1.

Reglamento (ES) 2016/679 ( 2 ), kuris yra bendrasis asmens duomenų apsaugos teisės aktas, ir Direktyvos (ES) 2016/680 ( 3 ) – lex specialis, reglamentuojančios tą patį klausimą baudžiamosiose bylose, pagrindinis principas yra užtikrinti, kad asmens duomenys būtų renkami ir tvarkomi tik konkrečiais teisės aktuose numatytais tikslais.

2.

Šioje byloje Teisingumo Teismas turi atsakyti į Bulgarijos teismo klausimus dėl BDAR ir Direktyvos 2016/680 aiškinimo, kad būtų nustatyta, ar valstybės narės prokuratūros turimi asmens duomenys yra tvarkomi neteisėtai tuo atveju, kai:

3.

2 straipsnyje „Materialinė taikymo sritis“ nustatyta:

„1.   Šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.

2.   Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:

<…>

<…>“

4.

4 straipsnyje „Apibrėžtys“ nurodyta:

„Šiame reglamente:

<…>

<…>

<…>“

5.

5 straipsnyje „Su asmens duomenų tvarkymu susiję principai“ numatyta:

„1.   Asmens duomenys turi būti:

<…>“

6.

6 straipsnyje „Tvarkymo teisėtumas“ nustatyta:

„1.   Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

<…>

<…>

Šios pastraipos f punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.

<…>

3.   1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas:

Duomenų tvarkymo tikslas nustatomas tame teisiniame pagrinde arba, 1 dalies e punkte nurodyto duomenų tvarkymo atveju, yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Tame teisiniame pagrinde galėtų būti išdėstytos konkrečios nuostatos pagal šį reglamentą taikomų taisyklių pritaikymui <…>. Sąjungos arba valstybės narės teisė atitinka viešojo intereso tikslą ir yra proporcinga teisėtam tikslui, kurio siekiama.

4.   Kai duomenų tvarkymas kitu tikslu nei tas, dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos ar valstybės narės teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 23 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:

7.

1 straipsnyje „Dalykas ir tikslai“ nurodyta:

„1.   Šioje direktyvoje nustatytos taisyklės, susijusios su fizinių asmenų apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais.

2.   Remdamosi šia direktyva, valstybės narės:

<…>“

8.

2 straipsnyje „Taikymo sritis“ numatyta:

„1.   Ši direktyva taikoma kompetentingų institucijų vykdomam asmens duomenų tvarkymui 1 straipsnio 1 dalyje išdėstytais tikslais.

<…>

3.   Ši direktyva netaikoma asmens duomenų tvarkymui, kai:

<…>“

9.

3 straipsnio 1, 2 ir 8 punktuose pakartojamos BDAR 4 straipsnio 1, 2 ir 7 punktuose pateiktos apibrėžtys.

10.

4 straipsnyje „Su asmens duomenų tvarkymu susiję principai“ nustatyta:

„<…>

2.   Tam pačiam arba kitam duomenų valdytojui tvarkyti duomenis kitais 1 straipsnio 1 dalyje išdėstytais tikslais nei tikslas, kuriuo asmens duomenys renkami, leidžiama, jeigu:

<…>“

11.

6 straipsnyje „Skirtingų kategorijų duomenų subjektų atskyrimas“ nurodyta:

„Valstybės narės numato, kad duomenų valdytojas, kai taikytina ir kiek įmanoma, aiškiai atskirtų skirtingų kategorijų duomenų subjektų asmens duomenis, pavyzdžiui:

12.

8 straipsnyje „Tvarkymo teisėtumas“ numatyta:

„1.   Valstybės narės numato, kad duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu jis būtinas, ir tiek, kiek jis būtinas kompetentingai institucijai atlikti užduotį 1 straipsnio 1 dalyje išdėstytais tikslais, ir kad jis turi būti grindžiamas Sąjungos arba valstybės narės teise.

2.   Valstybės narės teisėje, kuria reglamentuojamas duomenų tvarkymas šios direktyvos taikymo srityje, konkrečiai nurodomi bent tvarkymo tikslai, tvarkytini asmens duomenys ir duomenų tvarkymo tikslai.“

13.

9 straipsnyje „Konkrečios duomenų tvarkymo sąlygos“ nustatyta:

„1.   Kompetentingų institucijų 1 straipsnio 1 dalyje išdėstytais tikslais renkami asmens duomenys negali būti tvarkomi kitais nei 1 straipsnio 1 dalyje išdėstytais tikslais, nebent taip juos tvarkyti yra leidžiama pagal Sąjungos arba valstybės narės teisę. Jei asmens duomenys tvarkomi tais kitais tikslais, taikomas [BDAR], išskyrus tuos atvejus, kai duomenys tvarkomi vykdant veiklą, kuriai netaikoma Sąjungos teisė.

2.   Kai kompetentingoms institucijoms pagal valstybės narės teisę yra pavesta atlikti kitas užduotis, nei tas, kurios vykdomos 1 straipsnio 1 dalyje išdėstytais tikslais, duomenų tvarkymui tokiais tikslais, be kita ko, archyvavimo dėl viešojo intereso, naudojimo mokslinių ar istorinių tyrimų tikslais ar statistiniais tikslais, taikomas [BDAR], išskyrus tuos atvejus, kai duomenys tvarkomi vykdant veiklą, kuriai netaikoma Sąjungos teisė.

<…>“

14.

127 straipsnyje nustatyta, kad prokuratūra turi išimtinę kompetenciją vadovauti ikiteisminiam tyrimui baudžiamojoje byloje, patraukti baudžiamojon atsakomybėn ir pareikšti baudžiamąjį kaltinimą teisme dėl viešųjų nusikaltimų.

15.

1 straipsnyje numatyta:

„1.   Šiame įstatyme reglamentuojami visuomeniniai santykiai, susiję su fizinių asmenų teisių apsauga tvarkant asmens duomenis, tiek, kiek jie nereglamentuojami [BDAR].

2.   Šiame įstatyme taip pat nustatytos taisyklės dėl fizinių asmenų apsaugos, kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, atskleidimo, ikiteisminio tyrimo baudžiamosiose bylose, tyrimo ir persekiojimo už jas arba bausmių vykdymo tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir viešajai tvarkai bei tokių grėsmių prevenciją.

<…>“

16.

17 straipsnyje nurodyta:

„1.   Inspekcija prie Aukščiausiosios teisėjų tarybos užtikrina, kad [BDAR], šio įstatymo ir teisės aktų dėl asmens duomenų apsaugos tvarkant asmens duomenis kontrolę vykdytų ir jų laikytųsi:

1) teismas, vykdydamas savo, kaip teisminės valdžios institucijos, funkcijas; ir

2) prokuratūra bei tyrimo institucijos, vykdydamos savo, kaip teisminių institucijų, funkcijas nusikalstamų veikų prevencijos, atskleidimo, ikiteisminio tyrimo ar persekiojimo už jas arba bausmių vykdymo tikslais.

<…>“

17.

42 straipsnyje nustatyta:

„1.   Šiame skyriuje numatytos taisyklės taikomos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, atskleidimo, ikiteisminio tyrimo baudžiamosiose bylose, tyrimo ir persekiojimo už jas arba bausmių vykdymo tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir viešajai tvarkai bei tokių grėsmių prevenciją.

2.   Asmens duomenys, surinkti siekiant 1 dalyje nurodytų tikslų, netvarkomi kitais tikslais, nebent Sąjungos teisėje arba Bulgarijos Respublikos teisės aktuose numatyta kitaip.

3.   Kai kompetentingos institucijos pagal 1 dalį asmens duomenis tvarko kitais nei 1 dalyje nurodytais tikslais, taip pat 2 dalyje minimais atvejais, taikomas [BDAR] ir atitinkamos šio įstatymo nuostatos, kuriose numatytos BDAR įgyvendinimo priemonės.

4.   Kompetentinga institucija, kaip ji suprantama pagal 1 dalį, yra bet kuri valdžios institucija, kompetentinga vykdyti nusikalstamų veikų prevenciją, atskleisti šias veikas, atlikti jų tyrimą ir persekioti už jas arba vykdyti bausmes, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir viešajai tvarkai bei tokių grėsmių prevenciją.

5.   Jeigu teisės aktuose nenumatyta kitaip, asmens duomenų valdytojas, kaip jis suprantamas pagal šį skyrių, yra kompetentinga institucija 1 dalyje nurodytais tikslais, kaip apibrėžta 4 dalyje, arba administracinis subjektas, kurio dalis yra ta institucija ir kuris vienas arba kartu su kitomis institucijomis nustato asmens duomenų tvarkymo tikslus ir priemones.“

18.

45 straipsnyje numatyta:

„<…>

2.   Iš pradžių asmens duomenis surinkusiam duomenų valdytojui arba kitam duomenų valdytojui leidžiama asmens duomenis tvarkyti siekiant kurio nors iš 42 straipsnio 1 dalyje nurodytų tikslų, kito nei tas, dėl kurio asmens duomenys buvo surinkti, su sąlyga, kad:

1) duomenų valdytojui leidžiama tvarkyti asmens duomenis tuo tikslu, vadovaujantis Sąjungos arba Bulgarijos Respublikos teise; ir

2) duomenų tvarkymas yra būtinas ir proporcingas tam kitam tikslui pasiekti, vadovaujantis Sąjungos arba Bulgarijos Respublikos teise.

<…>“

19.

47 straipsnis atitinka Direktyvos 2016/680 6 straipsnį.

20.

49 straipsnyje nurodyta:

„Asmens duomenų tvarkymas yra teisėtas, jeigu jis reikalingas tam, kad kompetentinga institucija galėtų vykdyti savo įgaliojimus 42 straipsnio 1 dalyje nurodytais tikslais, ir yra numatytas Sąjungos teisėje arba įstatyme, kuriame apibrėžti tvarkomų asmens duomenų tvarkymo tikslai ir tų duomenų kategorijos.“

21.

Vadovaujant Rayonna prokuratura – Petrich (Petričiaus apylinkės prokuratūra, Bulgarija) buvo vykdomas ikiteisminis tyrimas (Petričiaus policijos byla Nr. 252/2013) ( 6 ) siekiant nustatyti faktines aplinkybes, sudarančias 2013 m. balandžio 18 d. įvykdyto nusikaltimo ( 7 ) sudėtį.

22.

Per šį ikiteisminį tyrimą iš pradžių buvo renkami VS, kaip aukos, asmens duomenys.

23.

2018 m. balandžio 4 ir 5 d. prokuratūros nutarimais pagal tas faktines aplinkybes pareikšti kaltinimai keturiems asmenims (įskaitant VS).

24.

2020 m. lapkričio 10 d.Rayonen sad Petrich (Petričiaus apylinkės teismas, Bulgarija) priėmė nutartį nutraukti baudžiamąją bylą dėl senaties.

25.

2016 m. ir 2017 m. Petričiaus apygardos prokuratūra, gavusi pareiškimus dėl VS, pradėjo kelis ikiteisminius tyrimus ( 8 ), kuriuos baigus neiškelta jokios baudžiamosios bylos, nes nebuvo nusikaltimo įrodymų.

26.

2018 m. VS pareiškė Bulgarijos Respublikos prokuratūrai civilinį ieškinį ( 9 )Okrazhen sad – Blagoevgrad (Blagojevgrado apygardos teismas, Bulgarija) ir paprašė atlyginti žalą, padarytą dėl pernelyg ilgos baudžiamojo proceso byloje Nr. 252/2013 trukmės.

27.

Siekdama apsiginti nagrinėjant šį civilinį ieškinį Petričiaus apylinkės prokuratūra paprašė teismo įtraukti į bylos medžiagą jos pačios perduotas bylas Nr. 517/2016 ir Nr. 1872/2016.

28.

2018 m. spalio 15 d. nutartimi Okrazhen sad – Blagoevgrad (Blagojevgrado apygardos teismas, Bulgarija) nurodė Petričiaus apylinkės prokuratūrai pateikti dokumentų, esančių bylose Nr. 517/2016 ir Nr. 1872/2016, kopijas.

29.

2020 m. kovo 12 d. VS pateikė skundą Inspektorata kam Visshia sadeben savet (Inspekcija prie Aukščiausiosios teisėjų tarybos, toliau – IVSS) dėl, kaip jis manė, neteisėto dvejopo jo asmens duomenų tvarkymo prokuratūroje, kuri netinkamai naudojo:

30.

2020 m. birželio 22 d. IVSS atmetė dvigubą VS reikalavimą.

31.

IVSS sprendimą VS apskundė Administrativen sad Blagoevgrad (Blagojevgrado administracinis teismas, Bulgarija) ir šis teismas pateikė Teisingumo Teismui tokius prejudicinius klausimus:

32.

Prašymas priimti prejudicinį sprendimą Teisingumo Teisme užregistruotas 2021 m. kovo 23 d.

33.

Teismo posėdyje dalyvavo ir rašytines pastabas pateikė VS, IVSS, Bulgarijos, Čekijos ir Nyderlandų vyriausybės, taip pat Europos Komisija.

34.

Teisingumo Teismas nusprendė, kad nebūtina rengti viešo posėdžio, – to neprašė nė viena iš šalių.

35.

BDAR ir Direktyva 2016/680 sudaro nuoseklią sistemą, pagal kurią:

36.

Apsauga, užtikrinama taikant abiejuose teisės aktuose nustatytą sistemą, grindžiama teisėtumo, sąžiningumo, skaidrumo principais ir, kiek tai aktualu nagrinėjamu atveju, principu, kad duomenys renkami ir tvarkomi tik teisės aktuose numatytais tikslais ( 10 ).

37.

Konkrečiai kalbant, BDAR 5 straipsnio 1 dalies b punkte numatyta, kad duomenys „renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu“ ( 11 ). Taip suformuluotas ir Direktyvos 2016/680 4 straipsnio 1 dalies b punktas, kaip lex specialis.

38.

Taigi asmens duomenys gali būti renkami ir tvarkomi ne apskritai, o tik konkrečiais tikslais ( 12 ) ir laikantis Sąjungos teisės aktų leidėjo nustatytų teisėtumo sąlygų.

39.

Principas, pagal kurį griežtai susiejami, pirma, duomenų rinkimas ir tvarkymas ir, antra, abiejų veiksmų atlikimo tikslai, nėra absoliutus, nes tiek BDAR, tiek Direktyvoje 2016/680 leidžiamas tam tikras lankstumas, kaip nurodysiu toliau.

40.

Byloje a quo administracinis teismas turi nuspręsti, ar priežiūros institucija (IVSS) ( 13 ), atmesdama skundą, kuriame VS kaltino Bulgarijos prokuratūrą neteisėtu jo asmens duomenų tvarkymu, veikė laikydamasi teisės aktų.

41.

Kaip jau paaiškinau, šie duomenys buvo surinkti dviem skirtingomis aplinkybėmis:

42.

Prašymą priimti prejudicinį sprendimą pateikęs teismas atitinkamai klausia, ar:

43.

Pritariu nacionaliniam teismui ir visoms į šią bylą įstojusioms šalims, kad asmens duomenų tvarkymas, dėl kurio pateiktas pirmasis prejudicinis klausimas, reglamentuojamas Direktyvoje 2016/680.

44.

Pagal Direktyvos 2016/680 1 straipsnio 1 dalį ir 2 straipsnio 1 dalį ši direktyva taikoma kompetentingų institucijų vykdomam asmens duomenų tvarkymui nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas tikslais. Nagrinėjamu atveju VS duomenys buvo renkami ir tvarkomi būtent atliekant tyrimą baudžiamojoje byloje.

45.

Vis dėlto, kai asmens duomenys perduodami siekiant juos naudoti civilinėje byloje, pradėtoje prieš prokuratūrą (antrasis prejudicinis klausimas), BDAR taikomas, jeigu toks perdavimas yra duomenų tvarkymas siekiant tikslų, kurie nenurodyti Direktyvos 2016/680 1 straipsnio 1 dalyje, tačiau yra veiklos, patenkančios į Sąjungos teisės taikymo sritį, dalis.

46.

Pagal Direktyvos 2016/680 4 straipsnio 2 dalį tam pačiam arba kitam duomenų valdytojui tvarkyti duomenis kitais 1 straipsnio 1 dalyje išdėstytais tikslais ( 15 ) nei tikslas, kuriuo asmens duomenys renkami, leidžiama, jeigu:

47.

Taigi Direktyvoje 2016/680 leidžiama pagal ją surinktus asmens duomenis pakartotinai pateikti ad intra. Duomenys, surinkti vienu iš 1 straipsnio 1 dalyje išvardytų tikslų, tam tikromis sąlygomis taip pat gali būti naudojami vienu ar keliais kitais toje dalyje nurodytais tikslais.

48.

Pirmuoju prejudiciniu klausimu siekiama išsiaiškinti, ar gauti VS, kaip tariamos tiriamo nusikaltimo aukos, asmens duomenys vėliau gali būti tvarkomi panaudojant juos prieš jį, kaip įtariamąjį arba kaltinamąjį, toje pačioje baudžiamojoje byloje.

49.

Kitaip tariant, turi būti nustatyta, ar VS asmens duomenys buvo tvarkomi tuo pačiu tikslu, kuris pateisino pirminį jų rinkimą, ar veikiau dviem skirtingais tikslais, tačiau patenkančiais į Direktyvos 2016/680 taikymo sritį. Pastaruoju atveju duomenų tvarkymui turėtų būti taikomos konkrečios tos direktyvos 4 straipsnio 2 dalyje numatytos sąlygos.

50.

Prašymą priimti prejudicinį sprendimą pateikęs teismas savo pirmąjį klausimą suformulavo šiek tiek dviprasmiškai (dviprasmiškas yra ginčo dalykas). Skaitant pažodžiui, matyti, kad jis nori žinoti, ar Direktyvos 2016/680 1 straipsnio 1 dalis turi būti aiškinama „taip, kad, nurodant tikslus, sąvokos „nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas“ išvardijamos kaip bendrojo tikslo aspektai“.

51.

Atsižvelgiant į nacionalinio teismo paaiškinimus, galbūt reikėtų performuluoti jo pirmąjį klausimą, kaip pasiūlė bylos į ją įstojusios šalys. Iš tiesų yra svarbu veikiau ne sutelkti dėmesį į abstraktų bendrojo ir konkretaus tikslų santykį, o nustatyti, ar Direktyvoje 2016/680 reglamentuojamose baudžiamosiose bylose tikslas, dėl kurio buvo renkami asmens, kaip tariamos nusikaltimo aukos, duomenys, išlieka ir tada, kai dėl šių duomenų vėliau tam asmeniui pareiškiami kaltinimai toje pačioje byloje (dėl šio klausimo iš tiesų ir buvo pateiktas VS skundas).

52.

Direktyvos 2016/680 1 straipsnio 1 dalį aiškinant pažodžiui, matyti, kad toje dalyje išskiriami trijų rūšių tikslai, atitinkantys skirtingą laiką ir veiklą:

53.

Sisteminiu požiūriu arba atsižvelgiant į kontekstą kiekvienas iš šių tikslų pagal Direktyvos 2016/680 4 straipsnio 2 dalį turi būti laikomas atskiru. Kaip nurodė Nyderlandų vyriausybė, jeigu taip nebūtų, ši nuostata netektų prasmės, nes joje numatyti būtent „kit[i] 1 straipsnio 1 dalyje išdėstyt[i] tiksl[ai] nei tikslas, dėl kurio asmens duomenys renkami <…>“.

54.

Remdamasis tokia prielaida pabandysiu paaiškinti, kodėl šioje byloje nagrinėjami duomenys buvo gauti ir tvarkomi siekiant vieno iš Direktyvos 2016/680 1 straipsnio 1 dalyje nurodytų tikslų (tikslo atlikti „tyrimą“), todėl taikoma ta direktyva ir atitinkamai duomenys yra tvarkomi teisėtai.

55.

Jeigu duomenys būtų gauti ir tvarkomi siekiant dviejų Direktyvos 2016/680 4 straipsnio 2 dalyje išvardytų tikslų, jų teisėtumas taip pat būtų neginčijamas.

56.

Atliekant ikiteisminius tyrimus baudžiamosiose bylose ne visada galima iš pat pradžių nustatyti dalyvaujančių asmenų procesinį statusą. Dažnai per šiuos tyrimus siekiama nustatyti ir „priskirti prie atitinkamos kategorijos“ subjektus, kurie prima facie yra nusikalstamų veikų vykdytojai, aukos arba liudytojai.

57.

Logiška, kad šiuo parengiamuoju etapu asmenys prie atitinkamos kategorijos priskiriami lanksčiai. Atlikus tyrimą tų asmenų, dalyvausiančių vykdant baudžiamąjį persekiojimą už veikas, statusas turi būti tiksliai nustatytas pagal tyrimo rezultatus.

58.

Tai ypač aktualu tokiais atvejais, kaip nagrinėjamas šioje byloje. Prašymą priimti prejudicinį sprendimą pateikęs teismas teigia, kad keli asmenys užpuolė vienas kitą. Vienas iš jų, kuris iš pradžių atrodė esantis auka, galiausiai buvo apkaltintas kaip šių užpuolimų vykdytojas.

59.

Tokiomis aplinkybėmis visa vykdyta veikla atitinka Direktyvos 2016/680 1 straipsnio 1 dalyje pateiktą „tyrimo“ sąvoką. Taigi šios veiklos tikslas buvo vienintelis ir atitinka vieną iš „tikslų“, kurių gali būti siekiama tvarkant asmens duomenis.

60.

Vis dėlto prašymą priimti prejudicinį sprendimą pateikęs teismas abejoja, ar toks Direktyvos 2016/680 1 straipsnio 1 dalies aiškinimas atitinka jos 31 konstatuojamąją dalį ( 16 ).

61.

Pritariu daugumos šalių nuomonei, kad ši konstatuojamoji dalis, kaip ir ją įgyvendinantis Direktyvos 2016/680 6 straipsnis, nėra svarbūs siekiant nustatyti, ar pasikeitė direktyvos 4 straipsnio 2 dalyje nurodyti tikslai.

62.

Pagal Direktyvos 2016/680 6 straipsnį aiškiai atskirti skirtingų kategorijų duomenų subjektų asmens duomenis tikslinga tik „kai taikytina ir kiek įmanoma“. Dėl pirma išdėstytų priežasčių per ikiteisminį tyrimą, susijusį su tokiomis veikomis, kaip įvykdytos šioje byloje, nėra lengva nuo pat pradžių aiškiai nustatyti „skirtingų kategorijų duomenų subjektus“. Be to, tas pats veikose dalyvavęs asmuo gali būti ir užpuolimo auka, ir vykdytojas.

63.

Net jeigu duomenų, gautų per ikiteisminį tyrimą baudžiamojoje byloje, valdytojas šio tyrimo pradžioje ir jį atlikdamas aiškiai atskirtų aukas, įtariamuosius ir liudytojus, tai nepakeistų tų duomenų rinkimo ir tvarkymo tikslo (tikslo atlikti tyrimą).

64.

Kitaip tariant, tai, kad baudžiamajame tyrime dalyvaujantiems asmenims paeiliui suteikiamas vienas ar kitas statusas (aukos, liudytojo, įtariamojo), nebūtinai reiškia tikslų pakeitimą pagal Direktyvos 2016/680 4 straipsnio 2 dalį.

65.

Jeigu būtų susiklosčiusios Direktyvos 2016/680 4 straipsnio 2 dalyje numatytos aplinkybės, nagrinėjamų asmens duomenų tvarkymas atitiktų šioje direktyvoje nustatytas teisėtumo sąlygas. Į tai atkreipė dėmesį Bulgarijos ir Čekijos vyriausybės, ir aš joms pritariu.

66.

Atrodo, kad nekyla abejonių, jog Bulgarijos prokuratūra pagal nacionalinę teisę yra institucija, valdanti VS asmens duomenis „kitais 1 straipsnio 1 dalyje išdėstytais tikslais nei tikslas, kuriuo asmens duomenys renkami“, tačiau šį aspektą turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas. Taigi Direktyvos 2016/680 4 straipsnio 2 dalies a punkte numatyta pirmoji sąlyga yra įvykdyta.

67.

Dėl 4 straipsnio 2 dalies b punkte nustatytos antrosios sąlygos („duomenų tvarkymas yra būtinas bei proporcingai atitinka tą kitą tikslą“) manau, kad:

68.

Nagrinėjamoje byloje Direktyvos 2016/680 4 straipsnio 2 dalyje nustatytos sąlygos neturi didelės reikšmės; patvirtinta, kad ginčijamų asmens duomenų rinkimo tikslas yra vienas: jų pirminį tvarkymą ir tvarkymą, dėl kurio vėliau atitinkamam asmeniui buvo pareikšti kaltinimai, sieja loginis tęstinumas.

69.

Taigi nereikia patvirtinti naujo duomenų valdytojo (jis visada tas pats) kompetencijos, taip pat visiškai nesunku įrodyti, kad antrasis duomenų tvarkymas (atliktas toje pačioje byloje) reikalingas, nes proporcingumo kriterijus yra bendras bet kokio duomenų tvarkymo kriterijus, kaip matyti iš Direktyvos 2016/680 4 straipsnio 1 dalyje nurodytų principų.

70.

Direktyvos 2016/680 9 straipsnio 1 dalyje numatyta galimybė pagal ją surinktus asmens duomenis pakartotinai pateikti ad extra.

71.

Remiantis taisykle, kad tokie duomenys „negali būti tvarkomi kitais nei 1 straipsnio 1 dalyje išdėstytais tikslais“, Direktyvos 2016/680 9 straipsnio 1 dalyje numatyta išlyga, pagal kurią Sąjungos arba valstybės narės teisėje leidžiama tvarkyti duomenis kitais nei 1 straipsnio 1 dalyje nustatytais tikslais. Tokiu atveju taikomas BDAR (jei veikla patenka į Sąjungos teisės taikymo sritį).

72.

Prašymą priimti prejudicinį sprendimą pateikęs teismas antruoju prejudiciniu klausimu nori išsiaiškinti:

73.

IVSS teigia, kad antrasis prejudicinis klausimas nepriimtinas, nes VS skundas anksčiau buvo atmestas kaip pateiktas pavėluotai.

74.

Nepritariu šiam prieštaravimui.

75.

Atsisakyti pateikti atsakymą į nacionalinio teismo prejudicinį klausimą Teisingumo Teismas gali tik tuomet, jei akivaizdu, jog prašymas išaiškinti Sąjungos teisę visiškai nesusijęs su pagrindinės bylos faktais ar dalyku, jei problema hipotetinė arba Teisingumo Teismui nežinomos faktinės aplinkybės ar teisiniai pagrindai, būtini tam, kad jis galėtų naudingai atsakyti į jam pateiktus klausimus ( 17 ).

76.

IVSS prieštaravimas pareikštas dėl klausimo, priklausančio išimtinei prašymą priimti prejudicinį sprendimą pateikusio teismo jurisdikcijai. Tik pats nacionalinis teismas turi nustatyti faktines aplinkybes ir teisinį pagrindą, su kuriais susijęs Teisingumo Teismui pateiktas prašymas priimti prejudicinį sprendimą ( 18 ).

77.

Ir sprendimas dėl IVSS nurodyto vėlavimo, ir jo svarbos siekiant išspręsti ginčą vertinimas yra aplinkybės, kurias įvertinti turi tik nacionalinis teismas. Nagrinėjamoje byloje šis teismas pabrėžė, kad siekiant priimti sprendimą pagrindinėje byloje tikslinga pateikti prašymą priimti prejudicinį sprendimą, neatsižvelgiant į IVSS nurodytą vėlavimą ( 19 ).

78.

Šio vertinimo Teisingumo Teismas negali peržiūrėti; iš esmės jis turi atsižvelgti į tai, kaip nacionalinę procesinę ir materialinę teisę aiškino ir taikė teismai, apibrėždami aplinkybes, kuriomis pateiktas prašymas priimti prejudicinį sprendimą.

79.

Atsižvelgiant į teismo a quo motyvus, kuriais grindžiamas antrasis prejudicinis klausimas, matyti, jog šiam teismui iš tiesų svarbu, kad Teisingumo Teismas nustatytų, ar nagrinėjamų duomenų perdavimas yra „duomenų tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 1 ir 2 punktus ( 20 ), ir ar šis tvarkymas buvo teisėtas pagal BDAR 6 straipsnį.

80.

BDAR 4 straipsnio 1 ir 2 punktuose, taip pat Direktyvos 2016/680 3 straipsnio 1 ir 2 punktuose sąvokos „asmens duomenys“ ir „tvarkymas“ apibrėžtos vienodai.

81.

Remdamasis šiomis apibrėžtimis darau išvadą, kad prokuratūra, siekdama apsiginti civilinių bylų teisme, ketino naudotis „informacija apie fizinį asmenį, kurio tapatybė nustatyta“, apimančią VS „asmens duomenis“.

82.

Perduodant šiuos duomenis naudoti civilinėje byloje buvo atliktos kelios „operacijos“, sudarančios „duomenų tvarkymą“, duomenų subjektui nedavus sutikimo. Su tais duomenimis turėjo susipažinti bent jau pati prokuratūra, kad įvertintų, ar jie gali būti naudingi siekiant apginti savo poziciją civilinėje byloje. Be to, darytina prielaida, kad tuo pačiu tikslu duomenys buvo rūšiuojami, sisteminami, adaptuojami ar keičiami ir, žinoma, atskleidžiami bei platinami, nors ir minimaliai, siekiant juos įtraukti į civilinės bylos medžiagą ( 21 ).

83.

Galiausiai prokuratūra VS asmens duomenis tvarkė juos įrašydama, archyvuodama, saugodama, susipažindama su jais ir prašydama, kad civilinių bylų teismas baudžiamojoje byloje esančią informaciją pripažintų kaip įrodymus.

84.

IVSS ir Komisija teigia, kad prokuratūra „duomenų valdytoja“ gali būti tik kaip kompetentinga institucija, siekianti baudžiamojo pobūdžio tikslų, patenkančių į Direktyvos 2016/680 taikymo sritį.

85.

Manau, tai nereiškia, kad antrasis prejudicinis klausimas yra netekęs dalyko, kaip teigia IVSS. Veikiau tai reiškia, kad pagal Direktyvos 2016/680 9 straipsnio 1 dalį duomenų tvarkymo teisėtumas turės būti patikrintas atsižvelgiant į BDAR.

86.

Teismas, turintis jurisdikciją nagrinėti civilinę bylą, yra duomenų valdytojas toje byloje, kai duomenys įtraukiami į bylos medžiagą. Pagal BDAR 55 straipsnio 3 dalį priežiūros institucija šio teismo sprendimų netikrina, nes jie priimami vykdant teismines funkcijas ( 22 ).

87.

Vis dėlto prašymą priimti prejudicinį sprendimą pateikęs teismas klausia tik dėl galimybės taikyti BDAR tada, kai prokuratūra siekia savo gynybai civilinėje byloje panaudoti informaciją, kurią surinko kaip „duomenų valdytoja“, kaip tai suprantama pagal Direktyvą 2016/680.

88.

Atsižvelgdamas į tai, kas išdėstyta, manau, kad reikia taikyti BDAR, nes Direktyvos 2016/680 1 straipsnio 1 dalyje nurodyti tikslai neapima prokuratūros gynybos civilinėje byloje.

89.

Asmens duomenų tvarkymo teisėtumo sąlygos išvardytos BDAR 6 straipsnio 1 dalyje: „[d]uomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma [įvykdyta] bent viena iš <…> sąlygų“, išvardytų toliau šioje nuostatoje. Sąlygų sąrašas yra baigtinis ( 23 ).

90.

Laikausi nuomonės, kad šios sąlygos neapima sąlygų, pagrįstų duomenų subjekto sutikimu (a punktas), sutarties įvykdymu (b punktas), teisinės prievolės įvykdymu (c punktas) ( 24 ) arba duomenų subjekto ar trečiosios šalies gyvybinių interesų apsauga (d punktas).

91.

Prašymą priimti prejudicinį sprendimą pateikęs teismas teigia, kad BDAR 6 straipsnio 1 dalies f punkte nustatyta sąlyga yra įvykdyta. Vis dėlto, kaip pažymėjo Komisija, remiantis paskutine šios dalies pastraipa galima paneigti, kad ta sąlyga nagrinėjamoje byloje įvykdyta, nes ji „netaikom[a] duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis“ ( 25 ).

92.

Atsakydama į Teisingumo Teismo klausimą Bulgarijos vyriausybė (jai šiuo klausimu pritarė Čekijos ir Nyderlandų vyriausybės) pabrėžė, kad BDAR 6 straipsnio 1 dalies f punkte numatyta sąlyga yra taikoma. Ji pažymėjo, kad reikia atsižvelgti į „prokuratūros vykdomos veiklos pobūdį“: prokuratūra, nors ir būdama viešasis subjektas, gali dalyvauti civilinėje byloje kaip „lygiavertė šalis“ ( 26 ).

93.

Vis dėlto „teisėti interesai“, prokuratūros, kaip valdžios institucijos, ginami per procesą, kuriame reikalaujama jos atsakomybės už procesinius veiksmus, nėra BDAR 6 straipsnio 1 dalies f punkte numatytas atvejis, kaip aiškiai nurodyta tos pačios dalies paskutinėje pastraipoje.

94.

Institucijų, vykdančių teisės aktuose joms pavestas užduotis (šiuo atveju baudžiamąjį persekiojimą ir atstovavimą valstybei, nagrinėjant ieškinius dėl finansinės atsakomybės), atveju atitinkamas interesas pagal BDAR 6 straipsnio 1 dalį yra viešasis interesas ir jos padeda jį patenkinti pagal tos dalies e punktą.

95.

Šios dalies f punkte numatytos sąlygos tikslas yra patenkinti teisėtus duomenų valdytojo arba trečiosios šalies interesus, išskyrus atvejus, kai duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni.

96.

Taigi ši sąlyga susijusi ne tiek su valdžios institucijos gynybos galimybėmis (jos gali būti numatytos taikant e punktą), kiek su tuo, kad duomenų subjekto interesai, teisės ir laisvės gali būti viršesni už duomenų valdytojo arba trečiosios šalies. Ji taikoma veikiau (privačių) šalių, kurių interesai nėra viešieji, ginčams.

97.

Kadangi prokuratūra iš esmės veikia kaip valstybės institucija, reikia išnagrinėti, ar ginčijamam duomenų tvarkymui taikomas BDAR 6 straipsnio 1 dalies e punktas.

98.

Jis būtų taikomas, jeigu tvarkyti duomenis reikėtų „siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas“.

99.

Daugiausia dėmesio skirsiu pirmajam iš šių dviejų tikslų (antrojo nagrinėti nereikia ( 27 )), siekdamas nustatyti, ar prokuratūros dalyvavimas civilinėje byloje, kurioje prašoma atlyginti žalą dėl jos veiksmų, yra susijęs su viešojo intereso uždavinio vykdymu.

100.

Pagal nacionalinę teisę ( 28 ) prokuratūra turi atstovauti valstybei bylose dėl deliktinės atsakomybės už žalą, padarytą dėl jos vėlavimo. Prokuratūra taip pat dalyvauja gindama bendruosius (finansinius) valstybės interesus, taigi vykdydama viešojo intereso uždavinį ( 29 ).

101.

Pagal Direktyvos 2016/680 9 straipsnio 1 dalį bylose surinktus duomenis galima pateikti ad extra, jeigu pagal Sąjungos arba valstybės narės teisę leidžiama juos tvarkyti. Nagrinėjamu atveju prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar tai yra leidžiama, atsižvelgdamas į tai, ar vykdomas prokuratūrai pavestas viešojo intereso uždavinys ginti valstybės turtą.

102.

Kaip nurodyta BDAR 6 straipsnio 3 dalyje, duomenų tvarkymo teisiniame pagrinde, nurodytame 1 dalies e punkte, „galėtų būti išdėstytos konkrečios nuostatos pagal [patį BDAR] taikomų taisyklių pritaikymui“ ( 30 ). Jeigu toks teisinis pagrindas numatytas duomenų valdytojui taikomoje valstybės narės teisėje, nacionalinis teismas turi jį nustatyti ( 31 ).

103.

Galiausiai, net jeigu prašymą priimti prejudicinį sprendimą pateikęs teismas nenustatytų tinkamo teisinio pagrindo, dėl to, ar ginčijamas duomenų tvarkymas atitinka tikslą, kuriuo buvo surinkti ginčijami duomenys, turi būti nuspręsta remiantis BDAR 6 straipsnio 4 dalimi. Šiuo tikslu reikia atsižvelgti, inter alia, į bet kokį pradinių tikslų ir naujo tikslo ryšį, asmens duomenų rinkimo aplinkybes ir asmens duomenų pobūdį, galimas naujo duomenų tvarkymo pasekmes duomenų subjektui ir tinkamų apsaugos priemonių buvimą.

104.

Atsižvelgdamas į tai, kas išdėstyta, siūlau Teisingumo Teismui pateikti Administrativen sad – Blagoevgrad (Blagojevgrado administracinis teismas, Bulgarija) tokį atsakymą: