1.

Asetuksen (EU) 2016/679, ( 2 ) joka muodostaa henkilötietojen suojaa koskevan yleisen säännöstön, ja direktiivin (EU) 2016/680 ( 3 ) (henkilötietojen suojaa rikosoikeudellisissa menettelyissä koskeva lex specialis) yhtenä perusperiaatteena on, että henkilötietoja voidaan kerätä ja käsitellä ainoastaan tiettyihin laissa säädettyihin tarkoituksiin.

2.

Käsiteltävässä asiassa unionin tuomioistuimen on vastattava bulgarialaisen tuomioistuimen yleisen tietosuoja-asetuksen ja direktiivin 2016/680 tulkinnasta esittämiin kysymyksiin määrittääkseen, onko jäsenvaltion syyttäjäviranomaisen hallussa olevien henkilötietojen käsittely lainvastaista, kun

3.

Yleisen tietosuoja-asetuksen 2 artiklassa (”Aineellinen soveltamisala”) säädetään seuraavaa:

”1.   Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

2.   Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,

– –

– –”.

4.

Yleisen tietosuoja-asetuksen 4 artiklassa (”Määritelmät”) säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan

– –

– –

– –”.

5.

Yleisen tietosuoja-asetuksen 5 artiklassa (”Henkilötietojen käsittelyä koskevat periaatteet”) säädetään seuraavaa:

”1.   Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

– –”.

6.

Yleisen tietosuoja-asetuksen 6 artiklassa (”Käsittelyn lainmukaisuus”) säädetään seuraavaa:

”1.   Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

– –

– –

Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

– –

3.   Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko

Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Kyseinen käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan tämän asetuksen sääntöjen soveltamista – –. Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.

4.   Jos käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi tiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi, rekisterinpitäjän on otettava huomioon muun muassa seuraavat asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin:

7.

Direktiivin 2016/680 1 artiklassa (”Kohde ja tavoitteet”) säädetään seuraavaa:

”1.   Tässä direktiivissä vahvistetaan säännöt luonnollisten henkilöiden suojelulle toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.

2.   Tämän direktiivin mukaisesti jäsenvaltioiden on

– –”.

8.

Direktiivin 2016/680 2 artiklassa (”Soveltamisala”) säädetään seuraavaa:

”1.   Tätä direktiiviä sovelletaan toimivaltaisten viranomaisten 1 artiklan 1 kohdassa säädettyjä tarkoituksia varten suorittamaan henkilötietojen käsittelyyn.

– –

3.   Tätä direktiiviä ei sovelleta henkilötietojen käsittelyyn,

– –”.

9.

Direktiivin 2016/680 3 artiklan 1, 2 ja 8 kohdassa toistetaan yleisen tietosuoja-asetuksen 4 artiklan 1, 2 ja 7 kohdassa esitetyt määritelmät.

10.

Direktiivin 2016/680 4 artiklassa (”Henkilötietojen käsittelyä koskevat periaatteet”) säädetään seuraavaa:

”– –

2.   Saman tai toisen rekisterinpitäjän suorittama käsittely muuhun 1 artiklan 1 kohdassa säädettyyn tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, sallitaan sikäli kuin

– –”.

11.

Direktiivin 2016/680 6 artiklassa (”Eri ryhmiin kuuluvien rekisteröityjen erottaminen”) säädetään seuraavaa:

”Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä erottaa tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat eri ryhmiin kuuluvia rekisteröityjä, kuten

12.

Direktiivin 2016/680 8 artiklassa (”Käsittelyn lainmukaisuus”) säädetään seuraavaa:

”1.   Jäsenvaltioiden on säädettävä siitä, että käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin se on tarpeen toimivaltaisen viranomaisen tehtävän suorittamiseksi 1 artiklan 1 kohdan tarkoitusta varten ja se perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön.

2.   Jäsenvaltion lainsäädännössä, jossa säännellään tämän direktiivin soveltamisalaan kuuluvaa käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset.”

13.

Direktiivin 2016/680 9 artiklassa (”Käsittelyä koskevat erityiset edellytykset”) säädetään seuraavaa:

”1.   Toimivaltaisten viranomaisten 1 artiklan 1 kohdassa säädettyihin tarkoituksiin keräämiä henkilötietoja ei saa käsitellä muihin kuin 1 artiklan 1 kohdassa säädettyihin tarkoituksiin, ellei kyseistä käsittelyä sallita unionin oikeudessa tai jäsenvaltion lainsäädännössä. Jos henkilötietoja käsitellään mainittuihin muihin tarkoituksiin, sovelletaan [yleistä tietosuoja-asetusta], jollei käsittelyä suoriteta sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan.

2.   Jos toimivaltaisille viranomaisille on jäsenvaltion lainsäädännön nojalla annettu muita tehtäviä kuin 1 artiklan 1 kohdassa säädettyjä tarkoituksia varten toteutettavia tehtäviä, [yleistä tietosuoja-asetusta] sovelletaan tällaisia tarkoituksia varten tapahtuvaan tietojen käsittelyyn, mukaan lukien yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, paitsi jos tietojen käsittely suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan.

– –”.

14.

Perustuslain 127 §:ssä säädetään, että syyttäjäviranomaisella on yksinomainen toimivalta esitutkinnan johtamiseen, rikoksentekijöiden syytteeseenpanoon ja syytteen nostamiseen tuomioistuimissa, kun kyse on virallisen syytteen alaisesta rikoksesta.

15.

Tietosuojalain 1 §:ssä säädetään seuraavaa:

”(1)   Tässä laissa säädetään julkisoikeudellisista oikeussuhteista, jotka liittyvät luonnollisten henkilöiden oikeuksien suojeluun heidän henkilötietojensa käsittelyssä, siltä osin kuin niistä ei säädetä [yleisessä tietosuoja-asetuksessa].

(2)   Tässä laissa myös vahvistetaan säännöt, jotka koskevat luonnollisten henkilöiden suojelua tapauksissa, joissa toimivaltaiset viranomaiset käsittelevät henkilötietoja rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.

– –”.

16.

Tietosuojalain 17 §:ssä säädetään seuraavaa:

”(1)   Inspektorata kam Visshia sadeben savet [ylimmän tuomioistuinneuvoston yhteydessä toimiva valvontaviranomainen, Bulgaria] valvoo ja huolehtii siitä, että

1. tuomioistuimet hoitaessaan tuomiovallan käyttäjän tehtäviä ja

2. syyttäjä- ja esitutkintaviranomaiset hoitaessaan oikeusviranomaisen tehtäviä rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten taikka rikosoikeudellisten seuraamusten täytäntöönpanoa varten

noudattavat henkilötietojen käsittelyssä [yleistä tietosuoja-asetusta], tätä lakia ja henkilötietojen suojasta annettuja säädöksiä.

– –”.

17.

Tietosuojalain 42 §:ssä säädetään seuraavaa:

”(1)   Tämän luvun sääntöjä sovelletaan, kun toimivaltaiset viranomaiset käsittelevät henkilötietoja rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.

(2)   Edellä 1 momentissa mainittuihin tarkoituksiin kerättyjä henkilötietoja ei saa käsitellä muihin tarkoituksiin, ellei unionin oikeudessa tai Bulgarian tasavallan lainsäädännössä muuta säädetä.

(3)   Siinä tapauksessa, että 1 momentin nojalla toimivaltaiset viranomaiset käsittelevät henkilötietoja muihin kuin 1 momentissa mainittuihin tarkoituksiin, ja edellä 2 momentissa tarkoitetuissa tapauksissa sovelletaan [yleistä tietosuoja-asetusta] ja tämän lain merkityksellisiä säännöksiä, joissa säädetään kyseisen asetuksen täytäntöönpanotoimista.

(4)   Edellä 1 momentissa mainitulla ’toimivaltaisella viranomaisella’ tarkoitetaan kaikkia viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy.

(5)   Jollei muuta ole säädetty, tässä luvussa tarkoitettuna rekisterinpitäjänä, joka käsittelee henkilötietoja edellä 1 momentissa mainittuihin tarkoituksiin, pidetään edellä 4 momentissa tarkoitettua toimivaltaista viranomaista tai hallintoyksikköä, johon kyseinen viranomainen kuuluu ja joka yksin tai yhdessä muiden viranomaisten kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.”

18.

Tietosuojalain 45 §:ssä säädetään seuraavaa:

”– –

(2)   Sen rekisterinpitäjän, joka henkilötiedot on alun perin kerännyt, tai toisen rekisterinpitäjän muuhun 42 §:n 1 momentissa säädettyyn tarkoitukseen kuin siihen, johon henkilötiedot alun perin kerättiin, suorittama henkilötietojen käsittely sallitaan, jos

1. rekisterinpitäjällä on unionin oikeuden tai Bulgarian tasavallan lainsäädännön mukaan valtuudet käsitellä henkilötietoja tähän muuhun tarkoitukseen ja

2. henkilötietojen käsittely tähän muuhun tarkoitukseen on unionin oikeuden tai Bulgarian tasavallan lainsäädännön mukaan tarpeellista ja oikeasuhteista.

– –”.

19.

Tietosuojalain 47 §:ssä toistetaan direktiivin 2016/680 6 artikla.

20.

Tietosuojalain 49 §:ssä säädetään seuraavaa:

”Henkilötietojen käsittely on lainmukaista, jos se on tarpeen toimivaltaisen viranomaisen toimivaltuuksien käyttämiseksi 42 §:n 1 momentissa säädettyjä tarkoituksia varten ja jos siitä säädetään unionin oikeudessa tai laissa, jossa vahvistetaan käsittelyn tarkoitukset ja käsittelyn kohteena olevat henkilötietoryhmät.”

21.

Rayonna prokuratura – Petrichin (alueellinen syyttäjäviranomainen, Petrich, Bulgaria) alaisuudessa toimitettiin esitutkinta (nro 252/2013, Petrichin poliisi), ( 6 ) jossa selvitettiin 18.4.2013 tapahtuneita rikoksena pidettäviä tekoja. ( 7 )

22.

Tämän esitutkinnan aikana VS:stä kerättiin henkilötietoja alun perin rikoksen uhrina.

23.

Kyseisistä teoista nostettiin myöhemmin syytteet neljää henkilöä (myös VS:ää) vastaan 4.4. ja 5.4.2018 annetuilla syyttäjän päätöksillä.

24.

Rayonen sad Petrich (piirituomioistuin, Petrich, Bulgaria) määräsi 10.11.2020 rikosoikeudellisen menettelyn keskeytettäväksi, koska rikosoikeudellinen vastuu oli vanhentunut.

25.

VS:stä tehtyjen ilmiantojen perusteella Petrichin syyttäjäviranomainen avasi vuosina 2016 ja 2017 useita esitutkintoja, ( 8 ) jotka eivät kuitenkaan johtaneet rikosoikeudellisiin menettelyihin, koska niissä ei tullut ilmi mitään rikokseen viittaavaa.

26.

VS nosti vuonna 2018 Okrazhen sad – Blagoevgradissa (maakunnallinen tuomioistuin, Blagoevgrad, Bulgaria) Bulgarian tasavallan syyttäjäviranomaista vastaan kanteen, ( 9 ) jossa hän vaati korvausta vahingosta, joka hänelle oli aiheutunut rikosoikeudellisen menettelyn nro 252/2013 kohtuuttoman keston vuoksi.

27.

Syyttäjäviranomainen pyysi, että tuomioistuin liittäisi oikeudenkäyntiaineistoon Petrichin syyttäjän asiakirjavihkot nro 517/2016 ja nro 1872/2016, jotta se voisi käyttää niitä puolustautumiseensa tätä kannetta vastaan.

28.

Okrazhen sad – Blagoevgrad määräsi 15.10.2018 tekemällään päätöksellä Petrichin syyttäjän toimittamaan jäljennökset asiakirjavihkoihin nro 517/2016 ja nro 1872/2016 sisältyvistä asiakirjoista.

29.

VS teki 12.3.2020 Inspektorata kam Visshia sadeben savetille (ylimmän tuomioistuinneuvoston yhteydessä toimiva valvontaviranomainen, jäljempänä IVSS) valituksen, jossa hän väitti, että syyttäjäviranomainen oli käsitellyt hänen henkilötietojaan lainvastaisesti kahteen kertaan, koska se oli perusteettomasti käyttänyt

30.

IVSS hylkäsi 22.6.2020 VS:n molemmat vaatimukset.

31.

VS nosti tästä IVSS:n päätöksestä kanteen Administrativen sad Blagoevgradissa (hallintotuomioistuin, Blagoevgrad, Bulgaria), joka on esittänyt unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

32.

Käsiteltävä ennakkoratkaisupyyntö kirjattiin saapuneeksi unionin tuomioistuimeen 23.3.2021.

33.

Kirjallisessa käsittelyssä olivat edustettuina ja kirjallisia huomautuksia esittivät VS, IVSS, Bulgarian, Tšekin ja Alankomaiden hallitukset sekä Euroopan komissio.

34.

Unionin tuomioistuin ei katsonut istunnon pitämistä tarpeelliseksi, koska yksikään osapuolista ei sitä vaatinut.

35.

Yleinen tietosuoja-asetus ja direktiivi 2016/680 muodostavat johdonmukaisen järjestelmän, jossa

36.

Näistä kahdesta säädöksestä muodostuvan järjestelmän antama suoja perustuu lainmukaisuuden, kohtuullisuuden ja läpinäkyvyyden periaatteisiin ja tässä merkityksellisiltä osin periaatteeseen, jonka mukaan henkilötietojen keruun on oltava tiukasti rajoitettua ja niitä voidaan käsitellä vain laissa säädettyihin tarkoituksiin. ( 10 )

37.

Tarkemmin sanottuna yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa säädetään, että tiedot on ”kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla”. ( 11 ) Direktiivin 2016/680 4 artiklan 1 kohdan b alakohdassa, joka on lex specialis, käytetään [lähes] samaa sanamuotoa.

38.

Henkilötietoja ei siis voida kerätä eikä käsitellä yleisesti, vaan niitä voidaan kerätä ja käsitellä ainoastaan tiettyihin tarkoituksiin ( 12 ) ja edellyttäen, että unionin lainsäätäjän asettamat lainmukaisuuden vaatimukset täyttyvät.

39.

Periaate, jonka mukaan yhtäältä tietojen keruun ja käsittelyn ja toisaalta kummallekin toimenpiteelle määritettyjen tarkoitusten välillä on oltava läheinen yhteys, ei ole suinkaan ehdoton, sillä sekä yleisessä tietosuoja-asetuksessa että direktiivin 2016/680 joustetaan tästä jonkin verran, kuten jäljempänä selitän.

40.

Käsiteltävässä asiassa hallintotuomioistuimen on ratkaistava, toimiko valvontaviranomainen (IVSS) ( 13 ) lainmukaisesti, kun se hylkäsi valituksen, jossa VS syytti Bulgarian syyttäjäviranomaista hänen henkilötietojensa lainvastaisesta käsittelystä.

41.

Kuten edellä jo mainittiin, nämä tiedot oli kerätty kahdessa eri tilanteessa:

42.

Ennakkoratkaisua pyytäneen tuomioistuimen esittämät kysymykset koskevat vastaavasti sitä,

43.

Olen ennakkoratkaisua pyytäneen tuomioistuimen ja kaikkien tähän ennakkoratkaisumenettelyyn osallistuneiden osapuolten kanssa samaa mieltä siitä, että ensimmäisessä ennakkoratkaisukysymyksessä tarkoitettuun henkilötietojen käsittelyyn sovelletaan direktiiviä 2016/680.

44.

Direktiivin 2016/680 1 artiklan 1 kohdan ja 2 artiklan 1 kohdan mukaan kyseistä direktiiviä sovelletaan toimivaltaisten viranomaisten rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten suorittamaan henkilötietojen käsittelyyn. Käsiteltävässä asiassa VS:stä kerättiin tietoja ja niitä käsiteltiin nimenomaan rikostutkinnan yhteydessä.

45.

Henkilötietojen siirtoon syyttäjää vastaan vireille pantua siviilioikeudenkäyntiä varten (toinen ennakkoratkaisukysymys) sovelletaan yleistä tietosuoja-asetusta, jos tämä siirto merkitsee tietojen käsittelyä muihin kuin direktiivin 2016/680 1 artiklan 1 kohdassa mainittuihin tarkoituksiin, jotka kuitenkin liittyvät unionin oikeuden soveltamisalaan kuuluvaan toimintaan.

46.

Direktiivin 2016/680 4 artiklan 2 kohdan mukaan saman tai toisen rekisterinpitäjän suorittama käsittely muuhun 1 artiklan 1 kohdassa säädettyyn tarkoitukseen ( 15 ) kuin siihen, johon henkilötiedot kerättiin, sallitaan sikäli kuin

47.

Direktiivin 2016/680 mukaan sen nojalla kerättyjen henkilötietojen myöhempi käyttäminen ad intra on siten sallittua. Tietoja, jotka on kerätty johonkin sen 1 artiklan 1 kohdassa luetelluista tarkoituksista, voidaan tietyin edellytyksin käyttää myös muuhun tai muihin kyseisessä luettelossa mainittuihin tarkoituksiin.

48.

Ensimmäisessä ennakkoratkaisukysymyksessä esiin tuotu ongelma koskee sitä, voidaanko henkilötietoja, jotka VS:stä kerättiin tutkittavan rikoksen oletettuna uhrina, käyttää myöhemmin häntä vastaan, kun hän on tutkittavana tai syytettynä samassa rikosoikeudellisessa menettelyssä.

49.

Toisin sanoen on ratkaistava, käsiteltiinkö VS:n henkilötietoja samaan tarkoitukseen kuin siihen, jolla niiden keruuta alun perin perusteltiin, vai käsiteltiinkö niitä kahteen eri tarkoitukseen, jotka kumpikin kuitenkin kuuluvat direktiivin 2016/680 soveltamisalaan. Jälkimmäisessä tapauksessa käsittelyyn pitäisi soveltaa direktiivin 4 artiklan 2 kohdassa asetettuja erityisiä edellytyksiä.

50.

Ennakkoratkaisua pyytänyt tuomioistuin on muotoillut ensimmäisen ennakkoratkaisukysymyksensä jokseenkin moniselitteisesti riidan kohteeseen nähden. Se haluaa sananmukaisesti selvittää, onko direktiivin 2016/680 1 artiklan 1 kohtaa tulkittava ”siten, että siinä esitetyt tavoitteet ’rikosten ennalta estäminen, tutkiminen, paljastaminen ja rikoksiin liittyvät syytetoimet’ on ymmärrettävä yhden ja saman yleisen tavoitteen osa-alueiksi”.

51.

Ennakkoratkaisua pyytäneen tuomioistuimen esittämät seikat huomioon ottaen ensimmäinen ennakkoratkaisukysymys on ehkä syytä muotoilla uudelleen, kuten asianosaiset ja muut ennakkoratkaisumenettelyyn osallistuneet osapuolet ovat ehdottaneet. Kysymys ei liity niinkään yleisen ja erityisen tarkoituksen väliseen abstraktiin suhteeseen, vaan merkityksellistä on todellisuudessa se (ja VS:n kanne koski todellisuudessa sitä), pysyykö tarkoitus, johon kyseisestä henkilöstä kerättiin tietoja rikoksen oletettuna uhrina direktiivin 2016/680 soveltamisalaan kuuluvassa rikosoikeudellisessa menettelyssä, samana, kun kyseiset tiedot myöhemmin johtavat hänen asettamiseensa syytteeseen samassa menettelyssä.

52.

Direktiivin 2016/680 1 artiklan 1 kohdan sanamuodon mukainen tulkinta viittaa siihen, että kyseisestä direktiivistä voidaan erottaa kolme eri tarkoitusta, joista kukin vastaa eri ajankohtia ja toimintoja:

53.

Direktiivin 2016/680 4 artiklan 2 kohdan systematiikan tai asiayhteyden mukainen tarkastelu puoltaa sitä käsitystä, että nämä eri tarkoitukset ovat erotettavissa toisistaan. Kuten Alankomaiden hallitus toteaa, jos näin ei olisi, kyseinen säännös menettäisi merkityksensä, sillä siinä säädetään nimenomaan käsittelystä ”muuhun 1 artiklan 1 kohdassa säädettyyn tarkoitukseen kuin siihen, johon henkilötiedot kerättiin – –”.

54.

Tästä lähtökohdasta käsin koetan selittää, miksi käsiteltävässä asiassa on katsottava, että riidanalaiset tiedot kerättiin ja niitä käsiteltiin yhteen direktiivin 2016/680 1 artiklan 1 kohdassa mainituista tarkoituksista (”tutkintaa” varten), mikä tarkoittaa, että kyseistä säännöstä sovelletaan ja että käsittely oli siten lainmukaista.

55.

Toissijaisesti on todettava, ettei käsittelyn lainmukaisuutta voitaisi kyseenalaistaa, vaikka tietoja olisikin kerätty ja käsitelty direktiivin 2016/680 4 artiklan 2 kohdassa tarkoitetulla tavalla kahteen eri tarkoitukseen.

56.

Esitutkinnassa ei aina voida alusta lähtien määrittää asiassa osallisina olevien henkilöiden prosessuaalista asemaa. Monissa tapauksissa kyseisen esitutkinnan tarkoituksena on tunnistaa ja siten ”luokitella” nämä henkilöt prima facie rikoksen tekijöiksi, uhreiksi tai todistajiksi.

57.

On ymmärrettävää, että tämän valmisteluvaiheen aikana osallisina olevien henkilöiden luokittelu on jossain määrin häilyvää. Esitutkinnan päätteeksi on kuitenkin voitava tutkinnassa saatavien tulosten perusteella määrittää täsmällisesti, missä asemassa kyseiset henkilöt esiintyvät oikeudenkäynnissä, jossa teot käsitellään.

58.

Näin on erityisesti käsiteltävässä asiassa kyseessä olevan kaltaisissa tapauksissa. Ennakkoratkaisua pyytäneen tuomioistuimen mukaan pahoinpitelyjä oli tapahtunut useiden eri henkilöiden välillä. Yksi näistä henkilöistä, jota alun perin pidettiin pahoinpitelyn uhrina, sai lopulta syytteen pahoinpitelijänä.

59.

Tällaisessa tilanteessa esitutkintatoiminta kokonaisuutena tarkastellen vastaa direktiivin 2016/680 1 artiklan 1 kohdassa tarkoitettua tutkinnan käsitettä. Kyseisellä toiminnalla oli yksi ainoa tarkoitus, joka vastaa yhtä niistä tarkoituksista, joihin henkilötietoja voidaan käsitellä.

60.

Ennakkoratkaisua pyytänyt tuomioistuin kuitenkin epäilee, sopiiko tämä direktiivin 2016/680 1 artiklan 1 kohdan tulkinta yhteen saman direktiivin johdanto-osan 31 perustelukappaleen kanssa. ( 16 )

61.

Yhdyn osapuolten enemmistön näkemykseen, jonka mukaan kyseinen johdanto-osan perustelukappale ja direktiivin 2016/680 6 artikla, jolla se konkretisoidaan, eivät kumpikaan ole merkityksellisiä määritettäessä sitä, onko tapahtunut direktiivin 4 artiklan 2 kohdassa tarkoitettu tarkoituksen muuttuminen.

62.

Direktiivin 2016/680 6 artiklan mukaan henkilötiedot, jotka koskevat eri ryhmiin kuuluvia rekisteröityjä, on erotettava selvästi toisistaan ainoastaan ”tarvittaessa ja mahdollisuuksien mukaan”. Edellä esitetyistä syistä käsiteltävässä asiassa tapahtuneiden kaltaisista teoista aloitetuissa esitutkinnoissa ”eri ryhmiin kuuluvia rekisteröityjä” ei ole alussa helppo erottaa selvästi toisistaan. Lisäksi yksi ja sama kyseisiin tekoihin osallisena ollut henkilö voi olla samanaikaisesti sekä pahoinpitelyjen uhri että niiden tekijä.

63.

Vaikka esitutkinnoissa kerättyjen tietojen käsittelystä vastaava rekisterinpitäjä onnistuisikin alusta lähtien ja koko tutkinnan ajan erottamaan selvästi toisistaan uhrit, epäillyt ja todistajat, näiden tietojen keruun ja käsittelyn taustalla oleva tarkoitus (tutkinta) ei silti muuttuisi.

64.

Toisin sanoen se, että rikostutkinnassa mukana oleville henkilöille määritetään monta eri prosessuaalista asemaa (uhri, todistaja, osallinen), ei välttämättä tarkoita sitä, että kyseessä on direktiivin 2016/680 4 artiklan 2 kohdassa tarkoitettu tarkoituksen muuttuminen.

65.

Toissijaisesti voidaan todeta, että riidanalaisten henkilötietojen käsittely olisi täyttänyt direktiivissä 2016/680 asetetut lainmukaisuuden edellytykset, vaikka kyseessä olisikin ollut mainitun direktiivin 4 artiklan 2 kohdassa tarkoitettu tilanne. Bulgarian ja Tšekin hallitukset korostavat tätä, ja itsekin yhdyn tähän näkemykseen.

66.

Vaikka tämän seikan tarkistaminen on ennakkoratkaisua pyytäneen tuomioistuimen asia, vaikuttaa selvältä, että Bulgarian syyttäjäviranomaista on kansallisen lainsäädännön mukaan pidettävä rekisterinpitäjänä, joka on vastuussa VS:n henkilötietojen käsittelystä ”muuhun 1 artiklan 1 kohdassa säädettyyn tarkoitukseen kuin siihen, johon henkilötiedot kerättiin”. Näin ollen direktiivin 2016/680 4 artiklan 2 kohdan a alakohdan ensimmäinen vaatimus täyttyy.

67.

Kyseisen artiklan 2 kohdan b alakohdassa asetetusta toisesta edellytyksestä (jonka mukaan käsittelyn on oltava ”tarpeellista ja oikeasuhteista”) on todettava, että

68.

Nyt käsiteltävään asiaan sovellettuina direktiivin 2016/680 4 artiklan 2 kohdan vaatimuksilla on vain vähäinen merkitys, ja voidaan vahvistaa, että riidanalaiset henkilötiedot on kerätty yhteen ainoaan tarkoitukseen: ensimmäisen käsittelyn ja asianomaisen henkilön syytteeseenpanoon johtaneen myöhemmän käsittelyn välillä on looginen jatkumo.

69.

Henkilötietojen myöhemmän rekisterinpitäjän (joka on sama kuin ensimmäinen) toimivaltaisuutta ei siten ole tarpeen vahvistaa, eikä (samassa menettelyssä tapahtuneen) myöhemmän käsittelyn tarpeellisuutta ole vaikea osoittaa, kun kummassakin käsittelyssä on noudatettu oikeasuhteisuuden periaatetta, sellaisena kuin se ilmenee direktiivin 2016/680 4 artiklan 1 kohdassa luetelluista periaatteista.

70.

Direktiivin 2016/680 9 artiklan 1 kohdassa säädetään mahdollisuudesta käsitellä sen nojalla kerättyjä henkilötietoja myöhemmin ad extra.

71.

Direktiivin 2016/680 9 artiklan 1 kohdassa lähdetään siitä, että henkilötietoja ”ei saa käsitellä muihin kuin 1 artiklan 1 kohdassa säädettyihin tarkoituksiin”, mutta säädetään, että poikkeuksena on tilanne, jossa näiden tietojen käsittely muihin kuin 1 artiklan 1 kohdassa säädettyihin tarkoituksiin sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tässä tilanteessa sovelletaan yleistä tietosuoja-asetusta (edellyttäen, että kyseinen toiminta kuuluu unionin oikeuden soveltamisalaan).

72.

Toisella ennakkoratkaisukysymyksellään ennakkoratkaisua pyytänyt tuomioistuin haluaa selvittää,

73.

IVSS väittää, että toinen ennakkoratkaisukysymys on jätettävä tutkimatta, koska VS:n syyte hylättiin aikanaan vanhentuneena.

74.

En ole tästä väitteestä samaa mieltä.

75.

Unionin tuomioistuin voi jättää tutkimatta kansallisen tuomioistuimen esittämän ennakkoratkaisukysymyksen ainoastaan, jos on ilmeistä, että pyydetyllä unionin oikeuden tulkitsemisella ei ole mitään yhteyttä kansallisessa tuomioistuimessa käsiteltävän asian tosiseikkoihin tai kohteeseen, jos kyseinen ongelma on luonteeltaan hypoteettinen taikka jos unionin tuomioistuimella ei ole tiedossaan niitä tosiseikkoja ja oikeudellisia seikkoja, jotka ovat tarpeen, jotta se voisi antaa hyödyllisen vastauksen sille esitettyihin kysymyksiin. ( 17 )

76.

IVSS:n väite koskee seikkaa, joka kuuluu ennakkoratkaisua pyytäneen tuomioistuimen yksinomaiseen toimivaltaan. Vain ennakkoratkaisua pyytäneen tuomioistuimen tehtävänä on määritellä ne tosiseikat ja oikeudelliset seikat, joihin sen unionin tuomioistuimelle esittämä ennakkoratkaisukysymys liittyy. ( 18 )

77.

Sen arvioiminen, onko IVSS:n tarkoittama vanhentuminen tapahtunut ja onko sillä merkitystä käsiteltävän asian ratkaisun kannalta, ovat perusteita, joiden arvioiminen kuuluu yksin ennakkoratkaisua pyytäneelle tuomioistuimelle. Käsiteltävässä asiassa kyseinen tuomioistuin on korostanut, että ennakkoratkaisukysymys on merkityksellinen pääasian ratkaisun kannalta huolimatta vanhentumisesta, johon IVSS vetoaa. ( 19 )

78.

Unionin tuomioistuin ei voi tutkia tätä arviointia, jonka on lähtökohtaisesti perustuttava siihen, millä tavoin kansalliset tuomioistuimet tulkitsevat ja soveltavat kansallista prosessioikeuttaan ja aineellista oikeuttaan silloin, kun ne määrittävät lainsäädäntökehyksen, johon ennakkoratkaisupyyntö liittyy.

79.

Kun tarkastellaan syitä, joilla ennakkoratkaisua pyytänyt tuomioistuin perustelee toisen ennakkoratkaisukysymyksen esittämistä, voidaan todeta, että se haluaa todellisuudessa selvittää, onko riidanalaisten tietojen siirtäminen yleisen tietosuoja-asetuksen 4 artiklan 1 ja 2 kohdassa tarkoitettua tietojen käsittelyä ( 20 ) ja oliko tämä käsittely sen 6 artiklassa edellytetyllä tavalla lainmukaista.

80.

Yleisen tietosuoja-asetuksen 4 artiklan 1 ja 2 kohdassa henkilötietojen ja käsittelyn käsitteet on määritelty samassa sanamuodossa kuin direktiivin 2016/680 3 artiklan 1 ja 2 kohdassa.

81.

Kyseisten määritelmien mukaisesti päättelen, että syyttäjä on pyrkinyt käyttämään siviilituomioistuimessa puolustuksekseen ”tunnistettuun – – luonnolliseen henkilöön – – liittyviä tietoja”, joihin sisältyivät VS:n ”henkilötiedot”.

82.

Näiden henkilötietojen siirrossa siviilioikeudenkäyntiä varten on toteutettu useita niistä ”toiminnoista”, jotka merkitsevät ”tietojen käsittelyä” ilman asianomaisen henkilön suostumusta. Syyttäjän on nimittäin täytynyt ainakin tutustua niihin sen arvioimiseksi, voisiko tiedoista mahdollisesti olla hyötyä sen puolustautumisessa siviilioikeudenkäynnissä. Voidaan myös olettaa, että tässä samassa tarkoituksessa on järjestetty, jäsennetty, muokattu tai muutettu tietoja ja sitten – vaikkakin vähäisessä määrin – luovutettu ja levitetty niitä sen jälkeen, kun niiden huomioon ottamisesta siviilioikeudenkäynnissä alettiin kiinnostua. ( 21 )

83.

Kun syyttäjä tallensi esitutkinnoissa käyttämänsä tiedot, arkistoi ne, säilytti niitä, tutustui niihin ja pyysi, että siviilituomioistuin hyväksyisi ne todisteiksi, se viime kädessä käsitteli VS:n henkilötietoja.

84.

IVSS ja komissio väittävät, että syyttäjä voi toimivaltaisena viranomaisena olla ”rekisterinpitäjä” ainoastaan direktiivin 2016/680 soveltamisalaan kuuluvien, luonteeltaan rikosoikeudellisten tarkoitusten osalta.

85.

Käsittääkseni tämä ei kuitenkaan merkitse sitä, että toinen ennakkoratkaisukysymys on menettänyt kohteensa, kuten IVSS väittää. Pikemminkin tämä tarkoittaa sitä, että direktiivin 2016/680 9 artiklan 1 kohdassa edellytetty käsittelyn lainmukaisuus on tarkastettava yleisen tietosuoja-asetuksen valossa.

86.

Tuomioistuinta, joka on toimivaltainen ratkaisemaan siviiliasian, on pidettävä kyseisessä oikeudenkäynnissä rekisterinpitäjänä, jos tiedot otetaan mukaan oikeudenkäyntiin. Yleisen tietosuoja-asetuksen 55 artiklan mukaan valvontaviranomaisilla ei ole toimivaltaa valvoa päätöksiä, joita kyseinen tuomioistuin tekee lainkäyttötehtäviensä yhteydessä. ( 22 )

87.

Ennakkoratkaisua pyytänyt tuomioistuin on kuitenkin rajannut kysymyksensä koskemaan ainoastaan yleisen tietosuoja-asetuksen sovellettavuutta tilanteessa, jossa syyttäjä pyrkii käyttämään tietoja, jotka se on kerännyt direktiivissä 2016/680 tarkoitettuna rekisterinpitäjänä, puolustautumiseensa siviilioikeudenkäynnissä.

88.

Edellä esitetyn perusteella katson, että yleistä tietosuoja-asetusta sovelletaan, sillä direktiivin 2016/680 1 artiklan 1 kohdassa lueteltujen käsittelytarkoitusten joukossa ei mainita syyttäjän puolustautumista siviilioikeudenkäynnissä.

89.

Henkilötietojen käsittelyn lainmukaisuudelle asetetut edellytykset määritetään yleisen tietosuoja-asetuksen 6 artiklan 1 kohdassa seuraavasti: ”käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy”, minkä jälkeen luetellaan nämä edellytykset. Luettelo on tyhjentävä. ( 23 )

90.

Siinä mainituista edellytyksistä rekisteröidyn suostumukseen (a alakohta), sopimuksen täytäntöön panemiseen (b alakohta), lakisääteisen velvoitteen noudattamiseen (c alakohta) ( 24 ) ja rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseen (d alakohta) perustuvat edellytykset eivät nähdäkseni täyty.

91.

Ennakkoratkaisua pyytäneen tuomioistuimen mukaan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdassa mainittu edellytys täyttyy. Kuten komissio väittää, kyseisen alakohdan viimeinen alakohta kuitenkin estää soveltamasta sitä käsiteltävään asiaan, sillä sen mukaan kyseistä edellytystä ”ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä”. ( 25 )

92.

Vastauksessaan unionin tuomioistuimen esittämään kysymykseen Bulgarian hallitus, jota Tšekin ja Alankomaiden hallitukset tässä kohden tukevat, tähdentää, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdassa mainittua edellytystä sovelletaan. Se vetoaa tarpeeseen ottaa huomioon ”syyttäjäntoiminnan luonne”, sillä vaikka syyttäjä on julkinen laitos, se voi osallistua ”asianosaisena” siviilioikeudenkäynteihin. ( 26 )

93.

Ne ”oikeutetut edut”, joita syyttäjä puolustaa julkisen vallan käyttäjänä oikeudenkäynnissä, jossa sitä vaaditaan vastuuseen noudattamastaan menettelystä, eivät kuitenkaan vastaa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdassa tarkoitettua tapausta, koska saman alakohdan viimeisessä alakohdassa nimenomaisesti näin säädetään.

94.

Kun kyse on viranomaisista, jotka hoitavat niille lain mukaan kuuluvia tehtäviä (tässä tapauksessa huolehtivat syytetoimista ja edustavat valtiota sitä vastaan nostetuissa vahingonkorvauskanteissa), yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan soveltamisen kannalta merkityksellinen etu on kyseisen säännöksen e alakohdan mukaan se yleinen etu, jota kyseiset viranomaiset palvelevat.

95.

Kyseisen säännöksen f alakohdassa mainittu edellytys liittyy rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseen, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja ‑vapaudet syrjäyttävät tällaiset edut.

96.

Kyseinen alakohta ei siten koske niinkään julkisen vallan puolustautumismahdollisuuksia – joita sille saattaa tarjoutua saman säännöksen e alakohdan kautta – tilanteessa, jossa rekisteröidyn edut tai oikeudet ja vapaudet mahdollisesti syrjäyttävät rekisterinpitäjän tai kolmannen osapuolen edut, oikeudet ja vapaudet. Sitä pikemminkin sovelletaan riitoihin sellaisten (yksityisten) asianosaisten välillä, joiden edut eivät ole julkisia.

97.

Koska syyttäjä toimii lähtökohtaisesti valtion laitoksena, on selvitettävä, kuuluuko riidanalainen käsittely yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan soveltamisalaan.

98.

Näin olisi, jos käsittely olisi ”tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi”.

99.

Tarkastelen jäljempänä ensimmäistä näistä kahdesta käsittelytarkoituksesta sen määrittämiseksi, vastaako syyttäjän osallistuminen siviilioikeudenkäyntiin, jossa siltä vaaditaan vahingonkorvausta sen menettelystä, yleistä etua koskevan tehtävän suorittamista, eikä jälkimmäistä käsittelytarkoitusta tarvitse käsitellä. ( 27 )

100.

Kansallisen oikeuden mukaan ( 28 ) syyttäjän asiana on edustaa valtiota oikeudenkäynneissä, jotka koskevat sopimussuhteen ulkopuolista vastuuta vahingoista, jotka syyttäjä on aiheuttanut viivästymisellään. Syyttäjä vastaavasti osallistuu kyseisiin oikeudenkäynteihin puolustaakseen valtion yleisiä (taloudellisia) etuja ja suorittaakseen siten yleistä etua koskevaa tehtävää. ( 29 )

101.

Direktiivin 2016/680 9 artiklan 1 kohdan mukaan asiakirjavihkoihin sisältyvien tietojen käsitteleminen uudelleen ad extra edellyttää sitä, että niiden käsittely sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tässä merkityksellisiltä osin ennakkoratkaisua pyytäneen tuomioistuimen asiana on tarkastaa, onko tämä sallittua silloin, kun syyttäjä suorittaa yleistä etua koskevaa tehtävää puolustaakseen valtion taloudellisia etuja.

102.

Yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan saman artiklan 1 kohdan e alakohdassa tarkoitettu käsittelyn oikeusperuste ”voi sisältää erityisiä säännöksiä, joilla mukautetaan [yleisen tietosuoja-asetuksen] sääntöjen soveltamista”. ( 30 ) Jos tämä oikeusperuste vahvistetaan jäsenvaltion oikeudessa, jota sovelletaan rekisterinpitäjään, sen määrittäminen on kansallisen tuomioistuimen tehtävä. ( 31 )

103.

Vaikka ennakkoratkaisua pyytänyt tuomioistuin ei ole yksilöinyt merkityksellistä oikeusperustetta, riidanalaisen käsittelyn yhteensopivuus sen tarkoituksen kanssa, johon riidanalaiset tiedot kerättiin, on viime kädessä määritettävä yleisen tietosuoja-asetuksen 6 artiklan 4 kohdan mukaisesti. Sitä määritettäessä on otettava huomioon muun muassa alkuperäisten tarkoitusten ja myöhemmin tavoitellun tarkoituksen väliset yhteydet, henkilötietojen keruun asiayhteys, henkilötietojen luonne, myöhemmän käsittelyn mahdolliset seuraukset rekisteröidylle sekä asianmukaisten suojatoimien olemassaolo.

104.

Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin vastaa Administrativen sad – Blagoevgradin esittämiin ennakkoratkaisukysymyksiin seuraavasti: