–

„SS“ SIA, esindaja: M. Ruķers,

–

Läti valitsus, esindajad: K. Pommere, V. Soņeca ja L. Juškeviča, hiljem K. Pommere,

–

Belgia valitsus, esindajad: J.‑C. Halleux ja P. Cottin, keda abistas avocat C. Molitor,

–

Kreeka valitsus, esindajad: E.‑M. Mamouna ja O. Patsopoulou,

–

Hispaania valitsus, esindajad: J. Rodríguez de la Rúa Puig ja S. Jiménez García, hiljem J. Rodríguez de la Rúa Puig,

–

Euroopa Komisjon, esindajad: H. Kranenborg, D. Nardi ja I. Rubene, hiljem H. Kranenborg ja I. Rubene,

1

Eelotsusetaotlus käsitleb seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrust (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; parandused ELT 2016, L 314, lk 72; ELT 2018, L 127, lk 3) ja eelkõige selle määruse artikli 5 lõiget 1.

2

Taotlus on esitatud „SS“ SIA ja Valsts ieņēmumu dienestsi (Läti maksuamet, edaspidi „Läti maksuhaldur“) vahelises kohtuvaidluses, mis puudutab nõuet edastada teavet SSi veebisaidil avaldatud sõidukite müügikuulutuste kohta.

3

ELTL artiklil 16 põhinev määrus 2016/679 on selle artikli 99 lõike 2 kohaselt kohaldatav alates 25. maist 2018.

4

Selle määruse põhjendustes 1, 4, 10, 19, 26, 31, 39, 41 ja 50 on märgitud:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

5

Määruse 2016/679 artiklis 2 „Sisuline kohaldamisala“ on sätestatud:

„1.   Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.

2.   Käesolevat määrust ei kohaldata, kui:

[…]“.

6

Määruse artikkel 4 „Mõisted“ on sõnastatud järgmiselt:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

[…]

[…]

[…]“.

7

Kõnealuse määruse artiklis 5 „Isikuandmete töötlemise põhimõtted“ on sätestatud:

„1.   Isikuandmete töötlemisel tagatakse, et

2.   Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“

8

Sama määruse artiklis 6 „Isikuandmete töötlemise seaduslikkus“ on ette nähtud:

„1.   Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

Esimese lõigu punkti f ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.

2.   Liikmesriigid võivad säilitada või kehtestada konkreetsemad sätted, et kohandada käesoleva määruse sätete kohaldamist seoses isikuandmete töötlemisega lõike 1 punktide c ja e täitmiseks, määrates üksikasjalikumalt kindlaks töötlemise konkreetsed nõuded ja teised meetmed, et tagada seaduslik ja õiglane töötlemine, sealhulgas teiste andmetöötluse eriolukordade jaoks, nagu see on sätestatud IX peatükis.

3.   Lõike 1 punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse:

Isikuandmete töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses või see on lõike 1 punktis e osutatud isikuandmete töötlemise osas vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. […] Liidu või liikmesriigi õigus vastab avaliku huvi eesmärgile ning on proportsionaalne taotletava õiguspärase eesmärgiga.

4.   Kui isikuandmete töötlemine muul eesmärgil kui see, milleks isikuandmeid koguti, ei põhine andmesubjekti nõusolekul või liidu või liikmesriigi õigusel, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada artikli 23 lõikes 1 osutatud eesmärkide täitmine, võtab vastutav töötleja selle kindlakstegemiseks, kas muul eesmärgil töötlemine on kooskõlas eesmärgiga, mille jaoks isikuandmeid algselt koguti, muu hulgas arvesse

9

Määruse 2016/679 artikli 13 lõike 3 kohaselt:

„Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne edasist isikuandmete töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe“.

10

Määruse artiklis 14 on sätestatud:

„1.   Kui isikuandmed ei ole saadud andmesubjektilt, teeb vastutav töötleja andmesubjektile teatavaks järgmise teabe:

[…]

[…]

5.   Lõikeid 1–4 ei kohaldata, kui ja sel määral mil

[…]

[…]“.

11

Määruse artikli 23 lõike 1 punktis e on sätestatud:

„Vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 12–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja ‑vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada

[…]

[…]“.

12

Määruse 2016/679 artikli 25 lõikes 2 on ette nähtud:

Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise konkreetse eesmärgi saavutamiseks. See kehtib kogutud isikuandmete hulga, nende töötlemise ulatuse, nende säilitamise aja ja nende kättesaadavuse suhtes. Nende meetmetega tagatakse eelkõige see, et isikuandmeid ei tehta vaikimisi ilma asjaomase isiku sekkumiseta määramata füüsiliste isikute ringile kättesaadavaks.“

13

Direktiivi 2016/680 põhjendustes 10 ja 11 on märgitud:

14

Selle direktiivi artiklis 3 on sätestatud:

Käesolevas direktiivis kasutatakse järgmisi mõisteid:

[…]

7. „pädev asutus“–

[…]“.

15

Vastavalt maksude ja lõivude seaduse (likums „Par nodokļiem un nodevām“, Latvijas Vēstnesis, 1995, nr 26) põhikohtuasjas kohaldatava redaktsiooni (edaspidi „üldine maksuseadus“) artikli 15 lõikele 6 on internetikuulutuste teenuse osutajatel kohustus esitada Läti maksuhalduri nõudmisel nende käsutuses olev teave maksukohustuslaste kohta, kes on neid teenuseid kasutades kuulutusi avaldanud.

16

SS on Lätis asuv internetikuulutuste teenuse pakkuja.

17

Läti maksuhaldur saatis 28. augustil 2018 SSile üldise maksuseaduse artikli 15 lõike 6 alusel teabenõude, milles palus sellel äriühingul taastada tema juurdepääsu teabele selle äriühingu hallataval veebisaidil avaldatud kuulutustes reklaamitud sõidukite kerenumbrite ja müüjate telefoninumbrite kohta ning esitada talle hiljemalt 3. septembriks 2018 teabe selle veebisaidi rubriigis „Sõiduautod“ ajavahemikul 14. juulist kuni 31. augustini 2018 avaldatud kuulutuste kohta.

18

Teabenõudes oli täpsustatud, et teave, mis sisaldab kuulutuse linki, kuulutuse teksti, sõiduki marki, mudelit, kerenumbrit, hinda ja müüja telefoninumbrit, tuleb esitada elektrooniliselt, andmete filtreerimist või valimist võimaldavas vormis.

19

Lisaks, juhul kui juurdepääsu asjaomases veebiportaalis avaldatud reklaamis sisalduvale teabele ei ole võimalik taastada, paluti SSil märkida selle põhjus ja esitada hiljemalt iga kuu kolmandaks päevaks asjakohane teave eelmisel kuul avaldatud kuulutuste kohta.

20

Kuna SS leidis, et Läti maksuhalduri teabenõue ei ole kooskõlas määrusega 2016/679 tagatud proportsionaalsuse põhimõtte ja võimalikult väheste isikuandmete kogumise põhimõttega, esitas ta selle teabenõude peale Läti maksuameti peadirektori kohusetäitjale vaide.

21

Viimane jättis vaide 30. oktoobri 2018. aasta otsusega rahuldamata, märkides muu hulgas, et põhikohtuasjas käsitletavate isikuandmete töötlemisel kasutab Läti maksuhaldur talle seadusega antud volitusi.

22

SS esitas Administratīvā rajona tiesale (rajooni halduskohus, Läti) kaebuse selle otsuse tühistamiseks. Lisaks argumentidele, mis ta oli esitanud vaides, väitis ta kaebuses, et selles otsuses ei ole märgitud Läti maksuhalduri kavandatud isikuandmete töötlemise konkreetset eesmärki ega selle jaoks vajalike andmete kogust, mistõttu on see vastuolus määruse 2016/679 artikli 5 lõikega 1.

23

Administratīvā rajona tiesa (rajooni halduskohus) jättis kaebuse 21. mai 2019. aasta kohtuotsusega rahuldamata, märkides sisuliselt, et Läti maksuhalduril oli õigus küsida iga isiku kohta piiramatult teavet, välja arvatud juhul, kui seda teavet peetakse maksude kogumisega seotud eesmärkidega vastuolus olevaks. See kohus leidis lisaks, et määruse 2016/679 sätted ei ole selle asutuse suhtes kohaldatavad.

24

SS esitas selle kohtuotsuse peale apellatsioonkaebuse eelotsusetaotluse esitanud kohtule, väites, et esiteks on määruse 2016/679 sätted Läti maksuhalduri suhtes kohaldatavad ja teiseks rikkus maksuhaldur proportsionaalsuse põhimõtet sellega, et nõudis igas kuus ja ajaliste piiranguteta suurt hulka isikuandmeid piiramata arvu kuulutuste kohta, ilma et oleks märgitud maksukohustuslased, kelle suhtes on algatatud maksukontroll.

25

Eelotsusetaotluse esitanud kohus märgib, et põhikohtuasjas ei ole vaidlust selles, et vaidlusaluse teabenõude täitmine on lahutamatult seotud isikuandmete töötlemisega, ja samuti on selge, et Läti maksuhalduril on õigus saada teavet, mis on kättesaadav internetikuulutuste teenuse osutajale ja mis on vajalik konkreetsete maksukogumismeetmete rakendamiseks.

26

Põhikohtuasi puudutab selle teabe hulka ja liiki, mida Läti maksuhaldur võib nõuda, samuti seda, kas see teave on piiratud või piiramatu ning küsimust, kas SSil lasuv teabe edastamise kohustus peab olema ajaliselt piiratud.

27

Täpsemalt leiab eelotsusetaotluse esitanud kohus, et tema ülesanne on kindlaks teha, kas põhikohtuasja asjaoludel toimub isikuandmete töötlemine andmesubjektide suhtes läbipaistvalt, kas teabenõudes nõutud teavet küsitakse kindlaksmääratud, selgetel ja õiguspärastel eesmärkidel ning kas isikuandmete töötlemine toimub üksnes niivõrd, kui see on tõepoolest vajalik Läti maksuameti ülesannete täitmiseks määruse 2016/679 artikli 5 lõike 1 tähenduses.

28

Tema hinnangul on selleks vaja kindlaks määrata kriteeriumid, mis võimaldavad hinnata, kas Läti maksuhalduri esitatud teabenõue austab põhiõiguste ja ‑vabaduste olemust ning kas põhikohtuasjas kõne all olevat teabenõuet võib pidada demokraatlikus ühiskonnas vajalikuks ja proportsionaalseks selleks, et tagada liidu olulised eesmärgid ning Läti avalik huvi eelarve- ja maksuküsimustes.

29

Neil asjaoludel otsustas Administratīvā apgabaltiesa (regionaalne halduskohus, Läti) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

30

Esimese küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas määruse 2016/679 sätteid tuleb tõlgendada nii, et liikmesriigi maksuhalduri poolt ettevõtjalt märkimisväärset hulka isikuandmeid sisaldava teabe kogumine kuulub selle määruse, eelkõige selle artikli 5 lõikes 1 sätestatud nõuete kohaldamisalasse.

31

Sellele küsimusele vastamiseks tuleb esiteks kontrollida seda, kas taoline nõue kuulub määruse 2016/679 esemelisse kohaldamisalasse, nagu see on määratletud selle määruse artikli 2 lõikes 1, ja teiseks seda, kas see ei kuulu isikuandmete niisuguse töötlemise hulka, mis on selle määruse artikli 2 lõike 2 kohaselt selle määruse kohaldamisalast välja jäetud.

32

Esimesena olgu märgitud, et määruse 2016/679 artikli 2 lõike 1 kohaselt kohaldatakse seda määrust isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.

33

Määruse 2016/679 artikli 4 punktis 1 on täpsustatud, et „isikuandmete“ all tuleb mõista igasugust teavet tuvastatud või tuvastatava füüsilise isiku kohta, st sellise füüsiline isiku kohta, keda saab otseselt või kaudselt tuvastada eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal. Määruse põhjenduses 26 on selle kohta täpsustatud, et füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada.

34

Põhikohtuasjas on selge, et teave, mille edastamist Läti maksuhaldur nõuab, on isikuandmed määruse 2016/679 artikli 4 punkti 1 tähenduses.

35

Selle määruse artikli 4 punkti 2 kohaselt kujutavad isikuandmete kogumine, lugemine, edastamise teel kättesaadavaks tegemine ning mis tahes muul moel avalikustamine endast „töötlemist“ nimetatud määruse tähenduses. Selle sätte sõnastusest, eelkõige väljendist „[mis tahes] toiming“ nähtub, et liidu seadusandja on soovinud anda mõistele „töötlemine“ laia ulatuse. Seda tõlgendust kinnitab selles sättes nimetatud toimingute loetelu mitteammendavus, mida on väljendatud sõnaga „nagu“.

36

Käesoleval juhul nõuab Läti maksuhaldur, et puudutatud ettevõtja uuendaks maksuhalduri talituste juurdepääsu tema veebiportaalis avaldatud kuulutuste esemeks olevate sõidukite kerenumbritele ja annaks talle teavet selles portaalis avaldatud kuulutuste kohta.

37

Niisugune nõue, millega liikmesriigi maksuhaldur nõuab ettevõtjalt selliste isikuandmete edastamist ja kättesaadavaks tegemist, mida viimane peab talle selles liikmesriigis kehtivate eeskirjade kohaselt esitama ja kättesaadavaks tegema, käivitab nende andmete „kogumise“ protsessi määruse 2016/679 artikli 4 punkti 2 tähenduses.

38

„Töötlemist“ osutatud artikli 4 lõike 2 tähenduses hõlmab ka see, kui asjasse puutuv ettevõtja edastab kõnealused andmed sellele haldusasutusele ja see, kui ta teeb need talle kättesaadavaks.

39

Teisena tuleb analüüsida seda, kas toimingut, millega liikmesriigi maksuhaldur soovib ettevõtjalt koguda teatud maksukohustuslasi puudutavaid isikuandmeid, võib pidada määruse 2016/679 artikli 2 lõike 2 alusel selle määruse kohaldamisalast välja jäetuks.

40

Sellega seoses tuleb kõigepealt märkida, et see säte näeb ette erandid, mis ei kuulu selle määruse kohaldamisalasse, mis on määratletud selle määruse artikli 2 lõikes 1, ja neid erandeid tuleb tõlgendada kitsalt (16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 84).

41

Täpsemalt on määruse 2016/679 artikli 2 lõike 2 punktis d sätestatud, et seda määrust ei kohaldata, kui isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, avastamise, uurimise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise eesmärgil.

42

Nagu nähtub selle määruse põhjendusest 19, on see erand põhjendatud asjaoluga, et isikuandmete töötlemist sel eesmärgil ja pädevate asutuste poolt reguleerib spetsiifilisem liidu õigusakt, nimelt direktiiv 2016/680, mis võeti vastu samal päeval kui määrus 2016/679 ja mille artikli 3 punktis 7 on määratletud see, mida tuleb mõista „pädeva asutuse“ all, kusjuures seda määratlust tuleb analoogia alusel kohaldada selle määruse artikli 2 lõike 2 punkti d suhtes (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 69).

43

Direktiivi 2016/680 põhjendusest 10 nähtub, et mõistet „pädev asutus“ tuleb mõista seoses isikuandmete kaitsega kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas, võttes arvesse abinõusid, mis võivad sellega seoses nimetatud valdkondade eripära tõttu vajalikuks osutuda. Lisaks on selle direktiivi põhjenduses 11 täpsustatud, et määrust 2016/679 kohaldatakse isikuandmete töötlemise suhtes, mida teostab „pädev asutus“ selle direktiivi artikli 3 punkti 7 tähenduses, kuid muudel eesmärkidel kui need, mis on ette nähtud selles direktiivis (22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 70).

44

Seega, kui liikmesriigi maksuhaldur nõuab, et ettevõtja esitaks talle teatavate maksumaksjate isikuandmed maksude kogumise ja maksupettustega võitlemise eesmärgil, ei näi, et teda saaks pidada „pädevaks asutuseks“ direktiivi 2016/680 artikli 3 punkti 7 tähenduses ega seega ka, et niisugused teabenõuded võiksid kuuluda määruse 2016/679 artikli 2 lõike 2 punktis d ette nähtud erandi alla.

45

Lisaks, kuigi ei ole välistatud, et põhikohtuasjas kõne all olevaid isikuandmeid võidakse kasutada kriminaalmenetluses, mida maksualase rikkumise korral võidakse teatavate andmesubjektide suhtes läbi viia, ei näi, et põhikohtuasjas käsitletavaid andmeid koguti spetsiaalselt sellise kriminaalmenetluse jaoks või seoses riigi tegevustega kriminaalõiguse valdkonnas (vt selle kohta 27. septembri 2017. aasta kohtuotsus Puškár, C‑73/16, EU:C:2017:725, punkt 40).

46

Järelikult kuulub ettevõtja veebisaidil avaldatud sõidukite müügikuulutustega seotud isikuandmete kogumine liikmesriigi maksuhalduri poolt määruse 2016/679 esemelisse kohaldamisalasse ja peab seetõttu muu hulgas vastama kõnealuse määruse artikliga 5 tagatud isikuandmete töötlemise põhimõtetele.

47

Kõiki eeltoodud kaalutlusi arvestades tuleb esimesele küsimusele vastata, et määruse 2016/679 sätteid tuleb tõlgendada nii, et see, kui liikmesriigi maksuhaldur kogub ettevõtjalt märkimisväärset hulka isikuandmeid sisaldavat teavet, kuulub selle määruse, eelkõige selle artikli 5 lõikes 1 sätestatud nõuete kohaldamisalasse.

48

Teise küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas määruse 2016/679 sätteid tuleb tõlgendada nii, et liikmesriigi maksuhaldur võib teha erandi selle määruse artikli 5 lõikes 1 sätestatust isegi siis, kui talle ei ole sellist õigust antud selle liikmesriigi riigisisese õigusega.

49

Sissejuhatuseks olgu märgitud, et nagu nähtub määruse 2016/679 põhjendusest 10, on selle määruse eesmärk eelkõige tagada liidus füüsiliste isikute kõrgetasemeline kaitse.

50

Selleks on määruse 2016/679 II peatükis ette nähtud isikuandmete töötlemise põhimõtted ja III peatükis andmesubjekti õigused, mida tuleb igasugusel isikuandmete töötlemisel järgida. Täpsemalt peab igasugune isikuandmete töötlemine olema kooskõlas määruse artiklis 5 sätestatud töötlemise põhimõtetega (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 208).

51

Määruse 2016/679 artikkel 23 lubab liidul ja liikmesriikidel siiski võtta „seadusandlikke meetmeid“, mis piiravad muu hulgas määruse artiklis 5 ette nähtud kohustuste ja õiguste ulatust tingimusel, et need meetmed vastavad selle määruse artiklites 12–22 sätestatud õigustele ja kohustustele, juhul kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada liidu või liikmesriigi üldist avalikku huvi pakkuvad sellised olulised eesmärgid nagu eelkõige oluline majanduslik või finantshuvi, sealhulgas eelarve- ja maksuküsimuste valdkonnas.

52

Sellega seoses tuleneb määruse 2016/679 põhjendusest 41, et selles määruses sisalduv viide „seadusandlikule meetmele“ ei tähenda tingimata, et nõutav on seadusandliku akti vastuvõtmine parlamendi poolt.

53

Samas tuleb meenutada, et määruse 2016/679 põhjenduse 4 kohaselt austatakse selles määruses kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja hartas tunnustatud põhimõtetest, mille hulka kuulub muu hulgas ka isikuandmete kaitse.

54

Vastavalt harta artikli 52 lõike 1 esimesele lausele tohib aga hartaga tunnustatud õiguste ja vabaduste, sealhulgas harta artikliga 7 tagatud õiguse eraelu puutumatusele ja harta artikliga 8 tagatud õiguse isikuandmete kaitsele teostamist piirata ainult seadusega, mis konkreetsemalt tähendab, et õiguslik alus, mis võimaldab neid õigusi riivata, peab ise määratlema selle, kui ulatuslikult tohib asjaomase õiguse teostamist piirata (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus Privacy International, C‑623/17, EU:C:2020:790, punkt 65 ja seal viidatud kohtupraktika).

55

Sellega seoses on Euroopa Kohus veel otsustanud, et õigusaktid, mis sisaldavad sellist riivet lubavat meedet, peavad sätestama selged ja täpsed reeglid, mis reguleerivad kõnealuse meetme ulatust ja kohaldamist ning kehtestavad miinimumnõuded, millest tulenevalt on isikutel, kelle isikuandmetega on tegu, piisavad tagatised, mis võimaldavad neid andmeid kuritarvitamise ohu eest tõhusalt kaitsta (vt selle kohta 2. märtsi 2021. aasta kohtuotsus Prokuratuur (tingimused elektroonilise side andmetele juurdepääsuks), C‑746/18, EU:C:2021:152, punkt 48 ja seal viidatud kohtupraktika).

56

Järelikult peavad kõik määruse 2016/679 artikli 23 alusel võetud meetmed olema selged ja täpsed, nagu liidu seadusandja on seda ka määruse põhjenduses 41 rõhutanud, ning nende kohaldamine peab olema õigussubjektidele ettenähtav. Eelkõige peab viimastel olema võimalik kindlaks teha asjaolud ja tingimused, mille esinemisel võib neile selle määrusega antud õiguste ulatust piirata.

57

Eeltoodud kaalutlustest tuleneb, et liikmesriigi maksuhaldur ei või teha erandeid määruse 2016/679 artiklis 5 sätestatust, kui liidu või liikmesriigi õiguses puudub selge ja täpne õiguslik alus, mille kohaldamine on õigussubjektidele ettenähtav ning milles on ette nähtud asjaolud ja tingimused, mille korral võib kõnealuses artiklis 5 ette nähtud kohustuste ja õiguste ulatust piirata.

58

Seetõttu tuleb teisele küsimusele vastata, et määruse 2016/679 sätteid tuleb tõlgendada nii, et liikmesriigi maksuhaldur ei või teha erandeid selle määruse artikli 5 lõikes 1 sätestatust, kui talle ei ole sellist õigust antud seadusandliku meetmega selle määruse artikli 23 lõike 1 tähenduses.

59

Kolmanda kuni üheksanda küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas määruse 2016/679 sätteid tuleb tõlgendada nii, et nendega on vastuolus see, kui liikmesriigi maksuhaldur kohustab internetikuulutuste teenuse osutajat edastama talle määramata ajavahemiku jooksul ja ilma selle edastamise eesmärki täpsustamata teavet kõigi maksukohustuslaste kohta, kes on avaldanud kuulutusi tema veebiportaali teatavas rubriigis.

60

Kõigepealt tuleb märkida, et sellises olukorras, nagu on kõne all põhikohtuasjas, võib toimuda kaks isikuandmete töötlemist. Nagu nähtub käesoleva kohtuotsuse punktidest 37 ja 38, on tegemist isikuandmete kogumisega maksuhalduri poolt asjaomaselt teenuseosutajalt ja selle raames teenuseosutaja poolt nende andmete maksuhaldurile edastamise teel kättesaadavaks tegemisega.

61

Nagu nähtub käesoleva kohtuotsuse punktis 50 viidatud kohtupraktikast, peab iga selline töötlemine – välja arvatud määruse 2016/679 artiklis 23 lubatud erandid – järgima isikuandmete töötlemise põhimõtteid, mida on mainitud selle määruse artiklis 5, ning andmesubjekti õigusi, mis on sätestatud selle määruse artiklites 12–22.

62

Käesoleval juhul tekitab eelotsusetaotluse esitanud kohtu jaoks küsimusi eelkõige asjaolu, et ühest küljest puudutavad käesoleva kohtuotsuse punktis 60 nimetatud töötlemistoimingud piiramata kogust teavet määramata ajavahemiku kohta, ja teisest küljest ei ole teabenõudes täpsustatud nende töötlemistoimingute eesmärki.

63

Sellega seoses tuleb esiteks rõhutada, et määruse 2016/679 artikli 5 lõike 1 punktis b on ette nähtud, et isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel.

64

Kõigepealt tähendab nõue, et töötlemise eesmärgid peavad olema kindlaks määratud, nagu nähtub selle määruse põhjendusest 39, et need peavad olema paika pandud hiljemalt isikuandmete kogumise ajal.

65

Järgmiseks peavad töötlemise eesmärgid olema selgelt kindlaks määratud, mis tähendab, et need peavad olema selgelt väljendatud.

66

Viimaks peavad need eesmärgid olema õiguspärased. Seega on oluline, et need tagaksid töötlemise seaduslikkuse kõnealuse määruse artikli 6 lõike 1 tähenduses.

67

Käesoleva kohtuotsuse punktis 60 nimetatud töötlemistoimingute aluseks on isikuandmete edastamise nõue, mille Läti maksuhaldur esitas internetikuulutuste teenuse osutajale. Sellega seoses näib, et üldise maksuseaduse artikli 15 lõike 6 kohaselt on teenuseosutaja kohustatud selle nõude täitma.

68

Arvestades käesoleva kohtuotsuse punktides 64 ja 65 esitatud kaalutlusi, on vaja, et nende töötlemistoimingute eesmärgid oleksid selles nõudes selgelt välja toodud.

69

Juhul kui selles nõudes nimetatud eesmärgid on vajalikud avalikes huvides oleva ülesande täitmiseks või maksuhaldurile usaldatud avaliku võimu teostamiseks, siis on see asjaolu – nagu nähtub määruse 2016/679 artikli 6 lõike 1 esimese lõigu algusosast ja punktist e koostoimes sama määruse artikli 6 lõike 3 teise lõiguga – piisav selleks, et need töötlemistoimingud vastaksid ka käesoleva kohtuotsuse punktis 66 meenutatud seaduslikkuse nõudele.

70

Sellega seoses tuleb meenutada, et maksude kogumist ja maksupettustega võitlemist tuleb pidada avalikes huvides olevateks ülesanneteks määruse 2016/679 artikli 6 lõike 1 esimese lõigu punkti e tähenduses (vt analoogia alusel 27. septembri 2017. aasta kohtuotsus Puškár, C‑73/16, EU:C:2017:725, punkt 108).

71

Sellest järeldub, et juhul, kui kõnealuste isikuandmete edastamine ei põhine otseselt selle aluseks oleval õigusnormil, vaid tuleneb pädeva avaliku sektori asutuse nõudest, on vaja, et selles nõudes oleks täpsustatud, mis on selle andmekogumise konkreetsed eesmärgid seoses avalikes huvides oleva ülesande täitmisega või avaliku võimu teostamisega selleks, et nõude saaja saaks veenduda, et kõnealuste isikuandmete edastamine on seaduslik, ja selleks, et liikmesriigi kohtud saaksid kontrollida nende töötlemistoimingute seaduslikkust.

72

Teiseks peavad isikuandmed määruse 2016/679 artikli 5 lõike 1 punkti c kohaselt olema asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt.

73

Sellega seoses tuleb meenutada, et väljakujunenud kohtupraktika kohaselt peavad erandid ja piirangud isikuandmete kaitse põhimõttest piirduma tingimata vajalikuga (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 110 ja seal viidatud kohtupraktika).

74

Sellest järeldub, et ka siis, kui vastutav töötleja täidab seejuures talle usaldatud avalikes huvides olevat ülesannet, ei saa ta isikuandmeid koguda üldiselt ja vahet tegemata ning ta peab hoiduma selliste andmete kogumisest, mis ei ole töötlemise eesmärkide seisukohast tingimata vajalikud.

75

Käesoleval juhul tuleb märkida, et nagu nähtub käesoleva kohtuotsuse punktidest 17–19, nõudis Läti maksuhaldur ettevõtjalt, et viimane esitaks talle andmed, mis on seotud selle ettevõtja veebisaidil ajavahemikul 14. juulist kuni 31. augustini 2018 avaldatud sõiduautode müügikuulutustega, ning juhul, kui juurdepääsu sellele teabele ei ole võimalik taastada, esitaks talle iga kuu kolmandaks päevaks andmed tema veebisaidil eelmisel kuul avaldatud sõiduautode müügikuulutuste kohta, ilma et viimasele nõudele oleks seatud mingit ajalist piiri.

76

Võttes arvesse käesoleva kohtuotsuse punktis 74 esitatud kaalutlusi, on eelotsusetaotluse esitanud kohtu ülesanne kontrollida, kas nende andmete kogumise eesmärki on võimalik saavutada ilma, et Läti maksuhaldur saaks juurdepääsu andmetele, mis on seotud kõigi selle ettevõtja veebisaidil avaldatud sõiduautode müügikuulutustega, ja eelkõige, kas on võimalik, et see asutus tooks konkreetsete kriteeriumide abil teiste hulgast esile teatud kuulutused.

77

Selles kontekstis tuleb rõhutada, et vastavalt määruse 2016/679 artikli 5 lõikes 2 sätestatud vastutuspõhimõttele peab vastutav töötleja suutma tõendada, et ta järgib selle artikli lõikes 1 sätestatud isikuandmete töötlemise põhimõtteid.

78

Seega peab Läti maksuhaldur tõendama, et ta püüdis kogutavate isikuandmete hulka vastavalt selle määruse artikli 25 lõikele 2 vähendada nii palju kui võimalik.

79

Seoses asjaoluga, et Läti maksuhalduri saadetud teabenõudes ei ole ette nähtud mingit ajalist piiri juhuks, kui kuulutusteteenuse osutaja ei taasta juurdepääsu taotluses osutatud ajavahemikul avaldatud kuulutustele, tuleb meeles pidada, et võimalikult väheste andmete kogumise põhimõtet silmas pidades on vastutav töötleja kohustatud piirama ka kõnealuste isikuandmete kogumise aja sellega, mis on tingimata vajalik töötlemistoimingu eesmärgi saavutamiseks.

80

Järelikult ei tohi andmete kogumise ajavahemik olla pikem kui on tingimata vaja taotletava üldist huvi teeniva eesmärgi saavutamiseks.

81

Nagu nähtub käesoleva kohtuotsuse punktist 77, lasub tõendamiskoormis selles osas Läti maksuhalduril.

82

Siiski ei võimalda asjaolu, et neid andmeid kogutakse ilma, et Läti maksuhaldur oleks teabenõudes kindlaks määranud sellise töötlemise ajalise piiri, iseenesest asuda seisukohale, et töötlemise kestus on pikem kui on tingimata vaja taotletava eesmärgi saavutamiseks.

83

Selles kontekstis tuleb siiski meenutada, et selleks, et oleks täidetud proportsionaalsuse nõue, mida määruse 2016/679 artikli 5 lõike 1 punkt c väljendab (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 98 ja seal viidatud kohtupraktika), peavad töötlemise aluseks olevas õigusaktis olema ette nähtud selged ja täpsed reeglid, mis reguleerivad asjaomase meetme ulatust ja kohaldamist ning millega on kehtestatud miinimumnõuded selleks, et isikutel, kelle isikuandmetega on tegu, oleks piisavad tagatised, mis võimaldavad neid andmeid kuritarvitamise ohu eest tõhusalt kaitsta. Need õigusnormid peavad olema riigisiseses õiguses õiguslikult siduvad ja eeskätt peab nendes olema märgitud, millistel asjaoludel ja tingimustel võib selliste andmete töötlemist ette nägeva meetme võtta, tagades seeläbi, et riive piirdub sellega, mis on tingimata vajalik (6. oktoobri 2020. aasta kohtuotsus Privacy International, C‑623/17, EU:C:2020:790, punkt 68 ja seal viidatud kohtupraktika).

84

Sellest järeldub, et liikmesriigi õigusnormid, mis reguleerivad niisugust teabenõuet, nagu on kõne all põhikohtuasjas, peavad lähtuma objektiivsetest kriteeriumidest, et määratleda asjaolud ja tingimused, mille esinemise korral on internetiteenuse osutaja kohustatud edastama oma kasutajate isikuandmeid (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus Privacy International, C‑623/17, EU:C:2020:790, punkt 78 ja seal viidatud kohtupraktika).

85

Kõiki eeltoodud kaalutlusi arvestades tuleb kolmandale kuni üheksandale küsimusele vastata, et määruse 2016/679 sätteid tuleb tõlgendada nii, et nendega ei ole vastuolus see, kui liikmesriigi maksuhaldur paneb internetikuulutuste teenuse osutajale kohustuse edastada talle teavet maksukohustuslaste kohta, kes on avaldanud kuulutusi ühes selle teenuseosutaja veebiportaali rubriikidest tingimusel, et need andmed on vajalikud nende konkreetsete eesmärkide saavutamiseks, milleks neid kogutakse, ja et andmete kogumise ajavahemik ei ole pikem kui on tingimata vaja taotletava üldist huvi teeniva eesmärgi saavutamiseks.

86

Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (viies koda) otsustab: