MIŠLJENJE NEZAVISNOG ODVJETNIKA
MACIEJA SZPUNARA
od 17. prosinca 2020. ( 1 )
Predmet C‑439/19
B
uz sudjelovanje:
Latvijas Republikas Saeima
(zahtjev za prethodnu odluku koji je uputio Satversmes tiesa (Ustavni sud, Latvija))
„Zahtjev za prethodnu odluku – Uredba (EU) 2016/679 – Obrada osobnih podataka – Informacije koje se odnose na kaznene bodove za prometne prekršaje – Pojam obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela – Nacionalna pravila koja propisuju otkrivanje takvih informacija te koja omogućuju njihovu ponovnu uporabu”
I. Uvod
1. |
George Orwell je 1946. na sljedeći način prokomentirao kampanju „Keep Death off the Roads” („Spriječimo smrt na cestama”), koju je u to vrijeme vodila bivša država članica Europske unije: „Ako doista želite spriječiti smrt na cestama, morate preustrojiti cijeli cestovni sustav na način da sudari postanu nemogući. Razmislite što to znači (primjerice, cijeli London bi se morao srušiti i ponovno izgraditi) i uvidjet ćete da to trenutačno ne može učiniti nijedna država. Sve manje od toga bile bi palijativne mjere, koje se u konačnici svode na povećavanje opreza ljudi.” ( 2 ) |
2. |
Predmet koji je u tijeku pred Satversmes tiesa (Ustavni sud, Latvija), koji se obratio Sudu ovim zahtjevom za prethodnu odluku, u svojoj se biti odnosi na spomenute „palijativne mjere”: kako bi se poboljšala sigurnost na cestama povećavanjem pažnje i opreza kod vozača, vozačima koji počine prometne prekršaje dodjeljuju se kazneni bodovi. Te informacije potom se priopćavaju i prenose za potrebe njihove ponovne uporabe. Sud koji je uputio zahtjev, koji odlučuje o ustavnoj tužbi koja mu je podnesena, traži od Suda da ocijeni usklađenost nacionalnog propisa u pitanju s Uredbom (EU) 2016/679 ( 3 ) (u daljnjem tekstu: GDPR). |
3. |
To ovaj predmet čini gotovo klasičnim predmetom u području zaštite podataka u smislu da je pretežno smješten izvan internetske sfere te da se tiče vertikalnog odnosa između države i pojedinca, zbog čega se glatko uklapa u niz predmeta koje je Sud razmatrao nakon znamenite presude Stauder ( 4 ), što je možda prvi predmet koji se odnosio na zaštitu podataka u širem smislu ( 5 ). |
4. |
Ocjenjujući u kojoj mjeri država članica može zadirati u osobna prava pojedinca kako bi ostvarila cilj poticanja sigurnosti na cestama, predložit ću Sudu da zaključi da mjere poput latvijskog zakonodavstva u pitanju nisu proporcionalne cilju koji nastoje ostvariti. |
5. |
Međutim, prije nego što do toga dođemo, ovaj predmet otvara čitav niz temeljnih i složenih pitanja, koja će nas strelovitom brzinom provesti kroz GDPR. Vežite pojaseve. Mogli bi vas poštedjeti kojeg kaznenog boda. |
II. Pravni okvir
A. Pravo Unije
1. GDPR
6. |
Poglavlje I. GDPR‑a, naslovljeno „Opće odredbe”, sadržava članke 1. do 4., kojima su utvrđeni predmet, ciljevi te materijalno i teritorijalno područje primjene direktive kao i relevantne definicije. |
7. |
Članak 1. GDPR‑a, naslovljen „Predmet i ciljevi”, glasi: „1. Ovom se Uredbom utvrđuju pravila povezana sa zaštitom pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka. 2. Ovom se Uredbom štite temeljna prava i slobode pojedinaca, a posebno njihovo pravo na zaštitu osobnih podataka. 3. Slobodno kretanje osobnih podataka unutar Unije ne ograničava se ni zabranjuje iz razloga povezanih sa zaštitom pojedinaca u pogledu obrade osobnih podataka.” |
8. |
Članak 2. GDPR‑a, naslovljen „Glavno područje primjene”, propisuje: „1. Ova se Uredba primjenjuje na obradu osobnih podataka koja se u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane. 2. Ova se Uredba ne odnosi na obradu osobnih podataka:
[…]” |
9. |
Poglavlje II. GDPR‑a, koje sadržava članke 5. do 11., utvrđuje načela uredbe: načela obrade osobnih podataka, zakonitost obrade, uvjete privole, uključujući privolu djeteta u odnosu na usluge informacijskog društva, obradu posebnih kategorija osobnih podataka i osobnih podataka koji se odnose na kaznene osude i kažnjiva djela i obradu koja ne zahtijeva identifikaciju. |
10. |
U skladu s člankom 5. GDPR‑a, naslovljenim „Načela obrade osobnih podataka”: „1. Osobni podaci moraju biti:
2. Voditelj obrade odgovoran je za usklađenost sa stavkom 1. te je mora biti u mogućnosti dokazati (‚pouzdanost’).” |
11. |
Članak 10. GDPR‑a, naslovljen „Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela”, glasi: „Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela ili povezane mjere sigurnosti na temelju članka 6. stavka 1. provodi se samo pod nadzorom službenog tijela ili kada je obrada odobrena pravom Unije ili pravom države članice kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode ispitanikâ. Svaki sveobuhvatni registar kaznenih osuda vodi se samo pod nadzorom službenog tijela vlasti.” |
2. Direktiva 2003/98/EZ
12. |
Članak 1. Direktive 2003/98/EZ ( 6 ), naslovljen „Predmet i područje primjene”, glasi: „1. Ovom se Direktivom utvrđuje minimalni skup pravila kojima se uređuju ponovna uporaba i praktični načini olakšavanja ponovne uporabe postojećih dokumenata u posjedu tijela javnog sektora država članica. 2. Ova se Direktiva ne primjenjuje na:
3. Ova se Direktiva temelji na režimima pristupa u državama članicama i ne dovodi ih u pitanje. 4. Ovom se Direktivom ne izmjenjuje te ni na koji način ne utječe na razinu zaštite pojedinaca u vezi s obradom osobnih podataka prema odredbama prava Unije i nacionalnog prava, a posebno se ne izmjenjuju obveze i prava navedena u Direktivi 95/46/EZ[ ( 7 )]. 5. Obveze određene ovom Direktivom primjenjuju se samo u mjeri u kojoj su spojive s odredbama međunarodnih sporazuma o zaštiti prava intelektualnog vlasništva, a posebno Bernske konvencije[ ( 8 )] i Sporazuma o TRIPS‑u[ ( 9 )].” |
13. |
Članak 2. Direktive 2003/98, naslovljen „Definicije”, glasi: „Za potrebe ove Direktive primjenjuju se sljedeće definicije:
|
14. |
Članak 3. Direktive 2003/98, naslovljen „Opće načelo”, glasi: „1. Podložno stavku 2., države članice osiguravaju da se dokumenti na koje se primjenjuje ova Direktiva u skladu s člankom 1. mogu ponovno uporabiti za komercijalne i nekomercijalne namjene u skladu s uvjetima navedenima u poglavljima III. i IV. 2. Za dokumente za koje knjižnice, uključujući sveučilišne knjižnice, muzeji i arhivi imaju prava intelektualna vlasništva, države članice osiguravaju da se tamo gdje je ponovna uporaba dokumenata dopuštena ti dokumenti ponovno koriste za komercijalne i nekomercijalne namjene u skladu s uvjetima navedenima u poglavljima III. i IV.” |
B. Latvijsko pravo
15. |
Članak 14.1 stavak 2. Ceļu satiksmes likumsa (u daljnjem tekstu: Zakon o cestovnom prometu) ( 10 ) propisuje: „Informacije koje se odnose na vozilo u vlasništvu pravne osobe, […] pravo osobe na upravljanje vozilima, novčane kazne za prometne prekršaje koje su izrečene osobama, ali nisu plaćene u zakonom propisanim rokovima te ostale informacije upisane u nacionalni registar vozila i vozača [(u daljnjem tekstu: nacionalni registar vozila)] kao i u sustav informacija o sredstvima za vuču i vozačima, smatraju se informacijama dostupnima javnosti.” |
III. Činjenično stanje, postupak i prethodna pitanja
16. |
B, podnositelj ustavne tužbe u postupku pred sudom koji je uputio zahtjev, fizička je osoba kojoj su na temelju Zakona o cestovnom prometu i povezane uredbe ( 11 ) dodijeljeni kazneni bodovi. Ceļu satiksmes drošības direkcija (Uprava za sigurnost cestovnog prometa, Latvija; u daljnjem tekstu: CSDD) javno je tijelo koje je te kaznene bodove unijelo u nacionalni registar vozila. |
17. |
Budući da se informacije o kaznenim bodovima mogu priopćiti na zahtjev te da su, kako B navodi, za potrebe ponovne uporabe prenesene nekoliko društava, B je sudu koji je uputio zahtjev podnio ustavnu tužbu, osporavajući usklađenost članka 14.1 stavka 2. Zakona o cestovnom prometu s pravom na privatnost predviđenim u članku 96. Latvijas Republikas Satversmea (latvijski Ustav). |
18. |
Budući da je članak 14.1 stavak 2. Zakona o cestovnom prometu donijela Latvijas Republikas Saeima (Latvijski parlament; u daljnjem tekstu: Saeima), ta institucija sudjeluje u postupku. Saslušan je i CSDD, koji obrađuje podatke o kojima je riječ. Nadalje, Datu valsts inspekcija (tijelo za zaštitu podataka, Latvija) – koji je u Latviji nadzorno tijelo u smislu članka 51. GDPR‑a – i nekoliko drugih tijela i osoba pozvani su da kao amici curiae iznesu svoje mišljenje pred sudom koji je uputio zahtjev. |
19. |
Saeima potvrđuje da, u skladu sa spornom odredbom, svaka osoba može dobiti informacije o kaznenim bodovima druge osobe tako da ih izravno zatraži od CSDD‑a ili da se koristi uslugama koje pružaju komercijalni ponovni korisnici. |
20. |
S obzirom na to, Saeima smatra da je sporna odredba zakonita jer ju opravdava cilj poboljšanja sigurnosti na cestama, koji zahtijeva da počinitelji prometnih prekršaja budu javno identificirani te da se vozače odvrati od počinjenja prekršaja. |
21. |
Osim toga, treba poštovati pravo na pristup informacijama predviđeno u članku 100. latvijskog Ustava. U svakom slučaju, obrada informacija koje se odnose na kaznene bodove odvija se pod nadzorom javnog tijela te u skladu s prikladnim jamstvima za prava i slobode ispitanika. |
22. |
Saeima dalje objašnjava da se informacije sadržane u nacionalnom registru vozila u praksi priopćavaju pod uvjetom da osoba koja ih traži navede nacionalni identifikacijski broj vozača o kojem se raspituje. Taj preduvjet za stjecanje informacija objašnjava se činjenicom da je nacionalni identifikacijski broj, za razliku od imena osobe, jedinstveni identifikator. |
23. |
CSDD je pak sudu koji je uputio zahtjev objasnio kako funkcionira sustav kaznenih bodova te je potvrdio da nacionalno zakonodavstvo ne ograničava javni pristup podacima koji se odnose na kaznene bodove ni njihovu ponovnu uporabu. |
24. |
CSSD je usto iznio pojedinosti o ugovorima koji su sklopljeni s komercijalnim ponovnim korisnicima. Istaknuo je da ti ugovori ne predviđaju pravni prijenos podataka te da komercijalni ponovni korisnici osiguravaju da podaci koje prenose svojim strankama nisu širi od onih koji se mogu pribaviti od CSDD‑a. Osim toga, jednom od ugovornih odredbi propisuje se da se stjecatelj podataka mora tim podacima koristiti na način predviđen propisima na snazi te u skladu sa svrhama navedenima u ugovoru. |
25. |
Tijelo za zaštitu podataka izrazilo je dvojbe u pogledu usklađenosti sporne odredbe s člankom 96. latvijskog Ustava. Nije isključilo mogućnost da je obrada podataka o kojoj je riječ neprikladna ili neproporcionalna. |
26. |
To je tijelo usto istaknulo da, iako statistički podaci o prometnim nesrećama u Latviji pokazuju da se njihov broj smanjio, nema dokaza o tome da su sustav kaznenih bodova i javni pristup informacijama o tim bodovima doprinijeli toj pozitivnoj promjeni. |
27. |
Satversmes tiesa (Ustavni sud) ističe, prije svega, da se postupak koji se pred njim vodi ne odnosi na cijeli članak 14.1 stavak 2. Zakona o cestovnom prometu, nego samo na dio kojim ta odredba informacije u odnosu na kaznene bodove upisane u nacionalni registar vozila čini dostupnima javnosti. |
28. |
Taj sud dalje smatra da su kazneni bodovi osobni podaci te da se stoga moraju obrađivati u skladu s pravom na poštovanje privatnog života. Naglašava da se prilikom ocjenjivanja područja primjene članka 96. latvijskog Ustava u obzir mora uzeti GDPR te članak 16. UFEU‑a i članak 8. Povelje Europske unije o temeljnim pravima (u daljnjem tekstu: Povelja). |
29. |
Kada je riječ o ciljevima Zakona o cestovnom prometu, sud koji je uputio zahtjev ističe da se unošenje prometnih prekršaja koje su počinili vozači – koji se u Latviji smatraju upravnim prekršajima – u nacionalni registar osuda odnosno unošenje kaznenih bodova u nacionalni registar vozila provodi kako bi se utjecalo na postupanje vozača i tako smanjila opasnost za život, zdravlje i imovinu ljudi. |
30. |
Nacionalni registar osuda je jedinstven registar osuda izrečenih osobama koje su počinile prekršaje (ili kažnjiva djela ili upravne prekršaje) koji služi, među ostalim, olakšavanju nadzora nad izrečenim sankcijama. Nasuprot tomu, nacionalni registar vozila omogućuje praćenje prometnih prekršaja i provedbu mjera ovisno o broju takvih počinjenih prekršaja. Sustav kaznenih bodova ima za cilj poboljšati sigurnost na cestama izdvajanjem vozača koji sustavno i u zloj vjeri krše pravila cestovnog prometa od vozača koji povremeno čine prekršaje i odvraćajuće utjecati na postupanje korisnika cesta. |
31. |
Sud koji je uputio zahtjev ističe da članak 14.1 stavak 2. Zakona o cestovnom prometu svakoj osobi daje pravo da od CSDD‑a zahtijeva i dobije informacije o kaznenim bodovima izrečenim vozačima koje se nalaze u nacionalnom registru vozila. U praksi, informacije o kaznenim bodovima pružaju se osobi koja ih traži čim ona navede nacionalni identifikacijski broj dotičnog vozača. |
32. |
Satversmes tiesa (Ustavni sud) dalje pojašnjava da su kazneni bodovi, s obzirom na to da ih se smatra javno dostupnim informacijama, obuhvaćeni područjem primjene Zakona o otkrivanju informacija te da ih se stoga može ponovno koristiti za komercijalne i nekomercijalne svrhe različite od one za koju su prvotno stvorene. |
33. |
Kako bi članak 96. latvijskog Ustava protumačio u skladu s pravom Unije, sud koji je uputio zahtjev želi doznati, kao prvo, jesu li kazneni bodovi poput onih koje predviđa latvijsko pravo obuhvaćeni područjem primjene članka 10. GDPR‑a. Sud koji je uputio zahtjev osobito želi utvrditi krše li se člankom 14.1 stavkom 2. Zakona o cestovnom prometu zahtjevi iz članka 10. GDPR‑a prema kojem se obrada podataka navedenih u toj odredbi može provoditi samo „pod nadzorom službenog tijela” ili uz „odgovarajuće zaštitne mjere za prava i slobode ispitanikâ”. |
34. |
Taj sud ističe da je članak 8. stavak 5. Direktive 95/46, koji je odluku o tome treba li posebna pravila o podacima koji se odnose na kažnjiva djela i kaznene osude proširiti na podatke koji se odnose na upravne prekršaje i kazne prepustio samim državama članicama, u latvijsko pravo prenesen člankom 12. Fizisko personu datu aizsardzības likums (Zakon o zaštiti podataka fizičkih osoba), prema kojem osobne podatke koji se odnose na upravne prekršaje mogu, kao što je slučaj s podacima koji se odnose na kaznena djela i osude, obrađivati samo osobe, i samo u okolnostima, koje su predviđene zakonom. |
35. |
Iz toga proizlazi da se u pogledu obrade osobnih podataka koji se odnose na kaznena djela i osude te obrade osobnih podataka koji se odnose na upravne prekršaje u Latviji više od desetljeća primjenjuju slični zahtjevi. |
36. |
Taj sud također navodi da se područje primjene članka 10. GDPR‑a mora, u skladu s uvodnom izjavom 4. te uredbe, odrediti uzimajući u obzir funkciju koju temeljna prava imaju u društvu. On u tom pogledu ističe da se cilj osiguravanja da ranije osuda ne našteti neopravdano privatnom i profesionalnom životu osobe može primijeniti i na kaznene osude i na upravne prekršaje. |
37. |
Satversmes tiesa (Ustavni sud) želi znati, kao drugo, koje je područje primjene članka 5. GDPR‑a. Osobito, pita se je li latvijski zakonodavac, s obzirom na uvodnu izjavu 39. te uredbe, poštovao obvezu, predviđenu člankom 5. stavkom 1. točkom (f) GDPR‑a, da se osigura da su osobni podaci obrađivani uz poštovanje „cjelovitosti i povjerljivosti”. Ističe da članak 14.1 stavak 2. Zakona o cestovnom prometu, koji dopuštanjem pristupa podacima o kaznenim bodovima omogućuje da se odredi je li neka osoba osuđena za prometni prekršaj, nije popraćen posebnim mjerama koje bi osiguravale sigurnost takvih podataka. |
38. |
Sud koji je uputio zahtjev želi doznati, kao treće, je li Direktiva 2003/98 relevantna za ocjenu usklađenosti članka 14.1 stavka 2. Zakona o cestovnom prometu s člankom 96. latvijskog Ustava. Ističe da iz te direktive proizlazi da je ponovna uporaba osobnih podataka dopuštena samo ako se poštuje pravo na privatnost. |
39. |
Kao četvrto, s obzirom na sudsku praksu Suda prema kojoj tumačenje prava Unije pruženo u prethodnim odlukama djeluje erga omnes i ex tunc, sud koji je uputio zahtjev pita se može li ipak, ako se utvrdi da se članak 14.1 stavak 2. Zakona o cestovnom prometu protivi članku 96. latvijskog Ustava, tumačenim s obzirom na pravo Unije kako ga Sud tumači, presuditi da će članak 14.1 stavak 2. navedenog zakona zadržati pravne učinke do donošenja presude u kojoj će utvrditi da je ta odredba neustavna, zato što će njegova presuda utjecati na velik broj pravnih odnosa. |
40. |
U tom pogledu sud koji je uputio zahtjev objašnjava da u skladu s latvijskim pravom akt koji se proglasi neustavnim treba smatrati ništavim od dana objave presude Satversmes tiesa (Ustavni sud), osim ako taj sud odluči drukčije. Također objašnjava svoju praksu nastojanja uspostavljanja ravnoteže između načela pravne sigurnosti i temeljnih prava različitih dotičnih stranaka, kada određuje datum od kojeg odredba koja je proglašena neustavnom više neće biti na snazi. |
41. |
U tom je kontekstu, Satversmes tiesa (Ustavni sud) odlukom od 4. lipnja 2019., koju je Sud zaprimio 11. lipnja 2019., uputio sljedeća prethodna pitanja:
|
42. |
Pisana očitovanja podnijele su latvijska, nizozemska, austrijska i portugalska vlada te Europska komisija. |
43. |
S obzirom na okolnost širenja virusa SARS‑CoV-2, Sud je odlučio otkazati raspravu u ovom predmetu zakazanu za 11. svibnja 2020. On je iznimno, u okviru mjera upravljanja postupkom, odlučio raspravu zamijeniti pitanjima na koja je trebalo odgovoriti pisanim putem. Latvijska i švedska vlada te Komisija odgovorile su na pitanja Suda. |
IV. Ocjena
44. |
Ovaj zahtjev za prethodnu odluku otvara niz temeljnih pitanja o GDPR‑u. Međutim, sva ta pitanja pretpostavljaju da je GDPR primjenjiv na ovaj predmet ( 12 ). Problem primjenjivosti te uredbe ističem jer Europska unija područje kaznenih bodova za prometne prekršaje nije zakonodavno uredila. |
A. O materijalnom području primjene GDPR‑a – članak 2. stavak 2. točka (a)
45. |
U skladu s člankom 2. stavkom 2. točkom (a) GDPR‑a, ta se uredba ne primjenjuje na obradu osobnih podataka tijekom djelatnosti koja nije obuhvaćena opsegom prava Unije. Očito je da, dok članak 2. stavak 1. GDPR‑a pozitivno određuje što je obuhvaćeno tom uredbom ( 13 ), članak 2. stavak 2. iz njezina područja primjene isključuje četiri vrste djelatnosti. Budući da čini iznimku od općeg pravila, članak 2. stavak 2. GDPR‑a mora se usko tumačiti ( 14 ). |
46. |
Zakonodavac Unije je izabrao upotrijebiti uredbu kao oblik pravnog instrumenta kako bi povećao stupanj usklađenosti prava EU‑a o zaštiti podataka, osobito kako bi stvorio jednake uvjete za (gospodarske) subjekte na unutarnjem tržištu neovisno o mjestu njihova sjedišta ( 15 ). |
47. |
Članak 16. UFEU‑a sadržava ne samo pravnu osnovu za donošenje tekstova poput GDPR‑a nego i čini, općenitije, s obzirom na to da se nalazi u dijelu prvom, glavi II. UFEU‑a ( 16 ), horizontalnu odredbu ustavne prirode koja se mora uzeti u obzir prilikom izvršavanja bilo koje nadležnosti EU‑a. |
48. |
Kao i njegova prethodnica, Direktiva 95/46, GDPR nastoji osigurati visoku razinu zaštite temeljnih prava i sloboda fizičkih osoba, osobito njihova prava na privatnost, prilikom obrade osobnih podataka ( 17 ). |
49. |
Tekst članka 2. stavka 2. točke (a) GDPR‑a u bitnome odražava tekst članka 16. stavka 2. UFEU‑a ( 18 ), koji je pravna osnova te uredbe u skladu s primarnim pravom. U skladu s člankom 16. stavkom 2. UFEU‑a zakonodavac Unije utvrđuje pravila o zaštiti pojedinaca s obzirom na obradu osobnih podataka u državama članicama „kad obavljaju svoje aktivnosti u području primjene prava Unije i pravila o slobodnom kretanju takvih podataka” ( 19 ). Ta odredba je stoga deklaratorne prirode. Stoga je analiza koja slijedi jednako primjenjiva i na članak 2. stavak 2. točku (a) GDPR‑a i na članak 16. stavak 2. UFEU‑a. |
50. |
Prvo što treba istaknuti jest da se tekst članka 2. stavka 2. točke (a) GDPR‑a („djelatnost koja nije obuhvaćena opsegom prava Unije”) razlikuje od teksta članka 51. stavka 1. Povelje ( 20 ), prema kojem se „[o]dredbe […] Povelje odnose […] na države članice samo kada provode pravo Unije” ( 21 ). |
51. |
Ako bismo smatrali da to pokazuje da je tekst članka 2. stavka 2. točke (a) GDPR‑a širi od teksta članka 51. stavka 1. Povelje ( 22 ), s obzirom na to da Sud članak 51. stavak 1. Povelje tumači u smislu da se Povelja primjenjuje „kada nacionalni propis ulazi u područje primjene prava Europske unije” ( 23 ), između teksta tih dviju odredbi, kako ih Sud tumači, nema bitne razlike ( 24 ). |
52. |
Ipak, ne smatram da treba povlačiti paralele sa sudskom praksom Suda koja se odnosi na područje primjene Povelje ( 25 ). To bi bilo suviše ograničavajuće te bi se protivilo cilju članka 16. UFEU‑a i GDPR‑a. Naime, logika Povelje potpuno je drukčija od logike GDPR‑a: Poveljom se nastoji ograničiti izvršavanje ovlasti institucija EU‑a i država članica kada djeluju unutar područja primjene prava Unije i, s druge strane, pojedincima osigurati zaštita za ostvarivanje njihovih prava. Nasuprot tomu, zaštita osobnih podataka više je od temeljnog prava. Kako pokazuje članak 16. UFEU‑a ( 26 ), zaštita podataka samostalno je područje Unijine politike. Sama je svrha GDPR‑a da ga treba primijeniti na svaki oblik obrade osobnih podataka, neovisno o uključenom predmetu – i to, uzgredno, neovisno o tome provode li ju države članice ili pojedinci. Usko tumačenje teksta članka 2. stavka 2. točke (a) GDPR‑a potpuno bi onemogućilo ostvarenje tog cilja. GDPR, koji je osmišljen kao tigar za zaštitu podataka, postao bi domaća mačka. |
53. |
Dobar primjer u tom pogledu je samo postojanje odredbe poput članka 10. GDPR‑a, koji će se detaljno tumačiti u nastavku u mojoj analizi prvog pitanja suda koji je uputio zahtjev. Ako se GDPR odnosi na „obradu osobnih podataka koji se odnose na kaznene osude i kažnjiva djela ili povezane mjere sigurnosti na temelju članka 6. stavka 1.” GDPR‑a ( 27 ), ta uredba, u doba kada se kaznene osude i kažnjiva djela gotovo isključivo određuju u skladu s nacionalnim pravom, a ne pravom Unije, ne može imati pomoćnu funkciju, kakvu ima Povelja, pod cijenu nevaljanosti članka 10. GDPR‑a. |
54. |
Isto vrijedi za postojanje članka 87. GDPR‑a, koji državama članicama omogućuje da dodatno utvrde posebne uvjete za obradu nacionalnog identifikacijskog broja ( 28 ). |
55. |
Osim toga, u obzir treba uzeti uvodnu izjavu 16. GDPR‑a, koja, u nepreskriptivnom, ali ipak instruktivnom dijelu te uredbe, odražava članak 2. GDPR‑a. U njoj se kao primjer područja koje ne ulazi u područje primjene prava Unije spominje nacionalna sigurnost. Isto vrijedi za jednako neobvezujuću izjavu o članku 16. UFEU‑a ( 29 ) prema kojoj „kad god bi pravila o zaštiti osobnih podataka koja treba donijeti temeljem članka 16. [UFEU‑a] mogla imati izravne posljedice za nacionalnu sigurnost, [morat će se] uzeti u obzir posebne značajke tog pitanja” te u kojoj se podsjeća da „posebno Direktiv[a] 95/46 […] sadržava posebna odstupanja u tom pogledu” ( 30 ). |
56. |
Taj izričit fokus na nacionalnu sigurnost jasno pokazuje što su i autori UFEU‑a (članak 16. UFEU‑a) i zakonodavac EU‑a (članak 2. stavak 2. točka (a) GDPR‑a) imali na umu kada su sastavljali te odlomke. |
57. |
Zakonodavac EU‑a je drugdje propisao, ali također u kontekstu zaštite podataka, da nacionalnu sigurnost u tom kontekstu treba shvatiti kao „državnu sigurnost” ( 31 ). |
58. |
U vezi s tim, članak 2. stavak 2. točku (a) GDPR‑a treba tumačiti s obzirom na članak 4. stavak 2. UEU‑a, koji propisuje da Europska unija poštuje temeljne državne funkcije država članica ( 32 ) te u tom pogledu kao primjer navodi da „[n]acionalna sigurnost […] ostaje isključiva odgovornost svake države članice”. Članak 2. stavak 2. točka (a) GDPR‑a tek ponavlja taj ustavni zahtjev o tome što se treba jamčiti kako bi država funkcionirala ( 33 ). |
59. |
S obzirom na prethodnu analizu, nemam razloga vjerovati da članak 2. stavak 2. točka (a) GDPR‑a uvodi test s visokim pragom koji se mora dosegnuti da bi došlo do primjene GDPR‑a niti da je to bila namjera zakonodavca Unije. |
60. |
Naposljetku, tu analizu potvrđuje kratak pogled na ostale tri iznimke od materijalnog područja primjene GDPR‑a, sadržane u članku 2. stavku 2. točkama (b) do (d). Stoga se GDPR ne primjenjuje na obradu osobnih podataka koju provode države članice kada obavljaju aktivnosti koje su obuhvaćene područjem primjene zajedničke vanjske i sigurnosne politike EU‑a ( 34 ), fizičke osobe tijekom isključivo osobnih ili kućnih aktivnosti ( 35 ) i nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje ( 36 ). |
61. |
Isključenje zajedničke vanjske i sigurnosne politike, koja je i dalje pretežno međuvladina, sasvim je logično ( 37 ). Isključivo osobne ili kućne aktivnosti ionako nisu, načelno, obuhvaćene područjem primjene prava Unije s obzirom na to da nisu uređene primarnim ili sekundarnim pravom. Isto vrijedi, načelno, za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenih sankcija. Unatoč tomu, razlog za tu zadnju iznimku jest taj da je Unija usvojila specijaliziranu direktivu ( 38 ), igrom slučaja na isti dan kao GDPR. Osim toga, iz članka 23. stavka 1. točke (d) GDPR‑a proizlazi da je obrada osobnih podataka koju u iste svrhe provode pojedinci obuhvaćena područjem primjene GDPR‑a ( 39 ). |
62. |
Stoga, da bi imale ikakav normativni pravni značaj, za zadnje dvije iznimke nije moguće smatrati da nisu obuhvaćene područjem primjene prava Unije u smislu članka 2. stavka 2. točke (a) GDPR‑a. |
63. |
Naposljetku, treba istaknuti da nema vidljivih dokaza o tome da Sud načelno primjenjuje strog test u pogledu područja primjene GDPR‑a ili Direktive 95/46 na temelju članka 2. GDPR‑a odnosno članka 3. Direktive 95/46 ( 40 ). Naprotiv, Sud uglavnom naglašava da „primjenjivost Direktive 95/46 ne može ovisiti o tome jesu li konkretne situacije o kojima je riječ u glavnom postupku dovoljno povezane s ostvarivanjem temeljnih sloboda zajamčenih Ugovorom” ( 41 ). |
64. |
Da zaključim ovaj uvodni dio analize, članak 2. stavak 2. točku (a) GDPR‑a treba tumačiti na način da se ta uredba primjenjuje na obradu osobnih podataka u državi članici ili od strane države članice, osim ako se ta obrada provodi u području u kojem Europska unija nije nadležna. |
65. |
Posljedično, GDPR je primjenjiv na ovaj predmet te ga sud koji je uputio zahtjev mora uzeti u obzir prilikom ispitivanja valjanosti nacionalnog prava. |
B. O članku 86. GDPR‑a
66. |
Radi cjelovitosti htio bih kratko obraditi odredbu članka 86. GDPR‑a u kontekstu ovog slučaja. |
67. |
U skladu s tim člankom, tijelo javne vlasti, javno ili privatno tijelo može, u skladu s pravom Unije ili pravom države članice koje se primjenjuje na to tijelo javne vlasti ili to tijelo, otkriti osobne podatke iz službenih dokumenata, koje posjeduje u svrhu obavljanja zadaće u javnom interesu, kako bi se uskladio javni pristup službenim dokumentima s pravom na zaštitu osobnih podataka u skladu s GDPR‑om. |
68. |
Ta odredba samo uvažava važnost javnog pristupa službenim dokumentima. Osim toga, kako je Komisija pravilno istaknula, u toj odredbi nema nikakvih dodatnih smjernica o tome kako javni pristup službenim dokumentima uskladiti s pravilima o zaštiti podataka ( 42 ). Odredba je poprilično deklaratorne prirode te više nalikuje uvodnoj izjavi nego preskriptivnoj odredbi pravnog teksta ( 43 ). Stoga smatram da „narativna norma” članka 86. GDPR‑a nema nikakav utjecaj na predstojeću analizu. |
C. Prvo pitanje: kazneni bodovi na temelju članka 10. GDPR‑a
69. |
Sud koji je uputio zahtjev svojim prvim pitanjem želi doznati treba li članak 10. GDPR‑a tumačiti na način da obuhvaća obradu informacija koje se odnose na kaznene bodove koji se na temelju nacionalnog prava dodjeljuju vozačima za prometne prekršaje. |
70. |
U skladu s tom odredbom obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela ili povezane mjere sigurnosti na temelju članka 6. stavka 1. ( 44 ) provodi se samo pod nadzorom službenog tijela ( 45 ). Svaki sveobuhvatni registar kaznenih osuda vodi se samo pod nadzorom službenog tijela vlasti. |
71. |
Budući da se čini da je CSDD službeno tijelo, u smislu da je „javno”, moguće je propitkivati relevantnost prvog pitanja te se pitati je li hipotetsko u smislu sudske prakse Suda koja se odnosi na dopuštenost. Međutim, takve bih dvojbe otklonio ističući da se ovaj predmet odnosi i na priopćavanje kaznenih bodova (od strane CSDD‑a) i na ponovnu uporabu tih podataka od strane drugih tijela. Budući da se prvo pitanje odnosi na ta druga tijela, smatram da je dopušteno. |
1. Osobni podaci
72. |
Članak 4. stavak 1. GDPR‑a propisuje da „osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca. |
73. |
Nema razloga sumnjati da informacije koje se odnose na kaznene bodove koji se dodjeljuju vozačima za prometne prekršaje čine osobne podatke u smislu članka 4. stavka 1. GDPR‑a. |
2. […] koji se odnose na kaznene osude i kažnjiva djela ili povezane mjere sigurnosti
74. |
Što se tiče pojma „offences” („kažnjiva djela”), spomenutog u članku 10. GDPR‑a, treba istaknuti da nije u svim jezičnim verzijama te odredbe sasvim jasno odnosi li se ona samo na kaznena djela ili pak i na upravne prekršaje. Najprirodnije i najlogičnije tumačenje engleske verzije jest da je riječ „criminal” („kaznene”) smještena, takoreći, ispred zagrade te da se odnosi i na „convictions” („osude”) i na „offences” („kažnjiva djela”). U vezi s tim, neke jezične verzije ( 46 ) ne ostavljaju prostora nagađanju: „offences” u smislu članka 10. GDPR‑a treba tumačiti kao da su „criminal”. Ostale jezične verzije ( 47 ) neodređene su u smislu da ih je moguće tumačiti na više načina. Latvijska jezična verzija („saistītiem drošības pasākumiem”), s kojom je sud koji je uputio zahtjev vjerojatno najbolje upoznat, također je neodređena. U njoj ne samo da nije precizirano jesu li „offences” („pārkāpumi'”) kaznene prirode, nego nije jasno ni jesu li „convictions” („sodāmība”) kaznene prirode ( 48 ). |
75. |
Iako se čini da se pojedine jezične verzije međusobno razlikuju, ipak je ovdje moguće izvući neke zaključke. |
76. |
Svi su službeni jezici Europske unije vjerodostojni jezici akata na kojima su oni sastavljeni, tako da svim jezičnim verzijama akta Unije načelno treba priznati jednaku vrijednost ( 49 ). Tumačenje odredbe prava Unije implicira usporedbu njezinih različitih jezičnih verzija ( 50 ). Osim toga, pojedine jezične verzije teksta prava Unije moraju se ujednačeno tumačiti ( 51 ). |
77. |
U tim okolnostima, mora se smatrati da pravilno značenje ima „preciznija” jezična verzija, osobito zato što je to preciznije značenje ujedno jedno od mogućih tumačenja manje preciznih jezičnih verzija, gdje je jedna mogućnost da se pojam „offences” tumači kao samo „criminal” po prirodi. Stoga ovdje mogu privremeno zaključiti, na temelju usporedbe različitih jezičnih verzija članka 10. GDPR‑a, da se pojam „criminal” odnosi i na „convictions” („osude”) i na „offences” („kažnjiva djela”) ( 52 ). |
78. |
Osim toga, to predloženo tumačenje članka 10. GDPR‑a zadržava razlikovanje koje je uspostavljeno u odredbi koja je prethodila tom članku, članku 8. stavku 5. Direktive 95/46. Prema toj prethodnoj odredbi obrada podataka koji se odnose na „criminal convictions and offences” („kaznene presude i kaznena djela”) morala se provoditi pod nadzorom službenog tijela ( 53 ), dok je u pogledu upravnih sankcija postojala mogućnost da se za obradu podataka zahtijeva takav nadzor ( 54 ). Ako bi se na temelju članka 8. stavka 5. Direktive 95/46 pojam „offences” tumačio na način da su njime obuhvaćeni „administrative offences” („upravni prekršaji”), drugi dio te odredbe bio bi suvišan. |
79. |
To utvrđenje ne daje odgovor na pitanje što se podrazumijeva pod pojmom „criminal offences” („kaznena djela”). |
80. |
Prvo pitanje koje se u tom pogledu postavlja jest je li to autonoman pojam prava Unije ili je njegovo tumačenje prepušteno državama članicama. |
81. |
U skladu s ustaljenom sudskom praksom Suda, iz zahtjeva za ujednačenu primjenu prava Unije kao i načela jednakosti proizlazi da pojmovi iz odredbe prava Unije –koja ne sadržava nikakvo izričito upućivanje na pravo država članica radi utvrđivanja svojeg smisla i dosega – u pravilu trebaju u cijeloj Uniji imati autonomno i ujednačeno tumačenje ( 55 ). Pri tom tumačenju u obzir treba uzeti ne samo tekst, ciljeve i kontekst odredbe u pitanju nego i sve odredbe prava Unije. Nastanak neke odredbe prava Unije može se također pokazati važnim za njezino tumačenje ( 56 ). |
82. |
Jasno je da su kazneno zakonodavstvo i pravila kaznenog postupka, u načelu, u nadležnosti država članica ( 57 ). Stoga države članice određuju što čini kazneno djelo ( 58 ). |
83. |
Međutim, kad zakonodavac Unije izabere pravni oblik uredbe, a ne direktive, smatram da ujednačeno tumačenje odredbi te uredbe u cijeloj Uniji treba biti pravilo kako bi se osigurala njezina opća i izravna primjena u svim državama članicama, u skladu s člankom 288. stavkom 2. UFEU‑a. |
84. |
U sličnom smislu postoje naznake da zakonodavac Unije nije htio uputiti na nacionalno pravo odnosno nacionalna prava za potrebe tumačenja pojma „offences” („kaznena djela”). U uvodnoj izjavi 13. Direktive 2016/680 ( 59 ) tako je navedeno da bi pojam kaznenog djela u smislu te direktive trebalo biti autonoman pojam prava Unije kako ga tumači Sud Europske unije. U duhu a maiore ad minus, smatram da taj navod vrijedi i u odnosu na GDPR koji, kako je prethodno navedeno, kao uredba čini pravni akt koji automatski ima viši stupanje integracije i centralizacije. |
85. |
Drugi problem, koji se sastoji od utvrđivanja odnose li se osobni podaci o kojima je riječ na kaznene osude i kažnjiva djela ili povezane mjere sigurnosti u smislu članka 10. GDPR‑a, teže je riješiti. |
86. |
Sud je već imao priliku odlučivati o definiciji „kaznenog djela” u kontekstu načela ne bis in idem ( 60 ) iz članka 50. Povelje ( 61 ). |
87. |
Sud se u tom kontekstu vodi sudskom praksom Europskog suda za ljudska prava ( 62 ) prema kojoj su za definiranje pojma „kazneni postupak” relevantna tri kriterija: pravna klasifikacija kažnjivog djela, sama priroda kažnjivog djela te priroda i stupanj težine kazne koja se dotičnoj osobi može izreći ( 63 ). |
88. |
Smatram da kažnjiva djela za koje se dodjeljuju kazneni bodovi poput onih izrečenih na temelju nacionalnog prava u pitanju ne čine kaznena djela u smislu te sudske prakse jer ne ispunjavaju te kriterije. Osobito, kazneni bodovi nisu vrlo teški po svojoj prirodi ( 64 ). |
89. |
Naposljetku bih naglasio da, na temelju ove analize, nije potrebno ispitati razgraničenje između članka 10. GDPR‑a i odredaba Direktive 2016/680 jer ta direktiva nije primjenjiva na ovaj predmet. |
3. Prijedlog odgovora
90. |
Stoga predlažem da se na prvo pitanje odgovori tako da članak 10. GDPR‑a treba tumačiti na način da ne obuhvaća situacije obrade informacija koje se odnose na kaznene bodove koji se dodjeljuju vozačima za prometne prekršaje predviđene u nacionalnoj odredbi poput članka 14.1 stavka 2. Zakona o cestovnom prometu. |
D. Drugo pitanje: priopćavanje kaznenih bodova
91. |
Sud koji je uputio zahtjev svojim drugim pitanjem u biti želi utvrditi protivi li se odredbama GDPR‑a to da države članice obrađuju i priopćavaju informacije koje se odnose na kaznene bodove koji se dodjeljuju vozačima za prometne prekršaje. |
92. |
Iako sud koji je uputio zahtjev ističe, kao primjer, načelo cjelovitosti i povjerljivosti iz članka 5. stavka 1. točke (f) GDPR‑a ( 65 ), pitanje je sročeno veoma široko jer upućuje na odredbe uredbe kao cjeline ( 66 ). Analizom koja slijedi stoga će se obuhvatiti i odredbe GDPR‑a koje sud koji je uputio zahtjev ne spominje u svojem pitanju. |
93. |
Svaka obrada osobnih podataka mora, s jedne strane, biti usklađena s načelima o kvaliteti podataka navedenima u članku 5. GDPR‑a i, s druge strane, s jednim od kriterija kojim se uređuje zakonitosti obrade podataka navedenih u članku 6. te uredbe ( 67 ). Iz teksta tih dviju odredbi možemo zaključiti da su prvonavedena načela kumulativna ( 68 ), a potonji kriteriji alternativni ( 69 ). |
94. |
Drugo pitanje odnosi se na načela kvalitete podataka. Čini se da sud koji je uputio zahtjev pretpostavlja – pravilno – da CSDD obrađuje podatke i on ne dovodi u pitanje dodjeljivanje kaznenih bodova kao takvo, nego priopćavanje tih bodova na zahtjev. |
95. |
CSDD je nedvojbeno „voditelj obrade” u smislu članka 4. točke 7. GDPR‑a, koji obrađuje osobne podatke u smislu članka 4. točke 2. te uredbe tako što kaznene bodove upisuje u nacionalni registar vozila. |
96. |
Dovoljno je reći da je Sud, u pogledu javnog „registra trgovačkih društava”, utvrdio da je upisivanjem i čuvanjem navedenih podataka u tom registru i njihovim priopćavanjem, prema potrebi, na zahtjev trećih tijelo zaduženo za vođenje tog registra provodilo „obradu osobnih podataka” kao „nadzornik [voditelj obrade]” u smislu definicija tih pojmova u Direktivi 95/46 ( 70 ), koje su prethodile definicijama propisanim u članku 4. točkama 2. i 7. GDPR‑a ( 71 ). |
1. O članku 5. stavku 1. točki (f) GDPR‑a: cjelovitost i povjerljivost
97. |
To otvara pitanje jesu li poštovana načela cjelovitosti i povjerljivosti iz članka 5. stavka 1. točke (f) GDPR‑a, odredbe na koju sam sud koji je uputio zahtjev upućuje u svojem pitanju. |
98. |
U skladu s člankom 5. stavkom 1. točkom (f) GDPR‑a, osobni podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera. |
99. |
Kako jasno proizlazi iz njezina teksta, ta se odredba odnosi na sigurnost, tehničke i organizacijske mjere korištene u vezi s obradom osobnih podataka ( 72 ). U pitanju su opći formalni zahtjevi u pogledu sigurnosti podataka ( 73 ). |
100. |
Nasuprot tomu, sud koji je uputio zahtjev traži smjernice o osnovnijem pitanju, pitajući se je li takva obrada pravno moguća. Drukčije i figurativnije rečeno, traži smjernice u vezi s tim je li obrada podataka moguća, dok se članak 5. stavak 1. točka (f) GDPR‑a odnosi na to kako se takva obrada provodi. Stoga, članak 5. stavak 1. točka (f) GDPR‑a nije relevantan za ovaj predmet. |
2. O članku 5. stavku 1. točki (a) GDPR‑a: zakonitost, poštenost i transparentnost
101. |
U skladu s člankom 5. stavkom 1. točkom (a) GDPR‑a, osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika. |
102. |
Treba istaknuti da je pojam „zakonitost” prisutan i u članku 5. stavku 1. točki (a) i u članku 6. GDPR‑a. Tumačenje članka 5. u vezi s detaljnim zahtjevima iz članka 6. te uredbe ne bi imalo prevelikog smisla iz perspektive pripreme zakonodavstva, ako bi članak 5. sadržavao i kriterije iz članka 6. GDPR‑a. |
103. |
Umjesto toga, zakonitost u smislu članka 5. stavka 1. točke (a) GDPR‑a treba tumačiti s obzirom na uvodnu izjavu 40. te uredbe ( 74 ), koja zahtijeva da se obrada temelji na privoli ili drugoj pravnoj osnovi, utvrđenoj propisom ( 75 ). |
104. |
S obzirom na navedeno (da postoji pravna osnova u nacionalnom pravu), ne vidim zašto bi se zakonitost obrade o kojoj je riječ u ovom predmetu dovodila u pitanje ( 76 ). |
105. |
Stoga se slažem s očitovanjima austrijske vlade ( 77 ) da to načelo nije relevantno za činjenično stanje ovog predmeta. |
3. O članku 5. stavku 1. točki (b) GDPR‑a: ograničavanje svrhe
106. |
Članak 5. stavak 1. točka (b) GDPR‑a utvrđuje načelo „ograničavanja svrhe” propisujući da osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te da se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama ( 78 ). |
107. |
Sud koji je uputio zahtjev objašnjava da sporna odredba, članak 14.1 stavak 2. Zakona o cestovnom prometu, želi ostvariti cilj sigurnosti u cestovnom prometu razotkrivanjem vozača koji krše pravila. Stoga se čini da je priopćavanje kaznenih bodova posebna, izričita i zakonita svrha. Osim toga, obrada osobnih podataka ne čini se nespojivom s tom svrhom. |
4. O članku 5. stavku 1. točki (c) GDPR‑a: smanjenje količine podataka
108. |
U skladu s člankom 5. stavkom 1. točkom (c) GDPR‑a, načelo smanjenja količine podataka zahtijeva da osobni podaci budu primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju. U vezi s tim, uvodna izjava 39. GDPR‑a predviđa da bi se osobni podaci trebali obrađivati samo ako se svrha obrade opravdano ne bi mogla postići drugim sredstvima. |
109. |
Za to načelo kao i za druga načela utvrđena u članku 5. stavku 1. GDPR‑a smatram da odražava načelo proporcionalnosti ( 79 ) zbog čega smatram prikladnim u ovoj fazi ispitati je li sporna nacionalna odredba proporcionalna cilju koji nastoji ostvariti. |
110. |
Ustaljena je sudska praksa da načelo proporcionalnosti kao opće načelo prava Unije zahtijeva da mjere koje se provode aktima prava Unije budu prikladne za ostvarenje predviđenog cilja te da ne prekoračuju ono što je nužno za njegovo postizanje ( 80 ). |
111. |
Sukladno tomu, članak 14.1 stavak 2. Zakona o cestovnom prometu mora biti prikladan i nužan za ostvarenje svojeg deklariranog cilja, to jest za povećanje sigurnosti na cestama. |
a) Prikladnost
112. |
Prvi deklarirani cilj spornog nacionalnog prava jest identificirati vozače koji sustavno krše pravila cestovnog prometa. Jasno je da identifikacija počinitelja prometnih prekršaja ni na koji način ne ovisi o javnoj prirodi (općedostupnih) kaznenih bodova koji se dodjeljuju počiniteljima prekršaja. Tijela javne vlasti isključivo su odgovorna za preciznu identifikaciju takvih počinitelja prekršaja i vođenje evidencije o kaznenim bodovima koji su im dodijeljeni kako bi uslijedile odgovarajuće pravne posljedice i kako bi se na njih mogle primijeniti odgovarajuće sankcije. |
113. |
Drugi cilj odredbe nacionalnog prava koja dopušta otkrivanje osobnih podataka o kojima je riječ, na koji se poziva Saeima, jest utjecati na ponašanje korisnika cesta kako bi se moguće počinitelje prekršaja odvratilo od počinjenja prekršaja u budućnosti. Moguće je prihvatiti da će davanje mogućnosti bilo kome da sazna tko krši prometna pravila vjerojatno imati određen odvraćajući učinak: mnogi vozači bi prigovorili tome da se takve informacije o njima otkriju široj javnosti kako ih se ne bi etiketiralo kao kršitelje zakona. |
114. |
Taj je cilj jasno utvrđen i u članku 43.1 Zakona o cestovnom prometu, kao cilj koji se nastoji postići uvođenjem sustava kaznenih bodova. Prilično je očito da to što se kazneni bodovi čine dostupnima javnosti može, u određenoj mjeri, predstavljati dodatan odvraćajući čimbenik. Sporna odredba bi stoga, načelno, bila u skladu s općim interesom koji se želi postići, a to je promicanje sigurnosti na cestama i izbjegavanje prometnih nesreća. |
115. |
Međutim, ako se osobni podaci o kojima je riječ čine dostupnima samo na zahtjev te ako podnositelj zahtjeva pruža osobni identifikacijski broj dotične osobe, otvara se pitanje koliko je teško pribaviti taj broj. Naime, što je taj podatak teže pribaviti, sustav otkrivanja imat će slabiji odvraćajući učinak jer će javna dostupnost tih podataka ovisiti o drugim čimbenicima koje je teško predvidjeti. |
116. |
Zbog tog razloga ozbiljno sumnjam u prikladnost nacionalnog propisa u pitanju. |
117. |
Na sudu koji je uputio zahtjev je da odluči, s obzirom na sve okolnosti slučaja, je li članak 14.1 stavak 2. Zakona o cestovnom prometu doista prikladan za ostvarenje legitimnog cilja poboljšanja sigurnosti na cestama. |
b) Nužnost
118. |
U pogledu pitanja nužnosti, to jest zahtjeva da mjera o kojoj je riječ ne smije prekoračivati ono što je nužno za ostvarenje cilja kojem teži, čini se da je situacija jasnija. |
119. |
Ponovno, na sudu koji je uputio zahtjev je da odluči, s obzirom na sve okolnosti slučaja, je li sporna odredba doista nužna. Međutim, s obzirom na dostupne informacije ne vidim na koji se način ta odredba može smatrati takvom. |
120. |
Iako je cilj promicanja sigurnosti na cestama važan, potrebno je uspostaviti pravičnu ravnotežu između različitih postojećih interesa te je stoga na nacionalnom zakonodavcu da odluči prekoračuje li otkrivanje osobnih podataka o kojem je riječ ono što je nužno za ostvarenje legitimnih ciljeva koji se nastoje postići, posebno uzimajući u obzir povredu temeljnih prava koju takvo otkrivanje izaziva. |
121. |
U odluci kojom je upućen zahtjev nije navedeno je li Saeima prije donošenja sporne odredbe razmatrala druge načine za postizanje cilja promicanja sigurnosti na cestama, koji bi manje zadirali u pravo pojedinaca na zaštitu podataka. Nadalje, zakonodavac mora moći dokazati da odstupanja od zaštite podataka i njezina ograničenja strogo poštuju granice koje su određene. Prije objave skupa podataka (ili prije donošenja zakona koji nalaže njihovu objavu) treba provesti detaljnu procjenu učinka na zaštitu podataka, uključujući i procjenu mogućnosti ponovne uporabe i njezina potencijalnog učinka. |
122. |
Postojanje i točnost takvih informacija ključni su za odlučivanje mogu li se ciljevi poticanja sigurnosti na cestama i smanjivanja broja prometnih nesreća postići mjerama kojima bi se manje naštetilo pravima dotičnih osoba te stoga izbjegla ili barem ublažila povreda zaštite koju pruža članak 8. Povelje. |
123. |
Zadiranje u privatnost koje uzrokuje objava podataka o prekršajima i izrečenim sankcijama sâmo je po sebi izrazito ozbiljno: široj javnosti otkrivaju se prekršaji koje je počinio pojedinac. Osim toga, ne može se isključiti mogućnost da takva obrada podataka, koja je neodvojivo povezana s objavom podataka u pitanju, dovede do stigmatizacije počinitelja i drugih negativnih posljedica. Takve „crne liste” stoga moraju biti strogo uređene. |
124. |
Naposljetku, kako navodi tijelo za zaštitu podataka, preventivna priroda sporne odredbe i statistički podaci koji upućuju na pozitivne trendove, to jest na smanjenje broja prometnih nesreća, ne pokazuju da je to smanjenje povezano s uvođenjem sustava kaznenih bodova kao takvog ili činjenicom da su informacije koje se odnose na dodijeljene kaznene bodove javno dostupne. |
5. Prijedlog odgovora
125. |
S obzirom na navedeno, predlažem Sudu da na drugo pitanje odgovori na način da se nacionalna odredba poput članka 14.1 stavka 2. Zakona o cestovnom prometu, koja omogućuje obradu i priopćavanje informacija koje se odnose na kaznene bodove koji se dodjeljuju vozačima za prometne prekršaje, protivi članku 5. stavku 1. točki (c) GDPR‑a. |
E. Treće pitanje: ponovna uporaba osobnih podataka
1. O Direktivi 2003/98
126. |
Kako je utvrđeno u članku 1. stavku 1. Direktive 2003/98, tom se direktivom utvrđuje minimalni skup pravila kojima se uređuju ponovna uporaba i praktični načini olakšavanja ponovne uporabe postojećih dokumenata u posjedu tijela javnog sektora država članica. |
127. |
Možemo pretpostaviti, za potrebe ovog predmeta, da se kazneni bodovi u Latviji upisuju u dokumente koji su u posjedu CSDD‑a kao tijela javnog sektora u smislu te odredbe. |
128. |
Međutim, predmetni slučaj nije obuhvaćen područjem primjene Direktive 2003/98 jer njezin članak 1. stavak 2. točka (cc) predviđa da se ona ne primjenjuje na dokumente kojima se ne može pristupiti ili im je pristup ograničen na temelju režima pristupa koji ograničava pristup radi zaštite osobnih podataka ( 81 ). Osim toga, Direktiva 2003/98, kako predviđa njezin članak 1. stavak 4., ne izmjenjuje te ni na koji način ne utječe na razinu zaštite koju pojedinci u pogledu obrade osobnih podataka imaju na temelju odredbi prava Unije i nacionalnog prava, a posebno ne izmjenjuje obveze i prava predviđena u GDPR‑u ( 82 ). |
129. |
Iz tih odredbi proizlazi da obradu osobnih podataka o kojoj je riječ treba ocijeniti s obzirom na Unijina pravila o zaštiti podataka, to jest GDPR, a ne s obzirom na Direktivu 2003/98 ( 83 ). |
2. O ponovnoj uporabi
130. |
Kako sud koji je uputio zahtjev pravilno ističe, ako se informacije koje se odnose na kaznene bodove dodijeljene vozačima za prometne prekršaje mogu bilo komu priopćiti, uključujući subjektima koji će ih ponovno koristiti, neće biti moguće odrediti koje su svrhe daljnje obrade podataka ili procijeniti obrađuju li se osobni podaci na način koji nije u skladu s tim svrhama. |
131. |
S obzirom na to, moja analiza drugog prethodnog pitanja potpuno je primjenjiva ne samo mutatis mutandi nego i a fortiori: privatna trgovačka društva mogla bi doći u iskušenje da osobne podatke koriste u komercijalne svrhe, to jest u svrhe koje nisu u skladu sa svrhom obrade, a ta je povećanje sigurnosti na cestama. |
132. |
Osim toga, mogućnost trećih da dalje obrađuju osobne podatke očito prekoračuje načelo ograničavanja svrhe iz članka 5. stavka 1. točke (b) GDPR‑a. |
3. Prijedlog odgovora
133. |
Sukladno navedenom, predlažem da se na treće pitanje odgovori na način da nacionalna odredba poput članka 14.1 stavka 2. Zakona o cestovnom prometu, koja omogućuje obradu i priopćavanje, uključujući za potrebe ponovne uporabe, informacija koje se odnose na kaznene bodove koji se dodjeljuju vozačima za prometne prekršaje, nije uređena odredbama Direktive 2003/98. Osim toga, protivi se članku 5. stavku 1. točki (c) GDPR‑a. |
F. Četvrto pitanje
134. |
Sud koji je uputio zahtjev svojim četvrtim pitanjem želi doznati je li – ako se utvrdi da se nacionalna odredba u pitanju protivi pravu Unije – moguće spornu odredbu primjenjivati i zadržati njezine pravne učinke do pravomoćnosti konačne odluke koju će donijeti Satversmes tiesa (Ustavni sud). |
135. |
Dakle, sud koji je uputio zahtjev traži da se pravni učinci sporne odredbe zadrže dok ne donese pravomoćnu odluku. |
136. |
U skladu s ustaljenom sudskom praksom, tumačenje nekog pravnog pravila prava Unije koje Sud daje izvršavajući nadležnost koja mu je dodijeljena člankom 267. UFEU‑a pojašnjava i precizira značenje i doseg tog pravila onako kako ono treba ili je trebalo biti shvaćeno i primijenjeno nakon njegova stupanja na snagu ( 84 ). Iz toga proizlazi da tako protumačeno pravilo sudac može i mora primijeniti čak i na pravne odnose koji su se pojavili i nastali prije donošenja presude o zahtjevu za tumačenje ako su usto ispunjeni uvjeti koji omogućuju iznošenje spora o primjeni navedenog pravila pred nadležne sudove ( 85 ). Sud samo iznimno može, primjenjujući opće načelo pravne sigurnosti svojstveno pravnom poretku Unije, ograničiti mogućnost zainteresiranih osoba da se, s ciljem dovođenja u pitanje pravnih odnosa ustanovljenih u dobroj vjeri, pozovu na odredbu koju je protumačio ( 86 ). |
137. |
U svakom slučaju, isključivo Sud može odrediti uvjete moguće suspenzije ( 87 ), i to ako za to postoji dobar razlog: nacionalni sud bi u suprotnom mogao odgoditi učinke te odluke te time dovesti u pitanje njezinu prirodu erga omnes, čiji je glavni cilj osigurati ujednačenu primjenu prava Unije i pravnu sigurnost u svim državama članicama te stvoriti jednake uvjete za države članice, građane i gospodarske subjekte. U vezi s tim, nacionalnim se pravilima, uključujući ona ustavne razine, ne smije dopustiti da narušavaju jedinstvo i djelotvornost prava Unije ( 88 ). |
138. |
Da bi se takvo ograničenje moglo uvesti, moraju biti ispunjena dva osnovna kriterija – dobra vjera zainteresiranih osoba i opasnost od ozbiljnih povreda ( 89 ). |
139. |
Treba dodati da se Sud tek iznimno ( 90 ) služio takvim rješenjem, i to u vrlo jasno određenim okolnostima: kada je postojala opasnost od ozbiljnih ekonomskih posljedica zbog, osobito, velikog broja pravnih odnosa nastalih u dobroj vjeri na temelju propisa za koji se smatralo da je valjano na snazi i kada se pokazalo da su pojedinci i nacionalne vlasti bili potaknuti postupati protivno pravu Unije zbog objektivne i značajne nesigurnosti u pogledu dosega odredbi prava Unije, pri čemu je toj nesigurnosti možda pridonijelo i samo postupanje drugih država članica ili Unije ( 91 ). |
140. |
U ovom predmetu iz informacija sadržanih u odluci kojom je upućen zahtjev nije moguće zaključiti da bi bio pogođen velik broj pravnih odnosa nastalih u dobroj vjeri na temelju sporne odredbe te da bi, stoga, bilo osobito teško osigurati usklađenost ex tunc s prethodnom odlukom Suda kojom se ta odredba proglašava nespojivom s pravom Unije. |
141. |
S obzirom na to, nije potrebno ograničiti vremenske učinke presude Suda u ovom predmetu. |
142. |
Stoga predlažem da se na četvrto pitanje odgovori na način da nije moguće primjenjivati spornu odredbu i zadržati njezine pravne učinke do pravomoćnosti konačne odluke koju donese Satversmes tiesa (Ustavni sud). |
V. Zaključak
143. |
S obzirom na prethodno navedeno, predlažem da Sud na sljedeći način odgovori na pitanja koja je uputio Satversmes tiesa (Ustavni sud, Latvija):
|
( 1 ) Izvorni jezik: engleski
( 2 ) Vidjeti Tribune od 8. studenoga 1946.
( 3 ) Uredba Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL 2016., L 119, str. 1. i ispravak SL 2018., L 127, str. 2.)
( 4 ) Vidjeti presudu od 12. studenoga 1969. (29/69, EU:C:1969:57, t. 7.).
( 5 ) Te definitivno prvi predmet koji se odnosio na temeljna prava u pravnom poretku Unije
( 6 ) Direktiva Europskog parlamenta i Vijeća od 17. studenoga 2003. o ponovnoj uporabi informacija javnog sektora (SL 2003., L 345, str. 90.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 47., str. 141.), kako je izmijenjena Direktivom 2013/37/EU Europskog parlamenta i Vijeća od 26. lipnja 2013. (SL 2013., L 175, str. 1.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 16., svezak 4., str. 27.)
( 7 ) Direktiva Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL 1995., L 281, str. 31.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 7., str. 88.)
( 8 ) Bernska konvencija za zaštitu književnih i umjetničkih djela (Pariški akt od 24. srpnja 1971.), kako je izmijenjena 28. rujna 1979.
( 9 ) Sporazum o TRIPS‑u (Sporazum o trgovinskim aspektima prava intelektualnog vlasništva) čini Prilog 1.C Sporazumu o osnivanju Svjetske trgovinske organizacije (Sporazum o WTO‑u), koji je u ime Zajednice potvrđen, u odnosu na pitanja u njezinoj nadležnosti, Odlukom Vijeća 94/800/EZ od 22. prosinca 1994. (SL 1994., L 336, str. 1.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 11., svezak 74., str. 3.)
( 10 ) U izmijenjenoj verziji koja je stupila na snagu 10. svibnja 2018.
( 11 ) Ministru kabineta 2004. gada 21. jūnija noteikumi Nr.551 „Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi” (Uredba Vlade br. 551 od 21. lipnja 2004., „Pravila za primjenu sustava kaznenih bodova”)
( 12 ) Iako se to može činiti nelogičnim, izraz „opseg prava Unije” iz članka 2. stavka 2. točke (a) GDPR‑a nije sasvim jasan u kontekstu GDPR‑a; vidjeti Wolff, H. A., u M. Pechstein, C. Nowak, U. Häde (urednici), Frankfurter Kommentar zu EUV, GRC und AEUV, Band II, Mohr Siebeck, Tübingen, 2017., Art. 16 AEUV, t. 19.
( 13 ) Obrada osobnih podataka koja se u cijelosti obavlja automatizirano te neautomatizirana obrada osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane
( 14 ) Sud je to više puta utvrdio u pogledu članka 3. stavka 2. Direktive 95/46; vidjeti presudu od 10. srpnja 2018., Jehovan todistajat (C‑25/17, EU:C:2018:551, t. 37. i navedenu sudsku praksu). Vidjeti također Sobotta, Chr., u E. Grabitz, M. Hilf i M. Nettesheim, Das Recht der Europäischen Union, 71. EL., ažurirano u kolovozu 2020., C. H. Beck, München, Art. 16 AEUV, t. 22., gdje se upućuje na široko materijalno područje primjene sustava zaštite podataka EU‑a.
( 15 ) Vidjeti, u tom smislu, i Hatje, A., u J. Schwarze, U. Becker, A. Hatje, J. Schoo (urednici), EU‑Kommentar, 4. izdanje, Nomos, Baden‑Baden, 2019., Art. 16, t. 10. i Brühann, U., u H. von der Groeben, J. Schwarze, A. Hatje (urednici), Europäisches Unionsrecht (Kommentar), Band 1, 7. izdanje, Nomos, Baden‑Baden, 2015., Art. 16 AEUV, t. 130.
( 16 ) Koja se odnosi na „odredbe koje imaju opću primjenu”
( 17 ) Vidjeti u pogledu Direktive 95/46, primjerice, presudu od 13. svibnja 2014., Google Spain i Google (C‑131/12, EU:C:2014:317, t. 66.) i od 10. srpnja 2018., Jehovan todistajat (C‑25/17, EU:C:2018:551, t. 35.).
( 18 ) Prvotna svrha toga da EU uređuje sustav zaštite podataka, koja je povezana s unutarnjim tržištem, i dalje je prisutna uz zaštitu podataka samu po sebi. Kako proizlazi već iz njegova naziva i članka 1., predmet i ciljevi GDPR‑a su dvostruki: utvrditi pravila povezana sa zaštitom pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka. Osim toga, uvodna izjava 13. GDPR‑a predviđa da treba spriječiti razilaženja koja ometaju slobodno kretanje osobnih podataka na unutarnjem tržištu te da ispravno funkcioniranje unutarnjeg tržišta nalaže da se ne ograničava niti zabranjuje slobodno kretanje osobnih podataka u Uniji zbog razloga povezanih sa zaštitom pojedinaca u vezi s obradom osobnih podataka.
( 19 ) Moje isticanje
( 20 ) U toj je odredbi određeno područje primjene Povelje.
( 21 ) Moje isticanje
( 22 ) Vidjeti, primjerice, Zerdick, Th., u E. Ehmann, M. Selmayr (urednici), Datenschutz‑Grundverordnung, Kommentar, C. H. Beck, München, 2. izdanje, 2018., Art. 2, t. 5.
( 23 ) To je dosljedna sudska praksa od presude od 26. veljače 2013., Åkerberg Fransson (C‑617/10, EU:C:2013:105, t. 21.). Vidjeti također presude od 21. prosinca 2016., AGET Iraklis (C‑201/15, EU:C:2016:972, t. 62.); od 21. svibnja 2019., Komisija/Mađarska (pravo plodouživanja na poljoprivrednom zemljištu) (C‑235/17, EU:C:2019:432, t. 63.); i od 24. rujna 2020., NK (strukovno mirovinsko osiguranje) (C‑223/19, EU:C:2020:753, t. 78.).
( 24 ) Prema mojemu mišljenju, tekst članka 2. stavka 2. točke (a) GDPR‑a nije dorečen. U skladu s ustaljenom sudskom praksom Suda, prilikom tumačenja odredbe prava Unije, valja voditi računa ne samo o njezinu tekstu nego i o njezinu kontekstu i ciljevima koji se nastoje postići propisima kojih je ona dio i, osobito, o kontekstu nastanka tih propisa; vidjeti, primjerice, presudu od 17. travnja 2018., Egenberger (C‑414/16, EU:C:2018:257, t. 44. i navedenu sudsku praksu).
( 25 ) Vidjeti, u tom smislu, i Lubasz, D., u D. Lubasz (urednik), Ochrona danych osobowych, Wolters Kluwer, Varšava, 2020., t. 92.
( 26 ) Te je nekada vrijedilo i za članak 114. UFEU‑a
( 27 ) Vidjeti članak 10. GDPR‑a.
( 28 ) Osobito ako uzmemo u obzir da se nacionalni identifikacijski broj obično dodjeljuje prilikom službenog upisa rođenja, što je pitanje koje nije obično povezano s nadležnosti EU‑a.
( 29 ) Vidjeti Izjavu br. 20. priloženu Završnom aktu međuvladine konferencije na kojoj je donesen Ugovor iz Lisabona, potpisanom 13. prosinca 2007.
( 30 ) S obzirom na članak 94. stavak 2. GDPR‑a, upućivanja na Direktivu 95/46 treba tumačiti kao upućivanja na GDPR.
( 31 ) Vidjeti članak 15. stavak 1. Direktive 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL 2002., L 201, str. 37.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 52., str. 111.). Vidjeti u pogledu te odredbe presudu od 29. siječnja 2008., Promusicae (C‑275/06, EU:C:2008:54, t. 49.).
( 32 ) Uključujući osiguranje teritorijalne cjelovitosti države, očuvanje javnog poretka i zaštitu nacionalne sigurnosti
( 33 ) Za taj izraz vidjeti Franzius, C., i M. Pechstein, C. Nowak, U. Häde (urednici), Frankfurter Kommentarzu EUV, GRC und AEUV, Band I, Mohr Siebeck, Tübingen, 2017., Art. 4 EUV, t. 50.: „Staatsfunktionengarantie”.
( 34 ) Vidjeti članak 2. stavak 2. točku (b) GDPR‑a.
( 35 ) Vidjeti članak 2. stavak 2. točku (c) GDPR‑a.
( 36 ) Vidjeti članak 2. stavak 2. točku (d) GDPR‑a.
( 37 ) Osim toga, članak 39. UEU‑a sadržava posebnu pravnu osnovu za obradu osobnih podataka od strane država članica pri obavljanju aktivnosti na temelju zajedničke vanjske i sigurnosne politike. Dakle, razlikovanje po „stupovima” je u tom pogledu sačuvano u Lisabonskom ugovoru; vidjeti Lynskey, O., The Foundations of EU Data Protection Law, OUP, Oxford, 2015., str. 18.
( 38 ) Vidjeti Direktivu (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL 2016., L 119, str. 89.).
( 39 ) Osim toga, vidjeti presudu od 6. listopada 2020., La Quadrature du Net i dr. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, t. 102.).
( 40 ) Da navedem samo jedan primjer, Sud nije aktivno razmatrao jesu li dobrotvorne i vjerske aktivnosti obuhvaćene područjem primjene prava Unije (vidjeti presudu od 6. studenoga 2003., Lindqvist, C‑101/01, EU:C:2003:596, t. 48.).
( 41 ) Vidjeti presudu od 20. svibnja 2003., Österreichischer Rundfunk i dr. (C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, t. 42.).
( 42 ) Usto vidjeti, u pravnoj teoriji, Kranenborg, H., u Chr. Kuner, L. A. Bygrave, Chr. Docksey (urednici), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020., Art. 86, A., str. 1214. Vidjeti također Pauly, D. A., u B. P. Paal, D. A. Pauly, Datenschutz‑Grundverordnung, Bundesdatenschutzgesetz, C. H. Beck, München 2018., Art. 86 DS‑GVO, t. 9.
( 43 ) Vidjeti također u tom pogledu Kranenborg, H., op. cit., Art. 86, C.1., str. 1217., uključujući bilješku 14. Isti autor sasvim pravilno upućuje na činjenicu da je prvotni Komisijin prijedlog sadržavao samo uvodnu izjavu u pogledu tog pitanja, ne i odredbu.
( 44 ) U skladu s tom odredbom, ako je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha, obrada je zakonita samo u odnosu na ono za što je privola dana.
( 45 ) Ili kada je obrada odobrena pravom Unije ili pravom države članice kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode ispitanikâ
( 46 ) Kao što su španjolska („condenas e infracciones penales”), njemačka („strafrechtliche Verurteilungen und Straftaten”), talijanska („condanne penali e […] reati”), litavska („apkaltinamuosius nuosprendžius ir nusikalstamas veikas”), malteška („kundanni kriminali u reati”) i nizozemska („strafrechtelijke veroordelingen en strafbare feiten”) jezična verzija
( 47 ) Kao što su francuska („condamnations pénales et […] infractions”), poljska („wyroków skazujących oraz naruszeń prawa”), portugalska („condenações penais e infrações”) i rumunjska („condamnări penale și infracțiuni”) jezična verzija
( 48 ) U biti, ako tekst doslovno tumačimo, čak bi i „convictions” (osude) teoretski mogle biti upravne prirode.
( 49 ) Vidjeti, primjerice, presudu od 25. lipnja 2020., A i dr. (vjetroelektrane u Aalteru i Neveleu) (C‑24/19, EU:C:2020:503, t. 39. i navedenu sudsku praksu).
( 50 ) Vidjeti presudu od 6. listopada 1982., Cilfit i dr. (283/81, EU:C:1982:335, t. 18.).
( 51 ) Vidjeti, primjerice, presude od 30. svibnja 2013., Genil 48 i Comercial Hostelera de Grandes Vinos (C‑604/11, EU:C:2013:344, t. 38. i navedenu sudsku praksu) i od 6. rujna 2012., Parlament/Vijeće (C‑490/10, EU:C:2012:525, t. 68.).
( 52 ) Vidjeti također u tom smislu Kawecki, M., Barta, P, u P. Litwiński (urednik), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C. H. Beck, Varšava 2018., Article 10 t. 3.
( 53 ) „Obrada podataka koji se odnose na kaznena djela, kaznene presude ili sigurnosne mjere mo[že] se izvršiti jedino pod nadzorom službenog tijela […]”. Moje isticanje
( 54 ) „Države članice mogu propisati da se podaci koji se odnose na upravne sankcije ili presude u građanskim stvarima također mogu obrađivati pod nadzorom službenog tijela.” Moje isticanje
( 55 ) Vidjeti primjerice presudu od 1. listopada 2019., Planet49 (C‑673/17, EU:C:2019:801, t. 47. i navedenu sudsku praksu).
( 56 ) Ibid.
( 57 ) Vidjeti presudu od 17. rujna 2020., JZ (Kazna zatvora u kontekstu zabrane ulaska) (C‑806/18, EU:C:2020:724, t. 26. i navedenu sudsku praksu).
( 58 ) Vidjeti također u tom smislu Georgieva, L., The EU General Data Protection Regulation (GDPR), op. cit., Art. 10, C.1., str. 388., i Schiff, A., Datenschutz‑Grundverordnung, Kommentar, op. cit., čl. 10. t. 4.
( 59 ) Koja je igrom slučaja usvojena istog dana kao GDPR.
( 60 ) Prava da se ne bude dva puta suđen ili kažnjen za isto kazneno djelo
( 61 ) Vidjeti također instruktivno mišljenje nezavisne odvjetnice J. Kokott u predmetu Bonda (C‑489/10, EU:C:2011:845, t. 32. i slj.).
( 62 ) Vidjeti presude Europskog suda za ljudska prava od 8. lipnja 1976., Engel i dr. protiv Nizozemske (CE:ECHR:1976:0608JUD000510071, t. 80. do 82.) i od 10. veljače 2009., Sergey Zolotukhin protiv Rusije (CE:ECHR:2009:0210JUD001493903, t. 52. i 53.).
( 63 ) Vidjeti presudu od 5. lipnja 2012., Bonda (C‑489/10, EU:C:2012:319, t. 37).
( 64 ) Budući da se u ovom predmetu bavimo kaznenim bodovima koji, kako smo vidjeli, nisu teški po prirodi, to utvrđenje ne dovodi u pitanje odluka Suda u njegovoj presudi od 14. studenoga 2013., Baláž, C‑60/12, EU:C:2013:733, koja se odnosila na šire i općenitije pitanje „nadležnosti posebno u kaznenim stvarima” u pogledu prometnih prekršaja općenito, a ne samo u pogledu kaznenih bodova u kontekstu Okvirne odluke Vijeća 2005/214/PUP od 24. veljače 2005. o primjeni načela uzajamnog priznavanja na novčane kazne (SL 2005., L 76, str. 16.).
( 65 ) Koje, kako ćemo vidjeti u nastavku, ionako nije primjenjivo
( 66 ) S obzirom na to, opravdano je pitati se jesu li ispunjeni zahtjevi iz članka 94. točke c. Poslovnika Suda; ako nisu, pitanje nije dopušteno.
( 67 ) Vidjeti presudu od 16. siječnja 2019., Deutsche Post (C‑496/17, EU:C:2019:26, t. 57. i navedenu sudsku praksu).
( 68 ) Članak 5. GDPR‑a preskriptivno je sročen („moraju”) te su pojedina načela povezana točkom sa zarezom, koja ima značenje „i”, a ne „ili”.
( 69 ) Članak 6. GDPR‑a upućuje na „najmanje jedno od [načela]”.
( 70 ) Vidjeti presudu od 9. ožujka 2017., Manni (C‑398/15, EU:C:2017:197, t. 35.).
( 71 ) Članak 2. točke (b) i (d) Direktive 95/46.
( 72 ) To je načelo dalje razvijeno u poglavlju IV., odjeljku 2. GDPR‑a (članci 32. do 34.).
( 73 ) Vidjeti također u tom smislu Pötters, St., u P. Gola (urednik), Datenschutz‑Grundverordnung VO (EU) 2016/679, Kommentar, C. H. Beck, München, 2. izdanje, 2018., Art. 5 t. 29.
( 74 ) Prema kojoj, kako bi obrada bila zakonita, osobne podatke trebalo bi obrađivati na temelju privole dotičnog ispitanika ili neke druge legitimne osnove, bilo propisane u GDPR‑u bilo u drugom pravu Unije ili pravu države članice na koje upućuje ta uredba, uključujući obvezu poštovanja pravne obveze kojoj podliježe voditelj obrade ili obvezno izvršavanje ugovora u kojem je ispitanik jedna od stranaka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora.
( 75 ) Vidjeti u tom pogledu i Herbst, T., u J. Buchner, B. Kühling (urednici), Datenschutz‑Grundverordnung/BDSG, Kommentar, 2. izdanje, C. H. Beck, München, 2018., Art. 5, DS‑GVO, t. 11. i Pötters, St., op. cit., Art. 5, t. 6. Za šire shvaćanje zakonitosti, u smislu da zahtijeva poštovanje svih odredbi uredbe, vidjeti Lubasz, D., u D. Lubasz (urednik), Ochrona danych osobowych, Wolters Kluwer, Varšava, 2020., t. 186.
( 76 ) Čak i ako bi se za potrebe ocjenjivanja je li članak 5. GDPR‑a poštovan smatralo potrebnim provjeriti jesu li ispunjeni kriteriji iz članka 6. GDPR‑a, obradu o kojoj je riječ u ovom predmetu smatrao bih zakonitom i u smislu članka 6. stavka 1. točke (c) GDPR‑a, to jest u smislu da je nužna radi poštovanja pravnih obveza voditelja obrade, s obzirom na to da CSDD priopćavanjem kaznenih bodova javnosti izvršava pravnu obvezu koju ima na temelju nacionalnog prava.
( 77 ) Što se tiče upućivanja austrijske vlade u tom pogledu na presudu Bundesverfassungsgerichta (Savezni ustavni sud) od 27. veljače 2008. (1 BvR 370/07 i 1 BvR 595/07 (ECLI:DE:BVerfG:2008:rs20080227.1bvr037007), BVerfGE 120, 274 i sljedeće., str. 314., dostupna na: http://www.bverfg.de/e/rs20080227_1bvr037007en.html), nisam jako uvjeren u relevantnost te presude jer se ona odnosi na materijalno temeljno pravo, dok je u članku 5. stavku 1. točki (f) GDPR‑a riječ, kako je utvrđeno u prethodnim točkama ovog mišljenja, o formalnim zahtjevima.
( 78 ) U toj se odredbi potom navodi da se daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe ne smatra, u skladu s člankom 89. stavkom 1. GDPR‑a, neusklađenom s prvotnim svrhama.
( 79 ) Vidjeti u tom smislu Lubasz, D., u D. Lubasz (urednik), Ochrona danych osobowych, Wolters Kluwer, Varšava 2020., t. 202.
( 80 ) Vidjeti primjerice presudu od 9. studenoga 2010., Volker und Markus Schecke i Eifert (C‑92/09 i C‑93/09, EU:C:2010:662, t. 74. i navedenu sudsku praksu).
( 81 ) Ta je odredba Direktivi 2003/98 dodana 2013.; vidjeti članak 1. stavak 1. točku (a) podtočku iii. Direktive 2013/37/EU Europskog parlamenta i Vijeća od 26. lipnja 2013. o izmjeni Direktive 2003/98/EZ o ponovnoj uporabi informacija javnog sektora (SL 2013., L 175, str. 1.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 16., svezak 4., str. 27.).
( 82 ) Članak 1. stavak 4. Direktive 2003/98 u tom pogledu upućuje na Direktivu 95/46.
( 83 ) Što se tiče Direktive (EU) 2019/1024 Europskog parlamenta i Vijeća od 20. lipnja 2019. o otvorenim podatcima i ponovnoj uporabi informacija javnog sektora (SL 2019., L 172, str. 56.), kojom se, kako je predviđeno u njezinu članku 19., Direktiva 2003/98 stavlja izvan snage s učinkom od 17. srpnja 2021., vidjeti članak 1. stavak 2. točku (f) Direktive 2019/1024.
( 84 ) To se uobičajeno naziva učinkom ex tunc prethodnih odluka u skladu s člankom 267. UFEU‑a.
( 85 ) Vidjeti primjerice presude od 29. rujna 2015., Gmina Wrocław (C‑276/14, EU:C:2015:635, t. 44.) i od 28. listopada 2020., Bundesrepublik Deutschland (Određivanje visine cestarina za korištenje autocesta) (C‑321/19, EU:C:2020:866, t. 54.).
( 86 ) Vidjeti primjerice presude od 29. rujna 2015., Gmina Wrocław (C‑276/14, EU:C:2015:635, t. 45.) i od 28. listopada 2020., Bundesrepublik Deutschland (Određivanje visine cestarina za korištenje autocesta) (C‑321/19, EU:C:2020:866, t. 55.).
( 87 ) Vidjeti presude od 8. rujna 2010., Winner Wetten (C‑409/06, EU:C:2010:503, t. 67.) i od 19. studenoga 2009., Filipiak (C‑314/08, EU:C:2009:719, t. 84.). Vidjeti također presudu od 6. ožujka 2007., Meilicke i dr. (C‑292/04, EU:C:2007:132, t. 36. i navedenu sudsku praksu).
( 88 ) Vidjeti presude od 17. prosinca 1970., Internationale Handelsgesellschaft (11/70, EU:C:1970:114, t. 3.) i od 8. rujna 2010., Winner Wetten (C‑409/06, EU:C:2010:503, t. 61.).
( 89 ) Vidjeti primjerice presude od 29. rujna 2015., Gmina Wrocław (C‑276/14, EU:C:2015:635, t. 45.) i od 28. listopada 2020., Bundesrepublik Deutschland (Određivanje visine cestarina za korištenje autocesta) (C‑321/19, EU:C:2020:866, t. 55.).
( 90 ) Vidjeti također Lenaerts, K., Maselis, I., Gutman, K., EU Procedural Law, Oxford University Press, Oxford, 2014., t. 6.34., str. 247.
( 91 ) Vidjeti primjerice presudu od 16. rujna 2020., Romenergo i Aris Capital (C‑339/19, EU:C:2020:709, t. 49. i navedenu sudsku praksu).