dermed rækkevidden) af de to typer videregivelse af oplysninger er nødvendigvis forskellige. Logikken i at søge og opdage er ex ante, bred og i vid udstrækning ubestemt med hensyn til de nøjagtige registrerede. Hvis formålet er at afsløre eventuelle overtrædelser, skal der i overført betydning fiskes ret bredt. Derimod kan logikken i at kontrollere eventuelle overtrædelser gennem videregivelse af relevante oplysninger være langt mere nuanceret og målrettet. Denne logik er i langt højere grad ex post og fokuseret på at bekræfte visse mistanker, der typisk vedrører en allerede identificerbar registreret.

66.

Efter min opfattelse giver databeskyttelsesforordningens artikel 6 mulighed for begge scenarier. Når dette er sagt, kræver databeskyttelsesforordningens artikel 6, stk. 3, et klart retsgrundlag for begge disse overførsler af oplysninger.

67.

Jeg forstår imidlertid den forelæggende rets tøven i forbindelse med den foreliggende sag under hensyntagen til ordlyden i artikel 15, stk. 6, i lov om skatter og afgifter. Med den ordlyd, der tilsyneladende var gældende på det tidspunkt, hvor den forelæggende ret har indgivet sin anmodning om præjudiciel afgørelse, blev det angivet, at udbydere af annonceydelser på internettet efter anmodning fra den statslige skatteforvaltning kunne pålægges at give oplysninger om de (respektive) skatte- og afgiftspligtige personer.

68.

I den foreliggende sag fremgår det således, at formålet med videregivelsen, som angivet i det relevante retsgrundlag, ligner det andet scenario, der er anført ovenfor: at kontrollere rigtigheden af visse oplysninger om bestemte skatte- og afgiftspligtige personer. Den nationale skatte- og afgiftsmyndighed synes imidlertid at have anvendt dette retsgrundlag for så vidt angår en anmodning om (ubegrænset) overførsel af oplysninger eller ren og skær indsamling af oplysninger med henblik på at udføre en generel søgnings- og afsløringsøvelse, hvilket falder ind under det første ovennævnte scenario. Her finder man den dissonans i logikken, der synes at ligge i den foreliggende sag på nationalt plan, hvilket fører til en sammenblanding af såvel proportionaliteten af en sådan foranstaltning (2) som dens passende retsgrundlag (3).

69.

Proportionalitet, såvel som »minimering« i øvrigt, indebærer en undersøgelse af forholdet mellem de (anførte) mål og de (valgte) hjælpemidler. Problemet i den foreliggende sag er, at vurderingen af proportionaliteten kan variere, alt efter hvilket mål der vælges blandt de to (ideelle ( 38 )) scenarier, der netop er skitseret.

70.

Inden for rammerne af et formål om at »søge og afsløre« vil offentlige myndigheder fiske i det størst mulige område for at sikre, at de relevante oplysninger kan findes. Det kan indebære behandling af en stor mængde oplysninger. Behovet for at indhente og behandle større sæt oplysninger er nemlig uløseligt forbundet med denne form for generel og ubestemt søgning efter oplysninger. I dette scenario kan proportionaliteten og minimeringen af behandlingen af oplysninger kun reelt vedrøre typen af anmodede oplysninger, hvor de nødvendige oplysninger potentielt kan findes ( 39 ).

71.

Inden for rammerne af et formål om »kontrol«, hvor de offentlige myndigheder skal indhente beviser vedrørende indholdet af en bestemt transaktion eller en række transaktioner, kan proportionalitetsvurderingen naturligvis være mere krævende. Skatte- og afgiftsmyndigheden kan således kun anmode om specifikke transaktioner inden for en bestemt frist med henblik på ex post-kontrol typisk med hensyn til den eller de givne skatte- og afgiftspligtige personer. Derfor vil anmodninger om oplysninger således sandsynligvis være skræddersyet til de specifikke data, der indeholder denne type oplysninger.

72.

Logikken i 31. betragtning til databeskyttelsesforordningen, for så vidt som jeg kan udlede en sådan, vedrører tilsyneladende kun sidstnævnte scenario. I andet punktum i denne betragtning, som de berørte parter, navnlig Kommissionen, har påberåbt sig og drøftet i vidt omfang, angives det, at anmodninger om videregivelse af oplysninger sendt af offentlige myndigheder altid bør være skriftlige, begrundede og lejlighedsvise og bør ikke vedrøre et register som helhed eller føre til samkøring af registre.

73.

Efter min opfattelse er det imidlertid ikke muligt at tage (en del af) en betragtning til en forordning ud af kontekst, behandle den som en selvstændig og bindende bestemmelse, uden at den overhovedet afspejles andetsteds i dette instruments retligt bindende tekst ( 40 ), og i denne forbindelse gøre gældende, at enhver overførsel af personoplysninger til offentlige myndigheder kun kan finde sted på disse betingelser. Jeg kan ganske enkelt ikke gå ind for implikationen af, at en del af 31. betragtning isoleret set forbyder enhver overførsel af oplysninger i større målestok til offentlige myndigheder, selv de myndigheder, der har et passende retsgrundlag (i national ret og/eller EU-retten), og som er i overensstemmelse med alle de bindende bestemmelser i databeskyttelsesforordningen.

74.

I forbindelse med den foreliggende sag har den lettiske regering gjort gældende, at omfanget af de anmodede oplysninger kan anses for at være rimeligt for så vidt som anmodningen om fremsendelse kun omfatter annoncer indrykket i afsnittet »Personbiler«, som er et ud af 112 afsnit på det pågældende websted, der drives af sagsøgeren. Den belgiske og den spanske regering har tilføjet, at det efter deres opfattelse ikke drejer sig om mængden af oplysninger, men snarere om typen af de anmodede oplysninger.

75.

Jeg er enig i disse betragtninger.

76.

Proportionaliteten af ex ante-søgning og afsløring indebærer en »kvalitetskontrol« med hensyn til den type oplysninger, der anmodes om. Kun ved ex post-kontrol af visse kendsgerninger kan »kvantitetskontrollen« gennemføres fuldt ud. Hvis det forholdt sig anderledes, ville størstedelen af kontrol- eller overvågningsmetoderne for oplysninger i praksis være udelukket.

77.

For så vidt som der findes et passende retsgrundlag i EU-retten eller i national ret kan en national skatte- og afgiftsmyndighed i princippet anmode om alle de oplysninger, der er nødvendige for den type undersøgelse, som den skal udføre, uden tidsbegrænsning. Den eneste begrænsning, der følger af databeskyttelsesforordningen, er proportionaliteten for så vidt angår typen af de oplysninger, der anmodes om. Som den græske regering med rette har påpeget, bør anmodninger om oplysninger begrænses til arten af oplysninger om den skatte- og afgiftspligtiges økonomiske aktivitet i modsætning til dennes privatliv.

78.

Hvis det angivne formål eksempelvis er at opdage ikke-selvangivne indtægter fra salg af brugte biler, har skatte- og afgiftsmyndigheden ikke ret til også at anmode om oplysninger om, hvorvidt den person, der sælger bilen, er rødhåret, følger en særlig diæt eller ejer et svømmebassin. Den type oplysninger, der anmodes om, skal derfor klart vedrøre den angivne søgning og efterforskning.

79.

Derudover tilkommer det den forelæggende ret at vurdere proportionaliteten i hvert af de to ovenfor beskrevne scenarier i lyset af hver enkelt sags faktiske og retlige omstændigheder ( 41 ). Helt enkelt er det spørgsmål, man bør stille i den foreliggende sag, hvorvidt den type oplysninger der anmodes om er passende for, at sagsøgte kan få de oplysninger, der er nødvendige for at nå det angivne mål.

80.

Endelig er det først nu, at det afgørende spørgsmål om retsgrundlaget kan vurderes hensigtsmæssigt i lyset af de ovenfor nævnte præciseringer. Begge de scenarier, der er skitseret ovenfor i dette forslag til afgørelse (»søgning og afsløring« og »kontrol«), kræver naturligvis et retsgrundlag i henhold til databeskyttelsesforordningens artikel 6, stk. 3, for at sagsøgerens behandling kan finde sted. Denne bestemmelse gør det udtrykkeligt muligt specifikt at tilpasse anvendelsen af databeskyttelsesforordningens generelle regler, uanset om det er i henhold til EU-retten eller medlemsstaternes nationale ret.

81.

Under alle omstændigheder skal det fastsatte retsgrundlag imidlertid logisk dække det specifikke formål med og den type behandling, der foretages med henblik herpå. Hvorledes det nøjagtigt skal ske, handler om særlige tilpasningsbestemmelser, som medlemsstaten eller EU har vedtaget i henhold til databeskyttelsesforordningens artikel 6, stk. 3. Det gælder generelt, at jo mere generaliseret, større og permanent overførslen af oplysninger er, desto mere robust, detaljeret og udtrykkeligt skal lovgrundlaget være, da sådanne overførsler af oplysninger udgør et større indgreb i beskyttelsen af oplysninger. Jo mere diskrete og begrænsede anmodningerne om videregivelse er – normalt kun vedrørende en eller nogle få registrerede, eller endda med hensyn til en begrænset mængde oplysninger – desto mere sandsynligt er det, at sådanne anmodninger kan indgives som individuelle administrative anmodninger, idet lovvalgsklausulen forbliver ret bred og generisk.

82.

De to reguleringslag, dvs. lovgivning og administration, som i sidste ende udgør retsgrundlaget for databehandlingen, fungerer med andre ord sammen. Mindst ét af disse skal være tilstrækkeligt specifikt og tilpasset en bestemt type eller en bestemt mængde af de personoplysninger, der anmodes om. Jo mere der er på det lovgivningsmæssige strukturelle niveau for sådanne overførsler af oplysninger, desto mindre skal der være i den individuelle administrative anmodning. Lovgivningslaget kan endog være så detaljeret og omfattende, at det vil være fuldstændig selvstændigt og selvgennemførende. Jo mere generisk og vagt lovgivningsniveauet derimod er, desto mere detaljeret, herunder en klar angivelse af formålet, der således begrænser rækkevidden, skal den enkelte administrative anmodning derimod være.

83.

Dette punkt gør det indirekte muligt at afklare den problemstilling, som den forelæggende ret har rejst i forbindelse med proportionalitetsprincippet, og som således bedst kan behandles her ved at afgøre, om skatte- og afgiftsmyndigheder kan fremsætte anmodninger om oplysninger uden tidsbegrænsning. Det kan de efter min opfattelse i henhold til databeskyttelsesforordningen. Det mere relevante spørgsmål bør imidlertid være, om de har et passende retsgrundlag i national ret, for så vidt angår indholdet af en igangværende og permanent overførsel af oplysninger. Så længe der er et klart grundlag samt varighed i national ret, er databeskyttelsesforordningens artikel 6, stk. 3, ikke til hinder herfor. Igen ændrer 31. betragtning til databeskyttelsesforordningen kun lidt i denne henseende ( 42 ). Jeg ser ikke megen praktisk mening i læsning af denne betragtning således, at den faktisk forpligter de administrative myndigheder til at indgive identiske individuelle anmodninger om og om igen (det være sig hver dag, måned eller år) for at opnå, hvad de allerede kunne have indhentet på grundlag af national lovgivning

84.

I den foreliggende sag synes retsgrundlaget for behandlingen at bestå både af artikel 15, stk. 6, i lov om skatter og afgifter og af skatte- og afgiftsmyndighedens specifikke anmodninger om oplysninger. Der synes således at være et dobbelt retsgrundlag med en generel lovvalgsklausul og dens specifikke, målrettede administrative anvendelse af denne bestemmelse.

85.

Samlet set synes et sådant dobbelt retsgrundlag at være tilstrækkeligt til at begrunde sagsøgerens behandling af personoplysninger med henblik på overførsel til en offentlig myndighed i henhold til databeskyttelsesforordningens artikel 6, stk. 1, litra c), og artikel 6, stk. 3. Selv om den nationale lovgivning, der bemyndiger skatte- og afgiftsmyndighederne til at anmode om oplysninger, er mere generel, synes de specifikke anmodninger om oplysninger i vidt omfang at være målrettet en bestemt type oplysninger trods deres potentielt store mængde.

86.

Det tilkommer imidlertid i sidste ende den forelæggende ret med fuldt kendskab til national ret, herunder enhver anden national gennemførelsesbestemmelse, der ikke er nævnt i den foreliggende sag, at efterprøve, om den behandling, som sagsøgeren i hovedsagen har anmodet om, opfylder de krav, der er fastsat i dette afsnit i dette forslag til afgørelse.

87.

Det centrale spørgsmål i den vurdering, som kræver særlig opmærksomhed, er, om artikel 15, stk. 6, i lov om skatter og afgifter, ledsaget af specifikke anmodninger om oplysninger, opfylder kravet om forudsigelighed ( 43 ) ved undersøgelsen af retsgrundlaget. Den lovgivning, der gør det muligt at overføre oplysninger, skal således fastsætte klare og præcise regler, der regulerer den pågældende foranstaltnings rækkevidde og anvendelse, og fastsætte minimumsgarantier, således at de personer, hvis personoplysninger berøres, har tilstrækkelig garanti for, at disse oplysninger effektivt beskyttes mod risikoen for misbrug ( 44 ).

88.

Retsgrundlaget som helhed (det lovgivningsmæssige og det administrative) skal derfor formuleres tilstrækkeligt præcist med hensyn til alle de berørte personer: de offentlige myndigheder med hensyn til, hvad de kan anmode om, virksomhederne i forhold til, hvad de kan levere, og navnlig de registrerede med henblik på at få kendskab til, hvem der måtte have adgang til deres oplysninger, og til hvilke formål Det kan erindres, at underretning om behandlingen af oplysninger netop er et væsentligt krav i databeskyttelsesforordningen. De registrerede skal have kendskab til en sådan behandling, og underretningen er en nødvendig betingelse for at kunne udøve yderligere rettigheder til at få indsigt eller foretage sletning eller berigtigelse ( 45 ).

89.

Medmindre databeskyttelsesforordningens artikel 23 på nogen måde er blevet gennemført i national ret med henblik på at begrænse de registreredes rettigheder i henhold til databeskyttelsesforordningens kapitel III, følger det af databeskyttelsesforordningens artikel 13 og 14, at den dataansvarlige skal underrette den registrerede. I forbindelse med på hinanden følgende overførsler af oplysninger kan det være vanskeligt at konstatere, hvem oplysningspligten påhviler ( 46 ). I praksis kan en offentlig myndighed, der har modtaget oplysningerne, i mangel af eventuelle restriktioner, der er vedtaget i henhold til databeskyttelsesforordningens artikel 23, stk. 1, som i national ret skal opfylde kravet i databeskyttelsesforordningens artikel 23, stk. 2, desuden være forpligtet til at underrette alle de berørte registrerede om de relevante oplysninger i henhold til databeskyttelsesforordningens artikel 14. I mangel af et klart og forudsigeligt retsgrundlag, der i sidste ende gør det muligt at overføre sådanne oplysninger, kan den dataansvarlige, der har indhentet oplysningerne, næppe forventes allerede at underrette den registrerede herom i henhold til databeskyttelsesforordningens artikel 13.

90.

Sammenfattende er databeskyttelsesforordningens artikel 6, stk. 1, litra c), og artikel 6, stk. 3, derfor efter min opfattelse ikke til hinder for, at national lovgivning fastsætter en forpligtelse uden tidsbegrænsning for udbydere af annonceydelser på internettet til at videregive visse personoplysninger til en skatte- og afgiftsmyndighed, når der i national ret findes et klart retsgrundlag for denne type overførsel af oplysninger, og de oplysninger, der anmodes om, er hensigtsmæssige og nødvendige for, at skatte- og afgiftsmyndigheden kan udføre sine opgaver, der henhører under officiel myndighedsudøvelse.

91.

Det tilkommer næppe mig at spekulere med hensyn til parternes egentlige motiver for den nationale ret. Jeg henholder mig derfor til mit håb om, at der findes gode samaritanere, som uden egen vinding står frem for at forsvare andre. Hvorfor kan en privat virksomhed ikke blot forsvare rettighederne for de registrerede, fra hvem den har indsamlet personoplysninger?

92.

Selv om man kun kan glæde sig, når kommercielle virksomheder forpligter sig til at beskytte personoplysninger, formoder jeg, at visse andre virksomheder ligeledes kan have andre grunde til, at de ønsker at modsætte sig overførsler af de personoplysninger, som de har indsamlet, hvor disse overførsler er foreskrevet af offentlige kræfter. En af grundene kan være forbundet med omkostningerne ved en sådan bestræbelse. Bør de offentlige myndigheder have tilladelse til faktisk at uddelegere en del af den offentlige forvaltning, hvilket vil tvinge private virksomheder til at bære omkostningerne til udøvelse af det, der i det væsentlige er offentlig forvaltning? Dette spørgsmål bliver vigtigt i tilfælde af permanente overførsler af oplysninger i stor målestok, der antages at foretages af private virksomheder for almenvellets skyld uden nogen form for kompensation ( 47 ). Andre grunde kan være mere forretningsrelaterede. Hvis man i et kort øjeblik og naturligvis rent hypotetisk antager, at personer generelt ikke er begejstrede for at betale skat, kan det ikke være helt galt også at antage, at nogle af disse personer kan vælge andre steder at annoncere deres brugte biler end et websted, som efterfølgende videregiver disse oplysninger til skatte- og afgiftsmyndighederne.

93.

Det er langt fra ligetil at finde en balance mellem alle de interesser, der gør sig gældende i en sådan situation. På den ene side kan det, at den offentlige myndighed anmoder om oplysninger hos private virksomheder, idet disse skal forberedes og fremsendes i henhold til førstnævntes nøjagtige krav, være farligt tæt på tvungen uddelegering af offentlig myndighedsudøvelse. Dette kan navnlig være tilfældet for så vidt angår oplysninger, der i øvrigt er frit tilgængelige, og som de offentlige organer selv kunne have indhentet med en lille teknisk indsats. På den anden side, som den belgiske regering med rette har fremhævet ved at påpege den bredere relevans af situationen i hovedsagen, kan et lidt mere nuanceret svar derimod eventuelt være relevant i situationer med forskellige former for platforme med delt økonomi eller i andre tilfælde, hvor de offentlige myndigheder anmoder om adgang til oplysninger, der er væsentlige for det erklærede legitime offentlige formål, men som ikke er frit tilgængelige, og som således ikke kan indsamles af de offentlige myndigheder selv. Selv under sådanne omstændigheder er spørgsmålet om en eventuel kompensation imidlertid fortsat åbent.

94.

Jeg kan helt sikkert se sådanne spørgsmål lure i baggrunden i hovedsagen. En rimelig balance for så vidt angår sådanne sager bør imidlertid findes primært på nationalt eller EU-plan i forbindelse med vedtagelsen af den relevante lovgivning, der udgør retsgrundlaget for denne type overførsel. Der bør ikke være tale om en retlig intervention a fortiori i en sag, hvor den forelæggende ret end ikke har rejst nogen af disse spørgsmål udtrykkeligt. Desuden er der mindst to yderligere grunde til, at den foreliggende sag ikke er egnet til at indlede denne form for drøftelser.

95.

For det første er sådanne spørgsmål, i lighed med en række andre spørgsmål, der er forbundet med strømmen af personoplysninger, men som reelt ikke vedrører beskyttelsen af de registreredes rettigheder, ganske enkelt ikke specifikt reguleret ved databeskyttelsesforordningen. Spørgsmålet om retsbeskyttelse af dataansvarlige – private virksomheder mod et potentielt ulovligt eller uforholdsmæssigt indgreb i deres frihed til at drive forretning, deres eventuelle ejendomsret ( 48 ) eller endda deres potentielle ret til rimelig kompensation for de overførte oplysninger – er ikke et spørgsmål, der er reguleret af databeskyttelsesforordningen.

96.

For det andet, så længe retsgrundlaget for en sådan overførsel af oplysninger ikke er afledt af EU-retten ( 49 ), henhører spørgsmålet om en eventuel kompensation for en sådan pålagt overførsel af oplysninger næppe heller under EU-retten. Det betyder igen næppe, at sådanne spørgsmål ikke kan opstå, heller ikke i forbindelse med beskyttelse af de grundlæggende rettigheder (for de berørte dataansvarlige). Disse spørgsmål skal imidlertid behandles hensigtsmæssigt af de retter i medlemsstaten, der oprindeligt pålægger sådanne overførsler. Enhver sag af denne art bør derfor anlægges ved en national (forfatnings-)domstol.

97.

Jeg foreslår, at Domstolen besvarer de præjudicielle spørgsmål, som Administratīvā apgabaltiesa (appeldomstol i forvaltningsretlige sager, Letland) har forelagt, således:

»Artikel 6, stk. 1, litra c), og artikel 6, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger er ikke til hinder for, at national lovgivning uden tidsbegrænsning fastsætter en forpligtelse for udbydere af annonceydelser på internettet til at videregive visse personoplysninger til en skatte- og afgiftsmyndighed, så længe der i national ret findes et klart retsgrundlag for denne type overførsel af oplysninger, og når de nødvendige oplysninger er egnede til og nødvendige for, at skatte- og afgiftsmyndigheden kan udføre sine opgaver, der henhører under offentlig myndighedsudøvelse.«