Laikina versija
GENERALINIO ADVOKATO
PRIIT PIKAMÄE IŠVADA,
pateikta 2024 m. vasario 22 d.(1)
Byla C‑693/22
I. sp. z o. o.
prieš
M. W.
(Sąd Rejonowy dla m. st. Warszawy w Warszawie (Varšuvos miesto apylinkės teismas, Lenkija) prašymas priimti prejudicinį sprendimą)
„Prašymas priimti prejudicinį sprendimą – Asmens duomenų apsauga – Reglamentas (ES) 2016/679 – Duomenų bazės su asmens duomenimis pardavimas per priverstinio vykdymo procedūrą – 4 straipsnio 7 punktas – Sąvoka „duomenų valdytojas“ – 5 straipsnio 1 dalies b punktas – Tikslo apribojimo principas – 6 straipsnio 1, 3 ir 4 dalys – Duomenų tvarkymo teisėtumas – Duomenų valdytojui nustatytos teisinės prievolės vykdymas – Užduoties, vykdomos dėl viešojo intereso, atlikimas – 23 straipsnio 1 dalies j punktas – Civilinių ieškinių vykdymo užtikrinimas – Būtina ir proporcinga priemonė“
1. Ar duomenų bazės su asmens duomenimis pardavimas per priverstinio vykdymo procedūrą gali atitikti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR)(2), jeigu duomenų subjektai nedavė sutikimo dėl tokio pardavimo?
2. Tai pagrindinis klausimas, kurį Teisingumo Teismui pateikė Sąd Rejonowy dla m. st. Warszawy w Warszawie (Varšuvos miesto apylinkės teismas, Lenkija) šiame prašyme priimti prejudicinį sprendimą.
3. Taigi Teisingumo Teismas turės išnagrinėti konkretų atvejį, atsižvelgdamas į BDAR, ir priimti sprendimą dėl tam tikrų esminių šio reglamento aspektų, pavyzdžiui, dėl sąvokos „duomenų valdytojas“, duomenų tvarkymo teisėtumo ir tikslo apribojimo principo apimties.
Teisinis pagrindas
Sąjungos teisė
4. BDAR 4 straipsnyje numatyta:
„Šiame reglamente:
1) asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); <...>
2) duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;
<...>
7) duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise;
<...>“
5. Šio reglamento 5 straipsnio „Su asmens duomenų tvarkymu susiję principai“ 1 ir 2 dalyse nustatyta:
„1. Asmens duomenys turi būti:
a) duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
b) renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; <...>
c) adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
<...>
2. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“
6. Minėto reglamento 6 straipsnis „Tvarkymo teisėtumas“ suformuluotas taip:
„1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:
a) duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;
<...>
c) tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;
<...>
e) tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
<...>
3. 1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas:
a) Sąjungos teisėje; arba
b) duomenų valdytojui taikomoje valstybės narės teisėje.
Duomenų tvarkymo tikslas nustatomas tame teisiniame pagrinde arba, 1 dalies e punkte nurodyto duomenų tvarkymo atveju, yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. <...> Sąjungos arba valstybės narės teisė atitinka viešojo intereso tikslą ir yra proporcinga teisėtam tikslui, kurio siekiama.
4. Kai duomenų tvarkymas kitu tikslu nei tas dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos ar valstybės narės teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 23 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:
a) visas sąsajas tarp tikslų, kuriais asmens duomenys buvo surinkti, ir numatomo tolesnio duomenų tvarkymo tikslų;
b) aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma susijusias su duomenų subjektų ir duomenų valdytojo tarpusavio santykiu;
c) asmens duomenų pobūdį, visų pirma ar tvarkomi specialių kategorijų asmens duomenys pagal 9 straipsnį, ar tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas pagal 10 straipsnį;
d) numatomo tolesnio duomenų tvarkymo galimas pasekmes duomenų subjektams;
e) tinkamų apsaugos priemonių, kurios gali apimti šifravimą ar pseudonimų suteikimą, buvimą.“
7. BDAR 23 straipsnio „Apribojimai“ 1 dalyje įtvirtinta:
„1. Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui arba duomenų tvarkytojui, teisėkūros priemone gali būti apribotos 12–22 straipsniuose ir 34 straipsnyje, taip pat 5 straipsnyje tiek, kiek jo nuostatos atitinka 12–22 straipsniuose numatytas teises ir prievoles, nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:
<...>
j) civilinių ieškinių vykdymo užtikrinimą.“
Lenkijos teisė
8. 2000 m. rugsėjo 15 d. Ustawa Kodeks spółek handlowych (Įstatymas dėl Komercinių bendrovių kodekso) (Dz. U., 2022, 1467 pozicija, toliau – Komercinių bendrovių kodeksas) 299 straipsnis suformuluotas taip:
„1. Jeigu skola negali būti išieškota iš bendrovės, valdybos nariai solidariai atsako už jos skolas.
2. Valdybos narys gali būti atleistas nuo 1 dalyje nurodytos atsakomybės, jei įrodo, kad prašymas paskelbti bankrotą buvo pateiktas laiku arba kad tuo pačiu metu buvo priimtas sprendimas pradėti restruktūrizavimo procedūrą ar patvirtinti taikos sutartį pagal susitarimo su kreditoriais planą, arba kad prašymas paskelbti bankrotą nebuvo pateiktas ne dėl jo kaltės, arba kad, nepaisant to, jog nepateiktas prašymas paskelbti bankrotą ir nepriimtas sprendimas pradėti restruktūrizavimo procedūrą ar nėra patvirtinta taikos sutartis pagal susitarimo su kreditoriais planą, kreditorius nepatyrė žalos.“
9. Iš dalies pakeisto 1964 m. lapkričio 17 d. Ustawa Kodeks postępowania cywilnego (Įstatymas dėl Civilinio proceso kodekso) (Dz. U., 2021, 1805 pozicija, toliau – Civilinio proceso kodeksas) 796 straipsnio 1 dalyje nustatyta:
„Atsižvelgiant į konkretų atvejį, prašymas pradėti vykdymo procedūrą pateikiamas teismui arba teismo antstoliui. Prašymas teismo antstoliui gali būti pateiktas naudojant oficialią formą“.
10. Civilinio proceso kodekso 799 straipsnio 1 dalies pirmame sakinyje nurodyta:
„Gavus prašymą pradėti vykdymo procedūrą arba reikalavimą taikyti priverstinį vykdymą ex officio, gali būti naudojami visi leistini vykdymo būdai, išskyrus priverstinį nekilnojamojo turto pardavimą. <…>“
11. Šio kodekso 824 straipsnio l dalies 3 punktas suformuluotas taip:
„Ex officio konstatuojama, kad visiškai arba iš dalies nutraukiamas išieškojimas teismo tvarka:
<...>
3) kai akivaizdu, kad per priverstinio vykdymo procedūrą išieškota suma nebus didesnė nei tokio vykdymo išlaidos.“
12. Minėto kodekso 831 straipsnyje numatyta:
„Priverstinis vykdymas negali būti nukreiptas į:
<...>
3) neperleidžiamas teises, išskyrus atvejus, kai jų perleidžiamumas buvo panaikintas sutartimi ir priverstinio vykdymo procedūra gali būti atliekama dėl prievolės dalyko arba kai naudojimasis teise gali būti patikėtas kitam asmeniui.“
13. Iš dalies pakeistu 2018 m. kovo 22 d. Ustawa o komornikach sądowych (Teismo antstolių įstatymas) (Dz. U., 2022, 1168 pozicija, toliau – Teismo antstolių įstatymas) reglamentuojamas teismo antstolių statusas ir veikla. Jo 3 straipsnio 1 ir 3 dalyse nustatyta:
„Teismo antstolis yra viešosios valdžios pareigūnas, atliekantis veiksmus per priverstinio vykdymo ir laikinųjų apsaugos priemonių taikymo procedūras. Šiuos veiksmus atlieka antstolis, išskyrus įstatyme numatytas išimtis.
<...>
Antstolio užduotys:
1) teismo sprendimų vykdymas bylose dėl piniginių ir nepiniginių reikalavimų ir užstatų, įskaitant europinius sąskaitos blokavimo įsakymus, išskyrus [Civilinio proceso kodekse] numatytas išimtis;
<...>“
14. Šio įstatymo 9 straipsnio 1 dalyje nustatyta:
„Antstolis negali atsisakyti vykdyti prašymo dėl:
1) priverstinio vykdymo veiksmų taikymo,
<...>
t. y. veiksmų, dėl kurių jis turi kompetenciją pagal [Civilinio proceso kodekso] nuostatas.“
15. Minėto įstatymo 31 straipsnio 1 dalies pirmas sakinys suformuluotas taip:
„Sumas, išieškotas iš banko sąskaitos, kredito unijos sąskaitos ar finansų maklerio veiklą vykdančio subjekto sąskaitos, gautas skolininkui, kurio turtas areštuotas, atlikus pirmą mokėjimą, antstolis perveda kreditoriui ne anksčiau kaip 7 dieną ir ne vėliau kaip 14 dieną nuo jų gavimo. <...>“
16. 2001 m. liepos 27 d. Ustawa o ochronie baz danych (Įstatymas dėl duomenų bazių apsaugos) (Dz. U., 2021, 386 pozicija, toliau – Įstatymas dėl duomenų bazių apsaugos) 2 straipsnio 1 dalies 1 punkte numatyta:
„Šiame įstatyme:
1) duomenų bazė – pagal tam tikrą metodą ar sistemą surinktų duomenų ar kitų elementų rinkinys, atskirai prieinamas bet kokiomis priemonėmis, įskaitant elektronines, ir kuriam būtinos kokybiškai arba kiekybiškai didelės investicijos, kad būtų galima sukurti, patikrinti ar pateikti jo turinį.“
17. Įstatymo dėl duomenų bazių apsaugos 6 straipsnio 1 dalyje nustatyta:
„Duomenų bazės sudarytojas turi išimtinę ir perleidžiamą teisę perkelti duomenis ir panaudoti juos visus arba pakankamai didelę jų dalį, kokybiškai ir (arba) kiekybiškai ją įvertinus.“
Pagrindinė byla, prejudicinis klausimas ir procesas Teisingumo Teisme
18. Lenkijoje įsteigta bendrovė I. (toliau – ieškovė arba kreditorė) turi įsiteisėjusiu teismo sprendimu patvirtintą reikalavimą bendrovei NMW, kuri specializuojasi prekybos internetu srityje ir kurios valdybos narys yra M. W.
19. Ieškovės prašymu, siekiant patenkinti šį reikalavimą, prieš bendrovę NMW buvo pradėta vykdymo procedūra. Ji buvo užbaigta teismo antstolio sprendimu nutraukti šį vykdymą, motyvuojant tuo, kad bendrovė NMW neturi jokio turto, kuris galėtų būti vykdymo dalykas. Šiomis aplinkybėmis ieškovė pareiškė ieškinį M. W. Sąd Rejonowy dla m. st. Warszawy w Warszawie (Varšuvos miesto apylinkės teismas) pagal Komercinių bendrovių kodekso 299 straipsnio 1 dalį, kurioje numatyta bendrovės skolininkės valdybos nario turtinė atsakomybė, kai skolos neįmanoma išieškoti iš šios bendrovės turto.
20. M. W. prašė atmesti šį ieškinį, motyvuodamas tuo, kad bendrovė NMW turėjo turto, kurio kiekvienos sudedamosios dalies vertė yra didesnė nei ieškovės reikalavimas, t. y. pirkimo internetu programinės įrangos, sujungtos su į pinigų grąžinimą (angl. cashback) panašia paslauga (toliau – M. platforma), pirminis kodas ir dvi šios platformos naudotojų duomenų bazės.
21. Vis dėlto prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad vien M. platformos pardavimas be šių duomenų bazių nebūtų toks patrauklus rinkoje kaip viso „paketo“ pardavimas.
22. Taigi, šio teismo nuomone, būtina gauti atsakymą į klausimą, ar NMW sukurtos duomenų bazės gali būti perleistos vykdant išieškojimą teismo tvarka. Jei atsakymas būtų teigiamas, ieškinys pagrindinėje byloje būtų atmestas.
23. Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, kad nors nėra saistomas nagrinėjamo turto vertės nustatymo, kuriuo rėmėsi M. W., juo labiau kad šį vertinimą atliko ne teismo ekspertas, atsakymo į minėtą klausimą reikia ginčui pagrindinėje byloje išspręsti, nes pagal Lenkijos civilinį procesą reglamentuojančias nuostatas neleidžiama pateikti tokio įrodymo, prieš tai nenustačius jo svarbos.
24. Šis teismas mano, kad nagrinėjamos duomenų bazės patenka į „duomenų bazės“ sąvoką, kaip tai suprantama pagal 1996 m. kovo 11 d. Europos Parlamento ir Tarybos direktyvos 96/9/EB dėl duomenų bazių teisinės apsaugos(3) 1 straipsnį, todėl jų savininkė, bendrovė NMW, turi turtinę teisę perduoti šias duomenų bazes pagal šios direktyvos 7 straipsnį. Vykdymo procedūra gali vykti dėl bet kokios turtinės teisės, nebent pagal nuostatą tokia galimybė yra aiškiai panaikinta. Lenkijos teisės aktų leidėjas nenustatė jokios taisyklės, pagal kurią būtų draudžiama taikyti priverstinį vykdymą dėl tokios duomenų bazės, kokia nagrinėjama pagrindinėje byloje.
25. Prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla abejonių dėl to, ar tokios duomenų bazės gali būti išieškojimo teismo tvarka dalykas, atsižvelgiant į tai, kad jose yra šimtų tūkstančių M. platformos naudotojų asmens duomenys ir kad nėra įrodymų, jog šios platformos naudotojai sutiko, kad jų asmens duomenys būtų tvarkomi juos pateikiant tretiesiems asmenims už minėtos platformos ribų. Šiuo klausimu teismas pažymėjo, kad aptariami duomenys nėra specialių kategorijų asmens duomenys, kaip tai suprantama pagal BDAR 9 straipsnį.
26. Šiam teismui taip pat kyla klausimas dėl BDAR nustatytų asmens duomenų tvarkymo apribojimų sąsajos su iš Direktyvos 96/9 ir nacionalinės teisės kylančia teise laisvai disponuoti duomenų baze, įskaitant, jo nuomone, teisę perduoti duomenų bazę vykstant vykdymo procedūrai.
27. Šiomis aplinkybėmis Sąd Rejonowy dla m. st. Warszawy w Warszawie (Varšuvos miesto apylinkės teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šį prejudicinį klausimą:
„Ar kartu taikomi [BDAR] 5 straipsnio 1 dalies a punktas ir 6 straipsnio 1 dalies a, c, e punktai ir 3 dalis turi būti aiškinami taip, kad pagal juos draudžiama nacionalinės teisės norma, pagal kurią per vykdymo procedūrą leidžiama parduoti duomenų bazę, kaip ji suprantama pagal <...> [Direktyvos 96/9] 1 straipsnio 2 dalį, su joje esančiais asmens duomenimis, jei šių duomenų subjektai nedavė sutikimo dėl tokio pardavimo?“
28. Rašytines pastabas pateikė Lenkijos vyriausybė ir Europos Komisija. Šie suinteresuotieji asmenys ir I. buvo išklausyti per 2023 m. lapkričio 16 d. vykusį teismo posėdį.
Analizė
Dėl priimtinumo
29. Pirmiausia reikia išnagrinėti du klausimus, susijusius su šio prejudicinio klausimo priimtinumu.
30. Pirma, ieškovė pagrindinėje byloje per teismo posėdį išreiškė abejonių dėl šio klausimo svarbos. Šios šalies teigimu, bendrovė NMW jau prieš kelerius metus nutraukė ekonominę veiklą. Konkrečiai kalbant, ši bendrovė nebeturi nei valdybos, nei vadovybės ir nuo 2019 m. balandžio mėn. nebeteikia paslaugų M. platformos naudotojams(4). Taigi ji tikrai nutraukė bet kokį su jos veiklos vykdymu susijusį asmens duomenų tvarkymą. Tokiomis aplinkybėmis, vadovaujantis tikslo apribojimo ir saugojimo trukmės apribojimo principais, atitinkami duomenys turėjo būti ištrinti, o to nepadarius, pats duomenų bazių, nagrinėjamų pagrindinėje byloje, egzistavimas būtų neteisėtas. Atsižvelgiant į tai, prašymą priimti prejudicinį sprendimą pateikusio teismo pateiktas klausimas, susijęs su šių duomenų bazių pardavimo teisėtumu per priverstinio vykdymo procedūrą, nėra svarbus sprendžiant ginčą pagrindinėje byloje.
31. Pirma, reikia pažymėti, kad pagal BDAR 5 straipsnio 1 dalies e punktą asmens duomenys(5) turi būti laikomi taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei būtina tikslams, kuriais asmens duomenys yra tvarkomi, pasiekti. Darytina išvada, kad net iš pradžių teisėtas duomenų tvarkymas laikui bėgant gali tapti nesuderinamas su BDAR, kai šie duomenys nebereikalingi tokiems tikslams pasiekti(6). Tokiu atveju duomenys turi būti ištrinti(7). Šiuo atveju aptariami duomenys neabejotinai buvo renkami NMW prekybos internetu tikslais. Jeigu ši bendrovė būtų nutraukusi šią veiklą 2019 m. balandžio mėn., beveik neabejotina, kad duomenys nebebūtų buvę reikalingi jai vykdyti, todėl juos būtų reikėję ištrinti. Jų neištrynus, nagrinėjamų duomenų bazių egzistavimas neatitiktų BDAR, o šio prejudicinio klausimo nereikšmingumas sprendžiant ginčą pagrindinėje byloje būtų akivaizdus.
32. Vis dėlto reikia priminti, kad pagal suformuotą jurisprudenciją Teisingumo Teismas gali priimti sprendimą dėl Sąjungos teisės išaiškinimo tik remdamasis paties nacionalinio teismo nurodytomis faktinėmis ir teisinėmis aplinkybėmis, tačiau negali jomis abejoti ar tikrinti jų tikslumo(8).
33. Iš nė vieno nutarties dėl prašymo priimti prejudicinį sprendimą punkto nematyti, kad bendrovė NMW būtų nutraukusi veiklą 2019 m. balandžio mėn., kaip teigia ieškovė.
34. Antra, prašymą priimti prejudicinį sprendimą pateikusiam teismui kilo abejonių dėl BDAR taikymo, atsižvelgiant į Direktyvos 96/9 nuostatas.
35. Reikia priminti, kad šia direktyva derinant nacionalinės teisės aktus siekiama pašalinti tuos nacionalinės teisės aktų duomenų bazių teisinės apsaugos srityje skirtumus, kurie kelia pavojų vidaus rinkos veikimui, laisvam prekių ir paslaugų judėjimui Sąjungoje ir informacijos rinkos joje raidai(9). Ši direktyva, kaip nurodyta jos 1 straipsnio 1 dalyje, taikoma bet kokių formų duomenų bazių teisinei apsaugai, o šio straipsnio 2 dalyje „duomenų bazė“ apibrėžiama kaip „pavienių darbų, duomenų ar kitokios metodiškai arba sistemingai sutvarkytos ir individualiai elektroniniu arba kitokiu būdu prieinamos medžiagos rinkini[ai]“.
36. Pagal minėtą direktyvą visos valstybės narės įpareigojamos savo nacionalinėje teisėje numatyti duomenų bazių sui generis teisinę apsaugą. Tiksliau tariant, pagal Direktyvos 96/9 7 straipsnio 1 dalį duomenų bazės, kuriai reikia pakankamai didelių kiekybinių arba kokybinių investicijų, sudarytojui suteikiama teisė neleisti perkelti ir (arba) panaudoti visos tokios duomenų bazės arba pakankamai didelės jos dalies. Pagal šios direktyvos 7 straipsnio 3 dalį ši teisė gali būti perleidžiama.
37. Prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, bendrovei NMW priklausančios duomenų bazės atitinka Įstatyme dėl duomenų bazių apsaugos ir Direktyvoje 96/9, kuri tuo įstatymu buvo perkelta į Lenkijos teisę, nustatytas apsaugos sąlygas. Šio įstatymo 6 straipsnyje, be kita ko, nustatyta, kad sudarytojas turi išimtinę ir perleidžiamą teisę perkelti duomenis ir juos panaudoti visus arba pakankamai didelę jų dalį. Vadinasi, prašymą priimti prejudicinį sprendimą pateikusio teismo manymu, tai yra turtinė teisė, kuri yra absoliuti ir dėl kurios kyla erga omnes padarinių. Pagal Lenkijos teisę bet kokia turtinė teisė gali būti vykdymo procedūros dalykas, išskyrus atvejus, kai įstatyme aiškiai numatyta išimtis. Vis dėlto Lenkijos teisės aktų leidėjas nenumatė jokios taisyklės, pagal kurią būtų draudžiamas priverstinis vykdymas dėl duomenų bazių. Darytina išvada, kad nagrinėjamu atveju teismo antstolis turi teisę kreditoriaus vardu perduoti duomenų bazes, kylančia iš sudarytojo, dėl kurio atliekama vykdymo procedūra, teisės laisvai jomis disponuoti. Remiantis šia teise, galėtų būti užkirstas kelias taikyti BDAR taisykles tokiu atveju, koks yra šis, dėl ko šis klausimas būtų nepriimtinas.
38. Pirmiausia reikia pažymėti, kad prašymą priimti prejudicinį sprendimą pateikęs teismas neteisingai apibrėžė šios direktyvos 7 straipsnyje įtvirtintą sui generis teisę. Iš tiesų tai yra teisė prieštarauti veiksmams, kuriais visų pirma atkuriama duomenų bazė ar pakankamai didelė jos dalis už mažą dalį savarankiškam jos kūrimui skirtos sumos(10), nes šitaip Sąjungos teisės aktų leidėjas siekia užtikrinti asmeniui, kuris ėmėsi iniciatyvos ir prisiėmė riziką skirti dideles investicijas duomenų bazės turiniui gauti, patikrinti ar pateikti, atlygį už jo investicijas, apsaugodamas jį nuo neleistino šių investicijų rezultatų pasisavinimo(11).
39. Be to, kalbant apie Direktyvos 96/9 sąsają su BDAR, iš šios direktyvos 13 straipsnio aišku, kad ji nedaro įtakos nuostatoms, susijusioms visų pirma su asmens duomenų apsauga ir teise į privatų gyvenimą, o iš minėtos direktyvos 48 konstatuojamosios dalies matyti, kad šios direktyvos nuostatomis netrukdoma taikyti duomenų apsaugos taisyklių, nustatytų 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvoje 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo(12), kurią pakeitė BDAR(13).
40. Taigi manau, kad Teisingumo Teismas turėtų priimti sprendimą dėl šios bylos esmės.
Dėl esmės
41. Savo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 5 straipsnio 1 dalies a punktas ir 6 straipsnio 1 dalies pirmos pastraipos a, c, e punktai ir 3 dalis turi būti aiškinami taip, kad pagal juos draudžiamos nacionalinės teisės nuostatos, pagal kurias teismo antstoliui leidžiama per priverstinio vykdymo procedūrą parduoti duomenų bazę, kurioje yra asmens duomenų, jei šių duomenų subjektai nedavė sutikimo dėl tokio pardavimo.
42. Mano teisinė analizė bus tokia, kaip toliau nurodyta. Kalbant apie BDAR, pirmiausia analizuosiu šio reglamento taikymo nagrinėjamu atveju ir atitinkamo duomenų valdytojo nustatymo klausimus, paskui – duomenų tvarkymo teisėtumą reglamentuojančių taisyklių aiškinimą.
43. Iš šioje išvadoje išdėstytų argumentų paaiškės, kad Sąjungos teisės nuostatos, į kurias Teisingumo Teismas turi atsižvelgti, tik iš dalies sutampa su prejudiciniame klausime nurodytomis nuostatomis. Taigi siūlomas atsakymas bus susijęs su šiomis nuostatomis(14).
Dėl duomenų tvarkymo egzistavimo ir duomenų valdytojo nustatymo
44. Kaip matyti iš BDAR 10 konstatuojamosios dalies, juo, be kita ko, siekiama užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą Sąjungoje ir taip visoje Sąjungoje užtikrinti nuoseklų ir vienodą taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymą(15).
45. Pagal šio reglamento 2 straipsnio 1 dalį jis taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir tokių duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti jai sudaryti, tvarkymui ne automatizuotomis priemonėmis.
46. Šio straipsnio 2 dalyje numatytos tam tikros minėto reglamento taikymo srities išimtys, grindžiamos veiklos, kurią vykdant duomenys tvarkomi, rūšimi. Iš Teisingumo Teismo jurisprudencijos matyti, kad, atsižvelgiant į tai, jog šias išimtis reikia aiškinti siauriai, būtina, kad ši veikla būtų aiškiai nurodyta BDAR 2 straipsnio 2 dalyje arba galėtų būti priskirta prie tos pačios kategorijos, kaip ir joje nurodytos veiklos rūšys. Taigi to, kad veikla apibūdinama kaip valstybės ar viešosios valdžios institucijos veikla, nepakanka, kad būtų galima laikyti, jog nagrinėjamas duomenų tvarkymas atliekamas vykdant veiklą, kuri nepatenka į Sąjungos teisės taikymo sritį, kaip tai suprantama pagal BDAR 2 straipsnio 2 dalies a punkte nurodytą išimtį(16).
47. Tiek, kiek tai svarbu šioje išvadoje, reikia pažymėti, kad į šio reglamento taikymo sritį patenka duomenų tvarkymas, atliekamas užtikrinant priverstinį civilinių ieškinių vykdymą.
48. BDAR taikymo sritį apibrėžia „duomenų tvarkymo“ sąvoka. Pagal šio reglamento 4 straipsnio 2 punktą ši sąvoka apima bet kokią automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekamą operaciją ar operacijų seką, kaip antai „išgavą“, „susipažinimą“, „naudojimą“ ir „galimybės jais naudotis kitu būdu sudarymą“. Taigi Sąjungos teisės aktų leidėjas siekė nustatyti plačią šios sąvokos taikymo sritį(17).
49. Ar nagrinėjamu atveju tvarkomi asmens duomenys?
50. Reikia pateikti pirminę pastabą. Prašymą priimti prejudicinį sprendimą pateikusio teismo klausimas neapima bendrovės NMW asmens duomenų operacijų, kurias ji atliko siekdama vykdyti prekybos internetu veiklą per M. platformą. Šis klausimas susijęs tik su vykdymo procedūra dėl priverstinio atitinkamų duomenų bazių pardavimo. Prašymą priimti prejudicinį sprendimą pateikusio teismo nuomone, tokia procedūra apima duomenų tvarkymą, kaip tai suprantama pagal BDAR, o teismo antstolis yra už šį tvarkymą atsakingas duomenų valdytojas.
51. Teismo posėdyje Lenkijos vyriausybės pateikti paaiškinimai dėl teismo antstoliui pavestos užduoties tokioje priverstinio vykdymo procedūroje, mano nuomone, neleidžia abejoti šio aiškinimo teisingumu.
52. Ši vyriausybė paaiškino, kad nagrinėjama procedūra prasideda duomenų bazės areštu, kai teismo antstolis gauna prieigą prie joje esančių asmens duomenų, kad nustatytų jos vertę ir nurodytų ją arešto akte. Norėdamas atlikti tokį vertinimą teismo antstolis atlieka įvairias operacijas, įskaitant šių duomenų išgavą, susipažinimą su jais ir jų naudojimą(18). Priverstinio vykdymo procedūra užbaigiama duomenų bazės pardavimu varžytinėse. Priėmus galutinį sprendimą dėl varžytinių laimėtojo ir sumokėjus visą kainą, teismo antstolis pateikia minėtą duomenų bazę pirkėjui.
53. Darytina išvada, kad nustatydamas tokių duomenų bazių, kaip nagrinėjamos pagrindinėje byloje, vertę teismo antstolis bent jau išgauna jose esančius asmens duomenis, su jais susipažįsta ir juos panaudoja, o vėliau juos pateikia pirkėjui. Šiuo požiūriu reikia pažymėti, kad asmens duomenų tvarkymą gali sudaryti viena ar daugiau operacijų, kurių kiekviena gali būti susijusi su skirtingais asmens duomenų tvarkymo etapais(19). Taigi nagrinėjamu atveju šios operacijos turi būti laikomos „duomenų tvarkymu“, kaip tai suprantama pagal BDAR.
54. Toliau reikia nustatyti už tokį duomenų tvarkymą atsakingą duomenų valdytoją.
55. Reikia priminti, kad pagal BDAR 4 straipsnio 7 punktą sąvoka „duomenų valdytojas“ apima fizinius arba juridinius asmenis, valdžios institucijas, agentūras ir kitas įstaigas, kurie vieni ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones(20). Toje nuostatoje taip pat nustatyta, kad jeigu tokio duomenų tvarkymo tikslai ir priemonės nustatomi, be kita ko, valstybės narės teisėje, duomenų valdytojas gali būti paskirtas arba konkretūs jo skyrimo kriterijai gali būti nustatyti pagal tą teisę. Taip plačiai apibrėžiant „duomenų valdytojo“ sąvoką siekiama, vadovaujantis suformuota jurisprudencija, užtikrinti veiksmingą ir visišką duomenų subjektų apsaugą(21).
56. Kai duomenų tvarkymo tikslai ir priemonės nustatyti nacionalinėje teisėje, reikia, remiantis naujausia jurisprudencija, išsiaiškinti, ar pagal šią teisę yra paskirtas duomenų valdytojas ir ar joje numatyti konkretūs jo skyrimo kriterijai. Duomenų valdytojo paskyrimas pagal nacionalinę teisę gali būti ne tik eksplicitinis, bet ir implicitinis. Pastaruoju atveju vis dėlto reikalaujama, kad tas nustatymas pakankamai aiškiai būtų susietas su asmeniui ar atitinkamam subjektui priskirtu vaidmeniu, užduotimis ir pareigomis(22).
57. Nagrinėjamu atveju iš Teismo antstolių įstatymo 3 straipsnio 1 dalies matyti, kad teismo antstolis yra viešosios valdžios pareigūnas, kuris, išskyrus įstatyme numatytas išimtis, atlieka veiksmus, be kita ko, per priverstinio vykdymo procedūrą. Be to, kaip minėta šioje išvadoje, iš bylos medžiagos matyti, kad tais atvejais, kai priverstinis vykdymas susijęs su duomenų bazėmis, šie veiksmai – tai visų pirma jose esančių asmens duomenų išgava, susipažinimas su jais ir jų naudojimas siekiant nustatyti šių duomenų bazių vertę, kad jas būtų galima parduoti varžytinėse, ir jų pateikimas pirkėjui priėmus galutinį sprendimą dėl varžytinių laimėtojo nustatymo. Manau, kad šitaip Lenkijos teisėje bent implicitiškai nustatyti teismo antstolio atliekamo asmens duomenų tvarkymo tikslai ir priemonės.
58. Vadinasi, šiuo atveju teismo antstolį, kaip viešosios valdžios pareigūną, atsakingą už bet kokių priverstinio vykdymo procedūrų, įskaitant su duomenų baze susijusią procedūrą, atlikimą, galima laikyti duomenų bazėje esančių asmens duomenų valdytoju, kaip tai suprantama pagal BDAR 4 straipsnio 7 punktą.
59. Prašymą priimti prejudicinį sprendimą pateikęs teismas nenurodo jokios Lenkijos teisės nuostatos, kurioje skolininkei bendrovei NMW būtų nustatyta pareiga bendradarbiauti su teismo antstoliu, kad šis galėtų nustatyti atitinkamų duomenų bazių vertę, siekdamas jas priverstine tvarka parduoti.
60. Negalima atmesti galimybės, kad tokia pareiga reikštų, jog atliekama kita duomenų tvarkymo operacija, kaip ji suprantama pagal BGPD, kurios atveju minėta bendrovė būtų duomenų valdytoja. Šiuo klausimu reikia priminti, kad Sprendime Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais) Teisingumo Teismas konstatavo, jog ekonominės veiklos vykdytojo asmens duomenų, kuriuos jis privalo pateikti pagal teisės aktus, atskleidimas ir jų pateikimas valstybės narės mokesčių administratoriui reiškia tokį tvarkymą, o, be to, šis administratorius jau atliko tvarkymą prašydamas atskleisti ir pateikti šiuos duomenis(23).
61. Mažai tikėtina, nors apskritai gali būti, kad teismo antstolis ir skolininkė bendrovė NMW galėtų būti laikomi bendrais duomenų valdytojais, atsakingais už aptariamų asmens duomenų tvarkymą vykdant priverstinį pardavimą. Tokia išvada, kaip nurodyta Sprendime Belgijos valstybė (Oficialiojo leidinio tvarkomi duomenys), galima, kai įvairias duomenų tvarkymo operacijas sieja nacionalinėje teisėje nustatyti tikslai ir priemonės ir kai toje teisėje nustatytos atitinkamos kiekvieno iš bendrų duomenų valdytojų pareigos(24).
62. Vis dėlto tolesnė analizė grindžiama, atsižvelgiant į bylos faktines aplinkybes, prielaida, kad teismo antstolis yra vienintelis pagrindinėje byloje nagrinėjamų duomenų valdytojas.
63. Teismo antstolis, kaip duomenų valdytojas, yra ne tik atsakingas už asmens duomenų tvarkymo principų laikymąsi(25), bet ir turi nemažai pareigų, atitinkančių duomenų subjektų teises(26). Šias pareigas nacionalinės teisės aktų leidėjas gali apriboti tik esant BDAR 23 straipsnyje nustatytoms sąlygoms. Per teismo posėdį paklausta apie tai, ar tokios teisės nuostatos yra įtvirtintos nacionalinėje teisėje, Lenkijos vyriausybė nurodė tik Duomenų apsaugos įstatymo 4 straipsnį. Vis dėlto šiuo straipsniu tik apribojama viešąją užduotį vykdančio duomenų valdytojo pareigų, kylančių iš BDAR 14 straipsnio „Informacija, kuri turi būti pateikta, kai asmens duomenys yra gauti ne iš duomenų subjekto“ 1, 2 ir 4 dalių, apimtis.
Dėl nagrinėjamo asmens duomenų tvarkymo teisėtumo
64. Kaip Teisingumo Teismas ne kartą yra nusprendęs, bet koks asmens duomenų tvarkymas visų pirma turi atitikti BDAR 5 straipsnio 1 dalyje nustatytus duomenų tvarkymo principus ir, atsižvelgiant į duomenų tvarkymo teisėtumo principą, šio reglamento 6 straipsnyje išvardytas duomenų tvarkymo teisėtumo sąlygas(27).
65. Minėto reglamento 6 straipsnio 1 dalies pirmoje pastraipoje nustatytas išsamus ir baigtinis atvejų, kai asmens duomenų tvarkymas gali būti laikomas teisėtu, sąrašas. Toks kvalifikavimas reiškia, kad duomenų tvarkymas patenka į vieną iš šių atvejų. Reikia priminti, kad nagrinėjamas duomenų tvarkymas nėra pagrindinis šioje nuostatoje numatytas atvejis, t. y. atvejis, kai duomenų subjektas sutiko, kad duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais(28). Kaip matyti iš nutarties dėl prašymo priimti prejudicinį sprendimą, pagrindinėje byloje nebuvo pateikta jokių įrodymų, jog duomenų subjektai, kurių asmens duomenys buvo surinkti nagrinėjamose duomenų bazėse, sutiko, kad jų duomenys būtų perduoti tretiesiems asmenims, nevykdantiems veiklos, susijusios su M. platforma, konkrečiai – kad jie būtų parduoti įvykdžius priverstinio vykdymo procedūrą.
66. Prašymą priimti prejudicinį sprendimą pateikusio teismo nuomone, teismo antstolio vykdomas duomenų tvarkymas galėtų patekti į BDAR 6 straipsnio 1 dalies pirmos pastraipos c punkto (duomenų tvarkymas, būtinas, kad duomenų valdytojas įvykdytų jam tenkančią teisinę prievolę) arba to paties reglamento 6 straipsnio 1 dalies pirmos pastraipos e punkto (duomenų tvarkymas, būtinas siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba užduotį, susijusią su duomenų valdytojui pavestų viešosios valdžios funkcijų vykdymu) taikymo sritį(29).
67. Kaip pažymėjo prašymą priimti prejudicinį sprendimą pateikęs teismas, pagal Teismo antstolių įstatymo 3 straipsnį teismo antstoliams suteikiamas viešosios valdžios pareigūno statusas. Mano nuomone, būtų sunku teigti, kad šiam antstoliui patikėtomis operacijomis dėl priverstinio vykdymo, kuriuo siekiama patenkinti kreditoriaus reikalavimus, užtikrinimo nėra įgyvendinama užduotis, susijusi su jam suteiktų viešosios valdžios funkcijų vykdymu.
68. Be to, būtų sunku teigti, kad BDAR 6 straipsnio 1 dalies pirmos pastraipos c punkte nurodytas atvejis taikytinas nagrinėjamu atveju. Šiuo požiūriu svarbu pažymėti, kad šios nuostatos taikymo sritis yra griežtai apibrėžta. Iš tiesų, kaip nurodyta „29 straipsnio“ darbo grupės nuomonėje Nr. 6/2014(30), teisinė prievolė, kuri taikoma duomenų valdytojui, turi būti pakankamai aiški reikalaujamo asmens duomenų tvarkymo požiūriu. Tai visų pirma reiškia, kad turi būti teisės nuostatų, kuriose būtų aiškiai nurodytas duomenų tvarkymo pobūdis ir dalykas(31).
69. Šiuo atveju nemanau, kad tokiomis gali būti laikomos prašymą priimti prejudicinį sprendimą pateikusio teismo nurodytos nuostatos, t. y. Teismo antstolių įstatymo 3 straipsnio 1 dalis, 9 straipsnio 1 dalies 1 punktas ir 31 straipsnio 1 dalies pirmas sakinys, taip pat Civilinio proceso kodekso 796 straipsnio 1 dalis ir 799 straipsnio 1 dalies pirmas sakinys, nes iš šių nuostatų matyti tik tiek, kad teismo antstolis, kaip viešosios valdžios pareigūnas, privalo įvykdyti visus prašymus dėl priverstinio vykdymo visais leistinais būdais. Konkrečiau kalbant, neatrodo, kad pagal Lenkijos teisę teismo antstoliui būtų nustatyta teisinė prievolė priverstine tvarka parduoti duomenų bazę su asmens duomenimis. Šiuo klausimu pažymėtina, kad pagal Civilinio proceso kodekso 831 straipsnio 1 dalies 3 punktą „neperleidžiamos teisės“ nėra priverstinio vykdymo dalykas, o tai gali būti suprantama kaip draudimas perleisti duomenų bazę tuo atveju, jei tai būtų nesuderinama su BDAR.
70. Bet kuriuo atveju nereikia atmesti galimybės, kad pastarasis atvejis taip pat yra svarbus šioje byloje. Nors iš tikrųjų pakanka, kad būtų taikomas vienas teisėtumo atvejis, kaip patvirtinta BDAR 6 straipsnio 1 dalies pirmos pastraipos formuluotėje, Teisingumo Teismas pripažino, kad viena duomenų tvarkymo operacija gali atitikti kelis iš šių atvejų(32).
71. Taigi, mano nuomone, nagrinėjamas duomenų tvarkymas priskirtinas prie BDAR 6 straipsnio 1 dalies pirmos pastraipos e punkte nurodyto teisėtumo atvejo.
72. Reikia pažymėti, kad pagal šį atvejį atsižvelgtina į kitą duomenų tvarkymo teisėtumo sąlygą. Iš tikrųjų BDAR 6 straipsnio 3 dalyje pažymėta, kad duomenų tvarkymo pagrindas, nurodytas, be kita ko, šio reglamento 6 straipsnio 1 dalies pirmos pastraipos e punkte, turi būti apibrėžtas Sąjungos teisėje arba duomenų valdytojui taikomoje valstybės narės teisėje ir turi atitikti viešojo intereso tikslą bei būti proporcingas siekiamam teisėtam tikslui(33).
73. Taigi pagal bendrai taikomas BDAR 6 straipsnio 1 dalies pirmos pastraipos e punkto ir 6 straipsnio 3 dalies nuostatas reikalaujama, kad būtų nustatytas teisinis pagrindas, be kita ko, nacionalinėje teisėje, kuriuo remdamiesi duomenų valdytojai galėtų tvarkyti asmens duomenis, kai veikia atlikdami užduotį, vykdomą įgyvendinant viešosios valdžios funkcijas, pavyzdžiui, teismo antstolių vykdomą užduotį dėl priverstinio vykdymo, nukreipto į bendrovės turtą(34).
74. Mano nuomone, šį teisinį pagrindą sudaro visos šios išvados 69 punkto pirmame sakinyje nurodytos Lenkijos teisės nuostatos, iš kurių matyti, kad teismo antstolis, kaip viešosios valdžios pareigūnas, privalo įvykdyti visus prašymus dėl priverstinio vykdymo užtikrinimo visais leistinais būdais.
75. Galiausiai, norint atsakyti į klausimą, ar nagrinėjamas duomenų tvarkymas atitinka BDAR, reikia išnagrinėti papildomą teisinį klausimą, kuris yra šios bylos esmė.
76. Reikia pažymėti, kad teismo antstolio atlikto asmens duomenų tvarkymo tikslas, t. y. priverstinis M. platformos naudotojų duomenų bazių pardavimas siekiant patenkinti bendrovės NMW kreditorių reikalavimus, skiriasi nuo pirminio šios bendrovės asmens duomenų tvarkymo tikslo, t. y. sudaryti sąlygas naudotis M. platforma šios bendrovės prekybos internete veiklos tikslais.
77. Šiuo požiūriu reikia priminti, kad pagal BDAR reglamento 5 straipsnio 1 dalies b punktą, kuriame įtvirtintas „tikslo apribojimo“ principas, asmens duomenys, pirma, turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir, antra, toliau negali būti tvarkomi su šiais tikslais nesuderinamu būdu. Vis dėlto šioje nuostatoje nėra informacijos apie sąlygas, kurioms esant tolesnis asmens duomenų tvarkymas gali būti laikomas suderinamu su pirminio šių duomenų rinkimo tikslais(35).
78. Iš BDAR 6 straipsnio 4 dalies, aiškinamos atsižvelgiant į šio reglamento 50 konstatuojamąją dalį(36), matyti, kad nagrinėjant tokį suderinamumą reikia atsižvelgti į įvairius joje išvardytus kriterijus, kurių sąrašas nėra išsamus.
79. Akivaizdu, kad nagrinėjamu atveju atsižvelgus į šiuos kriterijus nebūtų galima teigiamai atsakyti į klausimą dėl nagrinėjamų tikslų suderinamumo. Kaip neseniai pažymėjo Teisingumo Teismas, šie kriterijai išreiškia konkretaus, logiško ir pakankamai glaudaus ryšio tarp pradinio asmens duomenų rinkimo tikslų ir tolesnio šių duomenų tvarkymo būtinybę ir leidžia įsitikinti, kad šis tolesnis tvarkymas nenukryps nuo duomenų subjektų teisėtų lūkesčių dėl tolesnio jų duomenų naudojimo(37). Vis dėlto tokio ryšio negalima nustatyti šioje byloje.
80. Bet kokiu atveju iš BDAR 6 straipsnio 4 dalies pirmo sakinio matyti, kad tikslų suderinamumo vertinimas būtinas tik tada, „[k]ai duomenų tvarkymas kitu tikslu nei tas dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos ar valstybės narės teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė [BDAR] 23 straipsnio 1 dalyje nurodytiems tikslams apsaugoti“.
81. Nagrinėjamu atveju nustatyta, kad M. platformos naudotojai nedavė sutikimo tvarkyti duomenis kitu tikslu nei tas, dėl kurio buvo surinkti jų asmens duomenys. Tuomet reikia kelti klausimą, ar toks duomenų tvarkymas grindžiamas nacionaline ar Sąjungos teise ir ar jį galima laikyti būtina ir proporcinga priemone demokratinėje visuomenėje, kad būtų pasiektas vienas iš BDAR 23 straipsnio 1 dalyje išvardytų tikslų.
82. Mano nuomone, šiuo klausimu pirmiausia reikia pažymėti, kad šį atvejį Teisingumo Teismas išaiškino kaip tikrą tikslo apribojimo principo išimtį. Remdamasis BDAR 50 konstatuojamąja dalimi, Teisingumo Teismas nurodė, kad, siekiant apsaugoti BDAR 23 straipsnio 1 dalyje nustatytus svarbius bendrojo intereso tikslus, duomenų valdytojui leidžiama toliau tvarkyti atitinkamus duomenis, neatsižvelgiant į tai, ar toks tvarkymas suderinamas su tikslais, dėl kurių tie duomenys buvo iš pradžių surinkti. Remdamasis šiais argumentais Teisingumo Teismas nusprendė, kad šio reglamento 6 straipsnio 4 dalies pirmas sakinys taikomas pateikiant kaip įrodymą dokumentą, kuriame yra trečiųjų asmenų asmens duomenų, surinktų iš esmės siekiant atlikti mokesčių kontrolę, ir kurį teismas nurodė pateikti vykstant civiliniam teismo procesui(38).
83. Nors tokiam aiškinimui gali nepritarti tie, kas mano, kad teisės į asmens duomenų apsaugą ribojimai galėtų būti nustatyti tik nacionalinėmis teisėkūros priemonėmis, mano nuomone, jis visiškai atitinka Sąjungos teisės aktų leidėjo ketinimus. Reikia priminti, kad motyvų pareiškime, susijusiame su Tarybos pozicija rengiant BDAR, galbūt net aiškiau nei šio reglamento 50 konstatuojamojoje dalyje išreikšta valia suteikti duomenų valdytojui tiksliai apibrėžtą veiksmų laisvę atlikti duomenų tvarkymą, nesuderinamą su tikslais, nurodytais renkant tvarkomus asmens duomenis(39).
84. Šioje byloje nustačius nagrinėjamo duomenų tvarkymo teisinį pagrindą, reikia nustatyti, ar tokiu duomenų tvarkymu siekiama BDAR 23 straipsnyje nustatytų tikslų.
85. Reikia pažymėti, kad pagal šios nuostatos 1 dalies j punktą vienas šių tikslų yra „civilinių ieškinių vykdymo užtikrinimas“. Manau, kad nagrinėjamu asmens duomenų tvarkymu gali būti siekiama šio tikslo. Šiuo požiūriu reikia pažymėti, kad, kaip nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas, šio duomenų tvarkymo tikslas kildinamas iš kartu aiškinamų Civilinio proceso kodekso 911 straipsnio ir Teismo antstolių įstatymo 31 straipsnio 1 dalies pirmojo sakinio nuostatų, pagal kurias teismo antstoliui suteikiama teisė parduoti duomenų bazę ir tada pervesti kreditoriui sumą, gautą priverstine tvarka pardavus duomenų bazę.
86. Klausimas, ar teismo antstolio atliekamas duomenų tvarkymas per priverstinio vykdymo procedūrą yra būtina ir proporcinga priemonė demokratinėje visuomenėje, kad būtų pasiektas civilinių ieškinių vykdymo užtikrinimo tikslas, priklauso prašymą priimti prejudicinį sprendimą pateikusio teismo kompetencijai. Vis dėlto Teisingumo Teismas, remdamasis turima informacija, turi pateikti šiam teismui visas šiuo klausimu būtinas gaires, susijusias su Sąjungos teise(40).
87. Kiek tai susiję su būtinumu, neginčijama, kad priemonė yra būtina, jeigu siekiamo teisėto tikslo negalima pasiekti naudojant kitą, tiek pat tinkamą, bet mažiau varžančią, priemonę. Kitaip tariant, ar galima užtikrinti bendrovės kreditorės reikalavimo įgyvendinimą kitomis, ne mažiau veiksmingomis, bet mažiau M. platformos naudotojų teises į privatų gyvenimą ir asmens duomenų apsaugą varžančiomis priemonėmis? Šiuo klausimu norėčiau tik pažymėti, kad, prašymą priimti prejudicinį sprendimą pateikusio teismo manymu, neįmanoma patenkinti bendrovės kreditorės reikalavimų, nukreiptų į bendrovės skolininkės turtą, jeigu priverstine tvarka neparduodamos atitinkamos duomenų bazės.
88. Kiek tai susiję su proporcingumu, vertinant šią sąlygą reikia suderinti priešingus interesus, atsižvelgiant į konkrečias nagrinėjamos bylos aplinkybes.
89. Nagrinėjamu atveju pirmasis iš šių interesų, kuris yra Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje ir SESV 16 straipsnyje įtvirtinta pagrindinė teisė, – tai M. platformos naudotojų apsauga tvarkant asmens duomenis. Su juo glaudžiai susijusi teisė į privatų gyvenimą, įtvirtinta Chartijos 7 straipsnyje. Kaip nurodyta BDAR 4 konstatuojamojoje dalyje, teisė į asmens duomenų apsaugą nėra absoliuti; ji turi būti vertinama atsižvelgiant į jos visuomeninę paskirtį ir derėti su kitomis pagrindinėmis teisėmis, remiantis proporcingumo principu. Viena iš šių teisių yra Chartijos 17 straipsnyje įtvirtinta teisė į nuosavybę. Mano nuomone, per priverstinio vykdymo procedūrą parduodant skolininkui priklausančią duomenų bazę prisidedama prie teismo sprendimu pripažinto reikalavimo turėtojo teisės į nuosavybę užtikrinimo.
90. Šiuo požiūriu reikia priminti, kad Chartijos 17 straipsnis atitinka Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos, pasirašytos 1950 m. lapkričio 4 d. Romoje (toliau – EŽTK), papildomo protokolo Nr. 1 1 straipsnį, todėl jo esmė ir taikymo sritis pagal Chartijos 52 straipsnio 3 dalį yra tokia, kaip nustatyta šiame EŽTK 1 straipsnyje.
91. Remiantis Europos Žmogaus Teisių Teismo jurisprudencija, teisė į nuosavybę reiškia, kad valstybės turi pozityvią pareigą sukurti praktiškai ir teisiškai veiksmingą teismų sprendimų vykdymo sistemą, kuria galėtų būti užtikrinta, kad teisės aktuose nustatytos galutinių teismo sprendimų vykdymo procedūros būtų įgyvendinamos nepagrįstai nedelsiant(41). Kai kreditorius yra privatus asmuo, valstybė privalo suteikti reikiamą pagalbą kreditoriams vykdant atitinkamus teismo sprendimus, pavyzdžiui, pasitelkiant antstolius(42). Šiomis aplinkybėmis, kai valdžios institucijos privalo imtis veiksmų, kad įvykdytų teismo sprendimą, bet to nedaro, dėl jų neveikimo gali kilti valstybės atsakomybė, be kita ko, pagal EŽTK papildomo protokolo Nr. 1 1 straipsnį(43).
92. Vertinant šią pusiausvyrą tarp, pirma, teisės į nuosavybę ir, antra, teisių į asmens duomenų apsaugą ir privatų gyvenimą, mano nuomone, galima būtų atsižvelgti į bylos medžiagoje nurodytą specifinę aplinkybę.
93. Nutartyje dėl prašymo priimti prejudicinį sprendimą nurodyta, kad Lenkijos teisės nuostatose nėra nustatyta su asmeniu susijusių apribojimų duomenų bazės pirkėjui, vienintelė sąlyga yra teisnumas ir veiksnumas; ši spraga reiškia, kad trečioji šalis pirkėja gali būti ir už Europos Sąjungos ribų įsteigtas subjektas, kuris neprivalo laikytis BDAR nustatytų asmens duomenų tvarkymo taisyklių.
94. Manau, kad tokiomis aplinkybėmis nagrinėjamas duomenų tvarkymas reikštų pernelyg didelį neigiamą poveikį teisei į asmens duomenų apsaugą, todėl negalėtų būti laikomas proporcinga priemone. Tokios pasekmės būtų galima išvengti, pavyzdžiui, nustačius nacionalinės teisės normą, pagal kurią teismo antstolis turi pareigą į dėl varžytinių rengiamą techninę specifikaciją įtraukti sąlygą, kad trečioji šalis pirkėja privalės laikytis BDAR taisyklių.
Išvada
95. Atsižvelgdamas į tai, kas išdėstyta, siūlau taip atsakyti Teisingumo Teismui į Sąd Rejonowy dla m. st. Warszawy w Warszawie (Varšuvos miesto apylinkės teismas, Lenkija) pateiktą prejudicinį klausimą:
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 6 straipsnio 1 dalies pirmos pastraipos e punktas, 3 dalis ir 4 dalies pirmas sakinys
turi būti aiškinami taip:
pagal juos nedraudžiamos nacionalinės teisės nuostatos, pagal kurias teismo antstoliui leidžiama per priverstinio vykdymo procedūrą parduoti duomenų bazę, kurioje yra asmens duomenų, jei šių duomenų subjektai nedavė sutikimo dėl tokio pardavimo, su sąlyga, kad šio antstolio atliktas minėtų duomenų tvarkymas yra būtina ir proporcinga priemonė demokratinėje visuomenėje, siekiant užtikrinti civilinio ieškinio vykdymą.
1 Originalo kalba: prancūzų.
2 OL L 119, 2016, p. 1.
3 OL L 77, 1996, p. 20; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 459.
4 2019 m. balandžio 30 d. M. platformos naudotojai gavo elektroninį laišką, juo buvo pranešta, kad NMW nutraukė su tokia platforma susijusią veiklą.
5 Niekam nekilo abejonių dėl to, kad pagrindinėje byloje nagrinėjamose duomenų bazėse esantys duomenys turi būti laikomi „asmens duomenimis“, kaip tai suprantama pagal BDAR 4 straipsnio 1 punktą.
6 2022 m. spalio 20 d. Sprendimas Digi (C‑77/21, EU:C:2022:805, 54 punktas).
7 2009 m. gegužės 7 d. Sprendimas Rijkeboer (C‑553/07, EU:C:2009:293, 33 punktas).
8 Žr. 2021 m. birželio 3 d. Sprendimą Ministero dell’Istruzione, dell’Università e della Ricerca – MIUR ir kt. (Universiteto mokslininkai) (C‑326/19, EU:C:2021:438, 36 punktas ir jame nurodyta jurisprudencija).
9 Žr. 2012 m. spalio 18 d. Sprendimą Football Dataco ir kt. (C‑173/11, EU:C:2012:642, 25 punktas ir jame nurodyta jurisprudencija).
10 Žr. Direktyvos 96/9 7 konstatuojamąją dalį.
11 Žr. Direktyvos 96/9 39 ir 40 konstatuojamąsias dalis. Taip pat žr. 2013 m. gruodžio 19 d. Sprendimą Innoweb (C‑202/12, EU:C:2013:850, 36 punktas).
12 OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355.
13 Priešingai, nei savo rašytinėse pastabose teigia Komisija, Direktyvos 96/9 7 straipsnio 4 dalyje („Duomenų bazių apsauga pagal šio straipsnio 1 dalyje numatytą teisę nepažeidžia patiems duomenims arba jų turiniui galiojančių teisių“) nereglamentuojama šios direktyvos sąsaja su BDAR. Šiuo klausimu žr. šios direktyvos 18 konstatuojamąją dalį.
14 Pagal suformuotą jurisprudenciją, siekiant nacionaliniam teismui pateikti naudingą atsakymą, kuris leistų priimti sprendimą jo nagrinėjamoje byloje, Teisingumo Teismui gali tekti atsižvelgti į Sąjungos teisės normas, kurių nacionalinis teismas nebuvo nurodęs savo klausime. Žr. 2023 m. gruodžio 21 d. Sprendimą Infraestruturas de Portugal ir Futrifer Indústrias Ferroviárias (C‑66/22, EU:C:2023:1016, 41 punktas ir jame nurodyta jurisprudencija).
15 2022 m. spalio 20 d. Sprendimas Digi (C‑77/21, EU:C:2022:805, 48 punktas).
16 Žr. 2020 m. liepos 9 d. Sprendimą Land Hessen (C‑272/19, EU:C:2020:535, 70 punktas), kuriame Teisingumo Teismas turėjo priimti sprendimą dėl Heseno federalinės žemės parlamento Peticijų komiteto pripažinimo „duomenų valdytoju“. Taip pat žr. 2021 m. birželio 22 d. Sprendimą Latvijas Republikas Saeima (Baudos taškai) (C‑439/19, EU:C:2021:504, 66 punktas) ir 2022 m. spalio 20 d. Sprendimą Koalitsia „Demokratichna Bulgaria – Obedinenie“ (C‑306/21, EU:C:2022:813, 39 punktas).
17 Toks aiškinimas, Teisingumo Teismo nuomone, kildinamas iš šios nuostatos formuluotės, ypač iš žodžių junginio „bet kokia <...> operacija“, ir iš to, kad joje pateiktas operacijų sąrašas nėra išsamus – tai matyti iš žodžių „kaip antai“. Žr. 2022 m. vasario 24 d. Sprendimą Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais) (C‑175/20, EU:C:2022:124, 35 punktas).
18 Jeigu teismo antstolis manytų, kad siekiant nustatyti šios duomenų bazės vertę reikia specialių žinių dėl jos specifinių savybių, galėtų būti paskirtas ekspertas. Tokiu atveju teismo antstolis ekspertui sudarytų galimybę susipažinti su duomenų baze.
19 2019 m. liepos 29 d. Sprendimas Fashion ID (C‑40/17, EU:C:2019:629, 72 punktas). Dėl išsamumo reikia pažymėti, kad minėtas sprendimas buvo susijęs su sąvokos „tvarkymas“, kaip ji buvo apibrėžta Direktyvos 95/46 2 straipsnio b punkte, išaiškinimu. Nors ši direktyva nebegalioja ir ją pakeitė BDAR, Teisingumo Teismo pateiktas išaiškinimas išlieka aktualus taikant BDAR, nes šios sąvokos apibrėžtis abiejuose teisės aktuose, išskyrus nedidelius formalius pakeitimus, išliko identiška. Taigi toliau pateiksiu nuorodas neatskirdamas teismo sprendimų, susijusių su vienu ar kitu iš šių teisės aktų.
20 Kaip Teisingumo Teismas jau yra nusprendęs, BDAR 4 straipsnio 7 punkto tikslas – įtvirtinant plačią sąvokos „duomenų valdytojas“ apibrėžtį užtikrinti veiksmingą ir visišką duomenų subjektų apsaugą. Žr. 2023 m. gruodžio 5 d. Sprendimą Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, 29 punktas ir jame nurodyta jurisprudencija).
21 2022 m. gruodžio 8 d. Sprendimas Google (Tariamai netikslaus turinio pašalinimas) (C‑460/20, EU:C:2022:962, 51 punktas ir jame nurodyta jurisprudencija).
22 2024 m. sausio 11 d. Sprendimas Belgijos valstybė (Oficialiojo leidinio tvarkomi duomenys) (C‑231/22, EU:C:2024:7, 29 ir 30 punktai). Taip pat žr. 2021 m. liepos 7 d. priimtas Gaires Nr. 07/2020 dėl sąvokų „duomenų valdytojas“ ir „duomenų tvarkytojas“ pagal BDAR, kurias galima rasti šiuo interneto adresu: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_lt, 24 punktas; pagal jas „dažniau duomenų valdytojas nėra tiesiogiai skiriamas pagal teisės aktus ir nėra nustatyta jo skyrimo kriterijų, tačiau teisės aktuose yra nustatyta užduotis arba kažkas [į]pareigojamas rinkti ir tvarkyti tam tikrus duomenis. Tokiais atvejais duomenų tvarkymo tikslas dažnai nustatomas teisės aktais. Paprastai duomenų valdytojas yra tas, kuris pagal teisės aktus paskirtas šiam tikslui, šiai viešojo sektoriaus užduočiai, atlikti“).
23 2022 m. vasario 24 d. Sprendimas Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais) (C‑175/20, EU:C:2022:124, visų pirma 37, 38 ir 60 punktai).
24 2024 m. sausio 11 d. sprendimas (C‑231/22, EU:C:2024:7, 49 punktas). Reikia pažymėti, kad, remiantis jurisprudencija, bendras duomenų valdymas nebūtinai reiškia skirtingų subjektų lygiavertę atsakomybę už tą patį asmens duomenų tvarkymą. Atvirkščiai, šie subjektai gali dalyvauti skirtinguose tokio tvarkymo etapuose ir skirtingu mastu, todėl kiekvieno jų atsakomybės lygis turi būti įvertintas atsižvelgiant į visas reikšmingas konkretaus atvejo aplinkybes. Šiuo klausimu žr. 2023 m. gruodžio 5 d. Sprendimą Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, 42 punktas ir jame nurodyta jurisprudencija).
25 Žr. BDAR II skyrių. Pagal BDAR 5 straipsnio 2 dalį: „[d]uomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas)“.
26 Žr. BDAR III skyrių.
27 2020 m. spalio 6 d. Sprendimas La Quadrature du Net ir kt. (C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 208 punktas ir jame nurodyta jurisprudencija).
28 Žr. BDAR 6 straipsnio 1 dalies pirmos pastraipos a punktą ir 40 konstatuojamąją dalį, kurioje atspindėtas lotyniškas posakis volenti non fit iniuria (tas, kas sutiko, negali skųstis dėl žalos).
29 Ši abejonė nestebina, nes akivaizdu, kad atitinkamos šių dviejų atvejų taikymo sritys sutampa: užduotys, susijusios su viešuoju interesu arba patenkančios į viešosios valdžios funkcijų sritį, paprastai grindžiamos viena teisės nuostata.
30 Tai yra pagal Direktyvos 95/46 29 straipsnį įsteigta nepriklausoma patariamoji įstaiga, kurią, priėmus BDAR, pakeitė Europos duomenų apsaugos valdyba.
31 Pavyzdžiui, pateikiama nuoroda į vietos valdžios institucijos prievolę rinkti asmens duomenis baudų už neteisėtą automobilių statymą tvarkymo tikslais.
32 2017 m. kovo 9 d. Sprendimas Manni (C‑398/15, EU:C:2017:197, 42 punktas).
33 Žr. BDAR 45 konstatuojamąją dalį.
34 Žr. 2023 m. kovo 2 d. Sprendimą Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, 32 punktas).
35 Žr. 2022 m. spalio 20 d. Sprendimą Digi (C‑77/21, EU:C:2022:805, 32 punktas).
36 Šioje konstatuojamojoje dalyje nurodyta, kad „[j]ei duomenų subjektas yra davęs sutikimą arba duomenų tvarkymas yra grindžiamas Sąjungos arba valstybės narės teise, o tai demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant apsaugoti visų pirma svarbius bendro viešojo intereso tikslus, asmens duomenų valdytojui turėtų būti leidžiama toliau tvarkyti duomenis neatsižvelgiant į tikslų suderinamumą“.
37 2022 m. spalio 20 d. Sprendimas Digi (C‑77/21, EU:C:2022:805, 36 punktas).
38 2023 m. kovo 2 d. Sprendimas Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, 33–41 punktai).
39 Tarybos motyvų pareiškimas: 2016 m. balandžio 8 d. per pirmąjį svarstymą priimta Tarybos pozicija (ES) Nr. 6/2016 siekiant priimti Europos Parlamento ir Tarybos reglamentą dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (3.3 punktas).
40 2016 m. rugsėjo 7 d. Sprendimas ANODE (C‑121/15, EU:C:2016:637, 54 punktas ir jame nurodyta jurisprudencija).
41 2005 m. birželio 7 d. EŽTT sprendimas Fuklev prieš Ukrainą (CE:ECHR:2005:0607JUD007118601, 91 punktas).
42 Žr., be kita ko, 2006 m. spalio 19 d. EŽTT sprendimą Kesyan prieš Rusiją (CE:ECHR:2006:1019JUD003649602, 80 punktas).
43 Žr., be kita ko, 1995 m. rugsėjo 28 d. EŽTT sprendimą Scollo prieš Italiją (CE:ECHR:1995:0928JUD001913391, 44 punktas).