–

”SS” SIA, edustajanaan M. Ruķers,

–

Latvian hallitus, asiamiehinään aluksi K. Pommere, V. Soņeca ja L. Juškeviča, sittemmin K. Pommere,

–

Belgian hallitus, asiamiehinään J.-C. Halleux ja P. Cottin, avustajanaan C. Molitor, avocat,

–

Kreikan hallitus, asiamiehinään E.-M. Mamouna ja O. Patsopoulou,

–

Espanjan hallitus, asiamiehinään aluksi J. Rodríguez de la Rúa Puig ja S. Jiménez García, sittemmin J. Rodríguez de la Rúa Puig,

–

Euroopan komissio, asiamiehinään aluksi H. Kranenborg, D. Nardi ja I. Rubene, sittemmin H. Kranenborg ja I. Rubene,

1

Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) ja erityisesti sen 5 artiklan 1 kohdan tulkintaa.

2

Tämä pyyntö on esitetty asiassa, jossa asianosaisina ovat ”SS” SIA ja Valsts ieņēmumu dienests (verohallinto, Latvia; jäljempänä Latvian verohallinto) ja joka koskee pyyntöä saada tietoja SS:n internetsivustolla julkaistuista ajoneuvojen myynti-ilmoituksista.

3

Asetusta 2016/679, joka perustuu SEUT 16 artiklaan, sovelletaan sen 99 artiklan 2 kohdan nojalla 25.5.2018 alkaen.

4

Kyseisen asetuksen johdanto-osan 1, 4, 10, 19, 26, 31, 39, 41 ja 50 perustelukappaleessa todetaan seuraavaa:

– –

– –

– –

– –

– –

– –

– –

– –

5

Asetuksen 2016/679 2 artiklassa, jonka otsikko on ”Aineellinen soveltamisala”, säädetään seuraavaa:

”1.   Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

2.   Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,

– –”

6

Kyseisen asetuksen 4 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan:

– –

– –

– –”

7

Kyseisen asetuksen 5 artiklassa, jonka otsikko on ”Henkilötietojen käsittelyä koskevat periaatteet”, säädetään seuraavaa:

”1.   Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

2.   Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (’osoitusvelvollisuus’).”

8

Saman asetuksen 6 artiklassa, jonka otsikko on ”Käsittelyn lainmukaisuus”, säädetään seuraavaa:

”1.   Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

2.   Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä tässä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely muun muassa muissa erityisissä käsittelytilanteissa siten kuin IX luvussa säädetään.

3.   Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko

Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. – – Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.

4.   Jos käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi tiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi, rekisterinpitäjän on otettava huomioon muun muassa seuraavat asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin:

9

Asetuksen 2016/679 13 artiklan 3 kohdassa säädetään seuraavaa:

”Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.”

10

Kyseisen asetuksen 14 artiklassa säädetään seuraavaa:

”1.   Kun tietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot:

– –

– –

5.   Edellä olevaa 1–4 kohtaa ei sovelleta, jos ja siltä osin kuin

– –

– –”

11

Kyseisen asetuksen 23 artiklan 1 kohdan e alakohdassa säädetään seuraavaa:

”Rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa niiden velvollisuuksien ja oikeuksien soveltamisalaa, joista säädetään 12–22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja ‑vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata

– –

– –”

12

Asetuksen 2016/679 25 artiklan 2 kohdassa säädetään seuraavaa:

”Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.”

13

Direktiivin 2016/680 johdanto-osan 10 ja 11 perustelukappaleessa todetaan seuraavaa:

14

Kyseisen direktiivin 3 artiklassa säädetään seuraavaa:

”Tässä direktiivissä tarkoitetaan

– –

7. ’toimivaltaisella viranomaisella’

– –”

15

Veroista ja maksuista annetun lain (Likums ”Par nodokļiem un nodevām”; Latvijas Vēstnesis, 1995, nro 26), sellaisena kuin sitä sovelletaan pääasiassa (jäljempänä vero- ja maksulaki), 15 §:n 6 momentin nojalla internetissä julkaistavia ilmoituksia koskevien palvelujen tarjoajan on Latvian verohallinnon pyynnöstä toimitettava hallussaan olevat tiedot niistä verovelvollisista, jotka ovat julkaisseet ilmoituksia sen palveluja käyttäen.

16

SS on Latviaan sijoittautunut internetissä julkaistavia ilmoituksia koskevien palvelujen tarjoaja.

17

Latvian verohallinto osoitti 28.8.2018 SS:lle vero- ja maksulain 15 §:n 6 momenttiin perustuvan tietojen luovutuspyynnön, jossa se kehotti tätä yhtiötä palauttamaan kyseisen veroviranomaisen pääsyn kyseisen yhtiön internetportaalissa julkaistun ilmoituksen kohteena olevien ajoneuvojen valmistenumeroihin sekä myyjien puhelinnumeroihin ja toimittamaan tälle viimeistään 3.9.2018 tietoja kyseisen portaalin Moottoriajoneuvot-osiossa 14.7.–31.8.2018 julkaistuista ilmoituksista.

18

Tietopyynnössä täsmennettiin, että nämä tiedot, joihin kuuluvat linkki ilmoitukseen, ilmoituksen teksti, ajoneuvon merkki, malli, valmistenumero ja hinta sekä myyjän puhelinnumero, oli toimitettava sähköisesti muodossa, joka mahdollistaa tietojen suodattamisen tai valikoimisen.

19

Lisäksi siinä tapauksessa, että pääsyä kyseessä olevassa internetportaalissa julkaistuissa ilmoituksissa oleviin tietoihin ei voitaisi palauttaa, SS:ää pyydettiin ilmoittamaan syy siihen ja toimittamaan viimeistään kunkin kuukauden kolmantena päivänä merkitykselliset tiedot edellisen kuukauden aikana julkaistuista ilmoituksista.

20

Koska SS katsoi, ettei Latvian verohallinnon tietojen luovutuspyyntö ollut asetuksessa 2016/679 vahvistettujen suhteellisuusperiaatteen ja henkilötietojen minimoinnin periaatteen mukainen, se teki tästä pyynnöstä oikaisuvaatimuksen Latvian verohallinnon virkaa tekevälle pääjohtajalle.

21

Viimeksi mainittu hylkäsi oikaisuvaatimuksen 30.10.2018 tekemällään päätöksellä ja totesi muun muassa, että Latvian verohallinto käytti sille lailla annettuja valtuuksia pääasiassa kyseessä olevien henkilötietojen käsittelyn yhteydessä.

22

SS nosti administratīvā rajona tiesassa (alueellinen hallintotuomioistuin, Latvia) kanteen, jossa se vaati kyseisen päätöksen kumoamista. Se väitti oikaisuvaatimuksessaan esittämiensä väitteiden lisäksi, ettei kyseisessä päätöksessä mainittu Latvian verohallinnon suunnitteleman henkilötietojen käsittelyn erityistä tarkoitusta eikä sen kannalta tarpeellisten tietojen määrää, mikä oli asetuksen 2016/679 5 artiklan 1 kohdan vastaista.

23

Administratīvā rajona tiesa (alueellinen hallintotuomioistuin) hylkäsi kanteen 21.5.2019 antamallaan tuomiolla ja totesi lähinnä, että Latvian verohallinto saattoi perustellusti pyytää pääsyä rajoittamattomaan määrään kaikkiin henkilöihin liittyviä tietoja, paitsi jos näiden tietojen katsotaan olevan ristiriidassa veron kantamistarkoituksen kanssa. Kyseinen tuomioistuin katsoi lisäksi, ettei asetuksen 2016/679 säännöksiä voitu soveltaa verohallintoon.

24

SS valitti kyseisestä tuomiosta ennakkoratkaisua pyytäneeseen tuomioistuimeen ja väitti yhtäältä, että Latvian verohallintoon sovellettiin asetuksen 2016/679 säännöksiä, ja toisaalta, että verohallinto loukkasi suhteellisuusperiaatetta, kun se vaati kuukausittain ja ilman ajallisia rajoituksia huomattavaa määrää henkilötietoja, jotka koskevat rajoittamatonta määrää ilmoituksia, yksilöimättä niitä verovelvollisia, joiden osalta verotarkastus on aloitettu.

25

Ennakkoratkaisua pyytänyt tuomioistuin toteaa, ettei pääasiassa ole kiistetty sitä, että kyseessä olevan tietojen luovutuspyynnön täyttäminen liittyy erottamattomasti henkilötietojen käsittelyyn, eikä sitä, että Latvian verohallinnolla on oikeus saada tietoja, jotka ovat ilmoitusten julkaisemista internetissä koskevien palvelujen tarjoajan saatavilla ja jotka ovat tarpeen veronkantoa koskevien erityistoimenpiteiden toteuttamiseksi.

26

Pääasia koskee niiden tietojen määrää ja tyyppiä, joita Latvian verohallinto voi pyytää, sitä, onko näiden tietojen määrä rajallinen vai ei, sekä sitä, onko SS:lle asetettua tietojen luovutusvelvollisuutta rajoitettava ajallisesti.

27

Ennakkoratkaisua pyytänyt tuomioistuin katsoo erityisesti, että sen tehtävänä on määrittää asetuksen 2016/679 5 artiklan 1 kohdan nojalla, suoritetaanko pääasian olosuhteissa henkilötietojen käsittely rekisteröidyn kannalta läpinäkyvästi, onko kyseessä olevassa tietojen luovutuspyynnössä yksilöityjä tietoja pyydetty tiettyä, nimenomaista ja laillista tarkoitusta varten ja suoritetaanko henkilötietojen käsittely vain siltä osin kuin se on tosiasiallisesti välttämätöntä Latvian verohallinnon tehtävien hoitamiseksi.

28

Tätä varten on tarpeen määritellä kriteerit, joiden avulla voidaan arvioida, onko Latvian verohallinnon esittämä tietojen luovutuspyyntö perusoikeuksien ja ‑vapauksien keskeisen sisällön mukainen ja voidaanko pääasiassa kyseessä olevaa tietojen luovutuspyyntöä pitää demokraattisessa yhteiskunnassa välttämättömänä ja oikeasuhteisena unionin tärkeiden tavoitteiden ja Latvian talousarviota ja verotusta koskevien julkisten etujen takaamiseksi.

29

Näissä olosuhteissa Administratīvā apgabaltiesa (maakunnallinen hallintotuomioistuin, Latvia) päätti ykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

30

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä kysymyksellään lähinnä, onko asetuksen 2016/679 säännöksiä tulkittava siten, että kyseisessä asetuksessa säädettyjä vaatimuksia ja erityisesti sen 5 artiklan 1 kohdassa esitettyjä vaatimuksia sovelletaan siihen, että jäsenvaltion verohallinto kerää talouden toimijalta tietoja, jotka sisältävät huomattavan määrän henkilötietoja.

31

Vastattaessa tähän kysymykseen on ensinnäkin tarkistettava, kuuluuko tällainen pyyntö asetuksen 2016/679 aineelliseen soveltamisalaan, sellaisena kuin se on määritelty kyseisen asetuksen 2 artiklan 1 kohdassa, ja toiseksi, kuuluuko se johonkin niistä henkilötietojen käsittelyistä, jotka kyseisen asetuksen 2 artiklan 2 kohdassa jätetään aineellisen soveltamisalan ulkopuolelle.

32

Asetuksen 2016/679 2 artiklan 1 kohdan mukaan kyseistä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

33

Asetuksen 2016/679 4 artiklan 1 alakohdassa täsmennetään, että ”henkilötiedoilla” tarkoitetaan kaikkia tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön eli luonnolliseen henkilöön, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Kyseisen asetuksen johdanto-osan 26 perustelukappaleessa täsmennetään tältä osin, että jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti.

34

Pääasiassa on riidatonta, että tiedot, joiden luovuttamista Latvian verohallinto pyytää, ovat asetuksen 2016/679 4 artiklan 1 alakohdassa tarkoitettuja henkilötietoja.

35

Kyseisen asetuksen 4 artiklan 2 alakohdan mukaan henkilötietojen kerääminen, kysely, luovuttaminen siirtämällä sekä kaikenlainen saataville asettaminen ovat mainitussa asetuksessa tarkoitettua ”käsittelyä”. Kyseisen säännöksen sanamuodosta ja erityisesti ilmaisusta ”[jokaista] toimintoa” ilmenee, että unionin lainsäätäjän tarkoituksena on ollut antaa käsittelyn käsitteelle laaja merkitys. Tätä tulkintaa tukee se, että kyseisessä säännöksessä mainittujen toimintojen luettelo ei ole tyhjentävä, mikä ilmenee ilmaisusta ”kuten”.

36

Nyt käsiteltävässä asiassa Latvian verohallinto vaatii, että kyseessä oleva talouden toimija palauttaa tämän verohallinnon yksikön pääsyn kyseisen yhtiön internetportaalissa julkaistun ilmoituksen kohteena olevien ajoneuvojen valmistenumeroihin ja toimittaa sille tietoja kyseisessä portaalissa julkaistuista ilmoituksista.

37

Tällaisella pyynnöllä, jolla jäsenvaltion verohallinto pyytää talouden toimijalta henkilötietojen, jotka tämän on kyseisen jäsenvaltion kansallisen säännöstön nojalla toimitettava ja asetettava sen saataville, luovuttamista ja saataville asettamista, käynnistyy asetuksen 2016/679 4 artiklan 2 alakohdassa tarkoitettu näiden tietojen ”kerääminen”.

38

Lisäksi se, että kyseessä oleva talouden toimija luovuttaa kyseiset tiedot kyseiselle verohallinnolle ja asettaa ne sen saataville, merkitsee kyseisen 4 artiklan 2 alakohdassa tarkoitettua ”käsittelyä”.

39

Toiseksi on tutkittava, voidaanko toiminnon, jolla jäsenvaltion verohallinto pyrkii keräämään talouden toimijalta tiettyjä verovelvollisia koskevat henkilötiedot, katsoa jäävän asetuksen 2016/679 soveltamisalan ulkopuolelle kyseisen asetuksen 2 artiklan 2 kohdan nojalla.

40

Tältä osin on aluksi muistutettava, että kyseisessä säännöksessä säädetään poikkeuksista direktiivin 2 artiklan 1 kohdassa määriteltyyn soveltamisalaan ja että näitä poikkeuksia on tulkittava suppeasti (tuomio 16.7.2020, Facebook Ireland ja Schrems, C-311/18, EU:C:2020:559, 84 kohta).

41

Erityisesti on todettava, että asetuksen 2016/679 2 artiklan 2 kohdan d alakohdassa säädetään, että asetusta ei sovelleta henkilötietojen käsittelyyn, jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten.

42

Kuten kyseisen asetuksen johdanto-osan 19 perustelukappaleesta ilmenee, kyseisen poikkeuksen perusteluna on se seikka, että toimivaltaisten viranomaisten tällaisia tarkoituksia varten suorittamaa henkilötietojen käsittelyä sääntelee erillinen unionin toimi eli direktiivi 2016/680, joka on annettu samana päivänä kuin asetus 2016/679 ja jonka 3 artiklan 7 kohdassa määritellään, mitä on ymmärrettävä ”toimivaltaisella viranomaisella”, ja tällaista määritelmää on sovellettava analogisesti kyseisen asetuksen 2 artiklan 2 kohdan d alakohtaan (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C-439/19, EU:C:2021:504, 69 kohta).

43

Direktiivin 2016/680 johdanto-osan kymmenennestä perustelukappaleesta ilmenee, että toimivaltaisen viranomaisen käsite on ymmärrettävä yhteydessä henkilötietojen suojaan rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla, kun otetaan huomioon muutokset, jotka saattavat osoittautua tarpeellisiksi tältä osin näiden alojen erityisluonteen vuoksi. Lisäksi kyseisen direktiivin johdanto-osan 11 perustelukappaleessa täsmennetään, että asetusta 2016/679 sovelletaan henkilötietojen käsittelyyn, jonka suorittaa kyseisen direktiivin 3 artiklan 7 alakohdassa tarkoitettu ”toimivaltainen viranomainen” mutta muita kuin tässä direktiivissä säädettyjä tarkoituksia varten (tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C-439/19, EU:C:2021:504, 70 kohta).

44

Kun siis jäsenvaltion verohallinto pyytää talouden toimijaa luovuttamaan sille tiettyjä verovelvollisia koskevia henkilötietoja veronkantoa ja veropetosten estämistä varten, ei vaikuta siltä, että jäsenvaltion verohallintoa voitaisiin pitää direktiivin 2016/680 3 artiklan 7 alakohdassa tarkoitettuna toimivaltaisena viranomaisena ja että tällaiset luovutuspyynnöt näin ollen voisivat kuulua asetuksen 2016/679 2 artiklan 2 kohdan d alakohdassa säädetyn poikkeuksen soveltamisalaan.

45

Vaikka ei ole poissuljettua, että pääasiassa kyseessä olevia henkilötietoja voitaisiin käyttää sellaisten syytetoimien yhteydessä, joita voitaisiin kohdistaa verorikostapauksissa tiettyihin rekisteröityihin, näitä tietoja ei kuitenkaan ilmeisesti ole kerätty erityisesti syytetoimien tarkoituksessa tai jäsenvaltion rikosoikeuden alalla tapahtuvan toiminnan yhteydessä (ks. vastaavasti tuomio 27.9.2017, Puškár, C-73/16, EU:C:2017:725, 40 kohta).

46

Näin ollen se, että jäsenvaltion verohallinto kerää talouden toimijan internetsivustolla julkaistuja ajoneuvojen myynti-ilmoituksia koskevia henkilötietoja, kuuluu asetuksen 2016/679 aineelliseen soveltamisalaan, ja sen on näin ollen noudatettava muun muassa kyseisen asetuksen 5 artiklassa vahvistettuja henkilötietojen käsittelyä koskevia periaatteita.

47

Kaiken edellä esitetyn perusteella ensimmäiseen kysymykseen on vastattava, että asetuksen 2016/679 säännöksiä on tulkittava siten, että kyseisessä asetuksessa säädettyjä vaatimuksia ja erityisesti sen 5 artiklan 1 kohdassa esitettyjä vaatimuksia sovelletaan siihen, että jäsenvaltion verohallinto kerää talouden toimijalta tietoja, jotka sisältävät huomattavan määrän henkilötietoja.

48

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee toisella kysymyksellään lähinnä, onko asetuksen 2016/679 säännöksiä tulkittava siten, että jäsenvaltion verohallinto voi poiketa kyseisen asetuksen 5 artiklan 1 kohdan säännöksistä, vaikka sille ei ole myönnetty tällaista oikeutta kyseisen jäsenvaltion kansallisessa oikeudessa.

49

Aluksi on muistutettava, että – kuten asetuksen 2016/679 johdanto-osan kymmenennestä perustelukappaleesta ilmenee – kyseisellä asetuksella pyritään muun muassa varmistamaan korkeatasoinen luonnollisten henkilöiden suojelu unionissa.

50

Tätä varten asetuksen 2016/679 II ja III luvussa vahvistetaan henkilötietojen käsittelyä koskevat periaatteet ja rekisteröidyn oikeudet, joita henkilötietojen käsittelyssä on noudatettava. Erityisesti on todettava, että henkilötietojen käsittelyssä on noudatettava muun muassa kyseisen asetuksen 5 artiklassa mainittuja henkilötietojen käsittelyä koskevia periaatteita (ks. vastaavasti tuomio 6.10.2020, La Quadrature du Net ym., C-511/18, C-512/18 ja C-520/18, EU:C:2020:791, 208 kohta).

51

Asetuksen 2016/679 23 artiklassa annetaan kuitenkin unionille ja jäsenvaltioille oikeus toteuttaa ”lainsäädäntötoimenpiteitä”, joilla rajoitetaan niiden velvollisuuksien ja oikeuksien soveltamisalaa, joista säädetään muun muassa kyseisen asetuksen 5 artiklassa, siltä osin kuin ne vastaavat 12–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja ‑vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata unionin tai jäsenvaltion yleiseen julkiseen etuun liittyviä tärkeitä tavoitteita, kuten erityisesti tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien talousarvioon ja verotukseen liittyvät asiat.

52

Tältä osin asetuksen 2016/679 johdanto-osan 41 perustelukappaleesta ilmenee, että kyseisessä asetuksessa tehdyssä viittauksessa ”lainsäädäntötoimenpiteeseen” ei välttämättä edellytetä parlamentissa hyväksyttyä säädöstä.

53

On kuitenkin muistutettava, että – kuten asetuksen 2016/679 johdanto-osan neljännessä perustelukappaleessa todetaan – kyseisessä asetuksessa kunnioitetaan kaikkia perusoikeuksia ja otetaan huomioon perusoikeuskirjassa tunnustetut vapaudet ja periaatteet, joihin kuuluu muun muassa henkilötietojen suoja.

54

Perusoikeuskirjan 52 artiklan 1 kohdan ensimmäisen virkkeen mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien, joihin kuuluvat muun muassa perusoikeuskirjan 7 artiklassa taattu oikeus yksityiselämän kunnioittamiseen, ja sen 8 artiklassa vahvistettu oikeus henkilötietojen suojaan, käyttämistä voidaan rajoittaa ainoastaan lailla, mikä tarkoittaa erityisesti sitä, että itse siinä oikeusperustassa, joka mahdollistaa puuttumisen näihin oikeuksiin, on määritettävä asianomaisen oikeuden käyttämiselle asetettavien rajoitusten laajuus (ks. vastaavasti tuomio 6.10.2020, Privacy International, C-623/17, EU:C:2020:790, 65 kohta oikeuskäytäntöviittauksineen).

55

Unionin tuomioistuin on todennut tältä osin lisäksi, että säännöstössä, joka sisältää toimenpiteen, jossa tällainen puuttuminen sallitaan, on kuitenkin säädettävä selkeistä ja täsmällisistä kyseessä olevan toimenpiteen laajuutta ja soveltamista koskevista säännöistä, joissa asetetaan vähimmäisvaatimukset, jotta henkilöillä, joiden henkilötietoja on siirretty, on riittävät takeet, joiden avulla heidän henkilötietojaan voidaan tehokkaasti suojata väärinkäytön vaaroilta (ks. vastaavasti tuomio 2.3.2021, Prokuratuur (Sähköiseen viestintään liittyvien tietojen saannin edellytykset), C-746/18, EU:C:2021:152, 48 kohta oikeuskäytäntöviittauksineen).

56

Näin ollen kaikkien asetuksen 2016/679 23 artiklan nojalla toteutettujen toimenpiteiden on oltava selkeitä ja täsmällisiä, kuten unionin lainsäätäjä on lisäksi korostanut kyseisen asetuksen johdanto-osan 41 perustelukappaleessa, ja niiden soveltamisen on oltava yksityisten ennakoitavissa. Viimeksi mainittujen on erityisesti voitava yksilöidä olosuhteet, joissa heille kyseisellä asetuksella annettujen oikeuksien ulottuvuutta voidaan rajoittaa, ja edellytykset, joiden täyttyessä näin voidaan tehdä.

57

Edellä esitetystä seuraa, ettei jäsenvaltion verohallinto voi poiketa asetuksen 2016/679 5 artiklan säännöksistä, jos unionin oikeudessa tai kansallisessa oikeudessa ei ole selkeää ja täsmällistä oikeusperustaa, jonka soveltaminen on yksityisten ennakoitavissa ja jossa säädetään olosuhteista, joissa kyseisessä 5 artiklassa säädettyjen velvollisuuksien ja oikeuksien ulottuvuutta voidaan rajoittaa, ja edellytyksistä, joiden täyttyessä näin voidaan tehdä.

58

Toiseen kysymykseen on näin ollen vastattava, että asetuksen 2016/679 säännöksiä on tulkittava siten, ettei jäsenvaltion verohallinto voi poiketa kyseisen asetuksen 5 artiklan 1 kohdan säännöksistä silloin, kun tällaista oikeutta ei ole myönnetty sille kyseisen asetuksen 23 artiklan 1 kohdassa tarkoitetulla lainsäädäntötoimenpiteellä.

59

Kolmannella, neljännellä, viidennellä, kuudennella, seitsemännellä, kahdeksannella ja yhdeksännellä kysymyksellään, joita on tarkasteltava yhdessä, ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, onko asetuksen 2016/679 säännöksiä tulkittava siten, että ne ovat esteenä sille, että jäsenvaltion verohallinto velvoittaa internetissä julkaistavia ilmoituksia koskevien palvelujen tarjoajan luovuttamaan sille määrittämättömän ajan ja ilman, että kyseisen luovutuspyynnön tarkoitusta täsmennetään, tietoja kaikista niistä verovelvollisista, jotka ovat julkaisseet ilmoituksia sen internetportaalin tietyssä osiossa.

60

Aluksi on huomautettava, että pääasiassa kyseessä olevan kaltaisessa tilanteessa suoritetaan kaksi henkilötietojen käsittelyä. Kuten tämän tuomion 37 ja 38 kohdasta ilmenee, kyse on henkilötietojen keräämisestä, jonka verohallinto suorittaa kyseessä olevalta palveluntarjoajalta, ja tässä yhteydessä kyseisten tietojen luovuttamisesta, sillä kyseinen palveluntarjoaja siirtää ne verohallinnolle.

61

Kuten tämän tuomion 50 kohdassa mainitusta oikeuskäytännöstä ilmenee, kummassakin näistä käsittelytoimista on – jollei asetuksen 2016/679 23 artiklassa hyväksytyistä poikkeuksista muuta johdu – noudatettava kyseisen asetuksen 5 artiklassa vahvistettuja henkilötietojen käsittelyä koskevia periaatteita ja rekisteröidyn oikeuksia, jotka sisältyvät asetuksen 12–22 artiklaan.

62

Nyt käsiteltävässä asiassa ennakkoratkaisua pyytänyt tuomioistuin pohtii erityisesti sitä, että yhtäältä tämän tuomion 60 kohdassa mainitut käsittelyt koskevat määrittämätöntä määrää tietoja, jotka liittyvät määrittämättömään ajanjaksoon, ja toisaalta sitä, että näiden käsittelyjen tarkoitusta ei ole täsmennetty luovutuspyynnössä.

63

Tässä yhteydessä on korostettava ensinnäkin, että asetuksen 2016/679 5 artiklan 1 kohdan b alakohdassa säädetään, että henkilötiedot on kerättävä erityisesti tiettyä, nimenomaista ja laillista tarkoitusta varten.

64

Ensinnäkin vaatimus, jonka mukaan käsittelyn tarkoitukset on määritettävä, merkitsee – kuten kyseisen asetuksen johdanto-osan 39 perustelukappaleesta ilmenee – sitä, että tarkoitukset on yksilöitävä viimeistään henkilötietojen keruun yhteydessä.

65

Käsittelyn tarkoitusten on oltava nimenomaisia, mikä merkitsee sitä, että ne on ilmaistava selvästi.

66

Näiden tarkoitusten on myös oltava laillisia. Näin ollen on tärkeää, että niillä varmistetaan kyseisen asetuksen 6 artiklan 1 kohdassa tarkoitettu lainmukainen käsittely.

67

Edellä 60 kohdassa tarkoitetut käsittelyt käynnistyvät henkilötietojen luovuttamispyynnöllä, jonka Latvian verohallinto osoittaa internetissä julkaistavia ilmoituksia koskevien palvelujen tarjoajalle. Tältä osin on ilmeistä, että vero- ja maksulain 15 §:n 6 momentin mukaan palveluntarjoajan on noudatettava tällaista pyyntöä.

68

Kun otetaan huomioon tämän tuomion 64 ja 65 kohdassa esitetyt seikat, on tarpeen, että näiden käsittelyjen tarkoitukset ilmoitetaan selvästi kyseisessä pyynnössä.

69

Edellyttäen, että kyseisessä pyynnössä näin ilmoitetut tarkoitukset ovat tarpeen yleistä etua koskevan tehtävän tai verohallinnolle kuuluvan julkisen vallan käyttämiseen kuuluvan tehtävän suorittamiseksi, tämä seikka riittää – kuten asetuksen 2016/679 6 artiklan 1 kohdan ensimmäisen alakohdan alusta ja e alakohdasta, luettuna yhdessä kyseisen asetuksen 6 artiklan 3 kohdan toisen alakohdan kanssa, ilmenee – siihen, että kyseiset käsittelyt täyttävät myös tämän tuomion 66 kohdassa mainitun lainmukaisuusvaatimuksen.

70

Tässä yhteydessä on muistutettava, että veronkantoa ja veropetosten torjuntaa on pidettävä asetuksen 2016/679 6 artiklan 1 kohdan ensimmäisen alakohdan e alakohdassa tarkoitettuina yleistä etua koskevina tehtävinä (ks. analogisesti tuomio 27.9.2017, Puškár, C-73/16, EU:C:2017:725, 108 kohta).

71

Tästä seuraa, että tilanteessa, jossa kyseessä olevien henkilötietojen luovuttaminen ei perustu suoraan sen perustana olevaan lain säännökseen vaan toimivaltaisen viranomaisen pyyntöön, on tarpeen, että pyynnössä täsmennetään, mitkä ovat tämän tietojen keräämisen erityiset tarkoitukset yleistä etua koskevaan tehtävään tai julkisen vallan käyttöön nähden, jotta pyynnön vastaanottaja voi varmistua siitä, että kyseessä olevien henkilötietojen siirtäminen on lainmukaista, ja jotta kansalliset tuomioistuimet voivat tarkistaa kyseisten käsittelyjen laillisuuden.

72

Toiseksi asetuksen 2016/679 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.

73

Tältä osin on muistutettava, että vakiintuneen oikeuskäytännön mukaan tällaisten tietojen suojaa koskevasta periaatteesta tehtävät poikkeukset ja rajoitukset on toteutettava täysin välttämättömän rajoissa (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C-439/19, EU:C:2021:504, 110 kohta oikeuskäytäntöviittauksineen).

74

Tästä seuraa, että rekisterinpitäjä – myös silloin, kun se toimii sille uskotun yleistä etua koskevan tehtävän puitteissa – ei voi yleisesti ja erotuksetta kerätä henkilötietoja ja että sen on pidätyttävä keräämästä tietoja, jotka eivät ole ehdottoman välttämättömiä käsittelyn tarkoituksiin nähden.

75

Nyt käsiteltävässä asiassa on todettava, että – kuten tämän tuomion 17–19 kohdasta ilmenee – Latvian verohallinto on pyytänyt kyseistä talouden toimijaa toimittamaan sille tietoja henkilöautojen myynti-ilmoituksista, jotka on julkaistu sen internetsivustolla 14.7.–31.8.2018, ja siinä tapauksessa, että pääsyä näihin tietoihin ei voida palauttaa, toimittamaan sille viimeistään kunkin kuukauden kolmantena päivänä tiedot, jotka koskevat sen internetsivustolla edellisen kuukauden aikana julkaistuja henkilöautojen myynti-ilmoituksia, asettamatta jälkimmäiselle pyynnölle mitään aikarajaa.

76

Kun otetaan huomioon tämän tuomion 74 kohdassa esitetyt seikat, ennakkoratkaisua pyytäneen tuomioistuimen on selvitettävä, voidaanko näiden tietojen keräämisen tarkoitus saavuttaa ilman, että Latvian verohallinnolla on mahdollisesti käytettävissään tietoja kaikista mainitun toimijan internetsivustolla julkaistuista henkilöautojen myynti-ilmoituksista, ja erityisesti, onko mahdollista, että kyseinen verohallinto kohdistaa pyynnön tiettyihin ilmoituksiin erityisten kriteerien perusteella.

77

Tässä yhteydessä on korostettava, että asetuksen 2016/679 5 artiklan 2 kohdassa vahvistetun osoitusperiaatteen mukaisesti rekisterinpitäjän on pystyttävä osoittamaan, että se noudattaa kyseisen artiklan 1 kohdassa vahvistettuja henkilötietojen käsittelyä koskevia periaatteita.

78

Näin ollen Latvian verohallinnon on osoitettava, että se on kyseisen asetuksen 25 artiklan 2 kohdan mukaisesti pyrkinyt minimoimaan kerättävien henkilötietojen määrää mahdollisimman paljon.

79

Siitä, ettei Latvian verohallinnon esittämässä luovutuspyynnössä aseteta mitään ajallista rajoitusta siinä tapauksessa, että kyseessä oleva ilmoituspalvelujen tarjoaja ei palauttaisi pääsyä pyynnön kohteena olevalla ajanjaksolla julkaistuihin ilmoituksiin, on muistutettava, että kun otetaan huomioon tietojen minimoinnin periaate, rekisterinpitäjällä on myös velvollisuus rajata kyseessä olevien henkilötietojen keräämisajanjakso siihen, mikä on ehdottoman välttämätöntä suunnitellun käsittelyn tarkoituksen kannalta.

80

Näin ollen ajanjakso, jota kerääminen koskee, ei saa olla kestoltaan pidempi kuin on ehdottoman välttämätöntä tavoitellun yleistä etua koskevan tarkoituksen saavuttamiseksi.

81

Kuten tämän tuomion 77 kohdasta ilmenee, todistustaakka tältä osin on Latvian verohallinnolla.

82

Pelkästään sen perusteella, että kyseiset tiedot kerätään ilman, että Latvian verohallinto olisi itse luovutuspyynnössä määrittänyt ajallista rajoitusta tällaiselle tietojen käsittelylle, ei kuitenkaan voida katsoa, että käsittelyn kesto ylittäisi sen, mikä on ehdottoman välttämätöntä tavoitellun tarkoituksen saavuttamiseksi.

83

Tässä yhteydessä on kuitenkin muistutettava, että asetuksen 2016/679 5 artiklan 1 kohdan c alakohdassa ilmaistun oikeasuhteisuutta koskevan vaatimuksen täyttämiseksi (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C-439/19, EU:C:2021:504, 98 kohta oikeuskäytäntöviittauksineen) käsittelyn perustana olevassa säännöstössä on säädettävä selkeistä ja täsmällisistä kyseessä olevan toimenpiteen ulottuvuutta ja soveltamista koskevista säännöistä, joissa asetetaan vähimmäisvaatimukset, jotta henkilöillä, joiden henkilötiedot ovat kyseessä, on riittävät takeet, joiden avulla näitä tietoja voidaan tehokkaasti suojata väärinkäytön vaaroilta. Kyseisen säännöstön on oltava kansallisen oikeuden mukaan laillisesti sitova, ja siinä on erityisesti mainittava, missä olosuhteissa ja millä edellytyksin tällaisten tietojen käsittelyä koskeva toimenpide voidaan toteuttaa, jotta taataan, että puuttuminen rajoittuu täysin välttämättömään (tuomio 6.10.2020, Privacy International, C‑623/17, EU:C:2020:790, 68 kohta oikeuskäytäntöviittauksineen).

84

Tästä seuraa, että pääasiassa kyseessä olevan kaltaista luovutuspyyntöä sääntelevän kansallisen säännöstön on perustuttava objektiivisiin kriteereihin niiden olosuhteiden, joissa verkkopalvelutarjoajan on siirrettävä käyttäjiään koskevia henkilötietoja, ja niiden edellytysten määrittelemiseksi, joiden mukaisesti sen on tehtävä niin (ks. vastaavasti tuomio 6.10.2020, Privacy International, C-623/17, EU:C:2020:790, 78 kohta oikeuskäytäntöviittauksineen).

85

Kaiken edellä esitetyn perusteella kolmanteen, neljänteen, viidenteen, kuudenteen, seitsemänteen, kahdeksanteen ja yhdeksänteen kysymykseen on vastattava, että asetuksen 2016/679 säännöksiä on tulkittava siten, etteivät ne ole esteenä sille, että jäsenvaltion verohallinto velvoittaa internetissä julkaistavia ilmoituksia koskevien palvelujen tarjoajan luovuttamaan sille tietoja verovelvollisista, jotka ovat julkaisseet ilmoituksia sen internetportaalin tietyssä osiossa, edellyttäen muun muassa, että nämä tiedot ovat välttämättömiä niiden erityisten tarkoitusten kannalta, joita varten tietoja kerätään, ja että ajanjakso, jolta kyseisiä tietoja kerätään, ei ole kestoltaan pidempi kuin on ehdottoman välttämätöntä tavoitellun yleistä etua koskevan tarkoituksen saavuttamiseksi.

86

Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (viides jaosto) on ratkaissut asian seuraavasti: