1.

Reglamentas (ES) 2016/679 (toliau – BDAR) ( 2 ) nėra siauro taikymo teisės aktas. Tai, kad jo taikymo sritis apibrėžta plačiai, kad teismai iš esmės sumenkino bet kokių jo išimčių turinį ( 3 ), ir tai, kad jo aiškinimas yra grindžiamas apibrėžtimis, abstraktus ir dėl to beveik visa apimantis ( 4 ), turėjo poveikį iš esmės neribotam BDAR taikymui. Iš tiesų šiuo metu gana sudėtinga surasti situaciją, kuriai esant kas nors kur nors kada nors netvarkytų kokių nors asmens duomenų.

2.

Vis dėlto dėl tokio požiūrio, kai atsižvelgiama į tai, kad asmens duomenų apsauga pagal Europos Sąjungos pagrindinių teisių chartijos 8 straipsnį yra sureikšminta kaip visa apimanti pagrindinė superteisė, ir minėtas požiūris tuo grindžiamas, atsiranda aiškus įcentrinis poveikis, kurį asmens duomenų apsauga ima daryti kitoms teisės sritims ir jose kylantiems ginčams. Kai kurias bylas staiga imta pateikti kaip susijusias su asmens duomenų apsauga, ir jos pasiekė (ne tik) Teisingumo Teismą kaip klausimai dėl BDAR aiškinimo. Vis dėlto šiuose ginčuose keliami konkretūs klausimai kartais nėra tokie, kokius būtų galima tikėtis esant reglamentuojamus tokio teisės akto, kaip BDAR, nepaisant plačios jo taikymo srities.

3.

Iš tiesų turbūt nedaugelis anksčiau būtų pamanę, kad BDAR ir jo pirmtakė Direktyva 95/46/EB ( 5 ) galėtų būti laikomi teisės aktais, kuriais reglamentuojama apskaitininkų stažuotojų prieiga prie jų egzamino darbų kopijų ir galbūt teisė ištaisyti šiuos asmens duomenis pasibaigus egzaminui ( 6 ) ar užkertamas kelias policijai atskleisti eismo įvykyje dalyvavusio asmens tapatybę, kai dėl to nukentėjusioji šalis negali pareikšti civilinio ieškinio dėl jos transporto priemonei padarytos žalos atlyginimo ( 7 ), arba ribojamas informacijos apie bankrutavusios įmonės anksčiau sumokėtus mokesčius pateikimas tos įmonės nemokumo administratoriui, siekiančiam atkurti viešųjų ir privačių kreditorių lygybę, kai vengiama padengti įsiskolinimus nemokumo atveju ( 8 ); ir tai tik keletas įdomesnių pavyzdžių.

4.

Ši byla yra dar vienas tokio įcentrinio BDAR poveikio pavyzdys. Bendrovė SIA „SS“ yra interneto reklamos paslaugų teikėja. Vykdydama šią komercinę veiklą ji renka asmens duomenis iš jos interneto svetainėje reklamas pateikiančių asmenų. Kompetentingas nacionalinis mokesčių administratorius paprašė šios įmonės pateikti tam tikrą kiekį duomenų, susijusių su toje svetainėje paskelbtomis padėvėtų automobilių reklamomis, siekdamas užtikrinti tinkamą mokesčių surinkimą už parduotus automobilius. Mokesčių administratorius smulkiai apibūdino duomenų, kuriuos nori gauti, formatą. Jis taip pat aiškiai leido suprasti, kad šis duomenų teikimas turėtų būti nuolatinis ir, kaip matyti, už jį nebus atlyginta.

5.

Šiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikęs teismas nori sužinoti, kokia yra leidžiama tokių duomenų teikimo prašymų aprėptis. Kaip ir ankstesnėse bylose, šiuo atveju, kaip matyti, taikomas BDAR. Asmens duomenys yra arba bus kur nors kokio nors asmens tvarkomi; tai tikrai bus daroma vėliau atliekant duomenų perdavimą. Atliekant tokį tvarkymą turėtų būti apsaugotos duomenų subjektų teisės ir susiję asmens duomenys. Vis dėlto tai nereiškia, kad BDAR konkrečiai reglamentuoja būsimo duomenų valdytojo (valdžios institucijos) ir dabartinio duomenų valdytojo (privačios įmonės) santykius. Iš tiesų BDAR seka duomenis ir juos saugo, kad ir kur jie keliautų, taip reglamentuodamas bet kokio vėlesnio duomenų valdytojo pareigas duomenų ir duomenų subjektų atžvilgiu. Priešingai, BDAR, išskyrus kelias aiškiai nurodytas išimtis, nereglamentuoja konkrečių dviejų paeiliui duomenis tvarkančių tų duomenų valdytojų tarpusavio santykių detalių. Visų pirma BDAR nenurodomi tikslūs iš sutarčių ar viešosios teisės kylantys duomenų valdytojų susitarimo būdai, kuriais vienas gali paprašyti ir gauti iš kito duomenis.

6.

BDAR 31 konstatuojamoji dalis suformuluota taip:

„Valdžios institucijos, kurioms asmens duomenys atskleidžiami laikantis teisinės prievolės, kad jos galėtų vykdyti oficialias savo funkcijas kaip, pavyzdžiui, mokesčių institucijos ar muitinės, finansinių tyrimų padaliniai, nepriklausomos administracinės valdžios institucijos ar finansų rinkų institucijos, atsakingos už vertybinių popierių rinkų reguliavimą ir priežiūrą, neturėtų būti laikomos asmens duomenų gavėjais, jei jos gauna duomenis, kurie yra būtini konkrečiam tyrimui atlikti pagal bendrą interesą, vadovaujantis Sąjungos arba valstybės narės teise. Valdžios institucijų prašymai pateikti informaciją visada turėtų būti pateikiami raštu, būti pagrįsti ir nereguliarūs ir neturėtų būti susiję su visu susistemintu rinkiniu ar dėl jų susisteminti rinkiniai neturėtų būti susiejami tarpusavyje. Tos valdžios institucijos asmens duomenis turėtų tvarkyti laikydamosi taikomų duomenų apsaugos taisyklių, atsižvelgiant į duomenų tvarkymo tikslus.“

7.

BDAR 45 konstatuojamoji dalis suformuluota taip:

„Kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, duomenų tvarkymo pagrindas turėtų būti įtvirtintas Sąjungos arba valstybės narės teisėje. Šiuo reglamentu nereikalaujama kiekvienu atskiru duomenų tvarkymo atveju specialaus teisės [akto.] Kelioms duomenų tvarkymo operacijoms gali užtekti vieno teisės akto, kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas. Be to, Sąjungos ar valstybės narės teisėje turėtų būti nustatytas asmens duomenų tvarkymo tikslas. Be to, šiame pagrinde galėtų būti nurodytos bendrosios šio reglamento sąlygos, kuriomis reglamentuojamas asmens duomenų tvarkymo teisėtumas, nustatytos asmens duomenų valdytojo, tvarkytinų asmens duomenų rūšies, atitinkamų duomenų subjektų, subjektų, kuriems asmens duomenys gali būti atskleisti, tikslų apribojimų, saugojimo laikotarpio ir kitų priemonių, kuriomis užtikrinamas teisėtas ir sąžiningas duomenų tvarkymas, specifikacijos. Sąjungos arba valstybės narės teisėje taip pat turėtų būti nustatyta, ar duomenų valdytojas, atlikdamas užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, turėtų būti valdžios institucija arba kitas viešosios teisės reglamentuojamas fizinis ar juridinis asmuo arba, kai tai pateisinama viešuoju interesu, įskaitant sveikatos apsaugos tikslais, tokiais kaip visuomenės sveikata ir socialinė apsauga bei sveikatos priežiūros paslaugų valdymas, privatinės teisės reglamentuojamas asmuo, toks kaip profesinė asociacija.“

8.

2 straipsnyje nustatyta BDAR materialinė taikymo sritis:

„1.   Šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.

2.   Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:

<…>

<…>“

9.

4 straipsnyje patiekiamos sąvokų apibrėžtys, kaip jos suprantamos pagal BDAR:

„1)   asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); <…>

2)   duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

<…>

7)   duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise;

8)   duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;

9)   duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne. Tačiau valdžios institucijos, kurios pagal Sąjungos arba valstybės narės teisę gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis, tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių;

<…>“

10.

BDAR 5 straipsnyje išdėstyti su asmens duomenų tvarkymu susiję principai:

„1.   Asmens duomenys turi būti:

2.   Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“

11.

BDAR 6 straipsnyje nustatyta:

„1.   Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikomas:

<…>

<…>

<…>

2.   Valstybės narės gali toliau taikyti arba nustatyti konkretesnes nuostatas šio reglamento taisyklių taikymui pritaikyti, kiek tai susiję su duomenų tvarkymu, kad būtų laikomasi 1 dalies c ir e punktų, tiksliau nustatydamos konkrečius duomenų tvarkymui keliamus reikalavimus ir kitas teisėto ir sąžiningo duomenų tvarkymo užtikrinimo priemones, įskaitant kitais specialiais IX skyriuje numatytais duomenų tvarkymo atvejais.

3.   1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas:

Duomenų tvarkymo tikslas nustatomas tame teisiniame pagrinde arba, 1 dalies e punkte nurodyto duomenų tvarkymo atveju, yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Tame teisiniame pagrinde galėtų būti išdėstytos konkrečios nuostatos pagal šį reglamentą taikomų taisyklių pritaikymui, įskaitant bendrąsias sąlygas, reglamentuojančias duomenų valdytojo atliekamo duomenų tvarkymo teisėtumą, tvarkytinų duomenų rūšis, atitinkamus duomenų subjektus, subjektus, kuriems asmens duomenys gali būti atskleisti ir tikslus, dėl kurių asmens duomenys gali būti atskleisti, tikslo apribojimo principą, saugojimo laikotarpius ir duomenų tvarkymo operacijas bei duomenų tvarkymo procedūras, įskaitant priemones, kuriomis būtų užtikrintas teisėtas ir sąžiningas duomenų tvarkymas, kaip antai tas, kurios skirtos kitiems specialiems IX skyriuje numatytiems duomenų tvarkymo atvejams. Sąjungos arba valstybės narės teisė atitinka viešojo intereso tikslą ir yra proporcinga teisėtam tikslui, kurio siekiama.“

12.

III skyriaus „Duomenų subjekto teisės“ 12–22 straipsniuose išvardytos duomenų valdytojų teisės ir atitinkamos pareigos. Šis skyrius užbaigiamas BDAR 23 straipsniu „Apribojimai“, jame nustatyta:

„1.   Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui arba duomenų tvarkytojui, teisėkūros priemone gali būti apribotos 12–22 straipsniuose ir 34 straipsnyje, taip pat 5 straipsnyje tiek, kiek jo nuostatos atitinka 12–22 straipsniuose numatytas teises ir prievoles, nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:

<…>

<…>

2.   Visų pirma visose 1 dalyje nurodytose teisėkūros priemonėse pateikiamos konkrečios nuostatos, susijusios tam tikrais atvejais bent su:

13.

Remiantis Likums „Par nodokļiem un nodevām“ (Mokesčių ir rinkliavų įstatymas) 15 straipsnio 6 dalies redakcija, galiojusia susiklostant šios bylos aplinkybėms, interneto reklamos paslaugų teikėjai turi pareigą pateikti, kai to paprašo Valstybinis mokesčių administratorius, bet kokią turimą informaciją apie apmokestinamuosius asmenis, kurie pasinaudojo tomis paslaugomis reklamoms skelbti, ir apie jų paskelbtas reklamas.

14.

2018 m. rugpjūčio 28 d.Valsts ieņēmumu dienests (Valstybinis mokesčių administratorius; toliau – atsakovas) priklausančio Nodokļu kontroles pārvalde (Mokesčių inspekcijos biuras) direktorius pateikė SIA „SS“ (toliau – ieškovė) prašymą pateikti informaciją, remdamasis Mokesčių ir rinkliavų įstatymo 15 straipsnio 6 dalimi.

15.

Šiame prašyme atsakovas paragino ieškovę atnaujinti jo prieigą prie informacijos, susijusios su reklamos skelbėjų telefono numeriais ir transporto priemonių, minimų ieškovės interneto svetainėje (www.ss.com) paskelbtose reklamose, identifikavimo numeriais. Atsakovas ieškovės taip pat paprašė iki 2018 m. rugsėjo 3 d. pateikti informaciją apie reklamas, minėtos svetainės skiltyje „Transportas“ paskelbtas laikotarpiu nuo 2018 m. liepos 14 d. iki rugpjūčio 31 d. Ieškovės paprašyta perduoti minėtą informaciją elektroniniu būdu tokiu formatu, kuriuo duomenis būtų galima filtruoti ir atrinkti. Ieškovas taip pat paprašė į duomenų rinkmeną įtraukti šią informaciją: reklamos nuorodą, reklamos tekstą, transporto priemonės markę, modelį, identifikavimo numerį, kainą bei pardavėjo telefono numerius.

16.

Tuo atveju, jei atnaujinti prieigos būtų neįmanoma, ieškovės paprašyta nurodyti to priežastį (‑is) ir reguliariai, ne vėliau kaip kiekvieno mėnesio trečią dieną, pateikti informaciją, susijusią su paskelbtomis reklamomis.

17.

Ieškovė atsakovo generaliniam direktoriui pateikė administracinį skundą, jame užginčijo minėtą prašymą pateikti informaciją. Ieškovė teigė, kad prašymo pateikti informaciją, kurią sudaro asmens duomenys, kaip tai suprantama pagal BDAR 4 straipsnio 1 punktą, aprėptis nepagrįsta teisės aktais. Prašyme nenurodoma konkreti duomenų subjektų grupė ir numatomo tvarkymo tikslas ar mastas, taip pat pareigos teikti informaciją galiojimo laikotarpis. Atsakovas, kaip duomenų valdytojas, nesilaikė BDAR nustatytų proporcingumo bei tvarkomų asmens duomenų kiekio mažinimo principų, kurių privalo paisyti.

18.

2018 m. spalio 30 d. sprendimu (toliau – ginčijamas sprendimas) atsakovas atmetė skundą ir paliko galioti prašymą pateikti informaciją.

19.

Nurodydamas šio sprendimo motyvus atsakovas iš esmės teigė, kad tvarkydamas minėtus duomenis mokesčių administratorius vykdo jam teisės aktais suteiktas funkcijas ir įgaliojimus. Mokesčių administratorius atsakingas už mokesčių, rinkliavų ir kitų mokėtinų sumų surinkimą. Jis pagal teisės aktus privalo prižiūrėti fizinių bei juridinių asmenų ekonominę ir finansinę veiklą, siekdamas užtikrinti, kad minėtos įmokos būtų sumokėtos į valstybės ir Sąjungos biudžetus. Tam, kad būtų galima vykdyti šias funkcijas, teisės aktais atsakovui suteikiami įgaliojimai rinkti dokumentus ir informaciją, reikalingus apmokestinamųjų įvykių apskaitai ir registracijai atlikti bei tikrinti mokesčius ir rinkliavas. Visų pirma pagal Mokesčių ir rinkliavų įstatymo 15 straipsnio 6 dalį interneto reklamos paslaugų teikėjai mokesčių administratoriui jo prašymu privalo pateikti bet kokią turimą informaciją, susijusią su apmokestinamaisiais asmenimis, kurie reklamą skelbė naudodamiesi šiomis paslaugomis, ir informaciją apie pačią reklamą. Atsakovo turima konfidenciali informacija saugoma pagal teisės aktus, visų pirma mokesčių administratoriaus darbuotojams nustatant draudimą ją atskleisti. Iš to galima daryti išvadą, kad prašymas suteikti informaciją yra teisėtas.

20.

Ieškovė pareiškė ieškinį dėl ginčijamo sprendimo panaikinimo Administratīvā rajona tiesa (Apylinkės administracinis teismas, Latvija) ir nurodė, kad pagrindžiant šį sprendimą nenurodyta nei konkretaus duomenų tvarkymo tikslo, nei kriterijų, pagal kuriuos turi būti atrenkama reikalaujama informacija, susijusi su tam tikra asmenų, kurių tapatybę galima nustatyti, grupe.

21.

2019 m. gegužės 21 d. sprendimu Administratīvā rajona tiesa (Apylinkės administracinis teismas) ieškinį atmetė. Jis iš esmės sutiko su atsakovu, kad negalima apriboti informacijos apie bet kurį asmenį, prie kurios gali turėti prieigą mokesčių administratorius, kiekio, nebent būtų manoma, jog tokia informacija neatitinka mokesčių administravimo tikslų. Sprendime nurodyta, kad prašoma informacija buvo reikalinga nedeklaruotai ekonominei veiklai nustatyti. BDAR nuostatos taikomos tik ieškovei, kaip paslaugų teikėjai, bet ne mokesčių administratoriui.

22.

Ieškovė šį sprendimą apskundė Administratīvā apgabaltiesa (Apygardos administracinis teismas, Latvija). Kaip nurodė ieškovė, šioje byloje taikomas BDAR. Kalbant apie asmens duomenis, surinktus pagal prašymą pateikti informaciją, atsakovas turi būti laikomas duomenų valdytoju, kaip tai suprantama pagal šį reglamentą, taigi privalo laikytis jame nustatytų reikalavimų. Vis dėlto pateikdamas prašymą pateikti informaciją atsakovas pažeidė proporcingumo principą, prašydamas kiekvieną mėnesį persiųsti didelį kiekį duomenų, susijusių su neapibrėžtu reklamos kiekiu, ir nenurodydamas konkrečių apmokestinamųjų asmenų, dėl kurių atliekami mokestiniai patikrinimai. Ieškovė teigia, kad prašyme pateikti informaciją nenurodyta, kokį laikotarpį ieškovei bus taikoma pareiga atsakovui teikti tame prašyme nurodytą informaciją. Taigi ji mano, kad atsakovas pažeidė BDAR 5 straipsnyje išvardytus asmens duomenų tvarkymui taikomus principus (teisėtumo, sąžiningumo ir skaidrumo). Ji tvirtina, kad nei prašyme pateikti informaciją, nei ginčijamo sprendimo motyvuose nenurodyta konkrečios atsakovo numatyto duomenų tvarkymo struktūros (tikslas) ir būtino informacijos kiekio (duomenų kiekio mažinimas). Ji mano, kad administracinė valdžios institucija prašyme pateikti informaciją privalo nurodyti aiškiai apibrėžtus kriterijus, pagal kuriuos turi būti atrenkama minėtos institucijos reikalaujama informacija, susijusi su tam tikra asmenų, kurių tapatybę galima nustatyti, grupe.

23.

Prašymą priimti prejudicinį sprendimą pateikusio teismo nuomone, neįmanoma vienareikšmiškai daryti išvados, kad toks prašymas pateikti informaciją gali būti laikomas „tinkamai pagrįstu“ ir „nereguliariu“ ir kad jame nenurodoma visa į ieškovės interneto svetainės skiltį „Transportas“ įtraukta informacija, nes mokesčių administratorius iš esmės siekia vykdyti nuolatinę ir išsamią priežiūrą. Prašymą priimti prejudicinį sprendimą pateikęs teismas abejoja, ar galima pripažinti, kad atsakovo numatomas asmens duomenų tvarkymas vykdomas laikantis duomenų apsaugos taisyklių, taikomų atsižvelgiant į duomenų tvarkymo tikslus, kaip tai suprantama pagal BDAR 31 konstatuojamąją dalį. Taigi reikia nustatyti kriterijus, pagal kuriuos turi būti įvertinta, ar atsakovo prašymu pateikti informaciją paisoma pagrindinių teisių ir laisvių ir ar šis prašymas gali būti laikomas būtinu ir proporcingu demokratinėje visuomenėje siekiant užtikrinti svarbius viešojo Sąjungos ir Latvijos intereso tikslus mokesčių ir biudžeto srityse.

24.

Kaip teigia prašymą priimti prejudicinį sprendimą pateikęs teismas, prašyme pateikti informaciją nenurodoma jokio atsakovo atliekamo „konkretaus tyrimo“, kaip tai suprantama pagal BDAR nuostatas. Minėtame prašyme prašoma pateikti informaciją ne apie konkrečius asmenis, bet apie visus duomenų subjektus, paskelbusius reklamą interneto svetainės skiltyje „Transportas“. Be to, minėtą informaciją mokesčių administratorius prašo pateikti ne vėliau kaip kiekvieno mėnesio trečią dieną (t. y. ieškovė privalo pateikti atsakovui visą informaciją, susijusią su ankstesnį mėnesį paskelbtomis reklamomis). Atsižvelgiant į tai, prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar tokie nacionalinės valdžios institucijos veiksmai atitinka BDAR įtvirtintus reikalavimus.

25.

Tokiomis faktinėmis ir teisinėmis aplinkybėmis Administratīvā apgabaltiesa (Apygardos administracinis teismas) nusprendė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

26.

Rašytines pastabas pateikė Belgijos, Graikijos, Ispanijos ir Latvijos vyriausybės, taip pat Europos Komisija. Ieškovė, Belgijos, Ispanijos ir Latvijos vyriausybės bei Komisija pateikė atsakymus į Teisingumo Teismo pagal Teisingumo Teismo procedūros reglamento 61 straipsnio 1 dalį pateiktus rašytinius klausimus.

27.

Toliau aprašyta šios išvados struktūra. Pradėsiu nuo klausimo, ar BDAR taikytinas valdžios institucijos pateiktam prašymui duomenų valdytojui dėl tam tikro asmens duomenų kiekio perdavimo. Atsižvelgiant į prašymą priimti prejudicinį sprendimą pateikusio teismo iškeltus klausimus, pirmiausia reikia išsiaiškinti du aspektus: kas iš tiesų yra kas pagrindinėje byloje ir kokias konkrečias taisykles tokiais atvejais nustato BDAR (A dalis). Vėliau aptarsiu (iš esmės pagrindinį) klausimą dėl teisinio pagrindo, kylančio iš BDAR ir susijusio su valdžios institucijų privačioms įmonėms skirtais prašymais perduoti duomenis valdžios institucijoms (B dalis). Tuomet užbaigsiu keliomis pastabomis dėl to, kas, mano nuomone, sudaro tikrąją šios bylos problemą, nors ji ir nebuvo aiškiai įvardyta prašymą priimti prejudicinį sprendimą pateikusio teismo (C dalis).

28.

Prašymą priimti prejudicinį sprendimą pateikęs teismas pateikė devynis klausimus, iš kurių kiekvienas vienaip ar kitaip susijęs su mokesčių administratoriaus prašymo (‑ų) dėl tam tikrų asmens duomenų perdavimo iš privačios (‑ių) įmonės (‑ių), siekiant surinkti mokesčius ir nustatyti mokesčių vengimą, teisėtumu. Aptariamus asmens duomenis iš duomenų subjektų surinko privati įmonė, vykdydama įprastą verslo veiklą.

29.

Vis dėlto iš devynių pateiktų klausimų nėra akivaizdu, kas konkrečiai turi kokią pareigą ir kokia BDAR nuostata ji grindžiama. Dėl šio neaiškumo šią bylą yra labai sudėtinga aiškiai apibrėžti bent dviem aspektais.

30.

Pirmiausia, kas yra kas šioje byloje pagal BDAR nustatytas kategorijas? Ši byla susijusi su tam tikrų duomenų, sudarančių didesnio privačios įmonės surinktų ir valdomų duomenų rinkinio dalį, perdavimu iš privačios įmonės valdžios institucijai. Tai specifinė duomenų tvarkymo operacija, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą, kuri sudaro Teisingumo Teismui pateiktų klausimų pagrindą.

31.

Vis dėlto, kalbant apie šį duomenų perdavimą, taip pat atrodo, kad prašymą priimti prejudicinį sprendimą pateikęs teismas mokesčių administratorių (atsakovą) šios konkrečios duomenų tvarkymo operacijos atžvilgiu jau laiko duomenų valdytoju ( 9 ). Ši prielaida, kuria grindžiama visa nutartis dėl prašymo priimti prejudicinį sprendimą, tiesiogiai suformuluota 6 ir 9 klausimuose. Dėl to pirmiausia reikia išsiaiškinti, kas būtent šiuo atveju privalo laikytis BDAR nuostatų? Kas vykdant šią konkrečią duomenų tvarkymo operaciją yra duomenų valdytojas? (2 skyrius)

32.

Antra, dėl šio neaiškumo kyla dar vienas svarbus klausimas: kokios konkrečios BDAR nuostatos jau taikomos duomenų perdavimui ir kurios iš šių nuostatų yra susijusios, visų pirma, su tuo kokių ir kiek duomenų valdžios institucija gali reikalauti iš privačios įmonės? Šiuo klausimu gana daug atskleidžia ta aplinkybė, kad trijuose prašymą priimti prejudicinį sprendimą pateikusio teismo klausimuose minima tik BDAR 5 straipsnio 1 dalis – horizontali nuostata, kurioje įtvirtinti su bet kurio duomenų valdytojo atliekamu asmens duomenų tvarkymu susiję principai. Kita vertus, kiti klausimai susiję tiesiog su „BDAR nustatytais reikalavimais“, nenurodant konkrečių nuostatų, kuriose šie reikalavimai turėtų būti.

33.

Taigi reikėtų dar vieno preliminaraus išaiškinimo dėl taikomos (‑ų) BDAR nuostatos (‑ų), visų pirma dėl ieškovės (įmonės) ir atsakovo (mokesčių administratoriaus) santykio. Kaip konkrečiai BDAR reglamentuojami tokie duomenų perdavimo prašymai ir privačios įmonės bei valdžios institucijos tarpusavio teisės ir pareigos? (3 skyrius)

34.

Vis dėlto prieš aptardamas šiuos du klausimus priminsiu, kodėl, mano nuomone, BDAR taikymas ir jo laikymasis negali būti nagrinėjami abstrakčiai, aiškinant apibrėžtis, nesusijusias su konkrečiomis duomenų tvarkymo operacijomis, kurios turėtų būti laikomos atskaitos tašku. Tik tai paaiškinus įmanoma tinkamai išnagrinėti veikiančius asmenis ir atitinkamas jų pareigas (1 skyrius).

35.

Šioje byloje visos suinteresuotosios šalys, įskaitant Latvijos vyriausybę, sutaria, kad tuo atveju, jeigu nustatant atliekamos analizės atskaitos tašką remiamasi BDAR 4 straipsnyje įtvirtintomis sąvokų „asmens duomenys“ ir „duomenų tvarkymas“ apibrėžtimis, ši priemonė, be abejo, taikoma pagrindinėje byloje.

36.

Pirmiausia, prašyme pateikti informaciją nurodyti duomenys yra asmens duomenys, kaip tai suprantama pagal BDAR 4 straipsnio 1 punktą. Informacija, kurios prašoma, pvz., duomenų subjektų telefono numeris ar automobilio identifikavimo numeris, yra „informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti“. Iš tiesų pagal šią informaciją galima nustatyti automobilių pardavėjų, taigi galimų mokesčių mokėtojų, tapatybę.

37.

Antra, jurisprudencijoje įtvirtinta, kad duomenų pateikimas ( 10 ) arba asmens duomenų atskleidimas persiunčiant, saugant ar kitaip padarant juos prieinamus patenka į tvarkymo sąvoką ( 11 ). Galiausiai „atskleidimas persiunčiant“ patenka į pavyzdinį tvarkymo operacijų sąrašą pagal BDAR 4 straipsnio 2 punktą.

38.

Trečia, asmens duomenų tvarkymas aiškiai atliekamas automatizuotomis priemonėmis, kaip tai suprantama pagal BDAR 2 straipsnio 1 dalį.

39.

Be to, šioje byloje netaikoma nė viena išimtis, kuri bet kuriuo atveju turi būti aiškinama siaurai ( 12 ). Atsižvelgiant į sprendimą byloje Österreischischer Rundfunk ir kt. ( 13 ) ir visų pirma naują bylą Penalty Points ( 14 ), neginčytina, kad aptariamu atveju asmens duomenys buvo tvarkomi „vykdant veiklą, kuriai Sąjungos teisė netaikoma“, kaip tai suprantama pagal BDAR 2 straipsnio 2 dalies a punktą.

40.

BDAR 2 straipsnio 2 dalies d punkte nustatyta išimtis, kaip matyti, taip pat netaikytina. Šioje nuostatoje nurodytos „kompetentingos valdžios institucijos“ turėtų būti tokios institucijos, kaip policija ar prokuratūra ( 15 ). Jos neapima mokesčių administratorių, veikiančių mokesčių surinkimo tikslais, arba juo labiau interneto reklamos paslaugų teikėjų. Be to, net ir tuo atveju, jeigu kompetentingiems mokesčių administratoriams atliekant duomenų tvarkymą kartais galėtų būti aptikti nusikaltimai, susiję su mokesčių slėpimu, šioje stadijoje tai tėra hipotetinė galimybė ( 16 ).

41.

Taigi taip vertinant reikėtų daryti išvadą, kad BDAR taikomas: yra asmens duomenys, kurie tvarkomi automatizuotomis priemonėmis. Vis dėlto, kaip jau užsiminta šios išvados įžangoje, toks vertinimas, grindžiamas plačiu atitinkamų BDAR 4 straipsnyje įtvirtintų sąvokų, pvz., „duomenų tvarkymas“ ( 17 ), „asmens duomenys“ ( 18 ) ar „duomenų valdytojas“ ( 19 ), aiškinimu, nesiejant jų su jokiomis konkrečiomis tvarkymo operacijomis, reikštų, kad bet kokiam bet kokios informacijos teikimui būtų taikomas BDAR.

42.

Tam, kad būtų teisingai aiškinamos visų susijusių veikiančių asmenų pareigos, nagrinėjimo pagal BDAR atspirties taškas turėtų būti aiškus konkrečios tvarkymo operacijos nustatymas. Tik tuomet galima toliau tinkamai įvertinti konkretiems su tvarkymu susijusiems asmenims pagal BDAR kylančias pareigas dėl konkrečios veiklos ( 20 ). Reglamentuojama būtent konkreti tvarkymo operacija ir darbas su duomenimis. BDAR reglamentavimo logika ir dėmesys yra grindžiami veiklos rezultatais ir orientuoti į procesą, taigi būtinai yra dinamiški.

43.

Kokia konkreti tvarkymo operacija atliekama šioje byloje? Vykdant tokį, kaip pagrindinėje byloje pateiktas, prašymą pateikti informaciją, be abejo, reikia tvarkyti asmens duomenis, ir BDAR iš esmės būtų taikomas. Šioje byloje yra du skirtingi tam tikru metu duomenis tvarkantys subjektai. Savo klausimuose prašymą priimti prejudicinį sprendimą pateikęs teismas didžiausią dėmesį teikia tvarkymui, kurį atlieka atsakovas, t. y. mokesčių administratorius. Vis dėlto iš faktinių bylos aplinkybių matyti, kad pirmiausia duomenis turėjo tvarkyti ieškovė, t. y. privati įmonė.

44.

Sprendime byloje Fashion ID ( 21 ) Teisingumo Teismas vertino tam tikras konkrečias operacijas, atliekamas tvarkant duomenis, siekdamas nustatyti atitinkamą (‑us) duomenų valdytoją (‑us). Teisingumo Teismas nusprendė, kad sąvoka „duomenų valdytojas“ nebūtinai reiškia vieną subjektą, o gali apimti kelis taip tvarkant dalyvaujančius subjektus, kurių kiekvienam atitinkamai galioja duomenų apsaugai taikomos teisės normos ( 22 ). Vis dėlto fizinis arba juridinis asmuo negali būti laikomas duomenų valdytoju, kalbant apie ankstesnes ar vėlesnes tvarkymo grandinės operacijas, kurių tikslų ir būdų jis nėra nustatęs ( 23 ).

45.

Šiuo atveju atsakovas turėtų būti laikomas duomenų valdytoju po to, kai gauna prašomus duomenis iš ieškovės ir pradeda juos tvarkyti, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą ( 24 ). Tuo metu atsakovas ne tik pradeda tvarkyti duomenis, bet ir, tikėtina, nustato savo atliekamo duomenų tvarkymo priemones ir tikslus, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą. Tuomet pats atlikdamas bet kokias duomenų tvarkymo operacijas atsakovas, jeigu valstybė narė šiuo klausimu nenustatė jokių apribojimų pagal BDAR 23 straipsnį, turės laikytis BDAR 5 straipsnyje įtvirtintų su duomenų kokybe susijusių principų, o jo atliekama (‑os) operacija (‑os) turės atitikti vieną iš scenarijų pagal BDAR 6 straipsnio 1 dalį ( 25 ).

46.

Vis dėlto iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, kad nagrinėjamoje byloje šis etapas dar nepradėtas. Mokesčių administratorius neturi prašomų duomenų. Taigi jis negalėjo pradėti jokių tų duomenų tvarkymo operacijų. Be to, Teisingumo Teismas negavo jokios informacijos apie tai, ką atsakovas ketina daryti su duomenimis ir kokį tvarkymą jis atliktų.

47.

Kol kas mokesčių administratorius tik paprašė privačios įmonės pateikti jam tam tikrą duomenų rinkinį. Tai savaime nėra kokių nors asmens duomenų tvarkymas, ypač jeigu duomenys dar negauti. Tokiomis faktinėmis aplinkybėmis ieškovė, privati įmonė, lieka duomenų valdytoja, nes pirmoji gavo duomenis, vykdydama savo veiklą, taigi priemonės ir tikslai apibrėžti savarankiškai. Tvarkydama savo turimus duomenis tam, kad jie būtų pateikti atsakovui jos gautomis sąlygomis, ieškovė ir toliau lieka šios tvarkymo operacijos duomenų valdytoja. Tokį tolesnį tvarkymą atlieka būtent ieškovė ( 26 ).

48.

Taigi tokiomis aplinkybėmis ir remdamasi BDAR 6 straipsnio 1 dalies c punktu ieškovė turi užtikrinti, kad būtų įvykdyta jai, kaip duomenų valdytojai, taikoma teisinė prievolė, konkrečiai kalbant – Mokesčių ir rinkliavų įstatymo 15 straipsnio 6 dalis. Taip pat ieškovė, veikdama kaip duomenų valdytoja, tvarkydama asmens duomenis ir pateikdama juos atsakovui privalo laikytis BDAR. Vis dėlto prašymą priimti prejudicinį sprendimą pateikęs teismas neužduoda klausimo dėl duomenų tvarkymo, kurį siekdama įvykdyti aptariamą prašymą turi atlikti ieškovė, masto. Iš tiesų jis neuždavė jokių klausimų, susijusių su galimomis BDAR grindžiamomis ieškovės pareigomis, kylančiomis jai atliekant tokį tvarkymą.

49.

Išskirdamas atsakovą kaip asmenį, kuriam pagal prielaidą taikomos BDAR nustatytos prievolės, prašymą priimti prejudicinį sprendimą pateikęs teismas, atrodo, domisi (teisiniu) tvarkymo pagrindu, kaip tai suprantama pagal BDAR 6 straipsnio 3 dalį, kitaip tariant, Mokesčių ir rinkliavų įstatymo 15 straipsnio 6 dalimi, kuri toliau įgyvendinta atsakovui pateikus prašymus pateikti informaciją.

50.

Apibendrinant matyti, kad pagrindinis klausimas, vienijantis visus prašymą priimti prejudicinį sprendimą pateikusio teismo klausimus, yra susijęs su asmens duomenų perdavimo tarp dviejų paeiliui duomenis tvarkančių duomenų valdytojų mastu ir sąlygomis ( 27 ). Ar, o jei taip – kokiomis BDAR nuostatomis reglamentuojami paeiliui duomenis tvarkančių duomenų valdytojų santykiai? Ar BDAR nustatoma kokių nors (materialinių ar laiko) apribojimų dėl asmens duomenų perdavimo tarp dviejų duomenų valdytojų, šiuo atveju – privačios įmonės ir valdžios institucijos, masto ir būdų? Visi šie klausimai yra glaudžiai susiję su asmens duomenų gavimo teisiniu pagrindu ir iš esmės nėra susiję su tvarkymo operacijomis.

51.

BDAR visų pirma yra susijęs su duomenų subjektų asmens duomenų apsauga ir tų subjektų bei bet kokio jų duomenis tvarkančio subjekto santykiais. Šiuo klausimu BDAR nustatytos duomenų subjektų teisės ir atitinkamų duomenų valdytojų pareigos tvarkant asmens duomenis.

52.

Tokia reglamentavimo logika orientuota į duomenis ir prie šių duomenų prieigą turinčius bei su jais dirbančius subjektus. BDAR yra labai nedaug nuostatų, kuriose tiesiogiai ir aiškiai reglamentuojami duomenis tvarkančių subjektų santykiai ( 28 ). Tiesa, kad BDAR į šiuos santykius kišasi netiesiogiai. Juo bet kokiam vėliau duomenis gaunančiam subjektui nustatoma pareiga saugoti duomenis ir duomenų subjektų teises. Taip BDAR iš tiesų nustatomos tam tikros duomenų atskleidimo ir duomenų perdavimo sąlygos. Vis dėlto tai tikrai nereiškia, kad BDAR tiesiogiai reglamentuojami šių subjektų santykiai.

53.

Tam tikra prasme, jeigu duomenis būtų galima laikyti prekėmis, BDAR reglamentavimo logika yra analogiška specialiam viešosios teisės režimui, taikomam tam tikroms (vertingų, meno, istorinių) prekių rūšims. Tokiu režimu nustatomi tam tikri apribojimai dėl šių prekių: kaip tokios prekės gali būti gaminamos, kaip jas galima naudoti, kokiomis sąlygomis jas galima keisti, laikyti, perparduoti ar sunaikinti. Tokiu specialiu režimu prekės apsaugomos, ir taip netiesiogiai nustatomos pareigos vėlesniam prekių savininkui ar turėtojui. Vis dėlto savaime toks specialus režimas lieka susietas su prekėmis. Juo nereguliuojami nei privatūs susitarimai, pagal kuriuos prekės gali būti parduodamos tarp privačių šalių, nei sąlygos, kuriomis privatus subjektas gali perduoti tas prekes viešajam subjektui. Prekių reguliavimas skiriasi nuo susijusių teisių į tas prekes ar prekybos tomis prekėmis reguliavimo.

54.

Pagrįstai aiškinti BDAR galima tik išsiaiškinus šią BDAR reglamentavimo logiką ir, kalbant apie galimas iš šio teisės akto kylančias pareigas, kaip į atskaitos tašką sutelkiant dėmesį į konkrečią tvarkymo operaciją. Kitu atveju BDAR bus taikomas visada, nors, kad ir kaip kūrybiškai tai būtų daroma, tiesiog nebus nuostatos, reglamentuojančios konkretų pateiktą klausimą. Neišvengiamai tokiose bylose bus padaroma išvada, kad BDAR neprieštarauja tam tikram nacionalinės teisės aktui ar praktikai. Vis dėlto toks „neprieštaravimas“ nebūtinai bus konstatuojamas dėl to, kad nacionaliniai režimai iš esmės teisėti, bet veikiau dėl to, kad tokio klausimo BDAR tiesiog nereglamentuoja, net jeigu jis vienu ar kitu aspektu susijęs su asmens duomenimis.

55.

Teisingumo Teismo jurisprudencijoje yra pasitaikę tokių „netikrų patvirtinimų“ dėl įvairių nacionalinėje teisėje nustatytų pareigų atskleisti duomenis įvairiems tikslams. Didžioji tokių bylų dalis buvo susijusi ne su atliekama tvarkymo operacija, bet veikiau su pirmine problema dėl tokios būsimos operacijos teisinio pagrindo. Jos apima klausimus nuo civilinio proceso inicijavimo ginant autorių teises ( 29 ) iki tinkamo valstybės lėšų valdymo ( 30 ) ar nacionalinio saugumo užtikrinimo ( 31 ). Tokių bylų pavyzdžiai taip pat galėtų būti Rigas satiksme ( 32 ), Promusicae ( 33 ), Bonnier ( 34 ) ar J & S Service ( 35 ).

56.

Žinoma, visais šiais atvejais BDAR buvo taikomas duomenų subjektų teisėms duomenų valdytojo (‑ų) atžvilgiu, kalbant apie ir ką tik įvykusias, ir turinčias įvykti konkrečias tvarkymo operacijas. Vis dėlto dar kartą pažymėtina, kad BDAR reglamentavimo logika ir tinkama taikymo sritis turi būti priklausomos nuo duomenų srauto ir turi būti užtikrinta, kad asmens duomenys būtų apsaugoti atliekant tvarkymo operacijas. Juo neturėtų būti reglamentuojami bet kokie anksčiau susiklostę įvairių subjektų, kurie gali turėti duomenis, santykiai, įskaitant tai, kodėl ir kaip jie galėjo tuos duomenis gauti. Kitaip tariant, BDAR neužtikrina jokių vieno duomenų valdytojo „teisių“ kito duomenų valdytojo atžvilgiu.

57.

Tai nereiškia, kad tokie klausimai teisės aktais nereglamentuojami. Jie yra reglamentuojami, tačiau tai daroma kitais teisės aktais, pirmiausia susijusiais su teisinių reikalavimų vykdymu. Būtent šiuose teisės aktuose visų pirma galima rasti teisinį pagrindą tvarkyti duomenis, kurio reikalaujama pagal BDAR 6 straipsnio 3 dalį. Kalbant apie privalomą asmens duomenų perdavimą, šis perdavimas dažniausiai nustatomas tiek Sąjungos ( 36 ), tiek nacionaliniuose „su teisėsauga susijusiuose teisės aktuose“, kas yra gana logiška. Kalbant apie savanorišką asmens duomenų perdavimą, jeigu jis galimas ir leidžiamas pagal viešosios teisės aktus, t. y. BDAR, toks perdavimas grindžiamas nacionaline verslo teise arba sutarčių teise, atsižvelgiant į tarp atitinkamų paeiliui duomenis tvarkančių duomenų valdytojų sudarytų susitarimų pobūdį.

58.

Atsižvelgiant į šiuos išaiškinimus, mano nuomone, ši byla (kol kas) nėra susijusi su jokia duomenų tvarkymo operacija. Ji susijusi su tokio tvarkymo teisiniu pagrindu, apie kurį BDAR tik užsimenama, bet juo pačiu tiesiogiai šis klausimas nereglamentuojamas. Vis dėlto siekiant visapusiškai padėti prašymą priimti prejudicinį sprendimą pateikusiam teismui kitoje šios išvados dalyje pateikiama pagrindinių iš BDAR kylančių nuostatų, kurios bus taikomos tvarkymo operacijai, kai ją atliks duomenų valdytojas, privati įmonė, santrauka (B dalis). BDAR tikslas yra apsaugoti duomenų subjektą, o ne privačią įmonę nuo viešojo sektoriaus kišimosi į jos laisvę užsiimti verslu ar jos teisę į nuosavybę, naudojant duomenis. Tai nereiškia, kad dėl tokio klausimo negali kilti pagrįstų abejonių; tai reiškia, kad vargu ar tokios abejonės bus reglamentuojamos BDAR ar kad juo remiantis bus galima jas išspręsti (C dalis.)

59.

Toliau pateikiami gana apibendrinti svarstymai dėl duomenų tvarkymo, kurį ieškovė turėtų atlikti vykdydama atsakovo prašymą pateikti informaciją, teisinio pagrindo. Šiuo atveju taikytina nuostata tikriausiai būtų BDAR 6 straipsnis, visų pirma jo 1 ir 3 dalys, jas skaitant kartu su 45 konstatuojamąja dalimi.

60.

Pirmiausia pažymėtina, kad Teisingumo Teismui nebuvo pateikta jokios konkrečios informacijos dėl kokių nors papildomų taikytinų nacionalinių duomenų apsaugos taisyklių tokiomis aplinkybėmis, kokios susiklostė pagrindinėje byloje. Be to, Teisingumo Teismas taip pat negavo jokios informacijos dėl to, ar, be Mokesčių ir rinkliavų įstatymo 15 straipsnio 6 dalies, yra kitų bendro taikymo nacionalinės teisės aktų (pvz., nutarimas ar įgyvendinimo taisyklės), kuriais būtų smulkiau reglamentuojama aptariama (interneto reklamos) paslaugų teikėjų pareiga pateikti tam tikrus duomenis mokesčių administratoriams. Taip pat turima labai mažai informacijos apie bendrai BDAR įgyvendinančius nacionalinės teisės aktus.

61.

Be to, nepaaiškinta, ar BDAR 23 straipsnio 1 dalies e punktas kaip nors buvo įgyvendintas nacionalinėje teisėje. Tai, ar Sąjungos teisės nuostata buvo įgyvendinta, neturi lemiamo poveikio prašymo pateikti informaciją teisėtumui. Vis dėlto tai būtų reikšminga nustatant vėlesnio duomenų valdytojo (valdžios institucijos) pareigų, kurias jis galėtų turėti duomenų subjektų atžvilgiu, apimtį ir pobūdį, taip pat nustatant pirmojo duomenų valdytojo pareigas ir informaciją, kurią šis turėtų pateikti duomenų subjektams.

62.

Taigi toliau pateikiami svarstymai gali būti tik gana bendro pobūdžio. Aptarsiu iš BDAR 6 straipsnio kylančius tolesnio duomenų tvarkymo, kurį norėdama įgyvendinti valdžios institucijos prašymą pateikti informaciją turi atlikti privati įmonė, principus, pirmiausia dėl tokio duomenų perdavimo tikslo (1 skyrius) ir jo masto bei trukmės (2 skyrius). Vėliau išnagrinėsiu tokio perdavimo teisinį pagrindą, nes su šiuo pagrindu susiję reikalavimai tampa aiškesni aptarus minėtas potemes (3 skyrius).

63.

Apskritai kalbant, bendras tikslas, dėl kurio mokesčių administratorius siekia asmens duomenų atskleidimo pagrindinėje byloje, be abejo, yra teisėtas. Tinkamo mokesčių surinkimo užtikrinimas ir galimo prievolės mokėti mokesčius nevykdymo nustatymas tikrai gali būti priskiriami teisėtų duomenų tvarkymo tikslų rūšims tiek pagal BDAR 6 straipsnio 1 dalį, tiek pagal jo 3 dalį ( 37 ).

64.

Šioje byloje pateiktų klausimų esmė yra susijusi su tuo, kiek abstrakčiai toks tikslas gali būti suformuluotas. Šiuo klausimu, atrodo, egzistuoja tam tikra painiava tarp dviejų specifinių tikslų rūšių: i) ieškoti tam tikros rūšies informacijos (siekiant nustatyti teisės pažeidimus); ir ii) patikrinti faktinę aplinkybę, kad įvykdyti konkretūs pažeidimai (ir siekti atskleisti konkrečius duomenis, kad būtų patvirtinta tokia prielaida).

65.

Šių dviejų rūšių duomenų atskleidimo pobūdis (ir atitinkamai mastas) neišvengiamai skiriasi. Paieškos ir nustatymo atveju šis pobūdis yra ex ante, platus ir apima didžiąja dalimi neapibrėžtą duomenų subjektų ratą. Jeigu siekiama nustatyti galimus pažeidimus, metaforinis tinklas turi būti užmestas gana plačiai. Kita vertus, galimų pažeidimų patikrinimo atskleidžiant susijusius duomenis atveju šis pobūdis gali būti subtilesnis ir tikslesnis. Šiuo atveju daug stipresnė ex post logika, kai dėmesys sutelkiamas patikrinti tam tikriems įtarimams, paprastai susijusiems su jau pastebėtu duomenų subjektu.

66.

Mano nuomone, pagal BDAR 6 straipsnį leistini abu scenarijai. Nepaisant to, BDAR 6 straipsnio 3 dalimi bet kuriuo iš šių duomenų perdavimo atvejų reikalaujama aiškaus teisinio pagrindo.

67.

Vis dėlto suprantu prašymą priimti prejudicinį sprendimą pateikusio teismo abejones šios bylos kontekste, kai atsižvelgiama į Mokesčių ir rinkliavų įstatymo 15 straipsnio 6 dalies formuluotę. Kaip matyti iš formuluotės, galiojusios tuo metu, kai prašymą priimti prejudicinį sprendimą pateikęs teismas pateikė prašymą, joje buvo nurodyta, kad interneto reklamos paslaugų teikėjai valstybinio mokesčių administratoriaus prašymu gali būti įpareigoti pateikti informaciją apie (atitinkamus) apmokestinamuosius asmenis.

68.

Taigi atrodo, kad šioje byloje atskleidimo tikslas, pateiktas nurodant atitinkamą teisinį pagrindą, primena pirma apibūdintą antrąjį scenarijų – tam tikros su konkrečiais apmokestinamaisiais asmenimis susijusios informacijos patikrinimą. Vis dėlto panašu, kad nacionalinis mokesčių administratorius šiuo teisiniu pagrindu pasinaudojo prašydamas iš esmės (neriboto) duomenų perdavimo ar netgi masinio duomenų surinkimo, kad atliktų bendrą paieškos ir nustatymo veiklą, kuri patenka į pirma aprašytą pirmąjį scenarijų. Čia atsiranda loginis disonansas, kurio ištakos, kaip matyti, yra šios bylos nacionaliniame lygmenyje ir kuris sukelia painiavos dėl tokios priemonės proporcingumo (2 skyrius) ir tinkamo jos teisinio pagrindo (3 skyrius) įspūdį.

69.

Nustatant proporcingumą, kaip ir atitinkamai „mažinimą“, yra nagrinėjamas (nurodytų) tikslų ir (pasirinktų) priemonių santykis. Šioje byloje problema yra ta, kad, atsižvelgiant į tai, kurie tikslai pasirenkami iš dviejų (tobulų ( 38 )) ką tik nurodytų scenarijų, proporcingumo vertinimas turėtų skirtis.

70.

Kalbant apie „paieškos ir nustatymo“ tikslą, valdžios institucijos savo tinklą užmeta kaip galėdamos plačiau, siekdamos užtikrinti, kad būtų surasta reikalinga informacija. Dėl to gali būti tvarkomas didelis duomenų kiekis. Iš tiesų poreikis gauti ir tvarkyti didesnius duomenų rinkinius yra neišvengiamas atliekant tokio pobūdžio bendrą ir neapibrėžtą informacijos paiešką. Šiame scenarijuje proporcingumas ir duomenų tvarkymo mažinimas gali būti siejami tik su prašomų duomenų pobūdžiu, kai galima rasti reikiamos informacijos ( 39 ).

71.

Kalbant apie „patikrinimo“ tikslą, kai valdžios institucijoms reikia gauti su konkrečiu sandoriu ar keliais sandoriais susijusių įrodymų, proporcingumo vertinimas, žinoma, gali būti griežtesnis. Tokiu atveju mokesčių administratorius gali paprašyti duomenų tik apie tam tikru laikotarpiu atliktas konkrečias operacijas, kad atliktų ex post patikrinimą, paprastai dėl konkretaus apmokestinamojo asmens (asmenų). Taigi tikėtina, kad prašymai pateikti informaciją būtų susiję su konkrečiais duomenimis, kuriuose yra tokios informacijos.

72.

BDAR 31 konstatuojamosios dalies logika, kiek apskritai jos galiu įžvelgti, yra susijusi tik su pastaruoju scenarijumi. Antrame šios konstatuojamosios dalies sakinyje, kuriuo rėmėsi ir kurį gausiai aptarinėjo suinteresuotosios šalys, visų pirma Komisija, nurodyta, kad valdžios institucijų prašymai pateikti informaciją visada turėtų būti pateikiami raštu, būti pagrįsti ir nereguliarūs ir neturėtų būti susiję su visu susistemintu rinkiniu ar dėl jų susisteminti rinkiniai neturėtų būti susiejami tarpusavyje.

73.

Vis dėlto, mano nuomone, negalima ištraukti (dalies) reglamento konstatuojamosios dalies iš konteksto ir laikyti jos nepriklausoma ir privaloma nuostata, kuri daugiau neatsispindi niekur to dokumento teisiškai privalomame tekste ( 40 ), ir tuo remiantis teigti, kad bet koks asmens duomenų perdavimas valdžios institucijoms gali būti atliekamas tik tokiomis sąlygomis. Tiesiog negaliu sutikti su prielaida, kad pagal atskirai vertinamą 31 konstatuojamosios dalies dalį draudžiama perduoti didesnį kiekį duomenų valdžios institucijoms net tais atvejais, kai tam (nacionalinėje ir (ar) Sąjungos teisėje) yra tinkamas teisinis pagrindas ir laikomasi visų privalomų BDAR nuostatų.

74.

Šios bylos aplinkybėmis Latvijos vyriausybė teigė, kad prašomos informacijos kiekis yra pagrįstas, nes prašymas pateikti informaciją pateiktas tik dėl skiltyje „Transportas“, kuri tėra viena iš 112 ieškovės valdomos aptariamos svetainės skilčių, paskelbtų reklamų. Belgijos ir Ispanijos vyriausybės taip pat nurodė manančios, kad reikėtų kalbėti ne apie duomenų kiekį, o apie prašomų duomenų pobūdį.

75.

Sutinku su šiomis pastabomis.

76.

Ex ante paieškos ir nustatymo atveju proporcingumas reiškia, kad atliekama prašomų duomenų rūšies „kokybės kontrolė“. Tik vykdant ex post tam tikrų faktinių aplinkybių patikrinimą galima išsamiai atlikti „kiekio kontrolę“. Jeigu būtų kitaip, iš esmės negalėtų būti taikoma didžioji dalis stebėsenos ar priežiūros priemonių.

77.

Jeigu Sąjungos ar nacionalinėje teisėje yra tinkamas teisinis pagrindas, nacionalinis mokesčių administratorius iš esmės gali prašyti visų duomenų, kurių jam reikia tam tikram tyrimui atlikti, be jokių apribojimų laiko atžvilgiu. Vienintelis iš BDAR kylantis apribojimas yra su duomenų pobūdžiu susijęs proporcingumas. Kaip teisingai nurodo Graikijos vyriausybė, prašymuose pateikti informaciją turėtų būti reikalaujama tų duomenų, kurių pobūdis susijęs su mokesčių mokėtojų ekonomine veikla, o ne su jų privačiu gyvenimu.

78.

Pavyzdžiui, jeigu nurodytas tikslas yra nustatyti nedeklaruotas pajamas iš naudotų automobilių pardavimo, mokesčių administratorius neturi teisės taip pat prašyti informacijos apie tai, ar automobilį parduodantis asmuo yra raudonplaukis, ar jis laikosi tam tikros dietos arba turi baseiną. Taigi prašomos informacijos pobūdis turi būti aiškiai susijęs su nurodyta paieška ir tyrimu.

79.

Be to, kas išdėstyta, esant vienam iš dviejų pirma nurodytų scenarijų proporcingumą turėtų įvertinti nacionalinis teismas, remdamasis faktinėmis ir teisinėmis kiekvienos bylos aplinkybėmis ( 41 ). Trumpai tariant, šioje byloje reikėtų užduoti klausimą, ar prašomų duomenų pobūdis tinkamas atsakovui norint gauti informaciją, kuri reikalinga jo nurodytam tikslui įgyvendinti.

80.

Galiausiai tik dabar, atsižvelgiant į ką tik pateiktus išaiškinimus, galima veiksmingai įvertinti pagrindinį klausimą dėl teisinio pagrindo. Be abejo, abiejų ankstesniuose šios išvados skyriuose pateiktų scenarijų („paieška ir nustatymas“ ir „patikrinimas“) atveju tam, kad ieškovė galėtų atlikti duomenų tvarkymą, reikalingas teisinis pagrindas pagal BDAR 6 straipsnio 3 dalį. Šioje nuostatoje tiesiogiai leidžiama tiek Sąjungos, tiek nacionaliniais teisės aktais pritaikyti bendrų BDAR taisyklių taikymą prie konkrečios situacijos.

81.

Vis dėlto bet kuriuo atveju nurodytas teisinis pagrindas turi logiškai apimti konkretų tikslą ir tam tikslui įgyvendinti atliekamo duomenų tvarkymo pobūdį. Kaip tiksliai tai bus padaryta, priklauso nuo konkrečių valstybės narės ar Sąjungos pagal BDAR 6 straipsnio 3 dalį priimtų įgyvendinamųjų nuostatų. Apskritai kalbant, kuo labiau apibendrintas, didesnės apimties ir nuolatinio pobūdžio yra duomenų perdavimas, tuo tvirtesnis, labiau detalizuotas ir aiškesnis turi būti teisės aktuose nustatytas pagrindas, nes toks duomenų perdavimas sudaro didesnių kliūčių apsaugoti duomenis. Kita vertus, kuo prašymai pateikti informaciją siauresni ir labiau riboti – paprastai susiję tik su vienu ar keliais duomenų subjektais ar netgi su ribotu duomenų kiekiu – tuo didesnė tikimybė, kad šiuos prašymus galima įvykdyti individualių administracinių prašymų lygmeniu, kai teisės aktuose įtvirtinta tai leidžianti nuostata gana plati ir bendro pobūdžio.

82.

Kitaip tariant, kartu veikia du reguliavimo sluoksniai – teisės aktų ir administracinis, sudarantys galutinį duomenų tvarkymo teisinį pagrindą. Bent vienas iš jų turi būti pakankamai konkretus ir pritaikytas prie tam tikro prašomų asmens duomenų pobūdžio arba kiekio. Kuo išsamiau toks duomenų perdavimas reguliuojamas teisės aktų, struktūriniu lygmeniu, tuo mažiau informacijos privaloma pateikti individualiame administraciniame prašyme. Teisės aktų reguliavimas gali būti toks smulkus ir išsamus, kad jo visai savarankiškai pakaktų vykdymui. Kita vertus, kuo teisės aktai yra bendresnio ir labiau neapibrėžto pobūdžio, tuo daugiau detalių, įskaitant aiškų tikslą, kuriuo bus apribotas mastas, turi būti nurodyta individualiame administraciniame prašyme.

83.

Tokia išvada netiesiogiai atsakoma į prašymą priimti prejudicinį sprendimą pateikusio teismo klausimą dėl proporcingumo, į kurį galbūt iš tiesų geriausia atsakyti dabar nustatant, ar mokesčių administratoriai gali teikti prašymus dėl duomenų, kurie būtų neriboti laiko atžvilgiu. Mano nuomone, pagal BDAR jie gali tai daryti. Vis dėlto svarbesnis klausimas turėtų būti tas, ar jiems nacionalinės teisės aktuose yra nustatytas teisinis pagrindas dėl iš esmės tęstinio ir nuolatinio duomenų teikimo. Jeigu nacionalinėje teisėje nustatytas aiškus tokio teikimo pagrindas ir trukmė, pagal BDAR 6 straipsnio 3 dalį jis nedraudžiamas. Pažymėtina, kad BDAR 31 konstatuojamoji dalis nekeičia tokios išvados esmės ( 42 ). Neįžvelgiu praktinės prasmės šią konstatuojamąją dalį aiškinti taip, kad pagal ją administracinių institucijų iš esmės būtų reikalaujama pakartotinai (pvz., kas dieną, mėnesį ar metus) teikti vienodus individualius prašymus, siekiant gauti tai, ką jos jau galėjo gauti pagal nacionalinės teisės aktus.

84.

Šioje byloje duomenų tvarkymo pagrindą sudaro tiek Mokesčių ir rinkliavų įstatymo 15 straipsnio 6 dalis, tiek konkretūs mokesčių administratoriaus pateikti prašymai atskleisti duomenis. Atrodo, kad egzistuoja dvejopas teisinis pagrindas – bendra nuostata teisės aktuose, pagal kurią suteikiami įgaliojimai, ir konkretus šios nuostatos administracinis taikymas.

85.

Apskritai kalbant, tokio dvejopo teisinio pagrindo turėtų pakakti pagrįsti ieškovo atliekamą asmens duomenų tvarkymą, šiam siekiant juos pateikti valdžios institucijai pagal BDAR 6 straipsnio 1 dalies c punktą ir 3 dalį. Nors nacionalinės teisės aktai, kuriais mokesčių administratoriai įgaliojami prašyti informacijos, yra gana bendro pobūdžio, konkrečiuose prašymuose atskleisti duomenis iš esmės prašoma tam tikro pobūdžio duomenų, nepaisant galimai didelio jų kiekio.

86.

Vis dėlto galiausiai nacionalinis teismas, turėdamas išsamių žinių apie nacionalinę teisę, įskaitant bet kokias per šį procesą nepaminėtas nacionalines įgyvendinamąsias taisykles, turi patikrinti, ar duomenų tvarkymas, kurį ieškovo prašoma atlikti pagrindinėje byloje, atitinka šioje šios išvados dalyje nurodytus reikalavimus.

87.

Pagrindinis klausimas atliekant tokį vertinimą, kuriam reikia skirti ypatingą dėmesį, yra tas, ar Mokesčių ir rinkliavų įstatymo 15 straipsnio 6 dalis kartu su konkrečiais prašymais pateikti informaciją yra suderinami su numatomumo reikalavimu ( 43 ), kai nagrinėjamas teisinis pagrindas. Teisės aktuose, kuriais leidžiama perduoti duomenis, turi būti numatytos aiškios ir tikslios taisyklės, reglamentuojančios nagrinėjamos priemonės apimtį ir taikymą bei nustatančios minimalius reikalavimus, kad asmenys, kurių asmens duomenys tvarkomi, turėtų pakankamai garantijų, leidžiančių veiksmingai apsaugoti šiuos duomenis nuo piktnaudžiavimo pavojų ( 44 ).

88.

Taigi teisinis pagrindas, vertinamas kaip visuma (kartu teisės aktai ir administraciniai veiksmai), turi būti pakankamai tiksliai suformuluotas dėl visų susijusių asmenų: valdžios institucijų – dėl duomenų, kurių jos gali prašyti, įmonių – dėl to, ką jos gali pateikti, ir, svarbiausia, duomenų subjektų – kad jie žinotų, kas ir kokiais tikslais gali turėti prieigą prie jų duomenų. Reikėtų priminti, kad informavimas apie duomenų tvarkymą iš tiesų yra pagrindinis BDAR įtvirtintas reikalavimas. Duomenų subjektai turi žinoti apie tokį tvarkymą, ir ši informacija yra sąlyga įgyvendinti kitas jų teises: gauti informaciją apie tvarkomus duomenis, juos ištrinti ar ištaisyti ( 45 ).

89.

Jeigu BDAR 23 straipsnis nebuvo perkeltas į nacionalinę teisę taip, kad būtų apribotos BDAR III skyriuje įtvirtintos duomenų subjektų teisės, iš BDAR 13 ir 14 straipsnių darytina išvada, kad duomenų tvarkymą atliekantis duomenų valdytojas turi pateikti informaciją duomenų subjektui. Kai duomenys perduodami kelis kartus iš eilės, gali būti sudėtinga nustatyti, kas turi prievolę pateikti informaciją ( 46 ). Be to, kalbant praktiškai, jeigu nėra jokių pagal BDAR 23 straipsnio 1 dalį priimtų apribojimų, kuriuos nustatant nacionalinės teisės aktuose privaloma laikytis BDAR 23 straipsnio 2 dalies reikalavimų, duomenis gavusi valdžios institucija gali būti įpareigota visiems duomenų subjektams pateikti atitinkamą informaciją pagal BDAR 14 straipsnį. Jeigu nėra aiškaus ir numatomo teisinio pagrindo, kuriuo remiantis galiausiai būtų leidžiama atlikti tokį duomenų perdavimą, vargu ar galima tikėtis, kad duomenis surinkęs duomenų valdytojas apie tai jau bus informavęs duomenų subjektą pagal BDAR 13 straipsnį.

90.

Taigi, mano nuomone, galima padaryti išvadą, kad pagal BDAR 6 straipsnio 1 dalies c punktą ir 3 dalį nedraudžiama nacionalinėmis taisyklėmis nustatyti laiko atžvilgiu neapribotos pareigos interneto reklamos paslaugų teikėjams atskleisti tam tikrus asmens duomenis mokesčių administratoriui, jeigu nacionalinėje teisėje yra aiškus teisinis pagrindas perduoti tokio pobūdžio duomenis, o prašomi duomenys yra tinkami ir reikalingi mokesčių administratoriui jo oficialioms užduotims vykdyti.

91.

Neturėčiau spėlioti tikrųjų nacionalinio teismo nagrinėjamos bylos šalių motyvų. Taigi išlaikysiu viltį, kad egzistuoja gerieji samariečiai, kurie nesavanaudiškai imasi ginti kitus. Kodėl gi privati įmonė negalėtų tiesiog ginti duomenų subjektų, iš kurių surinko jų asmens duomenis, teisių?

92.

Nors reikėtų tik džiaugtis, kai komercinės įmonės įsipareigoja saugoti duomenis, darau prielaidą, kad kai kurios kitos įmonės gali turėti ir kitų priežasčių, dėl kurių joms gali kilti noras prieštarauti viešosios valdžios paliepimams pateikti jų surinktus asmens duomenis. Viena iš tokių priežasčių gali būti susijusi su tokios veiklos sąnaudomis. Ar valdžios institucijoms turėtų būti leidžiama iš esmės deleguoti dalį savo viešojo administravimo funkcijų, priverčiant privačias įmones padengti veiklos, kuri iš esmės yra viešasis administravimas, vykdymo sąnaudas? Šis klausimas tampa reikšmingas tais atvejais, kai privačios įmonės dėl bendrojo gėrio turi nuolat perduoti didelį duomenų kiekį, negaudamos jokios atlygio ( 47 ). Kitos priežastys gali būti labiau susietos su verslu. Jeigu bent akimirką darytume prielaidą (žinoma, vien hipotetiniu lygmeniu), kad žmonės apskritai nemėgsta mokėti mokesčių, ne taip sudėtinga būtų taip pat padaryti prielaidą, kad kai kurie iš šių žmonių galėtų pasirinkti savo naudotus automobilius reklamuoti kitomis priemonėmis, o ne interneto svetainėje, kuri vėliau šią informaciją perduoda mokesčių administratoriams.

93.

Rasti balansą tarp visų interesų esant tokiai situacijai toli gražu nėra paprasta. Viena vertus, viešajai valdžiai reikalaujant iš privačių įmonių duomenų, kurie turi būti parengti ir pateikti pagal tikslius pirmosios reikalavimus, gali būti pavojingai priartėjama prie priverstinio viešojo administravimo vykdymo delegavimo. Taip visų pirma gali būti tais atvejais, kai kalbama apie duomenis, kurie kitu atveju yra viešai prieinami ir kuriuos valdžios institucijos galėtų pačios susirinkti, įdėdamos šiek tiek techninio darbo. Kita vertus, kaip teisingai pažymėjo Belgijos vyriausybė, nurodydama platesnę pagrindinėje byloje nagrinėjamos situacijos reikšmę, tikriausiai reikėtų pateikti kiek lankstesnį atsakymą esant situacijoms, kai kalbama apie įvairias dalijimosi ekonomikos platformų formas, ar kitais atvejais, kai valdžios institucijos prašo prieigos prie duomenų, kurie yra būtini siekiant nurodyto teisėto viešojo tikslo, bet nėra viešai prieinami, taigi valdžios institucijos negali jų pačios susirinkti. Vis dėlto net ir tokiomis aplinkybėmis lieka atviras klausimas dėl galimo atlygio.

94.

Tikrai matau tokių klausimų, paslėptų pagrindinės bylos fone. Vis dėlto protingas balansas tokiais atvejais pirmiausia turi būti randamas nacionaliniu ar Sąjungos lygmeniu priimant atitinkamus teisės aktus, kuriais nustatomas tokio pobūdžio duomenų perdavimo teisinis pagrindas. Tai neturėtų būti sprendžiama teismuose, a fortiori byloje, kurioje prašymą priimti prejudicinį sprendimą pateikęs teismas tiesiogiai tokių klausimų net nepateikė. Be to, yra bent dvi papildomos priežastys, dėl kurių šioje byloje nereikėtų imtis tokio pobūdžio svarstymų.

95.

Pirmiausia, kaip ir daug kitų klausimų, kažkaip besisukančių šalia asmens duomenų srauto, bet iš tiesų nesusijusių su duomenų subjektų teisių apsauga, tokie klausimai tiesiog nėra konkrečiai reglamentuojami BDAR. Klausimas dėl duomenų valdytojų, kurie yra privačios įmonės, teisinės apsaugos nuo galimai neteisėto ar neproporcingo kišimosi į jų laisvę užsiimti verslu, galimą jų teisę į nuosavybę ( 48 ) ar net galimą teisę gauti teisingą atlygį už perduotus duomenis nėra reglamentuojamas BDAR.

96.

Antra, kadangi Sąjungos teisėje nėra įtvirtinto teisinio pagrindo tokiam duomenų perdavimui ( 49 ), klausimas dėl galimo atlygio už tokį privalomą perdavimą taip pat vargu ar galėtų būti reglamentuojamas Sąjungos teisės aktais. Vėlgi, tai nereiškia, kad tokie klausimai negali kilti net kalbant apie (atitinkamų duomenų valdytojų) pagrindinių teisių apsaugą. Vis dėlto šiuos klausimus turėtų tinkamai išnagrinėti valstybės narės teismai, visų pirma įpareigodami atlikti tokį duomenų perdavimą. Taigi bet kokios tokio pobūdžio bylos verčiau turėtų būti keliamos nacionaliniuose (konstituciniuose) teismuose.

97.

Siūlau Teisingumo Teismui taip atsakyti į Administratīvā apgabaltiesa (Apygardos administracinis teismas, Latvija) pateiktus prejudicinius klausimus: