62020CJ0175

Kalba
- Mano „EUR-Lex“
- Prisijungti
- Registruotis
- Mano naujausios paieškos (0)

Šis dokumentas gautas iš interneto svetainės „EUR-Lex“

Paieškos patarimai

Reikia daugiau paieškos galimybių? Pasinaudokite šia paieškos galimybe – Išplėstinė paieška

EUROPA
„EUR-Lex“ pradžios puslapis
EUR-Lex - 62020CJ0175 - LT

Dokumentas 62020CJ0175

Pagalba

2022 m. vasario 24 d. Teisingumo Teismo (penktoji kolegija) sprendimas.
SIA „SS“ prieš Valsts ieņēmumu dienests.
Administratīvā apgabaltiesa prašymas priimti prejudicinį sprendimą.
Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 2 straipsnis – Taikymo sritis – 4 straipsnis – Sąvoka „duomenų tvarkymas“ – 5 straipsnis – Su duomenų tvarkymu susiję principai – Tikslo apribojimo principas – Duomenų kiekio mažinimas – 6 straipsnis – Tvarkymo teisėtumas – Būtinas duomenų tvarkymas, siekiant atlikti duomenų valdytojui pavestą užduotį, vykdomą dėl viešojo intereso – Būtinas duomenų tvarkymas, siekiant įvykdyti duomenų valdytojui taikomą teisinę prievolę – 23 straipsnis – Apribojimai – Duomenų tvarkymas mokesčių tikslais – Prašymas pateikti informaciją, susijusią su transporto priemonių skelbimais internete – Proporcingumas.
Byla C-175/20.

Teismo praktikos rinkinys. Bendrasis rinkinys. Skyrius „Informacija apie nepaskelbtus sprendimus“

Europos teismų praktikos identifikatorius (ECLI): ECLI:EU:C:2022:124

Bylos kalba

HTML

PDF

Dokumentas paskelbtas skaitmeniniame rinkinyje, kuris yra oficialus.

TEISINGUMO TEISMO (penktoji kolegija) SPRENDIMAS

2022 m. vasario 24 d. ( *1 )

„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 2 straipsnis – Taikymo sritis – 4 straipsnis – Sąvoka „duomenų tvarkymas“ – 5 straipsnis – Su duomenų tvarkymu susiję principai – Tikslo apribojimo principas – Duomenų kiekio mažinimas – 6 straipsnis – Tvarkymo teisėtumas – Būtinas duomenų tvarkymas, siekiant atlikti duomenų valdytojui pavestą užduotį, vykdomą dėl viešojo intereso – Būtinas duomenų tvarkymas, siekiant įvykdyti duomenų valdytojui taikomą teisinę prievolę – 23 straipsnis – Apribojimai – Duomenų tvarkymas mokesčių tikslais – Prašymas pateikti informaciją, susijusią su transporto priemonių skelbimais internete – Proporcingumas“

Byloje C‑175/20

dėl Administratīvā apgabaltiesa (Apygardos administracinis teismas, Latvija) 2020 m. kovo 11 d. nutartimi, kurią Teisingumo Teismas gavo 2020 m. balandžio 14 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje

„SS“ SIA

prieš

Valsts ieņēmumu dienests

TEISINGUMO TEISMAS (penktoji kolegija),

kurį sudaro kolegijos pirmininkas E. Regan, penktosios kolegijos teisėjo pareigas einantis Teisingumo Teismo pirmininkas K. Lenaerts, ketvirtosios kolegijos pirmininkas C. Lycourgos, teisėjai I. Jarukaitis ir M. Ilešič (pranešėjas),

generalinis advokatas M. Bobek,

kancleris A. Calot Escobar,

atsižvelgęs į rašytinę proceso dalį,

išnagrinėjęs pastabas, pateiktas:

–	„SS“ SIA, atstovaujamos M. Ruķers,

–	Latvijos vyriausybės, iš pradžių atstovaujamos K. Pommere, V. Soņeca ir L. Juškeviča, vėliau K. Pommere,

–	Belgijos vyriausybės, atstovaujamos J.‑C. Halleux ir P. Cottin, padedamų avocat C. Molitor,

–	Graikijos vyriausybės, atstovaujamos E.‑M. Mamouna ir O. Patsopoulou,

–	Ispanijos vyriausybės, iš pradžių atstovaujamos J. Rodríguez de la Rúa Puig ir S. Jiménez García, vėliau J. Rodríguez de la Rúa Puig,

–	Europos Komisijos, iš pradžių atstovaujamos H. Kranenborg, D. Nardi ir I. Rubene, vėliau H. Kranenborg ir I. Rubene,

susipažinęs su 2021 m. rugsėjo 2 d. posėdyje pateikta generalinio advokato išvada,

priima šį

Sprendimą

Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1; klaidų ištaisymai OL L 127, 2018, p. 2; OL L 74, 2021, p. 35), be kita ko, dėl jo 5 straipsnio 1 dalies, išaiškinimo.

2	Šis prašymas pateiktas nagrinėjant „SS“ SIA ir Valsts ieņēmumu dienests (Valstybinis mokesčių administratorius, Latvija, toliau – Latvijos mokesčių administratorius) ginčą dėl prašymo pateikti informaciją apie transporto priemonių pardavimo skelbimus, paskelbtus SS interneto svetainėje.

Teisinis pagrindas

Sąjungos teisė

Reglamentas 2016/679

3	SESV 16 straipsniu grindžiamas Reglamentas 2016/679, remiantis jo 99 straipsnio 2 dalimi, taikomas nuo 2018 m. gegužės 25 d.

Šio reglamento 1, 4, 10, 19, 26, 31, 39, 41 ir 50 konstatuojamosiose dalyse nurodyta:

„(1)	fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje ir [SESV] 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą;

<…>

(4)

asmens duomenys turėtų būti tvarkomi taip, kad tai pasitarnautų žmonijai. Teisė į asmens duomenų apsaugą nėra absoliuti; ji turi būti vertinama atsižvelgiant į jos visuomeninę paskirtį ir derėti su kitomis pagrindinėmis teisėmis, remiantis proporcingumo principu. Šiuo reglamentu paisoma visų Chartijoje pripažintų ir Sutartyse įtvirtintų pagrindinių teisių ir laisvių bei principų, visų pirma teisės į privatų ir šeimos gyvenimą, būsto neliečiamybę ir komunikacijos slaptumą, teisės į asmens duomenų apsaugą, minties, sąžinės ir religijos laisvės, saviraiškos ir informacijos laisvės, laisvės užsiimti verslu, teisės į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą ir kultūrų, religijų ir kalbų įvairovės;

<…>

(10)	siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. <…>

<…>

(19)

fizinių asmenų apsauga kompetentingoms valdžios institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, ir laisvas tokių duomenų judėjimas reglamentuojami specialiu Sąjungos teisės aktu. Todėl šis reglamentas neturėtų būti taikomas duomenų tvarkymo veiklai tokiais tikslais. Tačiau kai asmens duomenys, kuriuos valdžios institucijos tvarko pagal šį reglamentą, naudojami tais tikslais, jų tvarkymas turėtų būti reglamentuojamas konkretesniu Sąjungos teisės aktu, tai yra [2016 m. balandžio 27 d.] Europos Parlamento ir Tarybos direktyva (ES) 2016/680 [dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo ir kuria panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016, p. 89)]. <…>

<…>

(26)

duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. <…> Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo. <…>

<…>

(31)

valdžios institucijos, kurioms asmens duomenys atskleidžiami laikantis teisinės prievolės, kad jos galėtų vykdyti oficialias savo funkcijas kaip, pavyzdžiui, mokesčių institucijos ar muitinės, finansinių tyrimų padaliniai, nepriklausomos administracinės valdžios institucijos ar finansų rinkų institucijos, atsakingos už vertybinių popierių rinkų reguliavimą ir priežiūrą, neturėtų būti laikomos asmens duomenų gavėjais, jei jos gauna duomenis, kurie yra būtini konkrečiam tyrimui atlikti pagal bendrą interesą, vadovaujantis Sąjungos arba valstybės narės teise. Valdžios institucijų prašymai atskleisti duomenis visada turėtų būti pateikiami raštu, būti pagrįsti ir nereguliarūs ir neturėtų būti susiję su visu susistemintu rinkiniu ar dėl jų susisteminti rinkiniai neturėtų būti susiejami tarpusavyje. Tos valdžios institucijos asmens duomenis turėtų tvarkyti laikydamosi taikomų duomenų apsaugos taisyklių, atsižvelgiant į duomenų tvarkymo tikslus;

<…>

(39)

<…> Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba. Tas principas visų pirma susijęs su duomenų subjektų informavimu apie duomenų valdytojo tapatybę ir duomenų tvarkymo tikslus, taip pat su tolesniu informavimu, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas atitinkamų fizinių asmenų atžvilgiu, jų teise gauti patvirtinimą dėl su jais susijusių asmens duomenų tvarkymo ir teise tuos duomenis gauti. Fiziniai asmenys turėtų būti informuoti apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis tokio asmens duomenų tvarkymo srityje. Visų pirma konkretūs tikslai, kuriais tvarkomi asmens duomenys, turėtų būti aiškūs, teisėti ir nustatyti duomenų rinkimo metu. Asmens duomenys turėtų būti tinkami, susiję su tikslais, kuriais jie tvarkomi, ir riboti pagal tai, kiek jų yra būtina turėti atsižvelgiant į tikslus, kuriais jie tvarkomi; tam pirmiausia reikia užtikrinti, kad asmens duomenų saugojimo laikotarpis būtų tikrai minimalus. Asmens duomenys turėtų būti tvarkomi tik tuomet, jei asmens duomenų tvarkymo tikslo pagrįstai negalima pasiekti kitomis priemonėmis. <…>

<…>

(41)

kai šiame reglamente nurodomas teisinis pagrindas arba teisėkūros priemonė, tai nebūtinai reiškia, kad parlamentas turi priimti teisėkūros procedūra priimamą aktą, nedarant poveikio reikalavimams, taikomiems pagal atitinkamos valstybės narės konstitucinę tvarką. Tačiau toks teisinis pagrindas ar teisėkūros priemonė turėtų būti aiškūs ir tikslūs, o jų taikymas turėtų būti numatomas tiems asmenims, kuriems jie turi būti taikomi, pagal [Teisingumo Teismo] ir Europos Žmogaus Teisių Teismo praktiką;

<…>

(50)

asmens duomenų tvarkymas kitais tikslais nei tais, kuriais iš pradžių buvo rinkti asmens duomenys, turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas suderinamas su tikslais, kuriais iš pradžių buvo rinkti asmens duomenys. Tokiu atveju nereikalaujama atskiro teisinio pagrindo, užtenka to pagrindo, kuriuo remiantis leidžiama rinkti asmens duomenis. Jeigu duomenų tvarkytojui tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, Sąjungos arba valstybės narės teisėje galima apibrėžti ir sukonkretinti užduotis ir tikslus, kuriais tolesnis duomenų tvarkymas turėtų būti laikomas suderinamu ir teisėtu. Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turėtų būti laikomas suderinamomis teisėtomis duomenų tvarkymo operacijomis. Sąjungos ar valstybės narės teisėje numatytas asmens duomenų tvarkymo teisinis pagrindas taip pat gali būti tolesnio duomenų tvarkymo teisinis pagrindas. Tam, kad įsitikintų, ar tolesnio duomenų tvarkymo tikslas suderinamas su tikslu, kuriuo iš pradžių duomenys buvo rinkti, duomenų valdytojas po to, kai įvykdo visus reikalavimus dėl pradinio asmens duomenų tvarkymo teisėtumo, turėtų atsižvelgti, inter alia, į sąsajas tarp tų tikslų ir numatomo tolesnio asmens duomenų tvarkymo tikslų, aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu dėl tolesnio duomenų naudojimo; asmens duomenų pobūdį; numatomo tolesnio duomenų tvarkymo pasekmes duomenų subjektams ir tinkamų apsaugos priemonių buvimą tiek pradinėse, tiek numatomose tolesnėse duomenų tvarkymo operacijose.“

Reglamento 2016/679 2 straipsnyje „Materialinė taikymo sritis“ nustatyta:

„1. Šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.

2. Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:

a)	duomenys tvarkomi vykdant veiklą, kuriai Sąjungos teisė netaikoma;

b)	duomenis tvarko valstybės narės, vykdydamos veiklą, kuriai taikomas ES sutarties V antraštinės dalies 2 skyrius;

c)	duomenis tvarko fizinis asmuo, užsiimdamas išimtinai asmenine ar namų ūkio veikla;

d)	duomenis tvarko kompetentingos valdžios institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn už jas, baudžiamųjų sankcijų vykdymo, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, tikslais.

<…>“

Šio reglamento 4 straipsnis „Apibrėžtys“ suformuluotas taip:

„Šiame reglamente:

asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

<…>

6)	susistemintas rinkinys – bet kuris susistemintas pagal specialius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

7)	duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; <…>

<…>

duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne. Tačiau valdžios institucijos, kurios pagal Sąjungos arba valstybės narės teisę gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis, tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių;

<…>“

Minėto reglamento 5 straipsnyje „Su asmens duomenų tvarkymu susiję principai“ nustatyta:

„1. Asmens duomenys turi būti:

a)	duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

b)	renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; <…> (tikslo apribojimo principas);

c)	adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

d)	tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

e)	laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; <…> (saugojimo trukmės apribojimo principas);

tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

2. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“

To paties reglamento 6 straipsnyje „Tvarkymo teisėtumas“ numatyta:

„1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

a)	duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

b)	tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

c)	tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

d)	tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;

e)	tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

f)	tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.

Šios pastraipos f punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.

2. Valstybės narės gali toliau taikyti arba nustatyti konkretesnes nuostatas šio reglamento taisyklių taikymui pritaikyti, kiek tai susiję su duomenų tvarkymu, kad būtų laikomasi 1 dalies c ir e punktų, tiksliau nustatydamos konkrečius duomenų tvarkymui keliamus reikalavimus ir kitas teisėto ir sąžiningo duomenų tvarkymo užtikrinimo priemones, įskaitant kitais specialiais IX skyriuje numatytais duomenų tvarkymo atvejais.

3. 1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas:

a)	Sąjungos teisėje; arba

b)	duomenų valdytojui taikomoje valstybės narės teisėje.

Duomenų tvarkymo tikslas nustatomas tame teisiniame pagrinde arba, 1 dalies e punkte nurodyto duomenų tvarkymo atveju, yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. <…> Sąjungos arba valstybės narės teisė atitinka viešojo intereso tikslą ir yra proporcinga teisėtam tikslui, kurio siekiama.

4. Kai duomenų tvarkymas kitu tikslu nei tas dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos ar valstybės narės teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 23 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:

a)	visas sąsajas tarp tikslų, kuriais asmens duomenys buvo surinkti, ir numatomo tolesnio duomenų tvarkymo tikslų;

b)	aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma susijusias su duomenų subjektų ir duomenų valdytojo tarpusavio santykiu;

c)	asmens duomenų pobūdį, visų pirma ar tvarkomi specialių kategorijų asmens duomenys pagal 9 straipsnį, ar tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas pagal 10 straipsnį;

d)	numatomo tolesnio duomenų tvarkymo galimas pasekmes duomenų subjektams;

e)	tinkamų apsaugos priemonių, kurios gali apimti šifravimą ar pseudonimų suteikimą, buvimą.“

Reglamento 2016/679 13 straipsnio 3 dalyje nustatyta:

„Jeigu duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo renkami, prieš taip toliau tvarkydamas duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą kitą atitinkamą papildomą informaciją, kaip nurodyta 2 dalyje.“

Šio reglamento 14 straipsnyje numatyta:

„1. Kai asmens duomenys yra gauti ne iš duomenų subjekto, duomenų valdytojas pateikia duomenų subjektui šią informaciją:

<…>

c)	duomenų tvarkymo tikslus, kuriais ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

<…>

5. 1–4 dalys netaikomos, jeigu ir tiek, kiek:

<…>

c)	duomenų gavimas ar atskleidimas aiškiai nustatytas Sąjungos arba valstybės narės teisėje, ir kurie taikomi duomenų valdytojui ir kuriuose nustatytos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės; <…>

<…>“

Minėto reglamento 23 straipsnio 1 dalies e punktas suformuluotas taip:

„Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui arba duomenų tvarkytojui, teisėkūros priemone gali būti apribotos 12–22 straipsniuose ir 34 straipsnyje, taip pat 5 straipsnyje tiek, kiek jo nuostatos atitinka 12–22 straipsniuose numatytas teises ir prievoles, nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:

<…>

e)	kitus Sąjungos ar valstybės narės svarbius tikslus, susijusius su bendrais viešaisiais interesais, visų pirma svarbiu ekonominiu ar finansiniu Sąjungos ar valstybės narės interesu, įskaitant pinigų, biudžeto bei mokesčių klausimus, visuomenės sveikatą ir socialinę apsaugą;

<…>“

Reglamento 2016/679 25 straipsnio 2 dalyje numatyta:

„Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.“

Direktyva 2016/680

Direktyvos 2016/680 10 ir 11 konstatuojamosiose dalyse nurodyta:

„(10)

deklaracijoje Nr. 21 dėl asmens duomenų apsaugos teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse, pridėtoje prie Tarpvyriausybinės konferencijos, kurioje priimta Lisabonos sutartis, baigiamojo akto, konferencija pripažino, kad dėl teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo sričių ypatingo pobūdžio tose srityse gali reikėti SESV 16 straipsniu grindžiamų specialių taisyklių dėl asmens duomenų apsaugos ir laisvo asmens duomenų judėjimo;

(11)

todėl tikslinga tų sričių klausimus reglamentuoti direktyvoje, kurioje nustatytos specialios fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo, baudžiamojo persekiojimo arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais taisyklės, atsižvelgiant į specifinį tokios veiklos pobūdį. Tokios kompetentingos institucijos gali būti ne tik valdžios institucijos, pavyzdžiui, teisminės institucijos, policija ar kitos teisėsaugos institucijos, bet ir bet kuri kita įstaiga arba subjektas, kuriems pagal valstybės narės teisę pavesta vykdyti viešosios valdžios funkcijas ir naudotis viešaisiais įgaliojimais šios direktyvos tikslais. Jei tokia įstaiga arba subjektas tvarko asmens duomenis kitais nei šios direktyvos tikslais, taikomas Reglamentas [2016/679]. Todėl Reglamentas [2016/679] taikomas tais atvejais, kai įstaiga arba subjektas renka asmens duomenis kitais tikslais ir toliau tvarko tuos asmens duomenis siekdami laikytis teisinės prievolės, kuri jiems taikoma. <…>“

Šios direktyvos 3 straipsnyje nustatyta:

„Šioje direktyvoje:

<…>

7. kompetentinga institucija –

a)	bet kokia valdžios institucija, kompetentinga nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais; arba

bet kokia kita įstaiga arba subjektas, kuriems pagal valstybės narės teisę pavesta vykdyti viešosios valdžios funkcijas ir naudotis viešaisiais įgaliojimais nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais;

<…>“

Latvijos teisė

Remiantis likums „Par nodokļiem un nodevām“ (Mokesčių ir rinkliavų įstatymas, Latvijas Vēstnesis, 1995, Nr. 26, toliau – Mokesčių ir rinkliavų įstatymas) 15 straipsnio 6 dalies redakcija, taikytina pagrindinės bylos aplinkybėms, interneto reklamos paslaugų teikėjai turi pareigą pateikti, kai to paprašo Latvijos mokesčių administratorius, bet kokią turimą informaciją apie mokesčių mokėtojus, kurie pasinaudojo tomis paslaugomis reklamoms skelbti.

Pagrindinė byla ir prejudiciniai klausimai

16	SS yra Latvijoje įsisteigusi internete skelbiamų skelbimų paslaugų teikėja.

2018 m. rugpjūčio 28 d. Latvijos mokesčių administratorius pateikė SS Mokesčių ir rinkliavų įstatymo 15 straipsnio 6 dalimi grindžiamą prašymą pateikti informaciją, jame paragino šią bendrovę atkurti šio mokesčių administratoriaus turėtą prieigą prie transporto priemonių, kurių skelbimai buvo paskelbti šios bendrovės interneto svetainėje, važiuoklės numerių, taip pat prie pardavėjų telefono numerių ir ne vėliau kaip iki 2018 m. rugsėjo 3 d. pateikti jai informaciją apie skelbimus, paskelbtus šios svetainės rubrikoje „Lengvieji automobiliai“ laikotarpiu nuo 2018 m. liepos 14 d. iki rugpjūčio 31 d.

18	Prašyme buvo patikslinta, kad ši informacija, įskaitant nuorodą į skelbimą, jo tekstą, prekių ženklą, modelį, važiuoklės numerį ir transporto priemonės kainą bei pardavėjo telefono numerį, turi būti pateikta elektroninėmis priemonėmis tokiu formatu, kuris leistų filtruoti arba atrinkti duomenis.

Be to, tais atvejais, kai nebuvo galima atkurti prieigos prie nagrinėjamoje interneto svetainėje paskelbtuose skelbimuose esančios informacijos, SS buvo paprašyta nurodyti priežastį ir ne vėliau kaip trečią kiekvieno mėnesio dieną pateikti svarbią informaciją apie praėjusį mėnesį paskelbtus skelbimus.

20	Manydama, kad Latvijos mokesčių administratoriaus prašymas neatitinka Reglamente 2016/679 įtvirtintų asmens duomenų proporcingumo ir duomenų kiekio mažinimo principų, SS dėl šio prašymo pateikė skundą Latvijos mokesčių administratoriaus generaliniam direktoriui.

21	2018 m. spalio 30 d. sprendimu jis atmetė skundą ir, be kita ko, nurodė, kad tvarkydamas pagrindinėje byloje nagrinėjamus asmens duomenis Latvijos mokesčių administratorius vykdė pagal įstatymą jam suteiktus įgaliojimus.

Siekdama panaikinti tą sprendimą SS pateikė skundą administratīvā rajona tiesa (Apylinkės administracinis teismas, Latvija). Be argumentų, kuriuos išdėstė skunde, ji tvirtino, kad, pažeidžiant Reglamento 2016/679 5 straipsnio 1 dalį, minėtame sprendime nenurodyta nei konkretaus Latvijos mokesčių administratoriaus numatyto asmens duomenų tvarkymo tikslo, nei jam būtinų duomenų kiekio.

2019 m. gegužės 21 d. sprendimu administratīvā rajona tiesa (Apylinkės administracinis teismas) atmetė šį skundą ir iš esmės nurodė, kad Latvijos mokesčių administratorius galėjo pagrįstai prašyti leisti susipažinti su informacija, susijusia su visais asmenimis ir neribotais kiekiais, nebent tokia informacija būtų laikoma nesuderinama su mokesčių surinkimo tikslais. Be to, tas teismas nusprendė, kad Reglamento 2016/679 nuostatos šiam administratoriui netaikytinos.

Dėl to sprendimo SS pateikė apeliaciją prašymą priimti prejudicinį sprendimą pateikusiam teismui ir nurodė, kad, pirma, Latvijos mokesčių administratoriui taikomos Reglamento 2016/679 nuostatos ir, antra, kas mėnesį ir be apribojimų laiko atžvilgiu reikalaudamas didelio asmens duomenų, susijusių su neribotu skelbimų skaičiumi, kiekio ir nenurodydamas mokesčių mokėtojų, kuriems bus taikoma mokesčių kontrolė, šis administratorius pažeidė proporcingumo principą.

Prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, kad pagrindinėje byloje neginčijama nei tai, kad nagrinėjamas prašymas pateikti informaciją yra glaudžiai susijęs su asmens duomenų tvarkymu, nei tai, kad Latvijos mokesčių administratorius turi teisę gauti reklamos paslaugų internete teikėjo turimą informaciją, kuri yra būtina konkrečioms mokesčių rinkimo priemonėms įgyvendinti.

26	Pagrindinė byla susijusi su informacijos, kurios gali prašyti Latvijos mokesčių administratorius, kiekiu ir rūšimi, jos ribotumu ar neribotumu, taip pat su klausimu, ar SS taikoma pareiga teikti informaciją turi būti ribojama laiko atžvilgiu.

Konkrečiai kalbant, prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad turi nustatyti, ar pagrindinės bylos aplinkybėmis asmens duomenys tvarkomi skaidriai duomenų subjektų atžvilgiu, ar atitinkamame prašyme pateikti informaciją jos prašoma nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir ar asmens duomenys tvarkomi tik tiek, kiek tai iš tikrųjų būtina Latvijos mokesčių administratoriaus funkcijoms vykdyti, kaip tai suprantama pagal Reglamento 2016/679 5 straipsnio 1 dalį.

Šiuo tikslu būtina apibrėžti kriterijus, leidžiančius įvertinti, ar Latvijos mokesčių administratoriaus prašymu pateikti informaciją paisoma pagrindinių laisvių ir teisių esmės ir ar pagrindinėje byloje nagrinėjamas prašymas pateikti informaciją gali būti laikomas būtinu ir proporcingu demokratinėje visuomenėje, siekiant užtikrinti svarbius Sąjungos tikslus ir Latvijos viešuosius interesus biudžeto ir mokesčių srityje.

Šiomis aplinkybėmis Administratīvā apgabaltiesa (Apygardos administracinis teismas, Latvija) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

„1.

Ar Reglamente [2016/679] nustatytus reikalavimus reikia aiškinti taip, kad pagal juos mokesčių administratoriaus prašymas pateikti informaciją, kaip antai nagrinėjamas šioje byloje, t. y. prašymas atskleisti informaciją, apimančią didelį kiekį asmens duomenų, turi atitikti Reglamente 2016/679 (visų pirma jo 5 straipsnio 1 dalyje) nustatytus reikalavimus?

Ar Reglamente [2016/679] nustatytus reikalavimus reikia aiškinti taip, kad pagal juos mokesčių administratorius gali nukrypti nuo minėto Reglamento [2016/679] 5 straipsnio 1 dalies nuostatų, net jei pagal Latvijos Respublikoje galiojančius teisės aktus minėtam administratoriui tokie įgaliojimai nesuteikiami?

Ar aiškinant Reglamente [2016/679] nustatytus reikalavimus galima pripažinti, kad yra teisėtas tikslas, pagrindžiantis prašyme pateikti informaciją, kaip antai nagrinėjamame šioje byloje, nustatytą pareigą pateikti visus prašomus duomenis, kurių kiekis ir pateikimo laikotarpis neapibrėžtas, nenustatant minėto prašymo pateikti informaciją vykdymo pabaigos termino?

Ar aiškinant Reglamente [2016/679] nustatytus reikalavimus galima pripažinti, kad yra teisėtas tikslas, pagrindžiantis prašyme pateikti informaciją, kaip antai nagrinėjamame šioje byloje, nustatytą pareigą pateikti visus prašomus duomenis, net kai tame prašyme nenurodomas (arba neišsamiai nurodomas) duomenų atskleidimo tikslas?

Ar aiškinant Reglamente [2016/679] nustatytus reikalavimus galima pripažinti, kad yra teisėtas tikslas, pagrindžiantis prašyme pateikti informaciją, kaip antai nagrinėjamame šioje byloje, nustatytą pareigą pateikti visus prašomus duomenis, net jei praktiškai prašymas susijęs su visais duomenų subjektais, paskelbusiais reklamą internetinės svetainės skiltyje „Lengvieji automobiliai“?

6.	Kokius kriterijus reikia taikyti siekiant patikrinti, ar mokesčių administratorius, veikdamas kaip duomenų valdytojas, tinkamai užtikrina, kad duomenų tvarkymas (įskaitant informacijos gavimą) būtų vykdomas laikantis Reglamente [2016/679] nustatytų reikalavimų?

7.	Kokius kriterijus reikia taikyti siekiant patikrinti, ar prašymas pateikti informaciją, kaip antai nagrinėjamas šioje byloje, yra tinkamai pagrįstas ir nereguliarus?

8.	Kokius kriterijus reikia taikyti siekiant patikrinti, ar asmens duomenų tvarkymas vykdomas tik tiek, kiek būtina, ir laikantis Reglamente [2016/679] nustatytų reikalavimų?

9.	Kokius kriterijus reikia taikyti siekiant patikrinti, ar mokesčių administratorius, veikdamas kaip duomenų valdytojas, užtikrina, kad duomenų tvarkymas būtų vykdomas laikantis Reglamento [2016/679] 5 straipsnio 1 dalyje nustatytų reikalavimų (atskaitomybės principas)?“

Dėl prejudicinių klausimų

Dėl pirmojo klausimo

Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Reglamento 2016/679 nuostatas reikia aiškinti taip, kad šiame reglamente, visų pirma jo 5 straipsnio 1 dalyje, nustatyti reikalavimai taikomi valstybės narės mokesčių administratoriui renkant iš ekonominės veiklos vykdytojo informaciją, susijusią su dideliu asmens duomenų kiekiu.

31	Siekiant atsakyti į šį klausimą, reikia patikrinti, pirma, ar toks prašymas patenka į Reglamento 2016/679 2 straipsnio 1 dalyje apibrėžtą materialinę jo taikymo sritį, ir, antra, ar jo nėra tarp asmens duomenų tvarkymo, kuris pagal šio reglamento 2 straipsnio 2 dalį nepatenka į šią taikymo sritį.

32	Pirma, pagal Reglamento 2016/679 2 straipsnio 1 dalį šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti jai sudaryti, tvarkymui ne automatizuotomis priemonėmis.

Reglamento 2016/679 4 straipsnio 1 punkte „asmens duomenys“ apibrėžti kaip bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti; t. y. apie asmenį, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius. Šiuo klausimu šio reglamento 26 konstatuojamojoje dalyje nurodyta, kad siekiant nuspręsti, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo.

34	Pagrindinėje byloje neginčijama, kad informacija, kurią Latvijos mokesčių administratorius prašo pateikti, yra asmens duomenys, kaip tai suprantama pagal Reglamento 2016/679 4 straipsnio 1 punktą.

Pagal šio reglamento 4 straipsnio 2 punktą asmens duomenų rinkimas, susipažinimas su jais, atskleidimas persiunčiant, taip pat kitu būdu sudarant galimybę jais naudotis yra „duomenų tvarkymas“, kaip tai suprantama pagal minėtą reglamentą. Iš šios nuostatos formuluotės, visų pirma žodžių junginio „bet kokia<…> operacija“, matyti, kad Sąjungos teisės aktų leidėjas siekė suteikti sąvokai „duomenų tvarkymas“ plačią taikymo sritį. Šį aiškinimą patvirtina tai, kad minėtoje nuorodoje nėra išsamaus operacijų sąrašo, o vartojamas junginys „kaip antai“.

Nagrinėjamu atveju Latvijos mokesčių administratorius reikalauja, kad atitinkamas ekonominės veiklos vykdytojas atkurtų šio administratoriaus prieigą prie transporto priemonių važiuoklės numerių, kurie nurodyti tokio veiklos vykdytojo interneto svetainėje paskelbtame skelbime, ir pateiktų informaciją apie šioje svetainėje paskelbtus skelbimus.

Tokiu prašymu, kuriuo valstybės narės mokesčių administratorius prašo ekonominės veiklos vykdytojo atskleisti ir suteikti galimybę naudotis asmens duomenimis, kuriuos pagal šios valstybės narės nacionalinės teisės aktus toks veiklos vykdytojas privalo pateikti ir suteikti galimybę jais naudotis, pradedamas šių duomenų „rinkimo“ procesas, kaip tai suprantama pagal Reglamento 2016/679 4 straipsnio 2 punktą.

38	Be to, atitinkamo ekonominės veiklos vykdytojo atliekamas minėtų duomenų atskleidimas ir pateikimas šiam administratoriui reiškia „duomenų tvarkymą“, kaip jis suprantamas pagal šio 4 straipsnio 2 punktą.

39	Antra, reikia išnagrinėti, ar operacija, kai valstybės narės mokesčių administratorius siekia iš ekonominės veiklos vykdytojo rinkti tam tikrų apmokestinamų asmenų asmens duomenis, gali būti laikoma nepatenkančia į Reglamento 2016/679 taikymo sritį pagal jo 2 straipsnio 2 dalį.

40	Šiuo klausimu pirmiausia reikia priminti, kad šioje nuostatoje numatytos šio reglamento taikymo srities, apibrėžtos jo 2 straipsnio 1 dalyje, išimtys, kurios turi būti aiškinamos siaurai (2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems, C‑311/18, EU:C:2020:559, 84 punktas).

Konkrečiai kalbant, Reglamento 2016/679 2 straipsnio 2 dalies d punkte nustatyta, kad šis reglamentas netaikomas asmens duomenų tvarkymui, kurį atlieka kompetentingos institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn už jas, baudžiamųjų sankcijų vykdymo tikslais.

Kaip matyti iš šio reglamento 19 konstatuojamosios dalies, ši išimtis grindžiama aplinkybe, kad kompetentingų valdžios institucijų atliekamą asmens duomenų tvarkymą šiais tikslais reglamentuoja konkretesnis Sąjungos teisės aktas, t. y. Direktyva 2016/680, kuri buvo priimta tą pačią dieną kaip Reglamentas 2016/679 ir kurios 3 straipsnio 7 punkte apibrėžta „kompetentinga institucija“; tokia apibrėžtis pagal analogiją turi būti taikoma šio reglamento 2 straipsnio 2 dalies d punktui (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 69 punktą).

Iš Direktyvos 2016/680 10 konstatuojamosios dalies matyti, kad sąvoka „kompetentinga institucija“ turi būti aiškinama ją siejant su asmens duomenų apsauga teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityje, atsižvelgiant į pakeitimus, kuriuos šiuo atžvilgiu gali būti būtina atlikti dėl specifinio šių sričių pobūdžio. Be to, šios direktyvos 11 konstatuojamojoje dalyje nurodyta, kad Reglamentas 2016/679 taikomas asmens duomenų tvarkymui, kurį atlieka „kompetentinga institucija“, kaip ji suprantama pagal minėtos direktyvos 3 straipsnio 7 punktą, tačiau atliekamam kitais tikslais nei joje numatytieji (2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 70 punktas).

Taigi neatrodo, kad valstybės narės mokesčių administratorius, kai prašo ekonominės veiklos vykdytojo pateikti jam kai kurių apmokestinamų asmenų asmens duomenis mokesčių surinkimo ir kovos su mokesčių sukčiavimu tikslais, galėtų būti laikomas „kompetentinga institucija“, kaip tai suprantama pagal Direktyvos 2016/680 3 straipsnio 7 punktą, nei kad tokiems prašymams pateikti informaciją gali būti taikoma Reglamento 2016/679 2 straipsnio 2 dalies d punkte numatyta išimtis.

Be to, net jeigu neatmetama galimybė, kad pagrindinėje byloje nagrinėjami duomenys gali būti naudojami vykdant tam tikrų asmenų baudžiamąjį persekiojimą už pažeidimus mokesčių srityje, neatrodo, kad pagrindinėje byloje nagrinėjami duomenys yra surinkti konkrečiu tokio baudžiamojo persekiojimo tikslu arba vykdant valstybės veiklą baudžiamosios teisės srityje (šiuo klausimu žr. 2017 m. rugsėjo 27 d. Sprendimo Puškár, C‑73/16, EU:C:2017:725 40 punktą).

Vadinasi, veikla, kai valstybės narės mokesčių administratorius renka asmens duomenis, susijusius su transporto priemonių skelbimais, paskelbtais ekonominio veiklos vykdytojo interneto svetainėje, patenka į Reglamento 2016/679 materialinę taikymo sritį, todėl toks administratorius turi laikytis, be kita ko, šio reglamento 5 straipsnyje įtvirtintų su asmens duomenų tvarkymu susijusių principų.

Atsižvelgiant į visa tai, kas išdėstyta, į pirmąjį klausimą reikia atsakyti: Reglamento 2016/679 nuostatos turi būti aiškinamos taip, kad šiame reglamente, visų pirma jo 5 straipsnio 1 dalyje, nustatyti reikalavimai taikomi valstybės narės mokesčių administratoriaus atliekamam informacijos, susijusios su dideliu asmens duomenų kiekiu, rinkimui iš ekonominio veiklos vykdytojo.

Dėl antrojo klausimo

Antruoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Reglamento 2016/679 nuostatas reikia aiškinti taip, kad valstybės narės mokesčių administratorius gali nukrypti nuo šio reglamento 5 straipsnio 1 dalies nuostatų, net jeigu tokia teisė jam nebuvo suteikta pagal šios valstybės narės nacionalinę teisę.

49	Pirmiausia reikia priminti, kad, kaip matyti iš Reglamento 2016/679 10 konstatuojamosios dalies, juo siekiama, be kita ko, užtikrinti aukštą fizinių asmenų apsaugos lygį Sąjungoje.

Šiuo tikslu Reglamento 2016/679 II skyriuje nustatyti asmens duomenų tvarkymo principai, o III skyriuje numatytos duomenų subjekto teisės, kurių turi būti laikomasi tvarkant asmens duomenis. Konkrečiai kalbant, bet koks asmens duomenų tvarkymas visų pirma turi atitikti minėto reglamento 5 straipsnyje nurodytus su asmens duomenų tvarkymu susijusius principus (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 208 punktą).

Vis dėlto pagal Reglamento 2016/679 23 straipsnį Sąjungai ir valstybėms narėms leidžiama priimti „teisines priemones“, ribojančias, be kita ko, šio reglamento 5 straipsnyje numatytų pareigų ir teisių apimtį, jeigu jos atitinka šio reglamento 12–22 straipsniuose numatytas teises ir pareigas, kai toks apribojimas atitinka pagrindinių laisvių ir teisių esmę ir yra būtina bei proporcinga demokratinėje visuomenėje priemonė, siekiant užtikrinti svarbius Sąjungos ar atitinkamos valstybės narės bendrojo intereso tikslus, be kita ko, susijusius su svarbiais ekonominiais ir finansiniais interesais, įskaitant biudžeto ir mokesčių srityje.

52	Šiuo klausimu iš Reglamento 2016/679 41 konstatuojamosios dalies matyti, kad šiame reglamente pateikta nuoroda į „teisėkūros priemonę“ nebūtinai reiškia, kad Parlamentas turi priimti teisėkūros procedūra priimamą aktą.

53	Atsižvelgiant į tai, reikia priminti, kad, kaip nurodyta Reglamento 2016/679 4 konstatuojamojoje dalyje, juo paisoma visų Chartijoje pripažintų ir Sutartyse įtvirtintų pagrindinių teisių ir laisvių bei principų, tarp kurių, be kita ko, yra teisė į asmens duomenų apsaugą.

Chartijos 52 straipsnio 1 dalies pirmame sakinyje nurodyta, kad bet koks šios Chartijos pripažintų teisių ir laisvių, tarp kurių, be kita ko, yra Chartijos 7 straipsnyje įtvirtinta teisė į privatų gyvenimą ir jos 8 straipsnyje įtvirtinta teisė į asmens duomenų apsaugą, apribojimas turi būti numatytas įstatymo, o tai visų pirma reiškia, kad pačiame teisiniame pagrinde, kuriuo leidžiamas šių teisių suvaržymas, turi būti apibrėžta atitinkamos teisės įgyvendinimo apribojimo apimtis (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo Privacy International, C‑623/17, EU:C:2020:790, 65 punktą ir jame nurodytą jurisprudenciją).

Šiuo klausimu Teisingumo Teismas, be kita ko, nusprendė, kad teisės normose, kuriose numatyta priemonė, leidžianti tokį suvaržymą, turi būti nustatytos aiškios ir tikslios taisyklės, reglamentuojančios nagrinėjamos priemonės apimtį ir taikymą bei nustatančios minimalius reikalavimus, kad asmenys, kurių asmens duomenys buvo perduoti, turėtų pakankamai garantijų, leidžiančių veiksmingai apsaugoti šiuos duomenis nuo piktnaudžiavimo pavojų (šiuo klausimu žr. 2021 m. kovo 2 d. Sprendimo Prokuratuur (Prieigos prie elektroninių pranešimų duomenų sąlygos), C‑746/18, EU:C:2021:152, 48 punktą ir jame nurodytą jurisprudenciją).

Taigi bet kuri pagal Reglamento 2016/679 23 straipsnį priimta priemonė, kaip šio reglamento 41 konstatuojamojoje dalyje pažymėjo Sąjungos teisės aktų leidėjas, turi būti aiški ir tiksli, o jos taikymas turėtų būti numatomas tiems asmenims, kuriems ji turi būti taikoma. Konkrečiai kalbant, tokie asmenys turi galėti nustatyti aplinkybes ir sąlygas, kuriomis gali būti apribota šio reglamento jiems suteikiamų teisių apimtis.

Iš to, kas išdėstyta, matyti, kad valstybės narės mokesčių administratorius negali nukrypti nuo Reglamento 2016/679 5 straipsnio nuostatų, jei Sąjungos teisėje ar nacionalinėje teisėje nėra aiškaus ir tikslaus teisinio pagrindo, kurio taikymą teisės subjektai gali numatyti, nustatančio aplinkybes ir sąlygas, kuriomis šiame 5 straipsnyje numatytų pareigų ir teisių apimtis gali būti apribota.

Taigi į antrąjį klausimą reikia atsakyti: Reglamento 2016/679 nuostatos turi būti aiškinamos taip, kad valstybės narės mokesčių administratorius negali nukrypti nuo šio reglamento 5 straipsnio 1 dalies nuostatų, jeigu tokia teisė jam nebuvo suteikta teisėkūros priemone, kaip tai suprantama pagal šio reglamento 23 straipsnio 1 dalį.

Dėl trečiojo–devintojo klausimų

Trečiuoju–devintuoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Reglamento 2016/679 nuostatos aiškintinos taip, kad pagal jas draudžiama valstybės narės mokesčių administratoriui reikalauti, kad internete paskelbtų skelbimų paslaugų teikėjas neribotu laikotarpiu jam teiktų informaciją apie visus interneto skelbimus skelbiančius mokesčių mokėtojus, kai nenurodomas prašymo pateikti informaciją tikslas.

Pirmiausia reikia pažymėti, kad, esant tokiai situacijai, kaip nagrinėjama pagrindinėje byloje, gali būti nustatytos dvi asmens duomenų tvarkymo operacijos. Iš šio sprendimo 37 ir 38 punktų matyti, kad kalbama apie mokesčių administratoriaus atliekamą asmens duomenų rinkimą iš atitinkamo paslaugų teikėjo ir apie šio paslaugų teikėjo atliekamą tokių duomenų atskleidimą, juos perduodant šiam administratoriui.

Kaip matyti iš šio sprendimo 50 punkte nurodytos jurisprudencijos, bet koks asmens duomenų tvarkymas, išskyrus Reglamento 2016/679 23 straipsnyje numatytas išimtis, turi būti atliekamas laikantis su asmens duomenų tvarkymu susijusių principų, įtvirtintų šio reglamento 5 straipsnyje, ir paisant šio reglamento 12–22 straipsniuose numatytų duomenų subjektų teisių.

Nagrinėjamu atveju prašymą priimti prejudicinį sprendimą pateikusiam teismui visų pirma kyla klausimas dėl aplinkybės, kad, pirma, šio sprendimo 60 punkte nurodytos duomenų tvarkymo operacijos susijusios su neapibrėžtu informacijos kiekiu ir neapibrėžtu laikotarpiu, ir, antra, kad šio tvarkymo tikslas nėra nurodytas prašyme pateikti informaciją.

63	Šiuo klausimu reikia pažymėti, pirma, kad Reglamento 2016/679 5 straipsnio 1 dalies b punkte numatyta, jog asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais.

64	Visų pirma reikalavimas, kad duomenų tvarkymo tikslai turi būti nustatyti, kaip matyti iš šio reglamento 39 konstatuojamosios dalies, reiškia, kad jie turi būti nustatyti ne vėliau kaip renkant asmens duomenis.

65	Be to, duomenų tvarkymo tikslai turi būti aiškūs, o tai reiškia, kad jie turi būti aiškiai nurodyti.

66	Galiausiai šie tikslai turi būti teisėti. Taigi svarbu, kad jais būtų užtikrinamas teisėtas duomenų tvarkymas, kaip tai suprantama pagal minėto reglamento 6 straipsnio 1 dalį.

Šio sprendimo 60 punkte nurodytos tvarkymo operacijos pradėtos Latvijos mokesčių administratoriui paprašius interneto reklamos paslaugų teikėjo atskleisti asmens duomenis. Šiuo klausimu matyti, kad pagal Mokesčių ir rinkliavų įstatymo 15 straipsnio 6 dalį šis paslaugų teikėjas turi patenkinti tokį prašymą.

68	Atsižvelgiant į tai, kas išdėstyta šio sprendimo 64 ir 65 punktuose, būtina, kad šių tvarkymo operacijų tikslai būtų aiškiai nurodyti tokiame prašyme.

Jei minėtame prašyme nurodyti tikslai yra būtini siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant mokesčių administratoriui pavestas viešosios valdžios funkcijas, šios aplinkybės pakanka, kaip matyti iš Reglamento 2016/679 6 straipsnio 1 dalies pirmos pastraipos pradžios ir e punkto, siejamo su šio reglamento 6 straipsnio 3 dalies antra pastraipa, kad toks duomenų tvarkymas taip pat atitiktų teisėtumo reikalavimą, primintą šio sprendimo 66 punkte.

Šiuo klausimu reikia priminti, kad mokesčių rinkimo ir kovos su mokesčių slėpimu tikslai turi būti laikomi užduotimis, vykdomomis viešojo intereso labui, kaip tai suprantama pagal Reglamento 2016/679 6 straipsnio 1 dalies pirmos pastraipos e punktą (pagal analogiją žr. 2017 m. rugsėjo 27 d. Sprendimo Puškár, C‑73/16, EU:C:2017:725, 108 punktą).

Iš to matyti, kad tuo atveju, kai nagrinėjamas asmens duomenų atskleidimas nėra tiesiogiai pagrįstas teisės nuostata, kuri yra tokio atskleidimo pagrindas, bet išplaukia iš kompetentingos viešosios valdžios institucijos prašymo, būtina, kad šiame prašyme būtų patikslinti konkretūs šio duomenų rinkimo tikslai, atsižvelgiant į užduotį, susijusią su viešuoju interesu arba viešosios valdžios funkcijų vykdymu, kad minėto prašymo gavėjas galėtų įsitikinti, jog nagrinėjamas asmens duomenų perdavimas yra teisėtas, o nacionaliniai teismai – patikrinti atitinkamų duomenų tvarkymo operacijų teisėtumą.

72	Antra, pagal Reglamento 2016/679 5 straipsnio 1 dalies c punktą asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi.

Šiuo klausimu reikia priminti, kad pagal suformuotą jurisprudenciją tokių duomenų apsaugos principo išimtys ir apribojimai turi neviršyti to, kas tikrai būtina (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 110 punktą ir jame nurodytą jurisprudenciją).

74	Iš to matyti, kad duomenų valdytojas, įskaitant atvejį, kai jis veikia vykdydamas jam patikėtą viešojo intereso užduotį, negali bendrai ir nediferencijuotai rinkti asmens duomenų; jis turi nerinkti duomenų, kurie nėra tikrai būtini duomenų tvarkymo tikslams pasiekti.

Nagrinėjamu atveju reikia pažymėti, kad, kaip matyti iš šio sprendimo 17–19 punktų, Latvijos mokesčių administratorius paprašė atitinkamo ekonominės veiklos vykdytojo pateikti jam duomenis, susijusius su šio veiklos vykdytojo interneto svetainėje nuo 2018 m. liepos 14 d. iki rugpjūčio 31 d. paskelbtais lengvųjų automobilių skelbimais, o tuo atveju, jei neįmanoma atkurti prieigos prie šios informacijos, ne vėliau kaip trečią kiekvieno mėnesio dieną teikti duomenis, susijusius su lengvųjų automobilių skelbimais, paskelbtais minėto veiklos vykdytojo interneto svetainėje per paskutinį mėnesį, ir šiame prašyme nebuvo nurodyta tokio informacijos teikimo pabaigos termino.

Atsižvelgiant į tai, kas išdėstyta šio sprendimo 74 punkte, prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar šių duomenų rinkimo tikslas gali būti pasiektas Latvijos mokesčių administratoriui potencialiai neturint duomenų apie visus lengvųjų automobilių skelbimus, paskelbtus minėto operatoriaus interneto svetainėje, ir, be kita ko, ar tikėtina, kad šis administratorius, taikydamas konkrečius kriterijus, galėtų prašymą pateikti informaciją sieti tik su tam tikrais skelbimais.

77	Šiomis aplinkybėmis reikia pažymėti, kad pagal Reglamento 2016/679 5 straipsnio 2 dalyje įtvirtintą atskaitomybės principą duomenų valdytojas turi galėti įrodyti, kad laikosi šio straipsnio 1 dalyje įtvirtintų su asmens duomenų tvarkymu susijusių principų.

78	Taigi Latvijos mokesčių administratorius turi įrodyti, kad pagal šio reglamento 25 straipsnio 2 dalį siekė kiek įmanoma sumažinti rinktinų asmens duomenų kiekį.

Kadangi Latvijos mokesčių administratoriaus prašymas atskleisti duomenis neapribotas laiko atžvilgiu tuo atveju, kai atitinkamas skelbimų paslaugų teikėjas negali atkurti prieigos prie prašyme nurodytu laikotarpiu paskelbtų skelbimų, reikia priminti, kad, atsižvelgiant į duomenų kiekio mažinimo principą, duomenų valdytojas, atsižvelgdamas į atitinkamo duomenų rinkimo tikslą, taip pat privalo apriboti asmens duomenų rinkimo laikotarpį tuo, kas tikrai būtina.

80	Taigi duomenų rinkimo laikotarpis negali viršyti laikotarpio, kuris yra tikrai būtinas numatytam bendrojo intereso tikslui pasiekti.

81	Kaip matyti iš šio sprendimo 77 punkto, įrodinėjimo pareiga šiuo klausimu tenka Latvijos mokesčių administratoriui.

82	Vis dėlto aplinkybė, kad minėti duomenys renkami, kai Latvijos mokesčių administratoriaus prašyme pateikti informaciją tokio tvarkymo trukmė nėra apribota, savaime neleidžia manyti, kad duomenų tvarkymo trukmė viršija trukmę, tikrai būtiną numatytam tikslui pasiekti.

Šiomis aplinkybėmis reikia priminti, jog tam, kad būtų įvykdytas proporcingumo reikalavimas, įtvirtintas Reglamento 2016/679 5 straipsnio 1 dalies c punkte (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 98 punktą ir jame nurodytą jurisprudenciją), teisės aktuose, kuriais grindžiamas duomenų tvarkymas, turi būti numatytos aiškios ir tikslios taisyklės, reglamentuojančios nagrinėjamos priemonės apimtį ir taikymą bei nustatančios minimalius reikalavimus, kad asmenys, kurių asmens duomenys tvarkomi, turėtų pakankamai garantijų, leidžiančių veiksmingai apsaugoti šiuos duomenis nuo piktnaudžiavimo pavojų. Tokie teisės aktai turi būti teisiškai privalomi pagal nacionalinę teisę, visų pirma juose turi būti nurodyta, kokiomis aplinkybėmis ir sąlygomis gali būti imtasi tokios duomenų tvarkymą numatančios priemonės, taip užtikrinant, kad teisių suvaržymas neviršytų to, kas tikrai būtina (2020 m. spalio 6 d. Sprendimo Privacy International, C‑623/17, EU:C:2020:790, 68 punktas ir jame nurodyta jurisprudencija).

Vadinasi, nacionalinės teisės aktai, reglamentuojantys tokį prašymą pateikti duomenis, koks yra nagrinėjamas pagrindinėje byloje, turi būti pagrįsti objektyviais kriterijais, kad būtų nustatytos aplinkybės ir sąlygos, kurioms esant interneto paslaugų teikėjas turi perduoti jo paslaugų naudotojų asmens duomenis (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo Privacy International, C‑623/17, EU:C:2020:790, 78 punktą ir jame nurodytą jurisprudenciją).

Atsižvelgiant į visa tai, kas išdėstyta, į trečiąjį–devintąjį klausimus reikia atsakyti: Reglamento 2016/679 nuostatos turi būti aiškinamos taip, kad jomis nedraudžiama valstybės narės mokesčių administratoriui reikalauti, kad internete paskelbtų skelbimų paslaugų teikėjas pateiktų informaciją apie asmenis, paskelbusius skelbimus vienoje iš jo interneto svetainės skilčių, su sąlyga, kad šie duomenys yra būtini siekiant konkrečių tikslų, kuriems jie renkami, o duomenų rinkimo laikotarpis neviršija laikotarpio, kuris yra tikrai būtinas numatytam bendrojo intereso tikslui pasiekti.

Dėl bylinėjimosi išlaidų

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (penktoji kolegija) nusprendžia:

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) nuostatos turi būti aiškinamos taip, kad šiame reglamente, visų pirma jo 5 straipsnio 1 dalyje, nustatyti reikalavimai taikomi valstybės narės mokesčių administratoriaus atliekamam informacijos, susijusios su dideliu asmens duomenų kiekiu, rinkimui iš ekonominio veiklos vykdytojo.

2.	Reglamento 2016/679 nuostatos turi būti aiškinamos taip, kad valstybės narės mokesčių administratorius negali nukrypti nuo šio reglamento 5 straipsnio 1 dalies nuostatų, jeigu tokia teisė jam nebuvo suteikta teisėkūros priemone, kaip tai suprantama pagal šio reglamento 23 straipsnio 1 dalį.

Reglamento 2016/679 nuostatos turi būti aiškinamos taip, kad jomis nedraudžiama valstybės narės mokesčių administratoriui reikalauti, kad internete paskelbtų skelbimų paslaugų teikėjas pateiktų informaciją apie asmenis, paskelbusius skelbimus vienoje iš jo interneto svetainės skilčių, su sąlyga, kad šie duomenys yra būtini siekiant konkrečių tikslų, kuriems jie renkami, o duomenų rinkimo laikotarpis neviršija laikotarpio, kuris yra tikrai būtinas numatytam bendrojo intereso tikslui pasiekti.

Parašai.

( *1 ) Proceso kalba: latvių.

Į viršų