–

za latvijsku vladu, u početku V. Soņeca i K. Pommere, a zatim K. Pommere, u svojstvu agenata,

–

za nizozemsku vladu, M. K. Bulterman i M. Noort, u svojstvu agenata,

–

za austrijsku vladu, J. Schmoll i G. Kunnert, u svojstvu agenata,

–

za portugalsku vladu, L. Inez Fernandes, P. Barros da Costa, A. C. Guerra i I. Oliveira, u svojstvu agenata,

–

za švedsku vladu, C. Meyer‑Seitz, H. Shev, H. Eklinder, R. Shahsavan Eriksson, A. Runeskjöld, M. Salborn Hodgson, O. Simonsson i J. Lundberg, u svojstvu agenata,

–

za Europsku komisiju, D. Nardi, H. Kranenborg i I. Rubene, u svojstvu agenata,

1

Zahtjev za prethodnu odluku odnosi se na tumačenje članaka 5., 6. i 10. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL 2016., L 119, str. 1. i ispravci SL 2018., L 127, str. 2. i SL 2021., L 74, str. 35.; u daljnjem tekstu: GDPR), članka 1. stavka 2. točke (cc) Direktive 2003/98/EZ Europskog parlamenta i Vijeća od 17. studenoga 2003. o ponovnoj uporabi informacija javnog sektora (SL 2003., L 345, str. 90.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 47., str. 141.), kako je izmijenjena Direktivom 2013/37/EU Europskog parlamenta i Vijeća od 26. lipnja 2013. (SL 2013., L 175, str. 1.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 16., svezak 4., str. 27.; u daljnjem tekstu: Direktiva 2003/98), te načela nadređenosti prava Unije i pravne sigurnosti.

2

Zahtjev je upućen u okviru postupka koji je osoba B pokrenula u vezi sa zakonitošću nacionalnog propisa kojim se predviđa javni pristup osobnim podacima o kaznenim bodovima izrečenima za prometne prekršaje.

3

Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL 1995., L 281, str. 31.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 7., str. 88.) stavljena je izvan snage GDPR‑om s učinkom od 25. svibnja 2018. Članak 3. te direktive, naslovljen „Područje primjene”, bio je formuliran kako slijedi:

„1.   Ova Direktiva se primjenjuje na osobne podatke koji se u cijelosti ili djelomično obrađuju automatskim putem i na obradu podataka koja nije automatska, a koja čini dio sustava arhiviranja ili će činiti dio sustava arhiviranja.

2.   Ova se Direktiva ne primjenjuje na obradu osobnih podataka:

[…]”

4

U uvodnim izjavama 1., 4., 10., 16., 19., 39., 50. i 154. GDPR‑a navodi se:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

5

Članak 1. te uredbe, naslovljen „Predmet i ciljevi”, određuje:

„1.   Ovom se Uredbom utvrđuju pravila povezana sa zaštitom pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka.

2.   Ovom se Uredbom štite temeljna prava i slobode pojedinaca, a posebno njihovo pravo na zaštitu osobnih podataka.

3.   Slobodno kretanje osobnih podataka unutar Unije ne ograničava se ni zabranjuje iz razloga povezanih sa zaštitom pojedinaca u pogledu obrade osobnih podataka.”

6

Članak 2. navedene uredbe, naslovljen „Glavno područje primjene”, u stavcima 1. i 2. predviđa:

„1.   Ova se Uredba primjenjuje na obradu osobnih podataka koja se u cijelosti [ili dijelom] obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.

2.   Ova se Uredba ne odnosi na obradu osobnih podataka:

7

U skladu s člankom 4. iste uredbe, naslovljenim „Definicije”:

„Za potrebe ove Uredbe:

[…]

[…]”

8

U članku 5. GDPR‑a, naslovljenom „Načela obrade osobnih podataka”, navodi se:

„1.   Osobni podaci moraju biti:

2.   Voditelj obrade odgovoran je za usklađenost sa stavkom 1. te je mora biti u mogućnosti dokazati (,pouzdanost').”

9

Članak 6. te uredbe, naslovljen „Zakonitost obrade”, u stavku 1. predviđa:

„Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

Točka (f) prvog podstavka ne odnosi se na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća.”

10

Članak 10. navedene uredbe, naslovljen „Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela”, određuje:

„Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela ili povezane mjere sigurnosti na temelju članka 6. stavka 1. provodi se samo pod nadzorom službenog tijela ili kada je obrada odobrena pravom Unije ili pravom države članice kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode ispitanikâ. Svaki sveobuhvatni registar kaznenih osuda vodi se samo pod nadzorom službenog tijela vlasti.”

11

U članku 51. iste uredbe, naslovljenom „Nadzorno tijelo”, u stavku 1. navodi se:

„Svaka država članica osigurava da je jedno ili više neovisnih tijela javne vlasti odgovorno za praćenje primjene ove Uredbe kako bi se zaštitila temeljna prava i slobode pojedinaca u pogledu obrade i olakšao slobodan protok osobnih podataka unutar Unije (,nadzorno tijelo').”

12

Članak 85. GDPR‑a, naslovljen „Obrada i sloboda izražavanja i informiranja”, u stavku 1. određuje:

„Države članice zakonom usklađuju pravo na zaštitu osobnih podataka u skladu s ovom Uredbom s pravom na slobodu izražavanja i informiranja, što uključuje obradu u novinarske svrhe i svrhe akademskog, umjetničkog ili književnog izražavanja.”

13

Članak 86. te uredbe, naslovljen „Obrada i javni pristup službenim dokumentima”, predviđa:

„Tijelo javne vlasti, javno ili privatno tijelo može, u skladu s pravom Unije ili pravom države članice koje se primjenjuje na to tijelo javne vlasti ili to tijelo, otkriti osobne podatke iz službenih dokumenata, koje posjeduje u svrhu obavljanja zadaće u javnom interesu, kako bi se uskladio javni pristup službenim dokumentima s pravom na zaštitu osobnih podataka u skladu s ovom Uredbom.”

14

U skladu s člankom 87. navedene uredbe, naslovljenim „Obrada nacionalnog identifikacijskog broja”:

„Države članice mogu dodatno utvrditi posebne uvjete za obradu nacionalnog identifikacijskog broja ili bilo kojeg drugog identifikatora opće primjene. U tom se slučaju nacionalni identifikacijski broj ili bilo koji drugi identifikator opće primjene upotrebljava samo uz primjenu odgovarajućih zaštitnih mjera u pogledu prava i sloboda ispitanika u skladu s ovom Uredbom.”

15

Članak 94. iste uredbe određuje:

„1.   Direktiva [95/46] stavlja se izvan snage s učinkom od 25. svibnja 2018.

2.   Upućivanja na direktivu koja je stavljena izvan snage tumače se kao upućivanja na ovu Uredbu. […]”

16

U uvodnim izjavama 10., 11. i 13. Direktive 2016/680 navodi se:

[…]

17

Članak 3. te direktive određuje:

„Za potrebe ove Direktive:

[…]

7.   ,nadležno tijelo' znači:

[…]”

18

U skladu s uvodnom izjavom 21. Direktive 2003/98:

„Ova se Direktiva treba provoditi i primjenjivati uz puno poštivanje načela koja se odnose na zaštitu osobnih podataka u skladu s Direktivom [95/46].”

19

Članak 1. Direktive 2003/98, naslovljen „Predmet i područje primjene”, predviđa sljedeće:

„1.   Ovom se Direktivom utvrđuje minimalni skup pravila kojima se uređuju ponovna uporaba i praktični načini olakšavanja ponovne uporabe postojećih dokumenata u posjedu tijela javnog sektora država članica.

2.   Ova se Direktiva ne primjenjuje na:

[…]

[…]

3.   Ova se Direktiva temelji na režimima pristupa u državama članicama i ne dovodi ih u pitanje.

4.   Ovom se Direktivom ne izmjenjuje te ni na koji način ne utječe na razinu zaštite pojedinaca u vezi s obradom osobnih podataka prema odredbama prava Unije i nacionalnog prava, a posebno se ne izmjenjuju obveze i prava naveden[i] u Direktivi [95/46].

[…].”

20

Članak 96. Latvijas Republikas Satversmea (Ustav Republike Latvije; u daljnjem tekstu: Latvijski Ustav) određuje:

„Svaka osoba ima pravo na poštovanje svoje privatnosti, doma i dopisivanja.”

21

Prema članku 1. stavku 5. Informācijas atklātības likumsa (Zakon o slobodi informiranja) od 29. listopada 1998. (Latvijas Vēstnesis, 1998., br. 334/335), ponovna uporaba sastoji se od uporabe javno dostupnih informacija koje su u posjedu pojedinog tijela ili koje je to tijelo stvorilo, u komercijalne ili nekomercijalne svrhe različite od prvotnog cilja zbog kojeg su informacije stvorene, ako tu uporabu obavlja privatni subjekt i ako ne spada u zadaće javne vlasti.

22

U skladu s člankom 4. tog zakona, javno dostupne informacije su one informacije koje ne spadaju u kategoriju informacija s ograničenim pristupom.

23

Članak 5. navedenog zakona u stavku 1. određuje da je pristup informacijama ograničen kad su one namijenjene ograničenoj skupini osoba radi ispunjavanja njihovih zadataka ili poslovnih obveza i kad otkrivanje ili gubitak tih informacija, zbog njihove prirode i sadržaja, priječi ili može priječiti aktivnostima tijela odnosno uzrokuje ili može uzrokovati štetu zakonom zaštićenim interesima osoba. Taj članak u stavku 2. naglašava da se informacije smatraju informacijama s ograničenim pristupom, među ostalim, kada je to predviđeno zakonom, a u stavku 6. navodi da se već objavljene informacije ne mogu smatrati informacijama s ograničenim pristupom.

24

Prema članku 10. stavku 3. istog zakona, javno dostupne informacije mogu se pružiti na zahtjev, pri čemu tražitelj nije dužan posebno obrazložiti svoj interes za dobivanje tih informacija, a pristup tim informacijama ne može mu se odbiti s obrazloženjem da se one na njega ne odnose.

25

U članku 141 Ceļu satiksmes likumsa (Zakon o cestovnom prometu) od 1. listopada 1997. (Latvijas Vēstnesis, 1997., br. 274/276), u verziji koja se primjenjuje na glavni postupak (u daljnjem tekstu: Zakon o cestovnom prometu), naslovljenom „Pristup informacijama koje se čuvaju u Nacionalnom registru vozila i njihovih vozača […]”, stavak 2. navodi:

„Informacije o […] pravu osobe na upravljanje vozilom, novčanim kaznama izrečenima za prometne prekršaje koje nisu plaćene u zakonom propisanom roku te ostale informacije iz Nacionalnog registra vozila i njihovih vozača […] smatraju se javno dostupnim informacijama.”

26

Članak 431 Zakona o cestovnom prometu, naslovljen „Sustav kaznenih bodova”, u stavku 1. određuje:

„Kako bi se utjecalo na ponašanje vozača, potičući sigurno upravljanje vozilima i pridržavanje prometnih propisa, te kako bi se u najvećoj mogućoj mjeri smanjili rizici za život, zdravlje i vlasništvo osoba, prekršaji koje počine vozači upisuju se u registar osuđujućih odluka, a kazneni bodovi u Nacionalni registar vozila i njihovih vozača.”

27

U skladu s točkama 1. i 4. Ministru kabineta noteikumi Nr. 551 „Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi” (Uredba Vijeća ministara br. 551 o pravilima za provedbu sustava kaznenih bodova) od 21. lipnja 2004. (Latvijas Vēstnesis, 2004., br. 102) kazneni bodovi za prekršaje koje počine vozači u području cestovnog prometa automatski se bilježe na dan isteka roka za žalbu protiv odluke kojom se izriče ta prekršajna sankcija.

28

Prema točki 7. te uredbe, kazneni se bodovi brišu kada za njih nastupi zastara.

29

U skladu s točkom 12. navedene uredbe, ovisno o broju kaznenih bodova, vozači podliježu mjerama kao što su upozorenja, osposobljavanja ili ispiti u području sigurnosti cestovnog prometa, ili zabrani korištenja prava na upravljanje vozilom tijekom određenog razdoblja.

30

Kao što proizlazi iz članka 32. stavka 1. Satversmes tiesas likumsa (Zakon o Ustavnom sudu) od 5. lipnja 1996. (Latvijas Vēstnesis, 1996., br. 103), presuda Latvijas Republikas Satversmes tiese (Ustavni sud, Latvija) konačna je i izvršna od trenutka kad je donesena. U skladu s člankom 32. stavkom 3. tog zakona, pravna odredba za koju je Latvijas Republikas Satversmes tiesa (Ustavni sud) utvrdio da nije u skladu s višom pravnom normom smatra se ništavom od dana objave presude tog suda, osim ako on ne odluči drukčije.

31

B je fizička osoba kojoj su izrečeni kazneni bodovi zbog jednog ili više prometnih prekršaja. U skladu sa Zakonom o cestovnom prometu i Uredbom br. 551 od 21. lipnja 2004., Ceļu satiksmes drošības direkcija (Uprava za sigurnost cestovnog prometa, Latvija) (u daljnjem tekstu: CSDD) te je kaznene bodove upisala u Nacionalni registar vozila i njihovih vozača.

32

Budući da su informacije o navedenim kaznenim bodovima iz tog registra bile javno dostupne i da su usto, prema navodima osobe B, bile dostavljene u svrhu ponovne uporabe nekolicini gospodarskih subjekata, osoba B podnijela je ustavnu tužbu pred Latvijas Republikas Satversmes tiesom (Ustavni sud) radi ispitivanja usklađenosti članka 141 stavka 2. Zakona o cestovnom prometu s temeljnim pravom na poštovanje privatnosti predviđenim člankom 96. Latvijskog Ustava.

33

Latvijas Republikas Saeima (Parlament Republike Latvije; u daljnjem tekstu: Latvijski parlament) bila je uključena u postupak kao institucija koja je donijela Zakon o cestovnom prometu. Osim toga, saslušan je CSDD, tijelo koje obrađuje podatke o kaznenim bodovima izrečenima za prometne prekršaje, kao i Datu valsts inspekcija (Tijelo za zaštitu podataka), koja je u Latviji nadzorno tijelo u smislu članka 51. GDPR‑a, te nekoliko drugih tijela i osoba.

34

U okviru glavnog postupka Latvijski parlament potvrdio je da u skladu s člankom 141 stavkom 2. Zakona o cestovnom prometu svaka osoba može dobiti informacije o kaznenim bodovima izrečenima nekoj drugoj osobi, bilo tako da se informira izravno kod CSDD‑a ili korištenjem usluga koje pružaju komercijalni korisnici koji ponovno upotrebljavaju podatke.

35

On naglašava da je ta odredba zakonita jer je opravdana ciljem poboljšanja sigurnosti cestovnog prometa. Tvrdi da taj opći interes zahtijeva da se prekršitelji Zakona o cestovnom prometu, posebno oni koji ga sustavno i zlonamjerno krše, otvoreno identificiraju i da se kroz tu transparentnost vozači odvrate od počinjenja kažnjivih djela.

36

Osim toga tvrdi da je ta odredba opravdana pravom na pristup informacijama predviđenim Latvijskim Ustavom.

37

Latvijski parlament navodi da se informacije iz Nacionalnog registra vozila i njihovih vozača u praksi dostavljaju pod uvjetom da tražitelj informacije predoči nacionalni identifikacijski broj vozača o kojem se želi informirati. Taj preduvjet za dobivanje informacije objašnjava se činjenicom da je za razliku od osobnog imena, koje može biti isto i kod drugih osoba, nacionalni identifikacijski broj jedinstvena identifikacijska oznaka.

38

CSDD je s druge strane napomenuo da članak 141 stavak 2. Zakona o cestovnom prometu ne propisuje ograničenja ni za javni pristup podacima o kaznenim bodovima ni za ponovnu uporabu tih podataka. Kada je riječ o ugovorima koje sklapa s komercijalnim korisnicima koji ponovno upotrebljavaju podatke, CSDD je naglasio da se tim ugovorima ne predviđa pravni prijenos podataka i da korisnici koji ponovno upotrebljavaju podatke moraju osigurati da informacije koje prenose svojim klijentima nisu šire od onih koje se mogu dobiti od CSDD‑a. Nadalje tvrdi da stjecatelj u tim ugovorima potvrđuje da će dobivene informacije koristiti u skladu s ciljevima navedenima u ugovoru te poštujući važeće propise.

39

Kada je riječ o Datu valsts inspekciji (Tijelo za zaštitu podataka), ona je izrazila sumnju u usklađenost članka 141 stavka 2. Zakona o cestovnom prometu s člankom 96. Latvijskog Ustava, kojim se predviđa pravo na poštovanje privatnosti. Prema njezinu mišljenju, važnost i cilj obrade koja se provodi na temelju odredbe o kojoj je riječ u glavnom postupku nisu jasno utvrđeni, tako da nije isključeno da je ta obrada neodgovarajuća ili nerazmjerna. Naime, iako statistike o prometnim nesrećama u Latviji pokazuju smanjenje broja nezgoda, smatra da to ipak ne dokazuje da su sustav kaznenih bodova i javni pristup informacijama o tom sustavu doprinijeli tim pozitivnim promjenama.

40

Latvijas Republikas Satversmes tiesa (Ustavni sud) prije svega utvrđuje da se tužba odnosi na članak 141 stavak 2. Zakona o cestovnom prometu samo u mjeri u kojoj ta odredba čini javno dostupnima kaznene bodove upisane u Nacionalni registar vozila i njihovih vozača.

41

Taj sud nadalje ističe da su kazneni bodovi osobni podaci i da u okviru ocjene prava na poštovanje privatnosti iz članka 96. Latvijskog Ustava treba voditi računa o GDPR‑u te općenito o članku 16. UFEU‑a i članku 8. Povelje.

42

Kada je riječ o ciljevima latvijskog propisa u području cestovnog prometa, taj sud iznosi da se kažnjiva djela koja počine vozači, koja se u Latviji kvalificiraju kao prekršaji, upisuju u registar osuđujućih odluka, a kazneni bodovi u Nacionalni registar vozila i njihovih vozača, ponajprije radi poticanja sigurnosti cestovnog prometa.

43

Kada je konkretno riječ o Nacionalnom registru vozila i njihovih vozača, on omogućuje da se zna broj počinjenih prometnih prekršaja i da se ovisno o tom broju poduzmu mjere. Dakle, sustav kaznenih bodova koji se upisuju u taj registar ima za cilj poboljšanje sigurnosti cestovnog prometa jer omogućuje, s jedne strane, razlikovanje vozača koji sustavno i zlonamjerno krše pravila u području cestovnog prometa od vozača koji povremeno čine kažnjiva djela. S druge strane tvrdi da takav sustav može također preventivno utjecati na ponašanje sudionika u prometu potičući ih na pridržavanje prometnih propisa.

44

Isti sud napominje da je nesporno da članak 141 stavak 2. Zakona o cestovnom prometu svakoj osobi daje pravo da od CSDD‑a zatraži i dobije informacije iz Nacionalnog registra vozila i njihovih vozača u vezi s kaznenim bodovima koji su izrečeni vozačima. S tim u vezi potvrđuje da se te informacije u praksi daju osobi koja ih je zatražila od trenutka kad ona navede nacionalni identifikacijski broj odnosnog vozača.

45

Latvijas Republikas Satversmes tiesa (Ustavni sud) zatim navodi da kazneni bodovi, zbog toga što se kvalificiraju kao javno dostupne informacije, potpadaju pod Zakon o slobodi informiranja te se samim time mogu ponovno upotrijebiti u komercijalne ili nekomercijalne svrhe različite od prvotnog cilja zbog kojeg su stvorene.

46

Kako bi tumačenje i primjena članka 96. Latvijskog Ustava bili u skladu s pravom Unije, taj sud kao prvo želi znati spadaju li informacije o kaznenim bodovima u informacije iz članka 10. GDPR‑a, odnosno u „osobn[e] podat[ke] koji se odnose na kaznene osude i kažnjiva djela”. U slučaju potvrdnog odgovora moglo bi se zaključiti da članak 141 stavak 2. Zakona o cestovnom prometu krši zahtjev sadržan u navedenom članku 10., prema kojem se njime predviđena obrada podataka provodi samo „pod nadzorom službenog tijela” ili pod uvjetom da postoje „odgovarajuće zaštitne mjere za prava i slobode ispitanikâ”.

47

Navedeni sud napominje da je članak 8. stavak 5. Direktive 95/46 – koji svakoj državi članici prepušta ocjenu o tome treba li posebna pravila u pogledu podataka o kaznenim djelima i kaznenim osudama proširiti na podatke o prekršajima i prekršajnim sankcijama – u Latviji bio proveden od 1. rujna 2007. na način da se osobni podaci o prekršajima mogu, slično kao i podaci o kaznenim djelima i kaznenim osudama, obrađuju samo u slučajevima i od strane osoba predviđenih zakonom.

48

Isti sud osim toga naglašava da doseg članka 10. GDPR‑a treba u skladu s uvodnom izjavom 4. te uredbe ocjenjivati vodeći računa o funkciji koju temeljna prava imaju u društvu. Međutim, u tom kontekstu tvrdi da cilj izbjegavanja pretjeranog negativnog utjecaja ranije osuđujuće odluke na privatni i poslovni život osobe može vrijediti kako u pogledu kaznenih osuđujućih odluka tako i u pogledu prekršaja. U tom kontekstu tvrdi da treba uzeti u obzir sudsku praksu Europskog suda za ljudska prava o izjednačavanju određenih upravnih predmeta s kaznenim predmetima.

49

Drugo, Latvijas Republikas Satversmes tiesa (Ustavni sud) postavlja pitanje dosega primjene članka 5. GDPR‑a. Konkretno, pita se je li latvijski zakonodavac poštovao obvezu, navedenu u stavku 1. točki (f) tog članka, da se osobni podaci moraju obrađivati „cjelovit[o] i „povjerljiv[o]”. Napominje da članak 141 stavak 2. Zakona o cestovnom prometu – koji dajući pristup informacijama o kaznenim bodovima omogućuje da se sazna je li osoba bila osuđena za kažnjivo djelo u području cestovnog prometa – nisu pratile posebne mjere kojima se osigurava sigurnost tih podataka.

50

Treće, taj sud želi znati je li Direktiva 2003/98 relevantna za razmatranje usklađenosti članka 141 stavka 2. Zakona o cestovnom prometu s pravom na poštovanje privatnosti. Naime, tvrdi da iz te direktive proizlazi da se ponovna uporaba osobnih podataka može dopustiti samo ako je u skladu s tim pravom.

51

Četvrto, s obzirom na sudsku praksu Suda prema kojoj tumačenje prava Unije pruženo u prethodnim odlukama ima učinak erga omnes i ex tunc, navedeni se sud pita može li u slučaju neusklađenosti članka 141 stavka 2. Zakona o cestovnom prometu s člankom 96. Latvijskog Ustava, tumačenog u kontekstu GDPR‑a i Povelje, ipak održati vremenske učinke navedenog članka 141 stavka 2. do dana donošenja presude, imajući u vidu velik broj spornih pravnih odnosa.

52

U tom pogledu, Latvijas Republikas Satversmes tiesa (Ustavni sud) iznosi da prema latvijskom pravu akt za koji on utvrdi da je neustavan treba smatrati ništavim od dana kada je presuda donesena, osim ako on ne odluči drukčije. Objašnjava da u tom pogledu mora osigurati ravnotežu između, s jedne strane, načela pravne sigurnosti i, s druge strane, temeljnih prava raznih zainteresiranih osoba.

53

U tim okolnostima Latvijas Republikas Satversmes tiesa (Ustavni sud) odlučio je prekinuti postupak i Sudu uputiti sljedeća prethodna pitanja:

54

Svojim prvim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 10. GDPR‑a tumačiti na način da se primjenjuje na obradu osobnih podataka o kaznenim bodovima koji su izrečeni vozačima za prometne prekršaje, a koja se sastoji od javnog otkrivanja takvih podataka.

55

U skladu s člankom 10. GDPR‑a, obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela ili povezane mjere sigurnosti na temelju članka 6. stavka 1. provodi se samo pod nadzorom službenog tijela ili kada je obrada odobrena pravom Unije ili pravom države članice kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode ispitanikâ.

56

Stoga valja najprije provjeriti čine li informacije o kaznenim bodovima koje se priopćavaju trećim osobama na temelju propisa iz glavnog postupka „osobne podatke” u smislu članka 4. točke 1. GDPR‑a te čini li navedeno priopćavanje „obradu” takvih podataka u smislu tog članka 4. točke 2. te uredbe koja spada u njezino materijalno područje primjene, kako je definirano u njezinu članku 2.

57

U tom pogledu treba reći, kao prvo, da iz odluke kojom se upućuje zahtjev proizlazi da latvijski propis predviđa izricanje kaznenih bodova vozačima koji su počinili prometni prekršaj i kojima je izrečena novčana ili druga sankcija. Javni subjekt, CSDD, upisuje te bodove u Nacionalni registar vozila i njihovih vozača na dan isteka roka za žalbu protiv odluke kojom se izriče ta sankcija.

58

Iz navedene odluke također proizlazi da prometni prekršaji i sankcije za njihovo kažnjavanje u Latviji spadaju u upravno pravo i da cilj izricanja kaznenih bodova nije izricanje dodatne sankcije, već podizanje svijesti tih vozača, potičući ih na sigurnije ponašanje. Kad dostigne određeni broj kaznenih bodova, zainteresiranoj se osobi može izreći zabrana upravljanja vozilom tijekom određenog razdoblja.

59

Iz te odluke također proizlazi da propis iz glavnog postupka obvezuje CSDD da dostavi informacije o kaznenim bodovima koji su izrečeni određenom vozaču svakoj osobi koja zatraži pristup tim informacijama. CSDD u tu svrhu samo zahtijeva da tražitelj tih informacija uredno identificira odnosnog vozača navodeći njegov nacionalni identifikacijski broj.

60

Treba dakle zaključiti da informacije o kaznenim bodovima koje se odnose na identificiranu fizičku osobu jesu „osobni podaci” u smislu članka 4. točke 1. GDPR‑a i da njihova dostava trećim osobama od strane CSDD‑a čini „obradu” u smislu članka 4. točke 2. GDPR‑a.

61

Drugo, treba reći da davanje tih informacija ulazi u vrlo široku definiciju materijalnog područja primjene GDPR‑a, poput onog navedenog u njegovu članku 2. stavku 1., te se ne navodi među obradama osobnih podataka koje članak 2. stavak 2. točke (a) i (d) GDPR‑a isključuje iz tog područja primjene.

62

Naime, kada je s jedne strane riječ o članku 2. stavku 2. točki (a) GDPR‑a, on predviđa da se ta uredba ne primjenjuje na obradu osobnih podataka izvršenu „tijekom djelatnosti koja nije obuhvaćena opsegom prava Unije”. Tu iznimku od primjene GDPR‑a, slično kao i druge iznimke predviđene u njegovu članku 2. stavku 2., treba usko tumačiti (vidjeti u tom smislu presude od 9. srpnja 2020., Land Hessen, C‑272/19, EU:C:2020:535, t. 68. i od 16. srpnja 2020., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, t. 84.).

63

U tom pogledu, članak 2. stavak 2. točku (a) te uredbe treba tumačiti u vezi s njezinim člankom 2. stavkom 2. točkom (b) i njezinom uvodnom izjavom 16., u kojoj se navodi da se ta uredba ne primjenjuje na obrade osobnih podataka u kontekstu „djelatnost[i] koje ne ulaze u područje primjene prava Unije, kao što su djelatnosti u vezi s nacionalnom sigurnošću” te „djelatnosti povezan[e] sa zajedničkom vanjskom i sigurnosnom politikom Unije”.

64

Iz toga slijedi da se članak 2. stavak 2. točke (a) i (b) GDPR‑a dijelom nadovezuje na članak 3. stavak 2. prvu alineju Direktive 95/46. Prema tome, članak 2. stavak 2. točke (a) i (b) GDPR‑a ne može se tumačiti kao da određuje širi opseg primjene od izuzetka koji proizlazi iz članka 3. stavka 2. prve alineje Direktive 95/46, koji je iz područja primjene te direktive već isključivao, među ostalim, obradu osobnih podataka u okviru „aktivnosti koj[e] [su] izvan područja primjene prava Zajednice, kao što je predviđeno u glavama V. i VI. [UEU‑a u verziji prije Ugovora iz Lisabona] i u svakom slučaju na postupke obrade koji se odnose na javnu sigurnost, obranu, nacionalnu sigurnost […]”.

65

Međutim, kao što je Sud u više navrata zaključio, samo su obrade osobnih podataka koje se provode u okviru aktivnosti specifične za državu odnosno državna tijela koja se izričito spominje u navedenom članku 3. stavku 2. ili u okviru aktivnosti koja se može svrstati u istu kategoriju isključene iz područja primjene navedene direktive (vidjeti u tom smislu presude od 6. studenoga 2003., Lindqvist, C‑101/01, EU:C:2003:596, t. 42. do 44.; od 27. rujna 2017., Puškár, C‑73/16, EU:C:2017:725, t. 36. i 37. te od 10. srpnja 2018., Jehovan todistajat, C‑25/17, EU:C:2018:551, t. 38.).

66

Prema tome, treba smatrati da je jedini cilj članka 2. stavka 2. točke (a) GDPR‑a u vezi s uvodnom izjavom 16. te uredbe isključivanje iz njezina područja primjene obrada osobnih podataka koje državna tijela provode u okviru aktivnosti namijenjene zaštiti nacionalne sigurnosti ili neke druge aktivnosti koja se može svrstati u istu kategoriju, tako da sama činjenica da je neka aktivnost specifična za državu ili tijelo javne vlasti nije dovoljna da se ta iznimka automatski primijeni na takvu aktivnost (vidjeti u tom smislu presudu od 9. srpnja 2020., Land Hessen, C‑272/19, EU:C:2020:535, t. 70.).

67

Aktivnosti koje imaju za cilj zaštitu nacionalne sigurnosti koje se navode u članku 2. stavku 2. točki (a) GDPR‑a konkretno obuhvaćaju, kao što je to u bitnome istaknuo i nezavisni odvjetnik u točkama 57. i 58. svojeg mišljenja, one kojima je cilj zaštita osnovnih državnih funkcija i temeljnih interesa društva.

68

Međutim, aktivnosti vezane uz sigurnost cestovnog prometa nemaju takav cilj te se stoga ne mogu svrstati u kategoriju aktivnosti kojima je cilj zaštita nacionalne sigurnosti, utvrđenu u članku 2. stavku 2. točki (a) GDPR‑a.

69

Što se tiče, s druge strane, članka 2. stavka 2. točke (d) GDPR‑a, on predviđa da se ta uredba ne primjenjuje na obradu osobnih podataka koju obavljaju „nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja”. Kao što proizlazi iz uvodne izjave 19. navedene uredbe, ta je iznimka motivirana činjenicom da su obrade osobnih podataka koje nadležna tijela provode u takve svrhe uređene posebnim aktom Unije, odnosno Direktivom 2016/680, koja je donesena istog dana kad i GDPR te koja u članku 3. stavku 7. definira što treba smatrati pod „nadležnim tijelom”, pri čemu takvu definiciju treba po analogiji primijeniti na članak 2. stavak 2. točku (d).

70

Iz uvodne izjave 10. Direktive 2016/680 proizlazi da pojam „nadležno tijelo” treba tumačiti u vezi sa zaštitom osobnih podataka u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje, vodeći računa o prilagodbama koje se u tom pogledu mogu pokazati nužnima zbog specifične naravi tih područja. Nadalje, u uvodnoj izjavi 11. te direktive navodi se da se GDPR primjenjuje na obradu osobnih podataka koju provodi „nadležno tijelo” u smislu njezina članka 3. stavka 7., ali u druge svrhe osim onih predviđenih Direktivom 2016/680.

71

S obzirom na informacije kojima Sud raspolaže, ne čini se da se u obavljanju aktivnosti o kojima je riječ u glavnom postupku – a koje se sastoje od javnog priopćavanja, u svrhu sigurnosti cestovnog prometa, osobnih podataka o kaznenim bodovima – CSDD može smatrati „nadležnim tijelom” u smislu članka 3. stavka 7. Direktive 2016/680 i samim time da takve aktivnosti mogu biti obuhvaćene iznimkom predviđenom u članku 2. stavku 2. točki (d) GDPR‑a.

72

Prema tome, CSDD‑ova dostava osobnih podataka o kaznenim bodovima koji su izrečeni vozačima za prometne prekršaje ulazi u materijalno područje primjene GDPR‑a.

73

Kada je riječ o primjenjivosti članka 10. GDPR‑a na takvu dostavu, pitanje je čine li tako dostavljene informacije osobne podatke „koji se odnose na kaznene osude i kažnjiva djela ili povezane mjere sigurnosti” u smislu te odredbe, čija se obrada može „provodi[ti] […] samo pod nadzorom službenog tijela”, osim ako nije „odobrena pravom Unije ili pravom države članice kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode ispitanikâ”.

74

U tom pogledu valja podsjetiti na to da je cilj navedenog članka 10. osiguravanje pojačane zaštite od obrada koje, zbog posebne osjetljivosti odnosnih podataka, mogu činiti osobito teško miješanje u temeljna prava na privatnost i na zaštitu osobnih podataka, zajamčena u člancima 7. i 8. Povelje (vidjeti u tom smislu presudu od 24. rujna 2019., GC i dr. (Uklanjanje poveznica za osjetljive podatke), C‑136/17, EU:C:2019:773, t. 44.).

75

Naime, budući da se podaci na koje upućuje članak 10. GDPR‑a odnose na ponašanja koja dovode do društvene osude, davanje pristupa takvim podacima moglo bi stigmatizirati odnosnu osobu te stoga činiti ozbiljno zadiranje u njezin privatni i poslovni život.

76

U konkretnom slučaju, točno je da se odluke latvijskih tijela kojima je cilj suzbijanje prometnih prekršaja upisuju, kako je to latvijska vlada naglasila u svojim odgovorima na pitanja Suda, u Registar osuđujućih odluka kojem javnost ima pristup samo u ograničenim slučajevima, a ne u Registar vozila i njihovih vozača kojem članak 141 stavak 2. Zakona o cestovnom prometu daje slobodan pristup. Međutim, kao što je naglasio sud koji je uputio zahtjev, CSDD‑ova dostava osobnih podataka o kaznenim bodovima upisanima u potonji registar omogućuje javnosti da sazna je li neka osoba počinila prometni prekršaj i, u slučaju potvrdnog odgovora, da izvede zaključak o ozbiljnosti i učestalosti tih kažnjivih djela. Takav sustav priopćavanja kaznenih bodova stoga daje pristup osobnim podacima o prometnim prekršajima.

77

Da bi se utvrdilo je li takav pristup obrada osobnih podataka vezanih uz „kažnjiva djela” u smislu članka 10. GDPR‑a, valja kao prvo napomenuti da taj pojam upućuje isključivo na kaznena djela, što posebno proizlazi iz okolnosti nastanka GDPR‑a. Naime, iako je Europski parlament predložio da se u tu odredbu izričito uključi izraz „prekršajne sankcije” (SL 2017., C 378, str. 430.), taj prijedlog nije bio prihvaćen. Ta je činjenica još primjetnija ako se uzme u obzir da je odredba koja je prethodila članku 10. GDPR‑a, odnosno članak 8. stavak 5. Direktive 95/46, koji je u prvom podstavku spominjao „kažnjiva djela” i „kaznene osude”, u drugom podstavku nudila mogućnost državama članicama da „propi[šu] da se podaci koji se odnose na upravne sankcije […] također mogu obrađivati pod nadzorom službenog tijela”. Dakle, iz sveobuhvatnog tumačenja tog članka 8. stavka 5. jasno proizlazi da se pojam „kažnjiva djela” odnosi samo na kaznena djela.

78

U tim okolnostima treba zaključiti da je zakonodavac Unije, time što je namjerno propustio uključiti pridjev „prekršajni” u članak 10. GDPR‑a, namjeravao ograničiti pojačanu zaštitu predviđenu tom odredbom samo na kazneno područje.

79

U prilog tom tumačenju govori činjenica da, kao što je to nezavisni odvjetnik istaknuo u točkama 74. do 77. svojeg mišljenja, nekoliko jezičnih verzija članka 10. GDPR‑a izričito upućuje na „kaznena djela”, primjerice verzije na njemačkom (Straftaten), španjolskom (infracciones penales), talijanskom (reati), litavskom (nusikalstamas veikas), malteškom (reati) i nizozemskom jeziku (strafbare feiten).

80

Drugo, činjenica da se u Latviji prometni prekršaji kvalificiraju kao prekršajni nije odlučna za ocjenu spadaju li ta kažnjiva djela pod članak 10. GDPR‑a.

81

U tom pogledu treba podsjetiti na to da pojmovi iz odredbe prava Unije koja ne sadržava nikakvo izričito upućivanje na pravo država članica radi utvrđivanja svojeg smisla i dosega u pravilu trebaju u cijeloj Uniji imati autonomno i ujednačeno tumačenje (presude od 19. rujna 2000., Linster, C‑287/98, EU:C:2000:468, t. 43. i od 1. listopada 2019., Planet49, C‑673/17, EU:C:2019:801, t. 47.).

82

U konkretnom slučaju valja prije svega istaknuti da GDPR ne sadržava nikakvo upućivanje na nacionalna prava kada je riječ o dosegu primjene izraza iz njegova članka 10., posebno izraza „kažnjiva djela” i „kaznene osude”.

83

Nadalje, iz uvodne izjave 10. GDPR‑a proizlazi da mu je cilj doprinijeti uspostavi područja slobode, sigurnosti i pravde osiguravajući dosljednu i visoku razinu zaštite pojedinaca u vezi s obradom osobnih podataka, što pretpostavlja da je ta razina zaštite istovjetna i ujednačena u svim državama članicama. Međutim, bilo bi protivno toj svrsi kada bi se pojačana zaštita predviđena tom odredbom primjenjivala na obradu osobnih podataka o prometnim prekršajima samo u pojedinim državama članicama, no ne i u drugima, samo zato što se u potonjima ta kažnjiva djela ne kvalificiraju kao kaznena.

84

Konačno, kao što je to nezavisni odvjetnik istaknuo u točki 84. svojeg mišljenja, u prilog tom zaključku govori uvodna izjava 13. Direktive 2016/680, u kojoj se navodi da bi „[p]ojam kaznenog djela u smislu [te] Direktive trebao […] biti autonoman pojam prava Unije kako ga tumači Sud Europske unije”.

85

Iz toga slijedi da pojam „kazneno djelo”, koji je ključan za određivanje primjenjivosti članka 10. GDPR‑a na osobne podatke o prometnim prekršajima poput onih iz glavnog postupka, zahtijeva autonomno i ujednačeno tumačenje u cijeloj Uniji koje treba pronaći uzimajući u obzir cilj koji se želi postići tom odredbom i njezin kontekst, pri čemu u tom pogledu nije odlučna kvalifikacija koju odnosna država članica daje tim kažnjivim djelima jer se ona može razlikovati od jedne do druge zemlje (vidjeti u tom smislu presudu od 14. studenoga 2013., Baláž, C‑60/12, EU:C:2013:733, t. 26. i 35.).

86

Treće, valja ispitati jesu li prometni prekršaji, kao što su oni koji dovode do upisa u Registar vozila i njihovih vozača kaznenih bodova čije se priopćavanje trećim osobama predviđa spornom odredbom, „kaznena djela” u smislu članka 10. GDPR‑a.

87

Prema sudskoj praksi Suda, tri su kriterija relevantna za ocjenu kaznene naravi kažnjivog djela. Prvi je pravna kvalifikacija kažnjivog dijela u nacionalnom pravu, drugi sama narav kažnjivog djela i treći težina kazne kojoj dotična osoba može biti izložena (vidjeti u tom smislu presude od 5. lipnja 2012., Bonda, C‑489/10, EU:C:2012:319, t. 37.; od 20. ožujka 2018., Garlsson Real Estate i dr., C‑537/16, EU:C:2018:193, t. 28. te od 2. veljače 2021., Consob, C‑481/19, EU:C:2021:84, t. 42.).

88

Čak i za kažnjiva djela koja se u nacionalnom pravu ne kvalificiraju kao „kaznena” takav karakter ipak može proizlaziti iz same naravi predmetnog kažnjivog djela i iz težine sankcija do kojih ono može dovesti (vidjeti u tom smislu presudu od 20. ožujka 2018., Garlsson Real Estate i dr., C‑537/16, EU:C:2018:193, t. 28. i 32.).

89

Kada je riječ o kriteriju vezanom uz samu narav kažnjivog djela, on podrazumijeva provjeru ima li sporna sankcija, među ostalim, represivnu svrhu, pri čemu joj sama činjenica da usto ima i preventivnu svrhu ne može oduzeti svojstvo kaznene sankcije. Naime, u samoj je naravi kaznenih sankcija da im je cilj kako represija tako i prevencija od nezakonitih postupanja. Naprotiv, mjera kojom se samo popravlja šteta prouzročena pojedinim kažnjivim djelom nije kaznene naravi (vidjeti u tom smislu presude od 5. lipnja 2012., Bonda, C‑489/10, EU:C:2012:319, t. 39. te od 20. ožujka 2018., Garlsson Real Estate i dr., C‑537/16, EU:C:2018:193, t. 33.). Međutim, nesporno je da izricanje kaznenih bodova za prometne prekršaje, baš kao i novčane kazne ili druge sankcije do kojih počinjenje tih kažnjivih djela može dovesti, nemaju za cilj samo popravljanje štete koja je eventualno prouzročena tim kažnjivim djelima nego i represivnu svrhu.

90

Kada je riječ o kriteriju vezanom uz težinu kazni do kojih počinjenje tih istih djela može dovesti, valja prije svega istaknuti da samo prometni prekršaji određene težine dovode do izricanja kaznenih bodova i da, samim time, takva kažnjiva djela mogu dovesti do kazni određene težine. Nadalje, izricanje kaznenih bodova u pravilu prati sankcija koja se izriče u slučaju počinjenja takvog kažnjivog djela, što je uostalom i slučaj, kao što je istaknuto u točki 58. ove presude, s propisom iz glavnog postupka. Konačno, kumuliranje tih bodova samo po sebi dovodi do pravnih posljedica kao što su obveza polaganja ispita ili čak zabrana upravljanja vozilom.

91

U prilog toj analizi govori sudska praksa Europskog suda za ljudska prava prema kojoj se, bez obzira na tendenciju „dekriminalizacije” prometnih prekršaja u pojedinim državama, ta kažnjiva djela, imajući u vidu istodobno preventivnu i represivnu svrhu izrečenih sankcija i njihovu težinu, u pravilu mogu smatrati djelima kaznene naravi (vidjeti u tom smislu presudu ESLJP‑a od 21. veljače 1984., Öztürk protiv Njemačke, CE:ECHR:1984:0221JUD000854479, t. 49. do 53.; od 29. lipnja 2007., O’Halloran i Francis protiv Ujedinjene Kraljevine, CE:ECHR:2007:0629JUD001580902, t. 33. do 36. te od 4. listopada 2016., Rivard protiv Švicarske, CE:ECHR:2016:1004JUD002156312, t. 23. i 24.).

92

Kvalifikacija prometnih prekršaja koji mogu dovesti do izricanja kaznenih bodova kao „kaznenih djela” u smislu članka 10. GDPR‑a poklapa se i sa svrhom te odredbe. Naime, treba reći da javno priopćavanje osobnih podataka o prometnim prekršajima, uključujući kaznenih bodova izrečenih zbog počinjenja tih prekršaja, može, imajući u vidu činjenicu da takva kažnjiva djela čine ugrožavanje sigurnosti cestovnog prometa, izazvati društvenu osudu i dovesti do stigmatizacije odnosne osobe, posebno kada ti bodovi upućuju na određenu ozbiljnost ili učestalost tih kažnjivih djela.

93

Iz toga slijedi da prometni prekršaji koji mogu dovesti do izricanja kaznenih bodova spadaju pod pojam „kažnjiva djela” iz članka 10. GDPR‑a.

94

Slijedom svih navedenih razmatranja, na prvo postavljeno pitanje valja odgovoriti tako da članak 10. GDPR‑a treba tumačiti na način da se primjenjuje na obradu osobnih podataka o kaznenim bodovima koji su izrečeni vozačima za prometne prekršaje.

95

Svojim drugim pitanjem sud koji je uputio zahtjev u biti pita treba li odredbe GDPR‑a tumačiti na način da im se protivi nacionalni propis koji obvezuje javno tijelo nadležno za registar u koji se upisuju kazneni bodovi koji su izrečeni vozačima za prometne prekršaje da dostavi te podatke svakoj osobi koja je to zatražila, pri čemu ta osoba ne mora opravdati poseban interes za dobivanje tih podataka.

96

U tom pogledu valja podsjetiti na to da svaka obrada osobnih podataka mora, s jedne strane, biti u skladu s načelima vezanima uz obradu podataka koja se navode u članku 5. GDPR‑a i, s druge strane, ispunjavati jedno od načela vezanih uz zakonitost obrade koja se navode u članku 6. te uredbe (vidjeti u tom smislu presudu od 16. siječnja 2019., Deutsche Post, C‑496/17, EU:C:2019:26, t. 57. i navedenu sudsku praksu).

97

Kada je riječ o načelima vezanima uz obradu osobnih podataka, točno je da se sud koji je uputio zahtjev konkretno poziva na načela „cjelovitosti” i „povjerljivosti” utvrđena u članku 5. stavku 1. točki (f) GDPR‑a. Međutim, iz pitanja tog suda očito je da on želi općenito utvrditi može li se obrada osobnih podataka o kojoj je riječ u glavnom postupku smatrati zakonitom s gledišta svih odredbi te uredbe, a posebno s gledišta načela proporcionalnosti.

98

Prema tome, u odgovoru koji treba dati tom sudu potrebno je uzeti u obzir i druga načela navedena u članku 5. stavku 1. te direktive, a posebno načelo „smanjenja količine podataka” iz točke (c) te odredbe, prema kojem osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju, te koje je izraz navedenog načela proporcionalnosti (vidjeti u tom smislu presudu od 11. prosinca 2019., Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, t. 48.).

99

Kada je riječ o načelima vezanima uz zakonitost obrade, članak 6. GDPR‑a predviđa iscrpan i taksativan popis slučajeva u kojima se obrada osobnih podataka može smatrati zakonitom. Dakle, da bi se mogla smatrati zakonitom, obrada mora biti obuhvaćena jednim od slučajeva predviđenih u navedenom članku 6. (vidjeti u tom smislu presudu od 11. prosinca 2019., Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, t. 37. i 38.). U tom pogledu, obrada osobnih podataka o kojoj je riječ u glavnom postupku, odnosno javno priopćavanje podataka o kaznenim bodovima izrečenima za prometne prekršaje, koje provodi CSDD, može spadati pod članak 6. stavak 1. točku (e) GDPR‑a, koji određuje da je obrada zakonita ako je, i u mjeri u kojoj je, „nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade”.

100

Nadalje, budući da su, kao što je to utvrđeno u točki 94. ove presude, osobni podaci o kaznenim bodovima koji su izrečeni vozačima za prometne prekršaje obuhvaćeni člankom 10. GDPR‑a, njihova obrada podliježe dodatnim ograničenjima predviđenima tom odredbom. Dakle, prema navedenoj odredbi, obrada tih podataka može se „provodi[ti] […] samo pod nadzorom službenog tijela”, osim ako nije „odobrena pravom Unije ili pravom države članice kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode ispitanikâ”. U toj se odredbi usto navodi da se „[s]vaki sveobuhvatni registar kaznenih osuda vodi […] samo pod nadzorom službenog tijela vlasti”.

101

U konkretnom slučaju nesporno je da obradu osobnih podataka o kojoj je riječ u glavnom postupku, odnosno javno priopćavanje podataka o kaznenim bodovima izrečenima za prometne prekršaje, obavlja javno tijelo, CSDD, koje je voditelj obrade u smislu članka 4. točke 7. GDPR‑a (vidjeti po analogiji presudu od 9. ožujka 2017., Manni, C‑398/15, EU:C:2017:197, t. 35.). Međutim, isto je tako nesporno da te podatke, nakon što su dostavljeni, pregledavaju osobe koje su zatražile njihovu dostavu te ih one eventualno čuvaju ili objavljuju. Budući da se te naknadne obrade podataka više ne provode „pod nadzorom” CSDD‑a ili nekog drugog službenog tijela, nacionalno pravo koje ovlašćuje CSDD da priopći te podatke mora predvidjeti „odgovarajuće zaštitne mjere za prava i slobode ispitanikâ”.

102

Prema tome, usklađenost s GDPR‑om nacionalnog propisa poput onog iz glavnog postupka treba ispitati kako s gledišta općih uvjeta zakonitosti, osobito onih koje propisuju članak 5. stavak 1. točka (c) i članak 6. stavak 1. točka (e) GDPR‑a, tako i posebnih ograničenja predviđenih njegovim člankom 10.

103

U tom pogledu treba reći da nijedna od tih odredbi ne određuje opću i apsolutnu zabranu da se, u skladu s nacionalnim zakonodavstvom, tijelo javne vlasti ovlasti ili čak obveže dostaviti osobne podatke osobama koje to zatraže.

104

Naime, iako članak 5. stavak 1. točka (c) GDPR‑a uvjetuje obradu osobnih podataka poštovanjem načela „smanjenja količine podataka”, iz teksta te odredbe jasno proizlazi da joj cilj nije uvođenje takve opće i apsolutne zabrane te da konkretno ne zabranjuje javno priopćavanje osobnih podataka ako je to priopćavanje nužno za izvršavanje zadaće od javnog interesa ili spada u izvršavanje službene ovlasti u smislu članka 6. stavka 1. točke (e) te uredbe. Isto vrijedi čak i onda kad se na predmetne podatke primjenjuje članak 10. GDPR‑a, pod uvjetom da se propisom kojim se dopušta to priopćavanje predviđaju odgovarajuće zaštitne mjere za prava i slobode ispitanikâ (vidjeti u tom smislu presudu od 24. rujna 2019., GC i dr. (Uklanjanje poveznica za osjetljive podatke), C‑136/17, EU:C:2019:773, t. 73.).

105

U tom kontekstu valja podsjetiti na to da temeljna prava na privatnost i na zaštitu osobnih podataka nisu apsolutna prava, nego ih treba sagledavati u kontekstu njihove funkcije u društvu i dovesti u ravnotežu s drugim temeljnim pravima. Dakle, ograničenja je moguće uvesti pod uvjetom da su, u skladu s člankom 52. stavkom 1. Povelje, predviđena zakonom te da se njima poštuje bit temeljnih prava i načelo proporcionalnosti. U skladu s potonjim načelom ograničenja su moguća samo ako su potrebna i ako zaista odgovaraju ciljevima u općem interesu koje priznaje Unija ili potrebi zaštite prava i sloboda drugih osoba. Ograničenja moraju biti u granicama onog što je strogo nužno, a propis kojim se zadire u prava mora predvidjeti jasna i precizna pravila kojima se uređuju doseg i primjena predmetne mjere (vidjeti u tom smislu presudu od 16. srpnja 2020., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, t. 172. do 176.).

106

Dakle, da bi se utvrdilo je li javno priopćavanje osobnih podataka o kaznenim bodovima poput onog iz glavnog postupka nužno za izvršavanje zadaće od javnog interesa odnosno spada li u izvršavanje službene ovlasti u smislu članka 6. stavka 1. točke (e) GDPR‑a te predviđa li propis kojim se dopušta takvo priopćavanje odgovarajuće zaštitne mjere za prava i slobode ispitanikâ u smislu članka 10. te uredbe, potrebno je posebno provjeriti je li ono – imajući u vidu ozbiljnost zadiranja u temeljna prava na poštovanje privatnosti i na zaštitu osobnih podataka uzrokovanog tim priopćavanjem – opravdano i posebno je li proporcionalno za postizanje utvrđenih ciljeva.

107

Latvijski parlament, u svojim očitovanjima pred sudom koji je uputio zahtjev, i latvijska vlada, u svojim očitovanjima pred Sudom, konkretno navode da CSDD‑ovo priopćavanje osobnih podataka o kaznenim bodovima svim osobama koje to zatraže spada u zadaću od javnog interesa, koju to tijelo ima radi poboljšanja sigurnosti cestovnog prometa, a cilj mu je u tom kontekstu prije svega omogućiti identifikaciju vozača koji sustavno krše pravila u području cestovnog prometa i utjecati na ponašanje sudionika u prometu potičući ih da postupaju u skladu s tim pravilima.

108

U tom pogledu valja podsjetiti na to da je poboljšanje sigurnosti cestovnog prometa cilj od općeg interesa koji priznaje Unija (vidjeti u tom smislu presudu od 23. travnja 2015., Aykul, C‑260/13, EU:C:2015:257, t. 69. i navedenu sudsku praksu). Države članice dakle imaju pravo kvalificirati sigurnost cestovnog prometa kao „zadaću od javnog interesa” u smislu članka 6. stavka 1. točke (e) GDPR‑a.

109

Međutim, da bi se ispunili uvjeti utvrđeni potonjom odredbom, potrebno je da priopćavanje osobnih podataka o kaznenim bodovima upisanima u registru koji vodi CSDD stvarno zadovoljava cilj od općeg interesa u pogledu poboljšanja sigurnosti cestovnog prometa, ne prekoračujući ono što je nužno za postizanje tog cilja.

110

Kao što se to naglašava u uvodnoj izjavi 39. GDPR‑a, taj zahtjev nužnosti nije ispunjen kad se odnosni cilj od općeg interesa može razumno na jednako učinkovit način postići drugim sredstvima kojima se manje zadire u temeljna prava ispitanika, posebno prava na poštovanje privatnosti i na zaštitu osobnih podataka zajamčena člancima 7. i 8. Povelje, s obzirom na to da odstupanja od načela zaštite takvih podataka i njegova ograničenja treba predvidjeti u granicama onog što je nužno (vidjeti u tom smislu presudu od 11. prosinca 2019., Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, t. 46. i 47.).

111

Međutim, kao što proizlazi iz prakse država članica, svaka od njih raspolaže velikim brojem metoda, među kojima je i suzbijanje počinjenja prometnih prekršaja odvraćajućim mjerama, posebno oduzimanjem prava na upravljanje vozilom dotičnim vozačima, pri čemu se i samo kršenje takve zabrane može sankcionirati djelotvornim kaznama a da donošenje takvih mjera nije potrebno javno priopćiti. Iz te prakse proizlazi i da je osim toga moguće poduzeti brojne preventivne mjere, od kampanja podizanja kolektivne svijesti do donošenja pojedinačnih mjera kako bi se vozač prisilio na to da pohađa osposobljavanja i polaže ispite, a da pritom donošenje takvih pojedinačnih mjera nije potrebno javno priopćiti. Međutim, iz spisa kojim Sud raspolaže ne proizlazi da su se takve mjere razmatrale i da im je latvijski zakonodavac dao prednost umjesto donošenja propisa o kojem je riječ u glavnom postupku.

112

Također, kao što je istaknuto u točki 92. ove presude, javno priopćavanje osobnih podataka o prometnim prekršajima, uključujući podataka o kaznenim bodovima izrečenima zbog počinjenja tih prekršaja, može činiti ozbiljno zadiranje u temeljna prava na poštovanje privatnosti i na zaštitu osobnih podataka s obzirom na to da može izazvati društvenu osudu i dovesti do stigmatizacije odnosne osobe.

113

Imajući u vidu, s jedne strane, osjetljivost predmetnih podataka i ozbiljnost tog zadiranja u temeljna prava na poštovanje privatnosti i na zaštitu osobnih podataka ispitanika te, s druge strane, činjenicu da, imajući u vidu zaključke navedene u točki 111. ove presude, nije izgledno da se cilj poboljšanja sigurnosti cestovnog prometa razumno ne može na jednako učinkovit način postići drugim sredstvima kojima se manje zadire u ta prava, ne može se smatrati da je dokazana nužnost, za postizanje tog cilja, takvog sustava priopćavanja osobnih podataka o kaznenim bodovima izrečenima za prometne prekršaje (vidjeti po analogiji presudu od 9. studenoga 2010., Volker und Markus Schecke i Eifert, C‑92/09 i C‑93/09, EU:C:2010:662, t. 86.).

114

Dakle, iako može biti opravdano razlikovati vozače koji sustavno i zlonamjerno krše pravila u području cestovnog prometa od vozača koji povremeno čine kažnjiva djela, ipak se ne može smatrati da identifikacija prve kategorije tih vozača mora biti, radi poboljšanja sigurnosti cestovnog prometa, provedena od strane šire javnosti ili s njome podijeljena, tako da se čak može sumnjati u mogućnost da se propisom iz glavnog postupka postigne prvi od ciljeva spomenutih u točki 107. ove presude.

115

Uostalom, iz spisa kojim Sud raspolaže proizlazi da CSDD javno priopćava ne samo podatke o kaznenim bodovima izrečenima vozačima koji sustavno i zlonamjerno krše pravila u području cestovnog prometa nego i podatke o kaznenim bodovima izrečenima vozačima koji povremeno čine kažnjiva djela. Očito je dakle da predviđajući opći pristup javnosti kaznenim bodovima propis iz glavnog postupka u svakom slučaju prelazi ono što je nužno za postizanje cilja suzbijanja sustavnog i zlonamjernog kršenja pravila u području cestovnog prometa.

116

Kada je riječ o drugom cilju propisa iz glavnog postupka, na koji se podsjeća u točki 107. ove presude, iz navedenog spisa proizlazi da iako se u Latviji mogao zamijetiti pozitivan trend smanjivanja broja prometnih nezgoda, ništa ne navodi na zaključak da je taj trend povezan s otkrivanjem informacija o kaznenim bodovima, a ne s uspostavom samog sustava kaznenih bodova.

117

Zaključak naveden u točki 113. ove presude ne pobija činjenica da CSDD u praksi uvjetuje priopćavanje predmetnih osobnih podataka time da tražitelj navede nacionalni identifikacijski broj vozača o kojem se želi informirati.

118

Naime, čak i pod pretpostavkom da, kako je to navela latvijska vlada, priopćavanje nacionalnih identifikacijskih brojeva od strane javnih institucija koje vode registre stanovništva podliježe strogim zahtjevima i da samim time zadovoljava članak 87. GDPR‑a, ostaje činjenica da propis iz glavnog postupka, kako ga primjenjuje CSDD, omogućava svakoj osobi koja zna nacionalni identifikacijski broj određenog vozača da dobije, bez ikakvog drugog uvjeta, osobne podatke o kaznenim bodovima izrečenima tom vozaču. Takav sustav otkrivanja može dovesti do situacije u kojoj se ti podaci daju osobama koje se zbog razloga koji nemaju veze s ciljem od općeg interesa u pogledu poboljšanja sigurnosti cestovnog prometa pokušavaju informirati o kaznenim bodovima izrečenima određenoj osobi.

119

Zaključak naveden u točki 113. ove presude ne pobija ni činjenica da je Nacionalni registar vozila i njihovih vozača službeni dokument u smislu članka 86. GDPR‑a.

120

Naime, iako javni pristup službenim dokumentima predstavlja, kao što to proizlazi iz uvodne izjave 154. te uredbe, javni interes koji može opravdati priopćavanje osobnih podataka navedenih u takvim dokumentima, taj pristup ipak treba uskladiti s temeljnim pravima na poštovanje privatnosti i na zaštitu osobnih podataka, što uostalom izričito zahtijeva navedeni članak 86. Međutim, imajući posebno u vidu osjetljivost podataka o kaznenim bodovima izrečenima za prometne prekršaje i ozbiljnost zadiranja u temeljna prava na poštovanje privatnosti i na zaštitu osobnih podataka dotičnih osoba koje otkrivanje tih podataka izaziva, valja zaključiti da ta prava imaju prednost pred interesom javnosti za pristup tim službenim dokumentima, među ostalim Nacionalnom registru vozila i njihovih vozača.

121

Nadalje, zbog istog tog razloga, pravo na slobodu informiranja iz članka 85. GDPR‑a ne može se tumačiti na način da ono opravdava da se svim osobama koje to zatraže daju osobni podaci o kaznenim bodovima izrečenima za prometne prekršaje.

122

Slijedom svega navedenog, na drugo pitanje valja odgovoriti tako da odredbe GDPR‑a, osobito članak 5. stavak 1., članak 6. stavak 1. točku (e) i članak 10., treba tumačiti na način da im se protivi nacionalni propis koji obvezuje javno tijelo nadležno za registar u koji se upisuju kazneni bodovi koji su izrečeni vozačima za prometne prekršaje da te podatke učini javno dostupnima, pri čemu osoba koja traži pristup ne mora opravdati poseban interes za dobivanje tih podataka.

123

Svojim trećim pitanjem sud koji je uputio zahtjev u biti pita treba li odredbe GDPR‑a, osobito njegov članak 5. stavak 1. točku (b) i njegov članak 10. te članak 1. stavak 2. točku (cc) Direktive 2003/98 tumačiti na način da im se protivi nacionalni propis koji ovlašćuje javno tijelo nadležno za registar u koji se upisuju kazneni bodovi koji su izrečeni vozačima za prometne prekršaje da te podatke dostavi gospodarskim subjektima radi ponovne uporabe.

124

Kao što to naglašava sud koji je uputio zahtjev, to pitanje proizlazi iz činjenice da CSDD s gospodarskim subjektima sklapa ugovore na temelju kojih im dostavlja osobne podatke o kaznenim bodovima upisane u Nacionalni registar vozila i njihovih vozača, tako da, među ostalim, svaka osoba koja se želi informirati o kaznenim bodovima izrečenima nekom vozaču može te podatke dobiti ne samo od CSDD‑a već i od tih gospodarskih subjekata.

125

Iz odgovora na drugo pitanje proizlazi da odredbe GDPR‑a, osobito članak 5. stavak 1., članak 6. stavak 1. točku (e) i članak 10., treba tumačiti na način da im se protivi nacionalni propis koji obvezuje javno tijelo nadležno za registar u koji se upisuju kazneni bodovi koji su izrečeni vozačima za prometne prekršaje da te podatke učini javno dostupnima, pri čemu osoba koja traži pristup ne mora opravdati poseban interes za dobivanje tih podataka.

126

Navedene odredbe treba tumačiti, zbog istih razloga kao što su oni izneseni u odgovoru na drugo pitanje, na način da im se protivi i nacionalni propis koji ovlašćuje javno tijelo da podatke te vrste dostavi gospodarskim subjektima kako bi ih potonji mogli ponovno upotrebljavati i javno priopćiti.

127

Konačno, kada je riječ o članku 1. stavku 2. točki (cc) Direktive 2003/98, koji se također spominje u trećem postavljenom pitanju, treba reći da, kao što je to nezavisni odvjetnik istaknuo u točkama 128. i 129. svojeg mišljenja, ta odredba nije relevantna za utvrđivanje protivi li se pravilima prava Unije u području zaštite osobnih podataka propis poput onog iz glavnog postupka.

128

Naime, neovisno o tome ulaze li u područje primjene Direktive 2003/98 podaci o kaznenim bodovima koji su izrečeni vozačima za prometne prekršaje, doseg zaštite tih podataka u svakom slučaju treba odrediti na temelju GDPR‑a, kao što to proizlazi, s jedne strane, iz uvodne izjave 154. te uredbe i, s druge strane, uvodne izjave 21. i članka 1. stavka 4. te direktive u vezi s člankom 94. stavkom 2. GDPR‑a, s obzirom na to da članak 1. stavak 4. navedene direktive u bitnome određuje da ona ne dovodi u pitanje i ni na koji način ne utječe na razinu zaštite osoba u vezi s obradom osobnih podataka, među ostalim zajamčenu pravom Unije, te konkretno ni na koji način ne mijenja prava i obveze predviđene GDPR‑om.

129

Slijedom navedenog, na treće pitanje valja odgovoriti tako da odredbe GDPR‑a, osobito članak 5. stavak 1., članak 6. stavak 1. točku (e) i članak 10., treba tumačiti na način da im se protivi nacionalni propis koji ovlašćuje javno tijelo nadležno za registar u koji se upisuju kazneni bodovi koji su izrečeni vozačima za prometne prekršaje da te podatke dostavi gospodarskim subjektima radi ponovne uporabe.

130

Svojim četvrtim pitanjem sud koji je uputio zahtjev u biti pita treba li načelo nadređenosti prava Unije tumačiti na način da mu se protivi to da ustavni sud države članice, postupajući po tužbi protiv nacionalnog propisa za koji je u svjetlu odluke Suda donesene povodom zahtjeva za prethodnu odluku utvrđeno da nije u skladu s pravom Unije, primjenom načela pravne sigurnosti odluči da se pravni učinci tog propisa održavaju do dana donošenja presude kojom će konačno odlučiti o toj ustavnoj tužbi.

131

Kao što proizlazi iz odluke kojom se upućuje zahtjev, to se pitanje postavlja zbog velikog broja pravnih odnosa na koje utječe nacionalni propis iz glavnog postupka i zbog činjenice da, u skladu s člankom 32. stavkom 3. Zakona o Ustavnom sudu i povezanom sudskom praksom, sud koji je uputio zahtjev može, u izvršavanju svoje zadaće postizanja ravnoteže između načela pravne sigurnosti i temeljnih prava zainteresiranih osoba, ograničiti retroaktivno djelovanje svojih presuda kako bi izbjegao da se njima ozbiljno ugroze prava drugih osoba.

132

U tom pogledu valja podsjetiti na to da tumačenje koje Sud da pravnom pravilu prava Unije, u izvršavanju nadležnosti koju mu povjerava članak 267. UFEU‑a, objašnjava i precizira značenje i doseg tog pravnog pravila, onako kako ono treba ili je trebalo biti shvaćeno i primijenjeno nakon stupanja na snagu. Samo iznimno Sud može, primjenjujući opće načelo pravne sigurnosti svojstveno pravnom poretku Unije, biti doveden u situaciju da ograniči mogućnost da se zainteresirane osobe pozovu na odredbu koju je protumačio s ciljem dovođenja u pitanje pravnih odnosa ustanovljenih u dobroj vjeri. Dva osnovna kriterija moraju biti ispunjena kako bi se takvo ograničenje moglo uvesti, odnosno dobra vjera zainteresiranih osoba i opasnost od ozbiljnih poremećaja (presude od 6. ožujka 2007., Meilicke, C‑292/04, EU:C:2007:132, t. 34. i 35.; od 22. siječnja 2015., Balazs, C‑401/13 i C‑432/13, EU:C:2015:26, t. 49. i 50. te od 29. rujna 2015., Gmina Wrocław, C‑276/14, EU:C:2015:635, t. 44. i 45.).

133

Prema ustaljenoj praksi Suda, takvo ograničenje može se dopustiti isključivo u samoj presudi kojom se odlučuje o zatraženom tumačenju. Naime, vremenski učinak zatraženog tumačenja koje Sud daje u pogledu odredbe prava Unije mora se nužno odrediti prema jedinstvenom trenutku. Načelom da se ograničenje može prihvatiti isključivo u samoj presudi kojom se odlučuje o traženom tumačenju jamči se jednakost postupanja s državama članicama i ostalim subjektima koji podliježu tom pravu i samim time ispunjavaju se zahtjevi koji proizlaze iz načela pravne sigurnosti (presuda od 6. ožujka 2007., Meilicke, C‑292/04, EU:C:2007:132, t. 36. i 37.; vidjeti u tom smislu presude od 23. listopada 2012., Nelson i dr., C‑581/10 i C‑629/10, EU:C:2012:657, t. 91. te od 7. studenoga 2018., O’Brien, C‑432/17, EU:C:2018:879, t. 34.).

134

Prema tome, vremenski učinci odluke koju Sud donosi o zahtjevu u prethodnom postupku ne mogu ovisiti o datumu donošenja presude kojom sud koji je uputio zahtjev konačno odlučuje o predmetu iz glavnog postupka, pa čak ni o njegovoj ocjeni nužnosti da se očuvaju pravni učinci predmetnog nacionalnog propisa.

135

Naime, u skladu s načelom nadređenosti prava Unije ne može se dopustiti da pravila nacionalnog prava, makar bila i ustavne naravi, ugrožavaju jedinstvo i učinkovitost prava Unije (vidjeti u tom smislu presude od 26. veljače 2013., Melloni, C‑399/11, EU:C:2013:107, t. 59. i od 29. srpnja 2019., Pelham i dr., C‑476/17, EU:C:2019:624, t. 78.). Čak i pod pretpostavkom da važni razlozi pravne sigurnosti iznimno mogu dovesti do privremene suspenzije učinka potiskivanja koji izravno primjenjivo pravilo prava Unije stvara u odnosu na nacionalno pravo koje je s njime u suprotnosti, uvjete takve suspenzije može odrediti samo Sud (vidjeti u tom smislu presudu od 8. rujna 2010., Winner Wetten, C‑409/06, EU:C:2010:503, t. 61. i 67.).

136

U konkretnom slučaju, budući da nije dokazano postojanje opasnosti od ozbiljnih poremećaja zbog tumačenja koje je Sud prihvatio u ovoj presudi, nema potrebe za vremenskim ograničavanjem njezinih učinaka, s obzirom na to da su kriteriji koji se spominju u točki 132. ove presude kumulativni.

137

Slijedom navedenog, na četvrto pitanje valja odgovoriti tako da načelo nadređenosti prava Unije treba tumačiti na način da mu se protivi to da ustavni sud države članice, postupajući po tužbi protiv nacionalnog propisa za koji je u svjetlu odluke Suda donesene povodom zahtjeva za prethodnu odluku utvrđeno da nije u skladu s pravom Unije, primjenom načela pravne sigurnosti odluči da se pravni učinci tog propisa održavaju do dana donošenja presude kojom će konačno odlučiti o toj ustavnoj tužbi.

138

Budući da ovaj postupak ima značaj prethodnog pitanja za stranke glavnog postupka pred sudom koji je uputio zahtjev, na tom je sudu da odluči o troškovima postupka. Troškovi podnošenja očitovanja Sudu, koji nisu troškovi spomenutih stranaka, ne nadoknađuju se.

Slijedom navedenog, Sud (veliko vijeće) odlučuje: