–

VS, atstovaujamo V. Harizanova,

–

Inspektor v Inspektorata kam Visshia sadeben savet, atstovaujamo S. Mulyachka,

–

Bulgarijos vyriausybės, atstovaujamos M. Georgieva ir T. Mitova,

–

Čekijos vyriausybės, atstovaujamos O. Serdula, M. Smolek ir J. Vláčil,

–

Nyderlandų vyriausybės, atstovaujamos M. K. Bulterman ir J. M. Hoogveld,

–

Europos Komisijos, atstovaujamos H. Kranenborg ir I. Zaloguin,

1

Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvos (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuri[a] panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016, p. 89) 1 straipsnio 1 dalies ir 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1, toliau – BDAR), visų pirma jo 6 straipsnio 1 dalies, išaiškinimo.

2

Šis prašymas pateiktas nagrinėjant VS ir Inspektor v Inspektorata kam Visshia sadeben savet (Inspekcijos prie Aukščiausiosios teisėjų tarybos inspektorius, Bulgarija) (toliau – IVSS) ginčą dėl Petričiaus apylinkės (Bulgarija) prokuratūros atlikto jo asmens duomenų tvarkymo teisėtumo.

3

BDAR 19, 45 ir 47 konstatuojamosiose dalyse nustatyta:

<…>

<…>

4

BDAR 2 straipsnio „Materialinė taikymo sritis“ 1 ir 2 dalyse nustatyta:

„1.   Šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.

2.   Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:

<…>

5

BDAR 4 straipsnyje „Apibrėžtys“ nustatyta:

„Šiame reglamente:

<…>

<…>“

6

BDAR 5 straipsnio „Su asmens duomenų tvarkymu susiję principai“ 1 dalyje nustatyta:

„Asmens duomenys turi būti:

<…>

<…>“

7

BDAR 6 straipsnyje „Tvarkymo teisėtumas“ nustatyta:

„1.   Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

<…>

<…>

Pirmos pastraipos f punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.

<…>

3.   1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas:

Duomenų tvarkymo tikslas nustatomas tame teisiniame pagrinde arba, 1 dalies e punkte nurodyto duomenų tvarkymo atveju, yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. <…>“

8

BDAR 21 straipsnio 1 dalyje „Teisė nesutikti“ numatyta:

„Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 6 straipsnio 1 dalies e arba f punktus <…>. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.“

9

BDAR 23 straipsnio „Apribojimai“ 1 dalyje nurodyta, kad Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui arba duomenų tvarkytojui, teisėkūros priemone gali būti apribotos 12–22 straipsniuose nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė, be kita ko, siekiant užtikrinti tam tikrus Sąjungos ar valstybės narės svarbius tikslus, susijusius su bendrais viešaisiais interesais.

10

Direktyvos 2016/680 8–12, 27 ir 29 konstatuojamosiose dalyse nurodyta:

<…>

<…>

11

Šios direktyvos 1 straipsnio „Dalykas ir tikslai“ 1 dalyje nustatyta:

„Šioje direktyvoje nustatytos taisyklės, susijusios su fizinių asmenų apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais.“

12

Sąvokų „asmens duomenys“ ir „duomenų tvarkymas“ apibrėžtys, pateiktos atitinkamai šios direktyvos 3 straipsnio „Apibrėžtys“ 1 ir 2 dalyse, sutampa su pateiktomis BDAR 4 straipsnio 1 ir 2 punktuose.

13

Direktyvos 2016/680 3 straipsnio 7 dalies a punkte ir 8 dalyje nurodyta:

„Šioje direktyvoje:

<…>

7.   kompetentinga institucija –

<…>

8.   duomenų valdytojas – kompetentinga institucija, kuri viena ar kartu su kitais nustato asmens duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise.“

14

Direktyvos 2016/680 4 straipsnio „Su asmens duomenų tvarkymu susiję principai“ 1 dalyje nustatyta:

„Valstybės narės numato, kad asmens duomenys turi būti:

<…>

<…>“

15

Direktyvos 2016/680 4 straipsnio 2 dalyje nustatyta:

„Tam pačiam arba kitam duomenų valdytojui tvarkyti duomenis kitais 1 straipsnio 1 dalyje išdėstytais tikslais nei tikslas, kuriuo asmens duomenys renkami, leidžiama, jeigu:

16

Direktyvos 2016/680 6 straipsnyje „Skirtingų kategorijų duomenų subjektų atskyrimas“ nustatyta:

„Valstybės narės numato, kad duomenų valdytojas, kai taikytina ir kiek įmanoma, aiškiai atskirtų skirtingų kategorijų duomenų subjektų asmens duomenis, pavyzdžiui:

<…>“

17

Direktyvos 2016/680 9 straipsnio „Konkrečios duomenų tvarkymo sąlygos“ 1 ir 2 dalyse nustatyta:

„1.   Kompetentingų institucijų 1 straipsnio 1 dalyje išdėstytais tikslais renkami asmens duomenys negali būti tvarkomi kitais nei 1 straipsnio 1 dalyje išdėstytais tikslais, nebent taip juos tvarkyti yra leidžiama pagal Sąjungos arba valstybės narės teisę. Jei asmens duomenys tvarkomi tais kitais tikslais, taikomas [BDAR], išskyrus tuos atvejus, kai duomenys tvarkomi vykdant veiklą, kuriai netaikoma Sąjungos teisė.

2.   Kai kompetentingoms institucijoms pagal valstybės narės teisę yra pavesta atlikti kitas užduotis, nei tas, kurios vykdomos 1 straipsnio 1 dalyje išdėstytais tikslais, duomenų tvarkymui tokiais tikslais <…> taikomas [BDAR], išskyrus tuos atvejus, kai duomenys tvarkomi vykdant veiklą, kuriai netaikoma Sąjungos teisė.“

18

Bulgarijos Respublikos Konstitucijos 127 straipsnyje nustatyta:

„Prokuratūra prižiūri, kad būtų laikomasi įstatymų, atlikdama šias funkcijas:

1)   vadovauja ikiteisminiam tyrimui baudžiamojoje byloje ir kontroliuoja jo eigos teisėtumą;

2)   gali atlikti ikiteisminį tyrimą baudžiamojoje byloje;

3)   nusikalstamas veikas padariusius asmenis patraukia baudžiamojon atsakomybėn ir palaiko kaltinimą baudžiamosiose bylose, pradėtose pagal valstybinį kaltinimą;

<…>“

19

Pagal Zakon za zashtita na lichnite danni (Asmens duomenų apsaugos įstatymas) (DV, Nr. 1, 2002 m. sausio 4 d., toliau – ZZLD) 1 straipsnį šiuo įstatymu siekiama užtikrinti fizinių asmenų apsaugą tvarkant asmens duomenis, kaip nurodyta BDAR, taip pat kompetentingoms institucijoms tvarkant tokius duomenis nusikalstamų veikų prevencijos, atskleidimo, tyrimo ir baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir viešajai tvarkai bei tokių grėsmių prevenciją.

20

Pagal ZZLD 17 straipsnio 1 dalį IVSS užtikrina, kad BDAR, ZZLD ir teisės aktų dėl asmens duomenų apsaugos tvarkant asmens duomenis kontrolę vykdytų ir jų laikytųsi, be kita ko, prokuratūra bei tyrimo institucijos, vykdydamos savo, kaip teisminių institucijų, funkcijas nusikalstamų veikų prevencijos, atskleidimo, tyrimo ir baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais. Pagal ZZLD 38b straipsnį duomenų subjektas tuo atveju, jei šios institucijos pažeidžia jo teises, gali pateikti skundą IVSS.

21

ZZLD 42 straipsnio 2 ir 3 dalimis, 45 straipsnio 2 dalimi ir 47 straipsniu įgyvendinamos atitinkamai Direktyvos 2016/680 9 straipsnio 1 ir 2 dalių, 4 straipsnio 2 dalies ir 6 straipsnio nuostatos.

22

Pagrindinėje byloje taikytinos redakcijos Nakazatelno-protsesualen kodeks (Baudžiamojo proceso kodeksas) (DV, Nr. 86, 2005 m. spalio 28 d.) 191 straipsnyje nustatyta:

„Ikiteisminio tyrimo procedūra vykdoma bylose, pradėtose pagal valstybinį kaltinimą.“

23

Pagrindinės bylos aplinkybėmis taikytinos redakcijos Baudžiamojo proceso kodekso 192 straipsnyje nustatyta:

„Ikiteisminio tyrimo procedūra apima ikiteisminį tyrimą ir prokuroro veiksmus užbaigus ikiteisminį tyrimą.“

24

Pagrindinėje byloje taikytinos redakcijos Grazhdanski protsesualen kodeks (Civilinio proceso kodeksas) (DV, Nr. 59, 2007 m. liepos 20 d.) 8 ir 9 straipsniais įgyvendinami rungimosi ir procesinio lygiateisiškumo principai.

25

Pagrindinėje byloje taikytinos redakcijos Civilinio proceso kodekso 154 straipsnio „Įrodinėjimo pareiga“ 1 dalyje numatyta:

„Kiekviena šalis turi įrodyti faktines aplinkybes, kuriomis grindžia savo reikalavimus ar prieštaravimus.“

26

Zakon za otgovornostta na darzhavata i obshtinite za vredi (Valstybės ir savivaldybių atsakomybės už padarytą žalą įstatymas) (DV, Nr. 60, 1988 m. rugpjūčio 5 d.) 2b straipsnyje nustatyta:

„(1)   Valstybė atsako už žalą, kuri piliečiams ir juridiniams asmenims atsirado dėl teisės į tai, kad byla būtų išnagrinėta ir sprendimas priimtas per protingą terminą, įtvirtintos [Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos, pasirašytos 1950 m. lapkričio 4 d. Romoje] 6 straipsnio 1 dalyje, pažeidimo.

(2)   Šio straipsnio 1 dalyje nurodyti ieškiniai nagrinėjami pagal Civilinio proceso kodeksą, o teismas turi atsižvelgti į visą proceso trukmę ir bylos dalyką, į proceso sudėtingumą faktiniu ir teisiniu aspektais, šalių ir jų procesinių ar teisinių atstovų elgesį, kitų proceso šalių ir kompetentingų valdžios institucijų elgesį, taip pat kitas faktines aplinkybes, svarbias siekiant tinkamai išspręsti ginčą.

<…>“

27

2013 m. Petričiaus apylinkės prokuratūra pradėjo ikiteisminio tyrimo procedūrą Nr. 252/2013 nežinomo vykdytojo atžvilgiu dėl Nakazatelen Kodeks (Baudžiamasis kodeksas) 325 straipsnio 1 dalyje, siejamoje su šio kodekso 20 straipsnio 2 dalimi, nurodytos nusikalstamos veikos, padarytos per bare kilusį incidentą. Ieškovas pagrindinėje byloje VS dalyvavo šiame procese kaip nukentėjusysis.

28

2016 m., gavusi kelis pareiškimus dėl, be kita ko, VS, Petričiaus apylinkės prokuratūra užvedė kelias bylas, kuriose buvo su šiuo asmeniu susijusios informacijos, tačiau nepradėjo ikiteisminio tyrimo procedūros, nes nebuvo įrodymų, kad padaryta nusikalstama veika.

29

2018 m. vykstant ikiteisminio tyrimo procedūrai Nr. 252/2013 prokuroras pareiškė kaltinimus visiems incidente, dėl kurio vyko ši procedūra, dalyvavusiems asmenims, įskaitant VS.

30

VS pareiškė civilinį ieškinį Bulgarijos Respublikos prokuratūrai Okrazhen sad Blagoevgrad (Blagojevgrado apygardos teismas, Bulgarija) dėl žalos, patirtos dėl pernelyg ilgos ikiteisminio tyrimo procedūros Nr. 252/2013 trukmės, atlyginimo. Siekdamas užtikrinti prokuratūros gynybą Petričiaus apylinkės prokuratūros prokuroras, prokuratūros atstovas, per 2018 m. spalio 15 d. posėdį, paprašė, kad nagrinėjant šį ieškinį būtų pateikta šio sprendimo 28 punkte nurodytose bylose 2016 m. prokuratūros surinkta medžiaga. Iš sprendimo dėl prašymo priimti prejudicinį sprendimą matyti, kad šis prokuroras taip siekė įrodyti, jog ieškovo pagrindinėje byloje nurodytos sveikatos problemos kilo ne dėl minėtos ikiteisminio tyrimo procedūros, o dėl policijos ir Petričiaus apylinkės prokuratūros atliktų patikrinimų tiriant tas bylas. Per tą patį posėdį Okrazhen sad Blagoevgrad (Blagojevgrado apygardos teismas) įpareigojo šią apylinkės prokuratūrą pateikti patvirtintas nagrinėjamų bylų dokumentų kopijas; šios prokuratūros prokuroras pateikė prašomas kopijas.

31

2020 m. kovo 12 d. VS pateikė skundą IVSS ir nurodė, kad Petričiaus apylinkės prokuratūra pažeidė asmens duomenų apsaugą reglamentuojančias nuostatas. Pateikdamas pirmąjį pagrindą jis tvirtino, kad ši prokuratūra neteisėtai naudojo jo asmens duomenis, surinktus tuo metu, kai jis buvo laikomas nukentėjusiuoju nuo nusikalstamos veikos, siekdama pradėti jo baudžiamąjį persekiojimą per tą patį procesą ir už tą pačią veiką. Pateikdamas antrąjį pagrindą jis rėmėsi tuo, kad šio sprendimo 28 punkte minėtose bylose surinktus asmens duomenis prokuratūra tvarkė neteisėtai, nes pasitelkė juos nagrinėjant Bulgarijos Respublikos prokuratūrai jo pareikštą ieškinį dėl žalos atlyginimo. 2020 m. birželio 22 d. sprendimu IVSS atmetė šį skundą.

32

2020 m. liepos 31 d. VS apskundė šį sprendimą prašymą priimti prejudicinį sprendimą pateikusiame teisme; jis tvirtina, kad, pirma, jo asmens duomenų tvarkymas per ikiteisminio tyrimo procedūrą Nr. 252/2013 prieštarauja, be kita ko, Direktyvoje 2016/680 įtvirtintiems principams ir, antra, šio sprendimo 28 punkte nurodytose bylose surinktų duomenų tvarkymas po to, kai prokuratūra atsisakė pradėti ikiteisminį tyrimą, pažeidžia BDAR įtvirtintus principus.

33

Kadangi prašymą priimti prejudicinį sprendimą pateikęs teismas, atsižvelgdamas į Teisingumo Teismo jurisprudenciją, mano, kad ginčas pagrindinėje byloje susijęs su asmens duomenų tvarkymu vykdant veiklą, patenkančią į BDAR ir Direktyvos 2016/680 taikymo sritį, jam kyla klausimų dėl Sąjungos teisėje nustatytų paskesnio asmens duomenų, kuriuos duomenų valdytojas iš pradžių surinko nusikalstamos veikos tyrimo ir jos atskleidimo tikslais, tvarkymo ribojimų.

34

Konkrečiai kalbant, viena vertus, prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar tuo atveju, kai Bulgarijos Respublikos prokuratūra, kaip „kompetentinga institucija“, kaip tai suprantama pagal Direktyvos 2016/680 3 straipsnio 7 dalies a punktą, ir kaip „duomenų valdytoja“, kaip tai suprantama pagal šios direktyvos 3 straipsnio 8 dalį, nusikalstamos veikos tyrimo ir jos atskleidimo tikslais surinko asmens duomenis, susijusius su asmeniu, kuris tuo metu, kai duomenys buvo renkami, buvo laikomas tos nusikalstamos veikos auka, paskesnis tos pačios institucijos atliekamas šių duomenų tvarkymas siekiant pradėti šio asmens baudžiamąjį persekiojimą atitinka direktyvoje nurodytą tikslą, tačiau kitą nei tikslas, kuriuo asmens duomenys buvo renkami, kaip tai suprantama pagal šios direktyvos 4 straipsnio 2 dalį.

35

Be to, prašymą priimti prejudicinį sprendimą pateikęs teismas konstatuoja, kad nagrinėjant VS pareikštą ieškinį dėl žalos atlyginimo nuoroda į su šiuo asmeniu susijusią informaciją, esančią 2016 m. Petričiaus apylinkės prokuratūros užvestose bylose, siekiama kito tikslo nei tas, dėl kurio ši informacija buvo surinkta, ir pažymi, kad nagrinėjant šį ieškinį prokuratūra, kaip atsakovė, veikia ne nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo tikslais. Vis dėlto prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar vien tai, kad jurisdikciją turinčiam civiliniam teismui nurodyta, jog minėtų bylų medžiaga susijusi su VS, visos šios informacijos ar jos dalies perdavimas jam yra „asmens duomenų tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 1 ir 2 punktus, patenkantis į BDAR taikymo sritį pagal jo 2 straipsnio 1 dalį.

36

Prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės taip pat mano, kad pagrindinėje byloje kyla klausimas dėl asmens duomenų apsaugos ir teismo proceso šalies teisių suderinimo, kai šiuos duomenis ši šalis surinko kaip duomenų valdytoja, kaip tai suprantama pagal Direktyvos 2016/680 3 straipsnio 8 dalį, visų pirma atsižvelgiant į BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą, kuriame nurodyta būtinybė tvarkyti duomenis siekiant teisėtų duomenų valdytojo interesų.

37

Prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad kiti šio reglamento 6 straipsnio 1 dalies pirmoje pastraipoje nurodyti motyvai, kai į BDAR taikymo sritį patenkantis asmens duomenų tvarkymas laikomas teisėtu, nėra svarbūs nagrinėjant ginčą pagrindinėje byloje. Konkrečiai kalbant, jis mano, jog prokuratūrai ginantis per civilinį procesą pateikti jurisdikciją turinčiam teismui informaciją apie savo užvestų baudžiamųjų bylų medžiagą nėra būtina nei siekiant atlikti užduotį, vykdomą viešojo intereso labui, nei priskiriama viešosios valdžios funkcijų vykdymui, kaip tai suprantama pagal šio reglamento 6 straipsnio 1 dalies pirmos pastraipos e punktą.

38

Šiomis aplinkybėmis Administrativen sad – Blagoevgrad (Blagojevgrado administracinis teismas) nusprendė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

39

Visų pirma pažymėtina, kad, net jei formaliai žiūrint prašymą priimti prejudicinį sprendimą pateikęs teismas apribojo savo pirmąjį klausimą Direktyvos 2016/680 1 straipsnio 1 dalies aiškinimu, ši aplinkybė netrukdo Teisingumo Teismui pateikti jam visapusį Sąjungos teisės išaiškinimą, kuris gali būti naudingas sprendimui jo nagrinėjamoje byloje priimti, iš visos nacionalinio teismo pateiktos informacijos, ypač iš sprendimo dėl prašymo priimti prejudicinį sprendimą motyvuojamosios dalies, atrenkant aiškintinus Sąjungos teisės klausimus, atsižvelgiant į ginčo dalyką (šiuo klausimu žr. 2021 m. balandžio 22 d. Sprendimo Profi Credit Slovakia, C‑485/19, EU:C:2021:313, 50 punktą ir jame nurodytą jurisprudenciją).

40

Vadinasi, pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Direktyvos 2016/680 1 straipsnio 1 dalis, siejama su šios direktyvos 4 straipsnio 2 dalimi ir 6 straipsniu, turi būti aiškinama taip, kad asmens duomenų tvarkymas atitinka kitą tikslą nei tas, dėl kurio šie duomenys buvo surinkti, kai tokie duomenys buvo renkami siekiant atskleisti nusikalstamą veiką ir ją ištirti ir kai tuo metu, kai duomenys buvo renkami, duomenų subjektas buvo laikomas auka, o duomenys tvarkomi siekiant vykdyti šio asmens baudžiamąjį persekiojimą pasibaigus ikiteisminiam tyrimui, ir ar toks tvarkymas yra leidžiamas.

41

Pagal suformuotą jurisprudenciją aiškinant Sąjungos teisės nuostatą reikia atsižvelgti ne tik į jos tekstą, bet ir į kontekstą ir teisės akto, kuriame ji įtvirtinta, tikslus. Sąjungos teisės nuostatos genezė taip pat gali suteikti svarbios informacijos ją aiškinant (2019 m. spalio 1 d. Sprendimo Planet49, C‑673/17, EU:C:2019:801, 48 punktas ir jame nurodyta jurisprudencija).

42

Pirma, pažymėtina, kad Direktyvos 2016/680 1 straipsnio 1 dalies, kurioje nurodytas šios direktyvos dalykas, formuluotėje aiškiai atskiriamos skirtingos veiklos rūšys, kurias vykdant gali būti tvarkomi asmens duomenys. Iš įvairių šios nuostatos kalbinių versijų, be kita ko, versijų bulgarų, ispanų, vokiečių, graikų, anglų ir italų kalbomis, matyti, kad įvairūs šio 1 straipsnio 1 dalyje nurodyti tikslai yra nusikalstamų veikų „prevencija“, jų „atskleidimas“, „tyrimas“, „baudžiamasis persekiojimas“ už jas, „bausmių vykdymas“, „apsauga“ nuo „grėsmių visuomenės saugumui“ ir jų „prevencija“.

43

Be to, šios direktyvos 4 straipsnio 2 dalis, kurioje nurodyta, kad tvarkyti duomenis „kitais [šios direktyvos] 1 straipsnio 1 dalyje išdėstytais tikslais nei tikslas, kuriuo asmens duomenys renkami“, leidžiama, jeigu laikomasi šioje nuostatoje įtvirtintų reikalavimų, aiškiai patvirtina, kad 1 straipsnio 1 dalyje išvardyti žodžiai, t. y. „prevencija“, „atskleidimas“, „tyrimas“, „baudžiamasis persekiojimas“, „bausmių vykdymas“, „apsauga nuo grėsmių visuomenės saugumui“ ir „jų prevencija“, reiškia kelis atskirus asmens duomenų tvarkymo tikslus, patenkančius į tos pačios direktyvos taikymo sritį.

44

Taigi iš pačios Direktyvos 2016/680 1 straipsnio 1 dalies, siejamos su jos 4 straipsnio 2 dalimi, formuluotės matyti, kad tuo atveju, kai asmens duomenys buvo surinkti nusikalstamos veikos „atskleidimo“ ir „tyrimo“ tikslais, o vėliau tvarkomi „baudžiamojo persekiojimo“ tikslais, toks rinkimas ir tvarkymas atitinka skirtingus tikslus.

45

Galiausiai pažymėtina, kad pagal tos pačios direktyvos 6 straipsnį valstybės narės privalo numatyti, kad duomenų valdytojas, kai taikytina ir kiek įmanoma, aiškiai atskirtų skirtingų kategorijų duomenų subjektų, kaip antai nurodytų šio straipsnio a, b ir c punktuose, t. y. asmenų, dėl kurių yra svarių priežasčių manyti, kad jie įvykdė arba rengiasi įvykdyti nusikalstamą veiką, asmenų, nuteistų už nusikalstamą veiką, ir asmenų, kurie buvo nusikalstamos veikos aukos arba kurių atžvilgiu, remiantis tam tikrais faktais, yra pagrindo manyti, kad jie galėtų būti nusikalstamos veikos aukos, asmens duomenis.

46

Taigi asmuo, kurio asmens duomenys tvarkomi siekiant vykdyti jo baudžiamąjį persekiojimą, priskirtinas prie asmenų, dėl kurių yra svarių priežasčių manyti, kad jie įvykdė nusikalstamą veiką, kaip tai suprantama pagal Direktyvos 2016/680 6 straipsnio a punktą. Vadinasi, jeigu, kaip pirmajame klausime nurodytu atveju, šis asmuo iš pradžių buvo laikomas nusikalstamos veikos auka, kaip tai suprantama pagal šios direktyvos 6 straipsnio c punktą, toks duomenų tvarkymas atspindi kategorijos, prie kurios priskiriamas toks asmuo, pasikeitimą, o duomenų valdytojas, vadovaudamasis šiame straipsnyje įtvirtintu reikalavimu aiškiai atskirti skirtingų kategorijų asmenų duomenis, turi į tai atsižvelgti.

47

Vis dėlto konstatuotina, kad nei Direktyvos 2016/680 1 straipsnio 1 dalyje, nei jos 4 straipsnio 2 dalyje nedaroma nuorodos į jos 6 straipsnį ar jo turinį, siekiant apibrėžti į šios direktyvos taikymo sritį patenkančio asmens duomenų tvarkymo tikslą.

48

Be to, kaip savo išvados 62 punkte iš esmės pažymėjo generalinis advokatas, Direktyvos 2016/680 6 straipsnyje vartojamas žodžių junginys „kai taikytina ir kiek įmanoma“ akivaizdžiai rodo, kad nebūtinai įmanoma aiškiai atskirti tokius duomenis, be kita ko, tuomet, kai, kaip nagrinėjamu atveju, jie renkami nusikalstamos veikos „tyrimo“ ar jos „atskleidimo“ tikslais, nes tas pats asmuo gali būti priskiriamas prie kelių šios direktyvos 6 straipsnyje nurodytų asmenų kategorijų ir šios kategorijos gali keistis vystant ikiteisminiam tyrimui, laipsniškai aiškėjant atitinkamoms faktinėms aplinkybėms.

49

Tuo remiantis darytina išvada, kad šiame 6 straipsnyje nustatyta pareiga skiriasi nuo numatytosios 4 straipsnio 2 dalyje ir kad, kaip savo išvados 61–64 punktuose nurodė generalinis advokatas, ši pareiga neturi reikšmės siekiant nustatyti, ar asmens duomenų tvarkymas atitinka kitą tikslą nei tas, dėl kurio šie duomenys buvo surinkti, kaip tai suprantama pagal pastarąją nuostatą.

50

Antra, kiek tai susiję su nagrinėjamų nuostatų kontekstu, pažymėtina, kad Direktyvos 2016/680 4 straipsnio 1 dalies b ir c punktuose nustatyta, jog asmens duomenys turi būti renkami konkrečiai nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir negali būti tvarkomi tokiu būdu, kuris būtų nesuderinamas su tais tikslais, ir šie duomenys turi būti tinkami, aktualūs ir ne pernelyg išsamūs, atsižvelgiant į tikslus, kuriais jie tvarkomi. Šie du reikalavimai iš esmės taip pat suformuluoti BDAR 5 straipsnio 1 dalies b ir c punktuose, kuriuose patikslinta, kad jie atitinka tikslo ribojimo ir duomenų kiekio mažinimo principus.

51

Taigi pažymėtina, kad, atsižvelgiant į šios direktyvos 29 konstatuojamąją dalį, pagal jos 4 straipsnio 2 dalį leidžiama vėliau tvarkyti asmens duomenis kitu tikslu nei tas, dėl kurio šie duomenys buvo surinkti, jei šis tikslas yra vienas iš šios direktyvos 1 straipsnio 1 dalyje nurodytų tikslų, o toks tvarkymas atitinka šio 4 straipsnio 2 dalies a ir b punktuose numatytas dvi sąlygas. Pirmoji sąlyga – duomenų valdytojui turi būti leidžiama tvarkyti tokius asmens duomenis tokiu tikslu vadovaujantis Sąjungos arba valstybės narės teise. Antroji sąlyga – duomenų tvarkymas turi būti būtinas bei proporcingai atitikti tą kitą tikslą.

52

Konkrečiai kalbant, asmens duomenis, surinktus nusikalstamų veikų „prevencijos“ ir „atskleidimo“ arba jų „tyrimo“ tikslais, vėliau prireikus įvairios kompetentingos institucijos gali tvarkyti „baudžiamojo persekiojimo“ arba „bausmių vykdymo“ tikslais, kai nusikalstama veika buvo nustatyta ir reikia imtis teisėsaugos veiksmų.

53

Vis dėlto rinkdamos asmens duomenis nusikalstamų veikų „atskleidimo“ ir jų „tyrimo“ tikslais kompetentingos valdžios institucijos turi surinkti visus duomenis, kurie gali būti svarbūs nustatant nagrinėjamos nusikalstamos veikos požymius tame etape, kuriame jie dar nenustatyti. O tvarkant asmens duomenis „baudžiamojo persekiojimo“ tikslais šiais duomenimis siekiama pagrįsti persekiojamiems asmenims inkriminuojamų veikų pakankamą įrodomąją galią ir šių veikų baudžiamojo kvalifikavimo tikslumą, kad jurisdikciją turintis teismas galėtų priimti sprendimą.

54

Taigi asmens duomenys, būtini nusikalstamos veikos „atskleidimo“ ir jos „tyrimo“ tikslais, nebūtinai reikalingi „baudžiamojo persekiojimo“ tikslais. Be to, asmens duomenų tvarkymo pasekmės duomenų subjektams gali iš esmės skirtis, visų pirma kiek tai susiję su jų teisės į duomenų apsaugą apribojimo mastu ir šio tvarkymo poveikiu jų teisinei padėčiai nagrinėjamoje baudžiamojoje byloje.

55

Taip pat pažymėtina, kad minėto 4 straipsnio 2 dalies taikymo sritis apima ne tik asmens duomenų tvarkymą, susijusį su ta pačia nusikalstama veika, dėl kurios šie duomenys buvo renkami. Kaip nurodyta Direktyvos 2016/680 27 konstatuojamojoje dalyje, šioje direktyvoje atsižvelgiama į būtinybę institucijoms, atsakingoms už kovą su nusikalstamomis veikomis, tvarkyti asmens duomenis kitu tikslu nei tas, dėl kurio šie duomenys buvo renkami, visų pirma siekiant geriau suprasti nusikalstamą veiklą ir nustatyti sąsajas tarp skirtingų nustatytų nusikalstamų veikų.

56

Remiantis tuo, kas išdėstyta, matyti, jog tam, kad būtų įvykdyti Direktyvos 2016/680 4 straipsnio 2 dalies a ir b punktuose nurodyti reikalavimai, vertinant, ar jų laikomasi, kai tas pats ar kitas duomenų valdytojas asmens duomenis tvarko vienu iš 1 straipsnio 1 dalyje nurodytų tikslų, bet kitu nei tas, dėl kurio šie duomenys buvo surinkti, į kiekvieną iš šių 1 straipsnio 1 dalyje nurodytų tikslų reikia atsižvelgti kaip į konkretų ir atskirą.

57

Trečia, dėl nagrinėjamų teisės nuostatų tikslų pažymėtina, kad, kaip matyti iš Direktyvos 2016/680 10 ir 11 konstatuojamųjų dalių, Sąjungos teisės aktų leidėjas ketino priimti taisykles, kuriomis atsižvelgiama į specifinį šios direktyvos taikymo srities pobūdį.

58

12 konstatuojamojoje dalyje nurodyta, kad policijos ar kitų teisėsaugos institucijų vykdoma veikla daugiausia yra sutelkta į nusikalstamų veikų prevenciją, tyrimą, atskleidimą ar baudžiamąjį persekiojimą už jas, įskaitant policijos veiklą iš anksto nežinant, ar tam tikras incidentas yra nusikalstama veika, ar ne.

59

Vadinasi, Sąjungos teisės aktų leidėjas ketino priimti taisykles, atitinkančias kompetentingų institucijų veiklos šioje direktyvoje reglamentuojamoje srityje ypatumus, kartu atsižvelgdamas į tai, kad tai yra atskiros veiklos rūšys, kuriomis siekiama joms būdingų tikslų.

60

Tokį aiškinimą, atsižvelgiant į nagrinėjamos nuostatos kontekstą ir teisės akto, kuriame ji įtvirtinta, tikslus, patvirtina šio teisės akto genezė, visų pirma Tarybos motyvų pareiškimas dėl per pirmąjį svarstymą priimtos Tarybos pozicijos (ES) Nr. 5/2016 siekiant priimti Europos Parlamento ir Tarybos direktyvą dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, kuria panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL C 158, 2016, p. 46). Tame motyvų pareiškime Taryba grindžia minėtos nuostatos įtraukimą į Direktyvą 2016/680 tuo, kad „tai suteikia galimybę, pavyzdžiui, prokurorui baudžiamojo persekiojimo už nusikaltimą tikslais, tvarkyti tuos pačius asmens duomenis, kuriuos policija tvarkė siekdama išsiaiškinti nusikaltimą, nes abu šiame pavyzdyje nurodyti tikslai yra įtraukti į [šios direktyvos] 1 straipsnio 1 dalį“.

61

Taigi siekdamas išspręsti ginčą pagrindinėje byloje prašymą priimti prejudicinį sprendimą pateikęs teismas turi nustatyti, ar Petričiaus apylinkės prokuratūros vykdomas VS asmens duomenų tvarkymas siekiant vykdyti šio asmens baudžiamąjį persekiojimą galėjo būti leidžiamas atsižvelgiant į Direktyvos 2016/680 4 straipsnio 2 dalyje įtvirtintas sąlygas, ir patikrinti, ar pagal Bulgarijos baudžiamąją teisę šiai institucijai leidžiama tvarkyti šiuos duomenis ir ar toks tvarkymas buvo būtinas ir proporcingas juo siekiamam tikslui.

62

Šiuo aspektu pažymėtina, kad vertindamas tokio tvarkymo būtinumą ir proporcingumą prašymą priimti prejudicinį sprendimą pateikęs teismas prireikus gali atsižvelgti į tai, kad už baudžiamąjį persekiojimą atsakinga institucija turi turėti galimybę remtis atliekant šį tyrimą surinktais duomenimis kaip nusikalstamos veikos požymių įrodymais, be kita ko, darant veiką dalyvavusių asmenų duomenimis, kiek šie duomenys būtini siekiant juos identifikuoti ir nustatyti asmenų dalyvavimą.

63

Atsižvelgiant į visa tai, kas išdėstyta, į pirmąjį klausimą reikia atsakyti, kad Direktyvos 2016/680 1 straipsnio 1 dalis, siejama su šios direktyvos 4 straipsnio 2 dalimi ir 6 straipsniu, turi būti aiškinama taip, kad asmens duomenų tvarkymas atitinka kitą tikslą nei tas, dėl kurio šie duomenys buvo surinkti, kai tokie duomenys buvo renkami siekiant atskleisti nusikalstamą veiką ir ją ištirti, o duomenys tvarkomi siekiant vykdyti asmens baudžiamąjį persekiojimą pasibaigus ikiteisminiam tyrimui, neatsižvelgiant į tai, ar tuo metu, kai duomenys buvo renkami, šis asmuo buvo laikomas auka, ir kad toks tvarkymas yra leidžiamas pagal šios direktyvos 4 straipsnio 2 dalį, su sąlyga, kad laikomasi šioje nuostatoje numatytų sąlygų.

64

Antruoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, pirma, ar Direktyvos 2016/680 3 straipsnio 8 dalis, 9 straipsnio 1 ir 2 dalys ir BDAR 2 straipsnio 1 ir 2 dalys turi būti aiškinamos taip, kad šis reglamentas taikomas asmens duomenų tvarkymui, kurį atlieka valstybės narės prokuratūra, siekdama įgyvendinti savo teisę į gynybą nagrinėjant ieškinį dėl valstybės atsakomybės, kai ji praneša jurisdikciją turinčiam teismui apie tai, kad dėl fizinio asmens, tokio ieškinio šalies, yra užvestos bylos šios direktyvos 1 straipsnio 1 dalyje nurodytais tikslais, ir kai perduoda tas bylas šiam teismui, ir, antra, jei į šį klausimą būtų atsakyta teigiamai, ar šio reglamento 6 straipsnio 1 dalies pirmos pastraipos f punktas turi būti aiškinamas taip, kad toks asmens duomenų tvarkymas gali būti laikomas teisėtu siekiant duomenų valdytojo teisėtų interesų, kaip tai suprantama pagal šią nuostatą.

65

Savo rašytinėse pastabose IVSS ginčija antrojo klausimo priimtinumą, nes prašymą priimti prejudicinį sprendimą pateikęs teismas jį pateikė nagrinėdamas VS nurodytą pagrindą, kuris buvo atmestas kaip nepriimtinas sprendimu, dėl kurio pareikštas ieškinys pagrindinėje byloje, kadangi baigėsi įstatyme nustatytas terminas šiam pagrindui pateikti.

66

Pagal Teisingumo Teismo suformuotą jurisprudenciją nacionalinio teismo pateiktiems klausimams dėl Sąjungos teisės aiškinimo, atsižvelgiant į jo paties nurodytas faktines aplinkybes ir teisinius pagrindus, kurių tikslumo Teisingumo Teismas neprivalo tikrinti, taikoma svarbos prezumpcija. Atsisakyti pateikti atsakymą į nacionalinio teismo pateiktą prejudicinį klausimą Teisingumo Teismas gali tik jei akivaizdu, jog prašymas išaiškinti Sąjungos teisę visiškai nesusijęs su pagrindinės bylos faktais ar dalyku, kai problema hipotetinė arba Teisingumo Teismui nežinomos faktinės aplinkybės ar teisiniai pagrindai, būtini tam, kad jis galėtų naudingai atsakyti į jam pateiktus klausimus (šiuo klausimu žr. 2017 m. rugsėjo 27 d. Sprendimo Puškár, C‑73/16, EU:C:2017:725, 50 punktą ir jame nurodytą jurisprudenciją).

67

Nagrinėjamu atveju pažymėtina, kad, kaip savo išvados 76 ir 77 punktuose nurodė generalinis advokatas, VS ieškinyje, pareikštame IVSS, nurodytų pagrindų priimtinumo klausimas visiškai priklauso prašymą priimti prejudicinį sprendimą pateikusio teismo jurisdikcijai. Be to, sprendime dėl prašymo priimti prejudicinį sprendimą šis teismas nurodė manantis, kad antrasis klausimas yra svarbus, nepaisant to, kad IVSS atmetė šio sprendimo 65 punkte nurodytą pagrindą kaip nepriimtiną. Bet kuriuo atveju Teisingumo Teismas neturi iš naujo nagrinėti šio vertinimo.

68

Darytina išvada, kad antrasis klausimas yra priimtinas.

69

Pirma, reikia nustatyti, ar tai, kad valstybės narės prokuratūra su fiziniu asmeniu susijusią informaciją, kurią ji surinko ir tvarkė Direktyvos 2016/680 1 straipsnio 1 dalyje nurodytais tikslais, naudoja siekdama įgyvendinti savo teisę į gynybą vykstant civiliniam procesui, yra „asmens duomenų tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 1 ir 2 punktus.

70

Pirmiausia primintina, kad „asmens duomenys“, kaip jie suprantami pagal BDAR 4 straipsnio 1 punktą, yra „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti“, o pagal jurisprudenciją ši apibrėžtis taikoma, jeigu, atsižvelgiant į tokios informacijos turinį, jos tikslą ir poveikį, ji yra susijusi su konkrečiu asmeniu (šiuo klausimu žr. 2017 m. gruodžio 20 d. Sprendimo Nowak, C‑434/16, EU:C:2017:994, 35 punktą). BDAR 4 straipsnio 2 punkte sąvoka „duomenų tvarkymas“ apibrėžta kaip „bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka“, kaip antai „susipažinimas“, „naudojimas“, „atskleidimas persiunčiant“, „platinant“ ar „kitu būdu sudarant galimybę jais naudotis“. Šios apibrėžtys atspindi Sąjungos teisės aktų leidėjo tikslą suteikti šioms dviem sąvokoms plačią reikšmę (šiuo klausimu žr. 2017 m. gruodžio 20 d. Sprendimo Nowak, C‑434/16, EU:C:2017:994, 34 punktą ir 2022 m. vasario 24 d. Sprendimo Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 35 punktą).

71

Viena vertus, tai, kad atsakovas civiliniame procese savo rašytiniuose dokumentuose ar per teismo posėdį informuoja jurisdikciją turintį teismą, nors ir glaustai, apie tai, kad dėl fizinio asmens, pradėjusio šį procesą, yra užvestos bylos pirmiausia nusikalstamos veikos „atskleidimo“ ar „tyrimo“ tikslais, reiškia, kad šis atsakovas „susipažino“, „naudojo“ ir „persiuntė“ arba „atskleidė“„asmens duomenis“, kaip tai suprantama pagal BDAR 4 straipsnio 1 ir 2 punktus. Taigi tiek turinio, tiek tikslo ir poveikio aspektais ši informacija yra susijusi su konkrečiu asmeniu, kurio tapatybę gali nustatyti tiek šią informaciją atskleidusi šalis, tiek teismas, kuriam ji perduodama.

72

Kita vertus, tai, kad toks atsakovas jurisdikciją turinčio teismo prašymu pateikia su bylomis dėl minėto fizinio asmens susijusią bylų medžiagą, reiškia bent jau „asmens duomenų“„naudojimą“ ir „atskleidimą persiunčiant“, kaip tai suprantama pagal BDAR 4 straipsnio 1 ir 2 punktus.

73

Antra, primintina, kad BDAR 2 straipsnio 1 dalyje plačiai apibrėžta šio reglamento materialinė taikymo sritis (2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 61 punktas), apimanti bet kokį „asmens duomenų tvarkym[ą], visiškai arba iš dalies atliekam[ą] automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkym[ą] ne automatizuotomis priemonėmis“. Iš šios plačios apibrėžties matyti, kad BDAR taikymo išimtys, išvardytos jo 2 straipsnio 2 dalyje, turi būti aiškinamos siaurai. Konkrečiai kalbant, siaurai turi būti aiškinama šio straipsnio 2 dalies d punkte numatyta išimtis, susijusi su asmens duomenų tvarkymu, kurį atlieka kompetentingos institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ir patraukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais (šiuo klausimu žr. 2022 m. vasario 24 d. Sprendimo Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 40 ir 41 punktus ir juose nurodytą jurisprudenciją).

74

Šiuo aspektu Teisingumo Teismas yra nusprendęs, kad, kaip matyti iš šio reglamento 19 konstatuojamosios dalies, ši išimtis grindžiama aplinkybe, kad kompetentingų valdžios institucijų atliekamas asmens duomenų tvarkymas BDAR 2 straipsnio 2 dalies d punkte nurodytais tikslais reglamentuojamas konkrečiame Sąjungos teisės akte, t. y. Direktyvoje 2016/680, kuri buvo priimta tą pačią dieną kaip BDAR (šiuo klausimu žr. 2022 m. vasario 24 d. Sprendimo Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 42 punktą ir jame nurodytą jurisprudenciją).

75

Kaip matyti iš Direktyvos 2016/680 12 konstatuojamosios dalies, Sąjungos teisės aktų leidėjas šios direktyvos 9 straipsnyje numatė asmens duomenų tvarkymo kitais nei šios direktyvos 1 straipsnio 1 dalyje nurodytais tikslais, dėl kurių šie duomenys buvo surinkti, taisykles.

76

Direktyvos 2016/680 9 straipsnio 1 dalyje numatyta, kad, pirma, toks asmens duomenų tvarkymas iš principo negalimas, nebent tai leidžiama pagal Sąjungos arba valstybės narės teisę, ir, antra, tokiam tvarkymui taikomas BDAR, išskyrus atvejus, kai duomenys tvarkomi vykdant veiklą, kuriai netaikoma Sąjungos teisė. Be to, pagal šios direktyvos 9 straipsnio 2 dalį, BDAR taikomas duomenų tvarkymui, kai juos tvarko kompetentingos institucijos, atlikdamos kitas užduotis nei tas, kurios vykdomos šios direktyvos 1 straipsnio 1 dalyje išdėstytais tikslais, išskyrus atvejus, kai duomenys tvarkomi vykdant veiklą, kuriai netaikoma Sąjungos teisė.

77

Šio sprendimo 71 ir 72 punktuose nurodytais atvejais asmens duomenų rinkimas ir tvarkymas, kai jį atlieka valstybės narės prokuratūra nusikalstamų veikų „prevencijos“ ir „atskleidimo“ arba „baudžiamojo persekiojimo“ už jas tikslais, neabejotinai yra asmens duomenų tvarkymas Direktyvos 2016/680 1 straipsnio 1 dalyje nurodytais tikslais, kaip tai suprantama pagal šios direktyvos 9 straipsnio 1 ir 2 dalis.

78

Vis dėlto, nors ieškinys dėl valstybės atsakomybės pareikštas dėl preziumuojamų prokuratūros padarytų pažeidimų vykstant baudžiamajam procesui, kaip nagrinėjamu atveju – dėl teisės į bylos išnagrinėjimą per pagrįstą terminą pažeidimų, valstybės gynyba nagrinėjant tokį ieškinį savaime nėra šiai prokuratūrai pavesta užduotis, vykdoma Direktyvos 2016/680 1 straipsnio 1 dalyje nurodytais tikslais.

79

Atsižvelgiant į principą, pagal kurį BDAR taikymo išimtys turi būti aiškinamos siaurai, toks pats asmens duomenų tvarkymas negali būti laikomas atliekamu „vykdant veiklą, kuriai netaikoma Sąjungos teisė“, kaip tai suprantama pagal BDAR 2 straipsnio 2 dalies a punktą ir Direktyvos 2016/680 9 straipsnio 1 ir 2 dalis. Remiantis jurisprudencija, vienintelis šio žodžių junginio tikslas – į BDAR taikymo sritį neįtraukti asmens duomenų tvarkymo, kai jį atlieka valstybės institucijos, vykdydamos veiklą, kuria siekiama užtikrinti nacionalinį saugumą, arba veiklą, kuri gali būti priskirta prie tos pačios kategorijos. Tačiau valstybės institucijos dalyvavimas civiliniame procese kaip atsakovės nagrinėjant ieškinį dėl valstybės atsakomybės nėra skirtas nacionaliniam saugumui užtikrinti ir negali būti priskiriamas prie tos pačios veiklos kategorijos (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 66–68 punktus ir juose nurodytą jurisprudenciją).

80

Trečia, pažymėtina, kad, taikant BDAR šio sprendimo 71 ir 72 punktuose nurodytam duomenų tvarkymui, prokuratūra turi būti laikoma „duomenų valdytoja“, kaip tai suprantama ne tik pagal BDAR 4 straipsnio 7 punktą, taip pat pagal Direktyvos 2016/680 3 straipsnio 8 dalį, nes ji „viena ar kartu su kitais nustato asmens duomenų tvarkymo tikslus ir priemones“, kaip tai suprantama pagal pastarąją nuostatą. Iš tiesų būtent ši institucija, kaip proceso šalis, informuoja jurisdikciją turintį teismą apie tai, kad yra užvestos su kita šalimi susijusios baudžiamosios bylos, ir perduoda jam šias bylas. Jos, kaip „duomenų valdytojos“, statusas, atsižvelgiant į plačią šios sąvokos apibrėžtį, kuria siekiama užtikrinti veiksmingą ir visapusišką duomenų subjektų apsaugą, nepriklauso nuo jos dalyvavimo tvarkant duomenis intensyvumo ir atsakomybės lygio, kurie gali skirtis nuo jurisdikciją turinčio teismo dalyvavimo ir atsakomybės, nes jis leidžia ar netgi nurodo tvarkyti duomenis (pagal analogiją žr. 2019 m. liepos 29 d. Sprendimo Fashion ID, C‑40/17, EU:C:2019:629, 66–70 punktus).

81

Taigi, neatsižvelgiant į tai, ar šio sprendimo 80 punkte nurodytas duomenų tvarkymas patenka į Direktyvos 2016/680 9 straipsnio 1 arba 2 dalies taikymo sritį, iš šių nuostatų formuluotės ir jų sąsajos matyti, kad BDAR taikomas bet kokiam asmens duomenų, surinktų šios direktyvos 1 straipsnio 1 dalyje nurodytais tikslais, tvarkymui kitais tikslais, išskyrus atvejus, kai tokiam tvarkymui netaikoma Sąjungos teisė, ir įskaitant tuos, kai „duomenų valdytojas“, kaip tai suprantama pagal šios direktyvos 3 straipsnio 8 dalį, yra „kompetentinga institucija“, kaip tai suprantama pagal šios direktyvos 3 straipsnio 7 dalies a punktą, ir tvarko asmens duomenis atlikdamas kitas užduotis nei tos, kurios vykdomos tos pačios direktyvos 1 straipsnio 1 dalyje nurodytais tikslais.

82

Atsižvelgiant į visa tai, kas išdėstyta, konstatuotina, kad BDAR taikomas asmens duomenų tvarkymui, kurį atlieka valstybės narės prokuratūra, siekdama įgyvendinti savo teisę į gynybą nagrinėjant ieškinį dėl valstybės atsakomybės, kai ji praneša jurisdikciją turinčiam teismui apie tai, kad dėl fizinio asmens, tokio ieškinio šalies, yra užvestos bylos Direktyvos 2016/680 1 straipsnio 1 dalyje nurodytais tikslais, ir kai perduoda tas bylas šiam teismui.

83

Primintina, kad BDAR 6 straipsnyje išsamiai išvardyti atvejai, kai asmens duomenų tvarkymas gali būti laikomas teisėtu (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 99 punktą).

84

Kaip vienas iš tokių atvejų BDAR 6 straipsnio 1 dalies pirmos pastraipos e punkte numatytas duomenų tvarkymas, būtinas siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, o šio reglamento 6 straipsnio 1 dalies pirmos pastraipos f punkte nurodytas duomenų tvarkymas, būtinas siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni. Pagal šio reglamento 6 straipsnio 1 dalies antrą pastraipą jo 6 straipsnio 1 dalies pirmos pastraipos f punktas netaikomas duomenų tvarkymui, kurį atlieka valdžios institucijos, vykdydamos savo užduotis.

85

Pažymėtina, kad, kaip Europos Komisija teisingai nurodė savo rašytinėse pastabose, iš BDAR 6 straipsnio 1 dalies antros pastraipos formuluotės aiškiai matyti, kad asmens duomenų tvarkymas, kurį atlieka valdžios institucija, vykdydama savo užduotis, negali patekti į BDAR 6 straipsnio 1 dalies pirmos pastraipos f punkto, kuriame minimas asmens duomenų tvarkymas, būtinas siekiant teisėtų duomenų valdytojo interesų, taikymo sritį. Kaip matyti iš BDAR 47 konstatuojamosios dalies ir kaip tvirtino Komisija, ši nuostata negali būti taikoma tokiam duomenų tvarkymui, nes teisės aktų leidėjas turi numatyti jų teisinį pagrindą. Vadinasi, kai valdžios institucijos atliekamas duomenų tvarkymas yra būtinas siekiant atlikti viešojo intereso užduotį ir dėl šios priežasties patenka į šio reglamento 6 straipsnio 1 dalies antros pastraipos taikymo sritį, BDAR 6 straipsnio 1 dalies pirmos pastraipos e punkto taikymas eliminuoja galimybę taikyti 6 straipsnio 1 dalies pirmos pastraipos f punktą, ir atvirkščiai.

86

Taigi prieš nagrinėjant klausimą dėl BDAR 6 straipsnio 1 dalies pirmos pastraipos f punkto taikymo, reikia nustatyti, ar valstybės narės prokuratūros atliekamas asmens duomenų, iš pradžių surinktų siekiant vieno ar kelių Direktyvos 2016/680 1 straipsnio 1 dalyje nurodytų tikslų, tvarkymas siekiant užtikrinti valstybės ar valdžios institucijos gynybą nagrinėjant ieškinį dėl atsakomybės, kuriuo reikalaujama atlyginti žalą, valstybės ar valdžios institucijos padarytą vykdant savo užduotis, yra būtinas tokiai prokuratūrai norint atlikti viešojo intereso užduotį arba vykdant jai pavestas viešosios valdžios funkcijas, kaip tai suprantama pagal šio reglamento 6 straipsnio 1 dalies pirmos pastraipos e punktą.

87

Kaip savo išvados 94 ir 100 punktuose iš esmės pažymėjo generalinis advokatas, kai prokuratūra turi ginti valstybės teisinius ir turtinius interesus nagrinėjant ieškinį dėl atsakomybės, kuriuo ginčijami šios valdžios institucijos veiksmai ar elgesys vykdant jai baudžiamosios teisės srityje patikėtas viešojo intereso užduotis, šių interesų gynyba pagal nacionalinę teisę gali būti laikoma viešojo intereso labui vykdoma užduotimi, kaip tai suprantama pagal šio reglamento 6 straipsnio 1 dalies pirmą pastraipą.

88

Viena vertus, naudodamasi jai, kaip atsakovei, suteiktomis procesinėmis teisėmis ši viešosios valdžios institucija užtikrina dėl viešojo intereso atliktų veiksmų ir priimtų sprendimų, kuriuos ginčija ieškovas, teisinį saugumą. Jos pozicija dėl ieškovo nurodytų ieškinio pagrindų ir pateiktų argumentų prireikus gali užkirsti kelią rizikai, kad šie pagrindai ir argumentai kliudys veiksmingai taikyti teisės normas, o tai ji turi daryti vykdydama užduotis, dėl kurių vykdymo jai priekaištauja ieškovas.

89

Kita vertus, savo nurodomais pagrindais ir gynybos argumentais ta pati valdžios institucija gali prireikus pabrėžti, kad ieškovo reikalavimai atlyginti žalą yra nepagrįsti ar pertekliniai, siekdama, be kita ko, užkirsti kelią tam, kad vykdyti viešojo intereso užduotis, dėl kurių vykdymo pareikštas ieškinys dėl atsakomybės, trukdytų perspektyva sulaukti ieškinių dėl žalos atlyginimo, kai šios užduotys gali pakenkti privačių asmenų interesams.

90

Šiuo aspektu neturi reikšmės tai, kad nagrinėjant ieškinį dėl valstybės atsakomybės prokuratūra, kaip atsakovė, veikia lygiomis teisėmis su kitomis šalimis ir nevykdo viešosios valdžios įgaliojimų, priešingai, nei vykdydama savo užduotis baudžiamosios teisės srityje.

91

Nagrinėjamu atveju iš sprendimo dėl prašymo priimti prejudicinį sprendimą ir Bulgarijos vyriausybės paaiškinimų atsakant į Teisingumo Teismo klausimus matyti, kad ieškinys dėl atsakomybės, dėl kurio iš dalies kilo ginčas pagrindinėje byloje, grindžiamas šio sprendimo 26 punkte nurodytu Valstybės ir savivaldybių atsakomybės už padarytą žalą įstatymu, kuriame įtvirtinta valstybės atsakomybės už žalą, padarytą pažeidus teisę į tai, kad byla būtų išnagrinėta ir sprendimas priimtas per pagrįstą terminą, tvarka, ir kad pagal šio įstatymo 7 straipsnį bylos šalis, atstovaujanti valstybei per procesą tokiu atveju, yra valdžios institucija, kurios neteisėti aktai, veiksmai ar neveikimas padarė žalos.

92

Žalą padariusios institucijos vaidmuo nagrinėjant tokį ieškinį dėl atsakomybės skiriasi nuo atsakovo vaidmens, kai valstybė pareiškia atgręžtinį reikalavimą tarnautojui, kurio asmeninė atsakomybė kyla dėl vykdant jam pavestas užduotis padarytų pažeidimų, nes šis vaidmuo skirtas privatiems interesams ginti (šiuo klausimu žr. 2021 m. gegužės 18 d. Sprendimo Asociaţia Forumul Judecătorilor din România ir kt., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 ir C‑397/19, EU:C:2021:393, 225 punktą).

93

Taigi, atsižvelgiant į tai, kas išdėstyta, konstatuotina, kad valstybės narės prokuratūros atliekamas asmens duomenų, iš pradžių surinktų ir tvarkytų dėl vieno ar kelių Direktyvos 2016/680 1 straipsnio 1 dalyje nurodytų tikslų, tvarkymas siekiant užtikrinti valstybės gynybą, kai pareiškiamas ieškinys dėl atsakomybės, kuriuo reikalaujama atlyginti žalą, padarytą dėl netinkamo prokuratūrai pavestų užduočių vykdymo, iš esmės patenka ne į BDAR 6 straipsnio 1 dalies pirmos pastraipos f punkto, o veikiau į BDAR 6 straipsnio 1 dalies pirmos pastraipos e punkto taikymo sritį.

94

Taip pat negalima atmesti galimybės, kad, kai siekdama užtikrinti valstybės gynybą nagrinėjant ieškinį dėl atsakomybės valstybės narės prokuratūra perduoda asmens duomenis jurisdikciją turinčiam teismui šio prašymu, šis perdavimas taip pat gali patekti į BDAR 6 straipsnio 1 dalies pirmos pastraipos c punkto taikymo sritį, kai pagal taikytiną nacionalinę teisę ši prokuratūra privalo patenkinti tokį prašymą.

95

Šiomis aplinkybėmis siekdamas nustatyti, ar toks asmens duomenų tvarkymas, kaip nagrinėjamas pagrindinėje byloje, patenka į BDAR 6 straipsnio 1 dalies pirmos pastraipos taikymo sritį, prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar, kaip nurodyta šio reglamento 6 straipsnio 3 dalyje, nacionalinėje teisėje nustatytas tokio tvarkymo pagrindas arba, kiek tai susiję su 6 straipsnio 1 dalies pirmos pastraipos e punktu, ar toks tvarkymas būtinas, kad prokuratūra galėtų atlikti viešojo intereso užduotį.

96

Prašymą priimti prejudicinį sprendimą pateikęs teismas taip pat turi nustatyti, ar tai, kad prokuratūra atskleidžia informaciją apie ieškinį dėl žalos atlyginimo pareiškusį asmenį, esančią kitose bylose nei ta, dėl kurios pareikštas šis ieškinys, atitinka kitus BDAR nustatytus reikalavimus, konkrečiai kalbant, BDAR 5 straipsnio 1 dalies c punkte įtvirtintą „duomenų kiekio mažinimo“ principą, pagal kurį asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi, ir kuris yra proporcingumo principo išraiška (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 98 punktą). Be to, jis turi patikrinti, ar asmens duomenys buvo tvarkomi laikantis tinkamų garantijų, visų pirma galimybės veiksmingai komentuoti prokuratūros pateiktą informaciją ir įrodymus, taip pat pagal BDAR 21 straipsnio 1 dalį nesutikti, kad ši informacija ir įrodymai būtų perduoti jurisdikciją turinčiam teismui, išskyrus atvejus, kai ši teisė nesutikti ribojama nacionalinės teisės aktuose pagal šio reglamento 23 straipsnio 1 dalį.

97

Atsižvelgiant į visa tai, kas išdėstyta, į antrąjį klausimą reikia atsakyti:

98

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (penktoji kolegija) nusprendžia: