MIŠLJENJE NEZAVISNOG ODVJETNIKA

MICHALA BOBEKA

od 26. siječnja 2017. ( 1 )

Predmet C‑13/16

Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde protiv

Rīgas pašvaldības SIA „Rīgas satiksme”

(Zahtjev za prethodnu odluku koji je uputio Augstākā tiesa, Administratīvo lietu departaments (Vrhovni sud, upravni odjel, Latvija))

„Zahtjev za prethodnu odluku — Osobni podaci — Zakonita obrada podataka — Članak 7. točka (f) Direktive 95/46/EZ — Područje primjene i uvjeti — Obveza ili mogućnost obrade osobnih podataka — Pojam obrade podataka potrebne u svrhe zakonitih interesa nadzornika ili treće stranke“

I. Uvod

1.

Vozač taksija zaustavio je svoje vozilo uz rub ceste u Rigi. Kada je trolejbus društva Rīgas satiksme (u daljnjem tekstu: druga stranka u postupku) prolazio pored tog taksija, putnik u taksiju iznenadno je otvorio vrata. Došlo je do sudara u kojem je trolejbus oštećen. Tužitelj je od policije (u daljnjem tekstu: žalitelj) zatražio da mu otkrije podatke o identitetu tog putnika. Tužitelj je od njega htio tražiti naknadu štete pred građanskim sudovima. Policija je društvu Rīgas satiksme tužitelju dala samo putnikovo ime. Odbila mu je dati njegov identifikacijski broj i adresu.

2.

S obzirom na taj činjenični kontekst, sud koji je uputio zahtjev pita nameće li članak 7. točka (f) Direktive 95/46/EZ (u daljnjem tekstu: Direktiva) ( 2 ) obvezu otkrivanja osobnih podataka potrebnih za pokretanje građanskog postupka protiv osobe koja je navodno odgovorna za upravni prekršaj. Također pita mijenja li se odgovor na to pitanje ako je dotična osoba maloljetna.

II. Pravni okvir

A. Pravo Unije

1.   Povelja Europske unije o temeljnim pravima

3.

U članku 7. predviđeno je da „[s]vatko ima pravo na poštovanje svojeg privatnog i obiteljskog života, doma i komuniciranja”.

4.

U skladu s člankom 8.:

„1.   Svatko ima pravo na zaštitu osobnih podataka koji se na njega ili nju odnose.

2.   Takvi podaci moraju se obrađivati pošteno, u utvrđene svrhe i na temelju suglasnosti osobe o kojoj je riječ, ili na nekoj drugoj legitimnoj osnovi utvrđenoj zakonom. Svatko ima pravo na pristup prikupljenim podacima koji se na njega ili nju odnose i pravo na njihovo ispravljanje.

3.   Poštovanje tih pravila podliježe nadzoru neovisnog tijela.”

2.   Ugovor o funkcioniranju Europske unije

5.

U članku 16. stavku 1. UFEU‑a predviđeno je da „[s]vatko ima pravo na zaštitu svojih osobnih podataka”.

3.   Direktiva br. 95/46 o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka

6.

U članku 2. utvrđeno je nekoliko definicija za potrebe Direktive.

„(a)

‚osobni podaci’ znači bilo koji podaci koji se odnose na utvrđenu fizičku osobu ili fizičku osobu koju se može utvrditi (‚osoba čiji se podaci obrađuju’); osoba koja se može utvrditi je osoba čiji je identitet moguće utvrditi, izravno ili neizravno, a posebno navođenjem identifikacijskog broja ili jednog ili više činitelja značajnih za nje[zin] fizički, fiziološki, mentalni, gospodarski, kulturni ili socijalni identitet;

(b)

‚obrada osobnih podataka’ (‚obrada’) znači bilo koji postupak ili skup postupaka koji se provode nad osobnim podacima, bilo automatskim putem ili ne, kao što je prikupljanje, snimanje, organiziranje, pohrana, prilagođavanje ili mijenjanje, vraćanje, obavljanje uvida, uporaba, otkrivanje prijenosom i širenjem ili stavljanje na raspolaganje drugim načinom, poravnavanje ili kombiniranje, blokiranje, brisanje ili uništavanje;

[…]

(f)

‚treća stranka’ znači bilo koja fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo osim osobe čiji se podaci obrađuju, nadzornika, obrađivača i osoba koje su na temelju izravne ovlasti nadzornika ili obrađivača ovlaštene obrađivati podatke;

[…]”

7.

U članku 5., koji se nalazi u poglavlju 5. naslovljenom „Opća pravila o zakonitosti obrade osobnih podataka”, predviđeno je da „[d]ržave članice u granicama odredbi ovog poglavlja podrobno utvrđuju uvjete pod kojima je obrada podataka zakonita”.

8.

U članku 6. stavku 1. navodi se da „[d]ržave članice osiguravaju da su osobni podaci:

[…]

(c)

prikladni, relevantni i da nisu pretjerani u odnosu na svrhu zbog koje se prikupljaju i/ili dalje obrađuju;

[…].”

9.

U članku 7. predviđeno je da „[d]ržave članice osiguravaju da se osobni podaci mogu obrađivati jedino ako:

(a)

je osoba čiji se podaci obrađuju nedvosmisleno dala svoju suglasnost; ili

(b)

je obrada potrebna za izvršavanje ugovora kojem je osoba čiji se podaci obrađuju stranka ili kako bi se poduzele mjere na zahtjev osobe čiji se podaci obrađuju prije sklapanja ugovora; ili

(c)

je obrada potrebna za sukladnost sa zakonskom obvezom kojoj nadzornik podliježe; ili

(d)

je obrada potrebna kako bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju; ili

(e)

je obrada potrebna za izvršavanje zadatka koji se provodi zbog javnog interesa ili pri izvršavanju javne ovlasti koju ima nadzornik ili treća stranka kojoj se podaci otkrivaju; ili

(f)

je obrada potrebna u svrhe zakonitog interesa kojeg ima nadzornik ili treća stranka ili stranke kojima se podaci otkrivaju, osim kada su ti podaci podređeni interesu za temeljna prava i slobode osobe čiji se podaci obrađuju koja zahtijeva zaštitu na temelju članka 1. stavka 1. ove Direktive.”

10.

Članak 8. načelno zabranjuje obradu posebnih vrsta podataka, kao što su osobni podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja. Međutim, predviđa nekoliko iznimki.

11.

Osobito, zabrana se, u skladu s člankom 8. stavkom 2. točkom (e), ne primjenjuje kada je „obrada […] potrebna radi uspostave, provedbe ili obrane pravnih zahtjeva”.

12.

U članku 8. stavku 5. predviđeno je da:

„[…] Države članice mogu propisati da se podaci koji se odnose na upravne sankcije ili presude u građanskim stvarima također mogu obrađivati pod nadzorom službenog tijela”.

13.

U skladu s člankom 8. stavkom 7., „[d]ržave članice utvrđuju uvjete pod kojima se obrađuje nacionalni identifikacijski broj ili bilo koji drugi način identifikacije za opću uporabu”.

14.

U skladu s člankom 14., „[d]ržave članice odobravaju osobi čiji se podaci obrađuju pravo:

(a)

barem u slučajevima iz članka 7. stavaka (e) i (f) ove Direktive, da prigovori u bilo kojem trenutku zbog jakih i zakonitih razloga u vezi njezine određene situacije na obradu podataka koji se odnose na nju, osim kada je drugačije propisano nacionalnim zakonodavstvom. Ako je prigovor osnovan, obrada koju je započeo nadzornik ne smije više obuhvaćati te podatke.

[…]”

15.

Direktiva je nedavno stavljena izvan snage Uredbom (EU) 2016/679 (u daljnjem tekstu: Nova uredba) ( 3 ). Ta je uredba stupila na snagu 24. svibnja 2016. Međutim, Nova uredba će se početi primjenjivati tek 25. svibnja 2018.

B. Nacionalno pravo

16.

Članak 7. Fizisko personu datu aizsardzības likums (Zakon o zaštiti osobnih podataka) glasi slično članku 7. Direktive. Predviđa da se osobni podaci, osim ako je drukčije predviđeno zakonom, mogu obrađivati jedino ako je ispunjen jedan od sljedećih zahtjeva:

1.

osoba čiji se podaci obrađuju nedvosmisleno je dala svoju suglasnost;

2.

obrada je potrebna za izvršavanje ugovornih obveza osobe čiji se podaci obrađuju ili u svrhu sklapanja ugovora o kojem je riječ, na zahtjev osobe čiji se podaci obrađuju;

3.

obrada je potrebna za sukladnost sa zakonskom obvezom kojoj nadzornik podliježe;

4.

obrada je potrebna kako bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju, uključujući njezino zdravlje i život;

5.

obrada je potrebna za izvršavanje zadatka koji se provodi zbog javnog interesa ili pri izvršavanju javne ovlasti koju ima nadzornik ili treća stranka kojoj se podaci otkrivaju;

6.

obrada je potrebna u svrhe zakonitog interesa nadzornika ili treće stranke kojoj se podaci otkrivaju, uz poštovanje temeljnih prava i sloboda osobe čiji se podaci obrađuju.

III. Spor u glavnom postupku i pitanja upućena Sudu

17.

U prosincu 2012. u Rigi se dogodila prometna nesreća. Vozač taksija zaustavio je svoje vozilo uz rub ceste. Dok je trolejbus društva Rīgas satiksme prolazio pored taksija, putnik u tom taksiju otvorio je vrata koja su udarila i oštetila trolejbus. Sastavljeno je izvješće u kojem je zaključeno da je počinjen upravni prekršaj.

18.

Budući da je mislilo da je vozač taksija odgovoran za nesreću, društvo Rīgas satiksme prvotno je tražilo naknadu štete od osiguravatelja koji je pokrivao građansku odgovornost vlasnika taksija. Međutim, osiguravatelj je obavijestio društvo Rīgas satiksme da mu neće isplatiti nikakvu naknadu štete jer za nesreću nije bio odgovoran vozač taksija nego putnik, protiv kojeg je društvo Rīgas satiksme moglo pokrenuti građanski postupak.

19.

Društvo Rīgas satiksme podnijelo je zahtjev Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvaldes Satiksmes administratīvo pārkāpumu izskatīšanas birojs (Ured za upravne prekršaje u vezi prometa Odjela policije za održavanje reda Odjela državne policije Općine Riga) (u daljnjem tektsu: policija). Zatražilo je podatke o osobi kojoj je izrečena upravna kazna za predmetnu nesreću. Točnije, zatražilo je ime, broj identifikacijskog dokumenta i adresu putnika u taksiju, kao i preslike dokumenata s objašnjenjima koje su vozač taksija i putnik dali u vezi okolnosti nesreće. Društvo Rīgas satiksme navelo je policiji da će se zatraženi podaci upotrijebiti samo za potrebe pokretanja građanskog postupka protiv te osobe.

20.

Policija je samo djelomično udovoljila zahtjevu društva Rīgas satiksme. Pružila mu je samo ime putnika u taksiju. Nije mu otkrila broj identifikacijskog dokumenta niti adresu te osobe. Osim toga, nije mu pružila objašnjenja koja su dale osobe koje su sudjelovale u nesreći.

21.

Policija je u svojoj odluci navela da se dokumenti iz spisa upravnog postupka u kojem su izrečene upravne sankcije mogu dostaviti samo strankama tog postupka. Društvo Rīgas satiksme nije bilo stranka u tom postupku. Osim toga, kada je riječ o broju identifikacijskog dokumenta i adresi, Datu valsts inspekcija (latvijska agencija za zaštitu podataka) zabranjuje otkrivanje takvih podataka ako se odnose na pojedince.

22.

U skladu s člankom 261. Latvijas Administratīvo pārkāpumu kodekss (Latvijski zakonik o upravnim prekršajima), u upravnom postupku u kojem su izrečene sankcije, osobi se, na njezin izričit zahtjev, može odobriti status oštećenika. Društvo Rīgas satiksme u predmetnom upravnom postupku nije zatražilo status oštećenika.

23.

Društvo Rīgas satiksme je protiv policije pokrenulo upravni postupak jer mu nije otkrila broj identifikacijskog dokumenta i adresu putnika.

24.

Administratīvā rajona tiesa (Općinski upravni sud) presudom od 16. svibnja 2014. prihvatio je tužbu društva Rīgas satiksme. Naložio je policiji da pruži podatke zatražene u zahtjevu, odnosno broj identifikacijskog dokumenta i adresu putnika.

25.

Policija je protiv te presude podnijela žalbu Augstākā tiesa (Vrhovni sud, Latvija), odnosno sudu koji je uputio zahtjev u ovom predmetu. Taj je sud prvo zatražio mišljenje latvijske agencije za zaštitu podataka. Ta je agencija navela da se, u ovom konkretnom predmetu, traženi podaci ne mogu pružiti na temelju članka 7. točke 6. Zakona o zaštiti osobnih podataka jer su u Zakoniku o upravnim prekršajima navedene fizičke ili pravne osobe kojima policija može poslati podatke koji se odnose na predmet. Stoga se podaci povezani s upravnim postupkom u kojem su izrečene sankcije mogu otkriti samo u skladu s točkama 3. i 5. tog članka. Osim toga, članak 7. tog zakona ne obvezuje nadzornika podataka (u ovom je slučaju to policija) da obradi podatke, samo mu to dopušta.

26.

Latvijska agencija za zaštitu podataka također je navela da društvo Rīgas satiksme može predmetne podatke dobiti na druge načine: podnošenjem obrazloženog zahtjeva Iedzīvotāju reģistrs (matični ured) ili, u skladu s člancima 98., 99. i 100. Civilprocesa likums (latvijski zakon o građanskom postupku), podnošenjem zahtjeva sudovima radi predočenja dokaza. Sud o kojem je riječ tada može policiji naložiti da otkrije osobne podatke koji su društvu Rīgas satiksme potrebni kako bi pokrenulo građanski postupak protiv dotične osobe.

27.

Sud koji je uputio zahtjev izražava sumnje u pogledu alternativnih načina dobivanja osobnih podataka koje navodi latvijska agencija za zaštitu podataka. Ako se matičnom uredu podnese zahtjev u kojem se spominje samo ime putnika taksija, moguće je da će mnogo ljudi dijeliti to ime. Tada se identitet dotične osobe može utvrditi samo pomoću dodatnih podataka, poput onih koji su zatraženi u predmetnom slučaju (broj identifikacijskog dokumenta i adresa). Nadalje, latvijska agencija za zaštitu podataka uputila je na odredbe Zakona o građanskom postupku koje se odnose na predočenje dokaza. U skladu s člankom 128. tog zakona, u podnesenom zahtjevu potrebno je navesti ime i broj identifikacijskog dokumenta tuženika (ako su poznati), kao i njegovo boravište i dodatnu adresu navedenu u matičnom registru građana ili, ako ona nije poznata, njegovu adresu dostave. Dakle, tužitelj bi morao znati barem mjesto tuženikova boravišta.

28.

Stoga, sud koji je uputio zahtjev smatra da su alternativni načini dobivanja osobnih podataka nejasni i neučinkoviti. Zato je moguće da društvo Rīgas satiksme, kako bi ostvarilo svoje zakonite interese, mora zatražene osobne podatke dobiti od policije.

29.

Sud koji je uputio zahtjev izražava sumnje i u pogledu tumačenja izraza „potrebna” u članku 7. točki (f) Direktive te smatra da je to tumačenje ključno za ishod postupka.

30.

Stoga je Augstākās tiesas (Administratīvo lietu departaments) (Vrhovni sud (upravni odjel), Latvija) odlučio prekinuti postupak i Sudu uputiti sljedeća prethodna pitanja:

„Treba li izraz ,potrebna u svrhe zakonitog interesa koji ima […] treća stranka ili stranke kojima se podaci otkrivaju’, iz članka 7. točke (f) Direktive 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka, tumačiti na način da je državna policija dužna otkriti društvu Rīgas satiksme osobne podatke koje potonje zahtijeva, a koji su nužni radi podnošenja građanskopravne tužbe? Utječe li na odgovor na prethodno pitanje činjenica da je, kako se navodi u dokumentima iz spisa, putnik u taksiju čije podatke društvo Rīgas satiksme nastoji prikupiti u trenutku nesreće bio maloljetan?”

31.

Pisana očitovanja podnijeli su društvo Rīgas satiksme, Komisija, češka, španjolska, latvijska, austrijska i portugalska vlada. Komisija i latvijska vlada iznijele su usmena očitovanja na raspravi održanoj 24. studenoga 2016.

IV. Ocjena

32.

Sud koji je uputio zahtjev u biti pita nameće li Direktiva nadzorniku podataka obvezu da otkrije podatke koji omogućuju identifikaciju osobe koja je navodno odgovorna za upravni prekršaj, kako bi društvo Rīgas satiksme moglo pokrenuti građanski postupak.

33.

Moj kratak odgovor na to konkretno pitanje suda koji je uputio zahtjev glasi „ne”. Sama Direktiva ne nameće takvu obvezu. Ona samo predviđa mogućnost (u smislu dopuštenja ili ovlaštenja) da se to učini, ako je ispunjeno nekoliko uvjeta. Mogućnost izvršenja određene radnje na temelju pravnog propisa nije isto što i obveza izvršenja te radnje.

34.

Međutim, u kontekstu činjeničnog stanja ovog predmeta, nije samo to problem. Od Suda se također, barem djelomično, to jest u vezi podataka koji su doista pruženi, zahtijeva da odredi uvjete primjene članka 7. točke (f) Direktive te narav i opseg osobnih podataka koje tražitelj podataka može dobiti na temelju te odredbe.

35.

Stoga je ovo mišljenje strukturirano na sljedeći način: prvo objašnjavam zašto smatram da Direktiva subjektu koji posjeduje podatke ne nameće obvezu njihova otkrivanja (poglavlje A). Potom, kako bih sudu koji je uputio zahtjev pružio cjelovit i koristan odgovor u ovom predmetu, navodim uvjete primjene članka 7. točke (f) Direktive te narav i opseg osobnih podataka koji se mogu otkriti ako su uvjeti ispunjeni (poglavlje B).

A. Obveza otkrivanja podataka

36.

Sud koji je uputio zahtjev pita predviđa li članak 7. točka (f) Direktive da se osobni podaci moraju otkriti za potrebe pokretanja građanskog postupka. Drugim riječima, taj sud pita nameće li sama Direktiva obvezu otkrivanja tih osobnih podataka

37.

Po mojemu mišljenju, takva obveza ne proizlazi iz same Direktive. To se može nedvojbeno zaključiti na temelju teksta i strukture, kao i iz same svrhe Direktive.

38.

Ako prvo sagledamo strukturu i smisao Direktive, opće je pravilo Direktive da se osobni podaci načelno ne bi trebali obrađivati kako bi se osigurala visoka razina zaštite privatnosti ( 4 ). Obrada osobnih podataka ostaje, po svojoj naravi, relativno iznimna pojava.

39.

Članak 7. dio je te strukture. U njemu je naveden popis iznimki od općeg pravila, pri čemu je obrada opravdana samo u točno određenim uvjetima. Stoga, kategorije iz članka 7. predstavljaju iznimke od općeg pravila.

40.

S obzirom na navedeno, tekst članka 7. jasno potvrđuje da se navedene kategorije moraju tretirati tek kao mogućnost obrade osobnih podataka, a ne kao obveza, kada postoje okolnosti koje spadaju pod neku od pravnih iznimki. U skladu s tom odredbom, „[d]ržave članice osiguravaju da se osobni podaci mogu obrađivati jedino ako […]” ( 5 ). Ta formulacija, koja se koristi i u drugim jezičnim verzijama ( 6 ), jasno pokazuje da iznimke predviđene u članku 7. doista predstavljaju iznimke. Ne mogu se tumačiti kao obveza obrade osobnih podataka.

41.

Činjenica da barem neke od iznimki u članku 7. imaju izravan učinak ( 7 ) ne mijenja prethodni zaključak. One, kao takve, ne daju pravo na dobivanje podataka onima koji ih traže, niti nameću posljedičnu obvezu njihova otkrivanja onima koji te podatke posjeduju. Umjesto toga, u članku 7. predviđena su opća pravila kako bi obrađivač podataka odredio kada, ako, na koji način te u kojoj mjeri može obraditi osobne podatke koje je prikupio.

42.

Naposljetku, opća je svrha Direktive određivanje zajedničkih granica, na razini Unije, u pogledu obrade osobnih podataka. Konkretne pojedinačne osnove i razlozi za obradu utvrđuju se u nacionalnom pravu ili u drugim pravnim instrumentima Unije. Drugim riječima, Direktiva predviđa granice u pogledu obrade osobnih podataka, a ne razloge za tu obradu.

43.

Dakle, iz teksta, strukture, smisla i svrhe Direktive prilično jasno proizlazi da se članak 7. točka (f) Direktive ne može tumačiti na način da, sam po sebi, predviđa obvezu otkrivanja osobnih podataka.

44.

U širem sustavnom i sporednom smislu, valja dodati da slična struktura nipošto nije neuobičajena ni u drugim područjima prava Unije u kojima se instrumenti sekundarnog prava Unije izravno ili neizravno odnose na osobne podatke.

45.

Primjerice, ni Direktiva 2002/58/EZ o privatnosti i elektroničkim komunikacijama ( 8 ), koja nadopunjava Direktivu 95/46 u pogledu sektora elektroničkih komunikacija, ne sadržava obvezu otkrivanja podataka. Sud je u presudi Promusicae jasno dao do znanja da Direktiva 2002/58 ne sprečava niti obvezuje države članice da propišu obvezu otkrivanja osobnih podataka u kontekstu građanskog postupka ( 9 ). Stoga, države članice slobodno odlučuju što će u tom pogledu učiniti. Takva obveza nije nužna posljedica prava Unije.

46.

Slično tomu, Sud je zaključio da ni druge direktive ( 10 ), koje dotiču pitanje osobnih podataka, ali im je glavni cilj osiguravanje djelotvorne zaštite intelektualnog vlasništva u informacijskom društvu ( 11 ), ne zahtijevaju od država članica da propišu obvezu otkrivanja osobnih podataka kako bi se osigurala djelotvorna zaštita autorskih prava u kontekstu građanskog postupka ( 12 ).

B. Mogućnost otkrivanja podataka

47.

Kako je istaknuo sud koji je uputio zahtjev, druga stranka u postupku je doista dobila neke osobne podatke: ime i prezime dotične osobe. Ostatak njezina zahtjeva je odbijen. To je vjerojatno učinjeno na temelju nacionalnog prava.

48.

Stoga, te u pogledu osobnih podataka koji su doista otkriveni, relevantno pitanje glasi je li otkrivanje tih podataka bilo u skladu s člankom 7. Direktive.

49.

Međutim, treba jasno naglasiti da se sljedeći dio ovog mišljenja odnosi na mogućnost otkrivanja osobnih podataka u situaciji poput one iz glavnog postupka, pod uvjetom da nacionalno pravo predviđa pravnu osnovu za takvo otkrivanje. Drugim riječima, koja ograničenja pravo Unije predviđa za otkrivanje osobnih podataka u takvoj situaciji? Ako je u nacionalnom pravu predviđeno da se osobni podaci mogu otkriti u sličnoj situaciji, je li takvo otkrivanje u skladu s člankom 7. točkom (f) Direktive?

50.

Po mojemu mišljenju, u situaciji poput one iz glavnog postupka, otkrivanje osobnih podataka u opsegu i mjeri koja bi oštećenoj strani omogućila da pokrene građanski postupak potpuno je u skladu s člankom 7. točkom (f) Direktive.

51.

Stoga, u ovom ću poglavlju, kao prvo, razmotriti koja odredba Direktive predstavlja prikladnu pravnu osnovu za obradu osobnih podataka u sličnoj situaciji. Kao drugo, odredit ću uvjete primjene članka 7. točke (f) Direktive. Kao treće, ocijenit ću predmetni slučaj s obzirom na te uvjete.

1. Prikladna pravna osnova prema članku 7. Direktive

52.

Uvodno je pitanje, o kojem se govorilo i u pisanim i usmenim očitovanjima, koja se točka članka 7. Direktive treba primijeniti u situaciji poput one iz glavnog postupka.

53.

Većina stranaka i intervenijenata oslanjala se na članak 7. točku (f), na koju se pozivao sud koji je uputio zahtjev. Međutim, austrijska vlada u svojim je očitovanjima navela da članak 7. točka (f) Direktive nije pravilna pravna osnova, čak ni za potrebe pokretanja građanskog postupka. Razlog tomu je taj što je u toj točki navodno predviđen suviše apstraktan i nejasan razlog za obradu podataka. Ona stoga ne može opravdati takvo zadiranje u pravo na zaštitu podataka.

54.

Komisija se u svojim pisanim očitovanjima usredotočila na članak 7. točku (f). Međutim, u svojim usmenim očitovanjima također je navela da bi se na obradu podataka poput one iz glavnog postupka mogao primjenjivati članak 7. točke (c) ili (e) Direktive.

55.

Članak 7. Direktive predviđa različite pravne osnove za zakonitu obradu podataka, na način da razlikuje šest mogućih slučajeva. Da bi se ti podaci mogli obraditi, moraju spadati u barem jednu od kategorija iz članka 7. Međutim, jasno je da su područje primjene i smisao tih odredbi različiti.

56.

U širem, općem smislu, članak 7. sadržava tri vrste iznimki kada je obrada osobnih podataka zakonita: kao prvo, kada je osoba čiji se podaci obrađuju dala svoju suglasnost (članak 7. točka (a)), kao drugo, kada se u određenoj mjeri pretpostavlja da nadzornik ili treće stranke imaju zakonite interese za obradu podataka (članak 7. točke (b) do (e)), te, kao treće, kada se postojanje suprotstavljenih zakonitih interesa ne mora samo dokazati, nego ti interesi moraju imati prednost pred pravima i slobodama osobe čiji se podaci obrađuju (članak 7. točka (f)).

57.

Dakle, područje primjene članka 7. točke (f) šire je od područja primjene članka 7. točke (c) ili članka 7. točke (e). Prvonavedena odredba nije povezana s posebnim pravnim ili činjeničnim okolnostima, nego je vrlo općenito formulirana. Međutim, njezina primjena je stroža jer ovisi o stvarnom postojanju zakonitih interesa nadzornika ili treće stranke koji imaju prednost pred interesima osobe čiji se podaci obrađuju, što članak 7. točke (c) ili (e) ne zahtijevaju.

58.

Međutim, ako zanemarimo akademske rasprave, potrebno je istaknuti dvije stvari. Kao prvo, iznimke u članku 7. međusobno se ne isključuju. Stoga, na određeno činjenično stanje potencijalno se mogu primijeniti dvije ili sve tri iznimke ( 13 ). Kao drugo, unatoč tomu što se donekle razlikuju u načinu na koji su formulirane, praktična razlika u njihovoj primjeni vjerojatno će biti poprilično malena, pod uvjetom da postoji jasno oblikovan i vjerodostojan zakoniti interes.

59.

Imajući na umu te napomene, ali vodeći se nacionalnim sudom -koji je u potpunosti upoznat s činjeničnim stanjem u predmetu i nacionalnim pravom, kako ga je izložio u svojem pitanju, te koji ističe da se primjenjuje iznimka u članku 7. točke (f) Direktive - smatram da Sud svoju ocjenu treba na tome temeljiti.

2. Uvjeti i područje primjene članka 7. točke (f) Direktive

60.

Članak 7. točka (f) sadržava dva kumulativna uvjeta. Oba moraju biti ispunjena kako bi obrada osobnih podataka bila zakonita: kao prvo, obrada osobnih podataka mora biti potrebna u svrhe zakonitih interesa koje ima nadzornik ili treća stranka ili stranke kojima se podaci otkrivaju. Kao drugo, takvi interesi ne smiju biti podređeni temeljnim pravima i slobodama osobe čiji se podaci obrađuju ( 14 ).

61.

Drugim uvjetom nastoje se izbalansirati uključeni interesi. Prvi se u didaktičke svrhe zapravo može podijeliti na dva poduvjeta: sam legitiman interes, s jedne strane, i „potreba” obrade, koja predstavlja oblik proporcionalnosti, s druge.

62.

Dakle, moraju biti tri elementa za potrebe članka 7. točke (f): postojanje zakonitog interesa koji opravdava obradu podataka (a); prednost tog interesa pred pravima i interesima osobe čiji se podaci obrađuju (balansiranje interesa) (b); te potreba obrade za ostvarenje zakonitih interesa (c).

(a) Zakoniti interes

63.

Kao prvo, u skladu s člankom 7. točkom (f) Direktive, obrada ovisi o postojanju zakonitih interesa nadzornika podataka ili treće stranke.

64.

Direktiva ne definira zakonite interese ( 15 ). Stoga, nadzornik ili obrađivač podataka moraju, pod nadzorom nacionalnih sudova, utvrditi postoji li zakoniti interes koji može opravdati zadiranje u privatni život.

65.

Sud je već zaključio da transparentnost ( 16 ) ili zaštita vlasništva, zdravlja i obiteljskog života ( 17 ) predstavljaju zakonite interese. Pojam zakonitih interesa dovoljno je fleksibilan da obuhvati i druge vrste potreba. Po mojemu mišljenju, nema sumnje da se interes treće stranke za dobivanje podataka o osobi koja je oštetila njezinu imovinu, kako bi ju tužila radi naknade štete, može smatrati zakonitim interesom.

(b) Balansiranje interesa

66.

Drugi uvjet odnosi se na balansiranje između dvije vrste suprotstavljenih interesa, odnosno između interesa i prava osobe čiji se podaci obrađuju ( 18 ) i interesa nadzornika ili treće stranke. Zahtjev u pogledu balansiranja jasno proizlazi i iz članka 7. točke (f) i iz zakonodavne povijesti Direktive. Što se tiče teksta Direktive, članak 7. točka (f) zahtijeva da se zakoniti interesi same osobe čiji se podaci obrađuju odvažu u odnosu na zakonite interese nadzornika ili treće stranke. Zakonodavna povijest potvrđuje da je balansiranje interesa već bilo predviđeno, na nešto drugačiji način, u Komisijinu prvotnom prijedlogu ( 19 ) te da se spominje u njezinu izmijenjenom prijedlogu podnesenom nakon prvog čitanja u Europskom parlamentu ( 20 ).

67.

Sud je zaključio da primjena članka 7. točke (f) iziskuje balansiranje suprotstavljenih prava i interesa koji su u pitanju. U obzir se mora uzeti važnost prava osobe čiji se podaci obrađuju koja proizlaze iz članaka 7. i 8. Povelje ( 21 ). To balansiranje mora se provesti s obzirom na okolnosti konkretnog slučaja ( 22 ).

68.

Balansiranje je ključno za pravilnu primjenu članka 7. točke (f). Upravo ono čini točku (f) članka 7. potpuno različitom od ostalih odredbi članka 7. Ono uvijek ovisi o okolnostima konkretnog slučaja. Upravo je zbog tih razloga Sud istaknuo da države članice ne mogu, za određene kategorije osobnih podataka, definitivno propisati ishod balansiranja suprotstavljenih prava i interesa, i time onemogućiti da ishod bude različit ovisno o specifičnim okolnostima konkretnog slučaja ( 23 ).

69.

Kako bi se to balansiranje moglo smisleno provesti, u obzir se osobito mora uzeti narav i osjetljivost zatraženih podataka, stupanj njihove javne dostupnosti ( 24 ) i težina počinjene povrede. Jedan od elemenata koji se potencijalno trebaju uzeti u obzir prilikom balansiranja, a koji je relevantan u ovom predmetu, jest dob osobe čiji se podaci obrađuju.

(c) Potreba

70.

Što se tiče potrebe, odnosno, u određenom smislu, osnovne proporcionalnosti, Sud je općenito zaključio da se odstupanja i ograničenja u pogledu zaštite osobnih podataka mogu primijeniti samo ako je to strogo potrebno ( 25 ). Stoga, narav i količina podataka koji se mogu obraditi ne smije preći ono što je potrebno u svrhe dotičnih zakonitih interesa.

71.

Razmatranje proporcionalnosti ocjena je odnosa između ciljeva i izabranih sredstava. Izabrana sredstva ne smiju premašivati ono što je nužno. Međutim, ta logika djeluje i u suprotnom smjeru: sredstva moraju omogućiti ostvarenje predviđenog cilja.

72.

U praktičnom smislu nadzornik podataka ima dvije mogućnosti kada ocjenjuje potrebu. Može odlučiti da neće otkriti nikakve podatke ili, ako ih odluči obraditi, mora pružiti sve potrebne podatke za ostvarenje dotičnih zakonitih interesa ( 26 ).

73.

Kao prvo, u članku 6. stavku 1. točki (c) i uvodnoj izjavi 28. Direktive zahtijeva se da podaci budu odgovarajući, relevantni i da ne budu pretjerani u odnosu na svrhu zbog koje se prikupljaju, ali i zbog koje se dalje obrađuju ( 27 ). Stoga, iz tih odredbi proizlazi da otkriveni podaci moraju biti odgovarajući i relevantni i za ostvarenje zakonitih interesa.

74.

Kao drugo, logika nalaže da je razuman pristup potreban i u pogledu podataka koji se doista trebaju obraditi. Tražiteljima podataka doista se trebaju pružiti korisni i relevantni podaci koji su im potrebni i dostatni kako bi ostvarili vlastite zakonite interese a da pritom ne moraju zahtjev proslijediti drugom tijelu koje također možda posjeduje te podatke.

75.

Metaforički rečeno, primjena kriterija potrebe ne smije ostvarenje interesa pretvoriti u kafkijansku potragu za blagom, koja bi uvelike nalikovala epizodi televizijske emisije Fort Boyard, u kojoj se sudionike šalje od prostorije do prostorije da skupljaju djelomične tragove kako bi u konačnici zaključili kamo moraju ići.

76.

Naposljetku, valja ponoviti da nacionalno pravo određuje točan opseg podataka koji se mogu otkriti. Istina, nacionalno pravo može predvidjeti tek djelomično otkrivanje podataka, koje bi samo po sebi bilo nedostatno. To je doista moguće. Činjenica da nacionalno zakonodavstvo nije smisleno u praksi ne čini ga automatski nespojivim s pravom Unije, pod uvjetom da to zakonodavstvo ne uređuje pitanja koja nisu u nadležnosti država članica. Ovdje se samo nastoji reći da članku 7. točki (f) Direktive nije protivno, ako su drugi uvjeti ispunjeni, cjelovito otkrivanje svih podataka koji su potrebni kako bi određena osoba djelotvorno ostvarila svoj zakoniti cilj.

3. Primjena na ovaj predmet

77.

Nakon što sam odredio opći okvir analize, sada ću razmotriti predmetni slučaj, uz napomenu da je, naravno, nacionalni sud taj koji treba donijeti konačnu odluku, s obzirom na to da je detaljno upoznat s činjeničnim stanjem i nacionalnim pravom.

78.

Društvo Rīgas satiksme od policije je zatražilo da mu dostavi adresu putnika u taksiju i broj njegova identifikacijskog dokumenta kako bi moglo pokrenuti građanski postupak radi naknade štete koju je pretrpjelo.

79.

Kao prvo, kako ispravno ističu češka, španjolska i portugalska vlada, podnošenje pravnog zahtjeva, poput onog u glavnom postupku, predstavlja zakoniti interes u smislu članka 7. točke (f).

80.

To potvrđuje i članak 8. stavak 2. točka (e) Direktive, u kojem je predviđena mogućnost obrade određenih osjetljivih podataka „kada [se] obrada […] odnosi na podatke [koji su potrebni] radi uspostave, provedbe ili obrane pravnih zahtjeva”. Ako ostvarenje pravnog zahtjeva može opravdati obradu osjetljivih podataka na temelju članka 8., ne vidim zašto se ostvarenje pravnog zahtjeva ne bi moglo a fortiori smatrati zakonitim interesom koji, u skladu s člankom 7. točkom (f), opravdava obradu podataka koji nisu osjetljivi. To tumačenje proizlazi i iz pragmatičnog pristupa Direktivi s obzirom na druge (gore navedene) instrumente sekundarnog prava kojima se nastoji uspostaviti ravnoteža između privatnosti i djelotvorne sudske zaštite ( 28 ).

81.

Kao drugo, kada je riječ o balansiranju interesa, općenito, ne vidim nijedan razlog zbog kojeg bi poseban zakoniti cilj oštećene stranke da pokrene građanski postupak trebao biti podređen interesu za temeljna prava osobe čiji se podaci obrađuju. U tom kontekstu valja dodati da druga stranka u postupku u biti samo traži mogućnost da pokrene postupak pred građanskim sudom. Dakle, otkrivanje samo po sebi ne bi uopće rezultiralo nikakvom trenutačnom promjenom pravnog položaja osobe čiji se podaci obrađuju.

82.

Međutim, kako je portugalska vlada ispravno istaknula, dob osobe čiji se podaci obrađuju osobito se mora uzeti u obzir tijekom tog balansiranja.

83.

Sud koji je uputio zahtjev doista pita u kojoj je mjeri relevantna činjenica da je putnik u taksiju bio maloljetan kada se nesreća dogodila. S obzirom na konkretne okolnosti slučaja, smatram da nije relevantna.

84.

Načelno, maloljetnost osobe čiji se podaci obrađuju jest čimbenik koji treba uzeti u obzir prilikom balansiranja interesa. Međutim, poseban tretman maloljetne djece i njihova pojačana zaštita moraju imati jasnu vezu s vrstom obrade podataka o kojoj je riječ. Ako se ne dokaže na koji bi točno način otkrivanje dokumenata u ovom konkretnom predmetu ugrozilo, primjerice, tjelesni ili psihički razvoj djeteta, ne vidim zašto bi se građanska odgovornost trebala isključiti na temelju same činjenice da je štetu uzrokovala maloljetna osoba.

85.

Naposljetku, ako se u okviru balansiranja interesa ne bi utvrdilo da interesi osobe čiji se podaci obrađuju imaju prednost pred interesima osobe koja traži otkrivanje osobnih podataka, postavlja se konačno pitanje: ono se odnosi na potrebu i opseg podataka koji se trebaju otkriti.

86.

Sud koji je uputio zahtjev mora odrediti pravnu osnovu u nacionalnom pravu koja opravdava takvo otkrivanje podataka. Nakon što se ta osnova odredi, kriteriju „potrebe” iz članka 7. točke (f) Direktive zasigurno nije protivno, po mojemu mišljenju, cjelovito otkrivanje svih podataka koji su potrebni za pokretanje građanskog postupka na temelju latvijskog prava.

87.

Latvijska vlada je tvrdila da, u skladu s ustaljenom sudskom praksom, zaštita temeljnog prava na privatnost zahtijeva da odstupanja od zaštite osobnih podataka i ograničenja te zaštite budu moguća samo kada su strogo potrebna. Iako je navela da se dodatni podaci mogu prikupiti i na druge načine, priznala je da ime i prezime vjerojatno nisu dovoljni za ostvarenje pravnog zahtjeva te je, stoga, ocjenu prepustila nacionalnom sudu.

88.

Valja istaknuti da članak 8. stavak 7. Direktive daje državama članicama diskreciju pri odlučivanju hoće li otkriti identifikacijske brojeve. Stoga, države članice nisu obvezne obraditi identifikacijske brojeve, osim ako je to apsolutno potrebno za pokretanje građanskog postupka.

89.

Neovisno o njihovoj točnoj naravi, ono što je bitno jest raspolaganje svim relevantnim podacima koji su neophodni za podnošenje pravnog zahtjeva. Stoga, ako je, u skladu s nacionalnim pravom, dovoljna adresa, drugi se podaci ne smiju otkriti.

90.

Na nacionalnom je sudu da odredi količinu osobnih podataka koja je potrebna kako bi društvo Rīgas satiksme moglo djelotvorno pokrenuti pravni postupak ( 29 ) na temelju latvijskog prava. Samo želim istaknuti, kako sam već naveo u točkama 74. i 75. ovog mišljenja, da postojanje alternativnih načina dobivanja potrebnih osobnih podataka nije relevantno za primjenu članka 7. točke (f). Društvo Rīgas satiksme trebalo bi imati mogućnost da sve potrebne podatke prikupi od jednog nadzornika kojem je podnio zahtjev.

Zaštitni epilog u pogledu zaštite podataka

91.

Ovo je pomalo neobičan predmet. Sud koji je uputio zahtjev u biti pita može li se iznimka koja dopušta obradu osobnih podataka protumačiti na način da je nadzornik podataka obvezan otkriti identitet osobe koja je uzrokovala automobilsku nesreću. Stvarni razlog postavljanja tog pitanja jest, kako se čini, taj da su načini dobivanja takvih podataka na nacionalnoj razini postali otežani, ako ne i potpuno onemogućeni zbog zaštite podataka.

92.

Sagledavajući slijed događaja u predmetnom slučaju, neupućeni promatrač bi mogao naivno upitati: kada se radi zahtjevu oštećenika za otkrivanje podataka o identitetu osobe koja mu je oštetila imovinu te koju oštećenik želi tužiti radi naknade štete, bi li policijski službenici doista trebali biti obvezni višestruko balansirati interese i ocjenjivati proporcionalnost, čemu bi uslijedio dugačak spor i mišljenje nacionalnog tijela za zaštitu podataka?

93.

Ovaj predmet predstavlja još jedan primjer ( 30 ) u kojem se propisi o zaštiti podataka primjenjuju u prilično iznenađujućim okolnostima. On izaziva, i to ne samo kod neupućenog promatrača, određenu intelektualnu nelagodu u pogledu razumne primjene i funkcije pravila o zaštiti podataka. Ovu ću priliku iskoristiti za isticanje nekoliko zaključnih napomena u tom pogledu.

94.

Nema sumnje da je zaštita osobnih podataka od temeljne važnosti u digitalno doba. Sud je pionir razvoja sudske prakse u tom području ( 31 ), i to s punim pravom.

95.

Međutim, navedeni predmeti doista odražavaju glavnu zabrinutost kada je zaštita osobnih podataka u pitanju, zbog koje je ta zaštita izvorno i uvedena te zbog koje se mora odlučno čuvati: obrada podataka u širokim razmjerima uporabom mehaničkih, digitalnih sredstava, u svim svojim oblicima, kao što su sabiranje i uporaba velikih baza podataka te upravljanje njima, prosljeđivanje baza podataka za nezakonite svrhe, sastavljanje i prikupljanje metapodataka, i tako dalje.

96.

Kao i u svakom drugom pravnom području, pravila koja uređuju određenu djelatnost moraju biti dovoljno fleksibilna kako bi obuhvatila sve okolnosti koje se potencijalno mogu pojaviti. Međutim, to može stvoriti opasnost od preširokog tumačenja i primjene tih pravila. Na kraju može doći do toga da se primijene na situaciju čija je povezanost s izvornom svrhom prilično slaba i upitna. U konačnici, preširoka primjena i određeni „apsolutizam u pogledu primjene” može obezvrijediti i izvornu ideju, koja je sama po sebi bila veoma važna i zakonita.

97.

Općenito govoreći, Sud je u presudi Promusicae inzistirao na potrebi za tumačenjem direktiva koje se odnose na osobne podatke kako bi omogućio postizanje pravične ravnoteže između različitih temeljnih prava zaštićenih Unijinim pravnim poretkom ( 32 ).

98.

Ovome se možda može dodati određeno pravilo razumne primjene, koje je potrebno slijediti u fazi balansiranja. Ono zahtijeva da se na umu ima izvorna i glavna (nipošto jedinstvena, nego samo glavna) svrha zakonodavstva: uređenje obrade podataka u širim razmjerima koja se provodi uporabom mehaničkih, automatiziranih sredstava, te uporabe i prijenosa na taj način dobivenih podataka. Nasuprot tomu, po mojem skromnom mišljenju, puno je delikatniji pristup potreban kada se radi o situacijama kada neka osoba traži pojedinačan podatak koji se odnosi na konkretnu osobu u točno određenom odnosu, kada postoji jasna i posve zakonita svrha koja proizlazi iz uobičajene primjene prava.

99.

Ukratko, zdrav razum nije izvor prava. Međutim, svakako treba biti temelj njegova tumačenja. Bilo bi doista nepoželjno ako bi se zaštita osobnih podataka pretvorila u opstrukciju s osobnim podacima.

V. Zaključak

100.

S obzirom na prethodna razmatranja, predlažem Sudu da na sljedeći način odgovori na pitanja koja mu je uputio Augstākā tiesa, Administratīvo lietu departaments (Vrhovni sud, upravni odjel, Latvija):

Članak 7. točku (f) Direktive 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka ne može se tumačiti na način da nadzornik mora trećoj stranci otkriti osobne podatke koje potonja traži kako bi se mogao pokrenuti građanski postupak.

Međutim, takvo otkrivanje nije protivno članku 7. točki (f) Direktive, pod uvjetom da nacionalno pravo predviđa mogućnost otkrivanja osobnih podataka u situacijama poput one iz glavnog postupka. Činjenica da je osoba čiji se podaci traže bila maloljetna u vrijeme nesreće nije relevantna u tom pogledu.


( 1 ) Izvorni jezik: engleski

( 2 ) Direktiva Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL 1995., L 281, str. 31.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 7., str. 88.)

( 3 ) Uredba Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL 2016., L 119, str. 1.)

( 4 ) Vidjeti, primjerice, presude od 24. studenoga 2011., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, t. 25.), i od 13. svibnja 2014., Google Spain i Google (C‑131/12, EU:C:2014:317, t. 66.).

( 5 ) Moje isticanje

( 6 ) Primjerice, u francuskoj verziji koristi se formulacijom „[…] le traitement de données à caractère personnel ne peut être effectué que si […]”; u njemačkoj „[…] die Verarbeitung personenbezogener Daten lediglich erfolgen darf […]”; u talijanskoj „[…] il trattamento dei dati personali può essere effettuato soltanto quando […]”; u španjolskoj „[…] el tratamiento de datos personales sólo pueda efectuarse si […]”; a u češkoj „[…] zpracování osobních údajů může být provedeno pouze pokud […]”.

( 7 ) U pogledu članka 7. točke (f), vidjeti presudu od 24. studenoga 2011., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, t. 52.); a u pogledu članka 7. točaka (c) i (e), presudu od 20. svibnja 2003., Österreichischer Rundfunk i dr. (C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, t. 99. do 101.).

( 8 ) Direktiva Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (SL 2002., L 201, str. 37.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 52., str. 111.)

( 9 ) Vidjeti presudu od 29. siječnja 2008., (C‑275/06, EU:C:2008:54, t. 54.55.).

( 10 ) Vidjeti Direktivu 2000/31/EZ Europskog parlamenta i Vijeća od 8. lipnja 2000. o određenim pravnim aspektima usluga informacijskog društva na unutarnjem tržištu, posebno elektroničke trgovine (SL 2000., L 178, str. 1.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 39., str. 58.); Direktivu 2001/29/EZ Europskog parlamenta i Vijeća od 22. svibnja 2001. o usklađivanju određenih aspekata autorskog i srodnih prava u informacijskom društvu (SL 2001., L 167, str. 10.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 17., svezak 1., str. 119.).; Direktivu 2004/48/EZ Europskog parlamenta i Vijeća od 29. travnja 2004. o provedbi prava intelektualnog vlasništva (SL 2004., L 157, str. 45.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 17., svezak 2., str. 74.).

( 11 ) Sud je osobito inzistirao na činjenici da zaštita industrijskog vlasništva koju te direktive osiguravaju ne može utjecati na zahtjeve u pogledu zaštite osobnih podataka, kao i na potrebu za usklađivanjem zahtjeva u pogledu zaštite različitih temeljnih prava: vidjeti presudu od 29. siječnja 2008., Promusicae (C‑275/06, EU:C:2008:54, t. 57.65.).

( 12 ) Vidjeti presudu od 29. siječnja 2008., Promusicae (C‑275/06, EU:C:2008:54, t. 70.).

( 13 ) Uredba br. 2016/679 u tom pogledu još je izričitija. U njezinu članku 6. stavku 1., kojim se mijenja članak 7. Direktive, predviđa se da je „[o]brada […] zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega […]” (Moje isticanje.).

( 14 ) Vidjeti presudu od 24. studenoga 2011., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, t. 38).

( 15 ) Vidjeti mišljenje 06/2014 Radne skupine za zaštitu pojedinaca u vezi s obradom osobnih podataka, predviđene člankom 29., o „Pojmu zakonitih interesa nadzornika podataka iz članka 7. Direktive 95/49/EZ” (844/14/EN WP 217).

( 16 ) Presuda od 9. studenoga 2010., Volker und Markus Schecke i Eifert (C‑92/09 i C‑93/09, EU:C:2010:662, t. 77.)

( 17 ) Presuda od 11. prosinca 2014., Ryneš (C‑212/13, EU:C:2014:2428, t. 34.)

( 18 ) Nekoliko odredbi Direktive namijenjeno je zaštiti osobe čiji se podaci obrađuju, bilo u smislu podataka koji joj se moraju dati (članci 10. i 11.), bilo u smislu njezina prava na pristup vlastitim podacima (članak 12.). U članku 14. izričito je predviđeno da osoba čiji se podaci obrađuju ima pravo, „barem u slučajevima iz članka 7. [točaka] (e) i (f) ove Direktive, da prigovori u bilo kojem trenutku zbog jakih i zakonitih razloga u vezi njezine određene situacije na obradu podataka koji se odnose na nju”.

( 19 ) Prijedlog Direktive Vijeća o zašiti pojedinaca u vezi s obradom podataka, COM (90) 314 final

( 20 ) Izmijenjeni prijedlog Direktive Vijeća o zašiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka, COM (92) 422 final

( 21 ) Presude od 24. studenoga 2011., Asociación Nacional de Establecimientos Financieros de Crédito (C 468/10 i C 469/10, EU:C:2011:777, t. 38. i 40.) i od 13. svibnja 2014., Google Spain i Google (C‑131/12, EU:C:2014:317, t. 74.)

( 22 ) Presuda od 24. studenoga 2011., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, t. 40.)

( 23 ) Presude od 24. studenoga 2011., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, t. 47.) i od 19. listopada 2016., Breyer (C‑582/14, EU:C:2016:779, t. 62.)

( 24 ) Presuda od 24. studenoga 2011., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, t. 44.)

( 25 ) Presude od 9. studenoga 2010., Volker und Markus Schecke i Eifert (C‑92/09 i C‑93/09, EU:C:2010:662, t. 86.), i od 11. prosinca 2014., Ryneš (C‑212/13, EU:C:2014:2428, t. 28.)

( 26 ) Naravno, te dvije mogućnosti postoje i kada se podaci obrađuju na temelju bilo kojeg drugog razloga iz članka 7.

( 27 ) Sud je zaključio da članak 6. stavak 1. točka (c) ima izravan učinak (presuda od 20. svibnja 2003., Österreichischer Rundfunk i dr. (C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, t. 99. do 101.)

( 28 ) Vidjeti točku 46. i bilješke 10 do 12 ovog mišljenja.

( 29 ) Presude od 14. rujna 2000., Fisher (C 369/98, EU:C:2000:443, t. 38.) i od 16. prosinca 2008., Huber (C‑524/06, EU:C:2008:724, t. 67.) i od 14. rujna 2000., Fisher (C‑369/98, EU:C:2000:443, t. 38.)

( 30 ) Što se tiče novije sudske prakse Suda, vidjeti, primjerice, presudu od 11. prosinca 2014., Ryneš (C‑212/13, EU:C:2014:2428). Također vidjeti, iako se prije svega odnosi na druge odredbe prava Unije, rješenje od 11. siječnja 2017., Boudjellal (C‑508/16, EU:C:2017:6).

( 31 ) Osobito vidjeti presude od 8. travnja 2014., Digital Rights Ireland i dr. (C 293/12 i C 594/12, EU:C:2014:238) i od 13. svibnja 2014., Google Spain i Google (C‑131/12, EU:C:2014:317), i od 6. listopada 2015., Schrems (C‑362/14, EU:C:2015:650).

( 32 ) Presuda od 29. siječnja 2008., Promusicae (C‑275/06, EU:C:2008:54, t. 68.)