–

SIA “SS” vārdā – M. Ruķers,

–

Latvijas valdības vārdā – sākotnēji K. Pommere, V. Soņeca un L. Juškeviča, vēlāk – K. Pommere, pārstāves,

–

Beļģijas valdības vārdā – J.‑C. Halleux un P. Cottin, pārstāvji, kuriem palīdz C. Molitor, avocat,

–

Grieķijas valdības vārdā – E.‑M. Mamouna un O. Patsopoulou, pārstāves,

–

Spānijas valdības vārdā – sākotnēji J. Rodríguez de la Rúa Puig un S. Jiménez García, vēlāk – J. Rodríguez de la Rúa Puig, pārstāvji,

–

Eiropas Komisijas vārdā – sākotnēji H. Kranenborg un D. Nardi, kā arī I. Rubene, vēlāk – H. Kranenborg un I. Rubene, pārstāvji,

1

Lūgums sniegt prejudiciālu nolēmumu ir par to, kā jāinterpretē Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; labojums – OV 2018, L 127, 2. lpp.), konkrēti, tās 5. panta 1. punkts.

2

Šis lūgums ir iesniegts saistībā ar tiesvedību strīdā starp SIA “SS” un Valsts ieņēmumu dienestu (Latvija) (turpmāk tekstā – “Latvijas nodokļu administrācija”) par pieprasījumu sniegt informāciju par uzņēmuma “SS” tīmekļvietnē publicētajiem transportlīdzekļu pārdošanas sludinājumiem.

3

Uz LESD 16. panta pamata pieņemtā Regula 2016/679 saskaņā ar tās 99. panta 2. punktu ir piemērojama no 2018. gada 25. maija.

4

Šīs regulas 1., 4., 10., 19., 26., 31., 39., 41. un 50. apsvērumā ir teikts:

[..]

[..]

[..]

[..]

[..]

[..]

[..]

[..]

5

Regulas 2016/679 2. pantā “Materiālā darbības joma” ir noteikts:

“1.   Šo regulu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.

2.   Šo regulu nepiemēro personas datu apstrādei:

[..]”

6

Šīs regulas 4. pants “Definīcijas” ir formulēts šādi:

“Šajā regulā:

[..]

[..]

[..].”

7

Minētās regulas 5. pantā “Personas datu apstrādes principi” ir noteikts:

“1.   Personas dati:

2.   Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).”

8

Šīs pašas regulas 6. pantā “Apstrādes likumīgums” ir paredzēts:

“1.   Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:

Pirmās daļas f) apakšpunktu nepiemēro apstrādei, ko veic publiskas iestādes, pildot savus uzdevumus.

2.   Dalībvalstis var paturēt spēkā vai ieviest konkrētākus noteikumus, lai šīs regulas noteikumu piemērošanu pielāgotu attiecībā uz apstrādi, ko veic, lai ievērotu 1. punkta c) un e) apakšpunktu, nosakot precīzāk konkrētas prasības apstrādei un citus pasākumus, ar ko nodrošina likumīgu un godprātīgu apstrādi, tostarp citās konkrētās apstrādes situācijās, kas paredzētas IX nodaļā.

3.   Šā panta 1. punkta c) un e) apakšpunktā minēto apstrādes pamatu nosaka ar:

Apstrādes nolūku nosaka minētajā juridiskajā pamatā vai – attiecībā uz 1. punkta e) apakšpunktā minēto apstrādi – tas ir vajadzīgs, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras. [..] Savienības vai dalībvalsts tiesību akti atbilst sabiedrības interešu mērķim un ir samērīgi ar izvirzīto leģitīmo mērķi.

4.   Ja apstrāde citā nolūkā nekā tajā, kādā personas dati tika vākti, nav balstīta uz datu subjekta piekrišanu vai uz Savienības vai dalībvalsts tiesību aktiem, kas demokrātiskā sabiedrībā ir vajadzīgs un samērīgs pasākums, lai aizsargātu 23. panta 1. punktā minētos mērķus, pārzinis, lai pārliecinātos, vai apstrāde citā nolūkā ir savietojama ar nolūku, kādā personas dati sākotnēji tika vākti, cita starpā ņem vērā:

9

Atbilstoši Regulas 2016/679 13. panta 3. punktam:

“Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika vākti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.”

10

Šīs regulas 14. pantā ir noteikts:

“1.   Ja personas dati nav iegūti no datu subjekta, pārzinis datu subjektam sniedz šādu informāciju:

[..]

[..].

5.   Šā panta 1.–4. punktu nepiemēro, ja un ciktāl:

[..]

[..].”

11

Atbilstoši minētās regulas 23. panta 1. punkta e) apakšpunktam:

“Saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami datu pārzinim vai apstrādātājam, ar leģislatīvu pasākumu var ierobežot to pienākumu un tiesību darbības jomu, kas paredzēti 12.–22. pantā un 34. pantā, kā arī 5. pantā, ciktāl tā noteikumi atbilst 12.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu:

[..]

[..].”

12

Regulas 2016/679 25. panta 2. punktā ir noteikts:

“Pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai tādi personas dati, kas ir nepieciešami katram konkrētajam apstrādes nolūkam. Minētais pienākums attiecas uz vākto personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. Jo īpaši – ar šādiem pasākumiem nodrošina, ka pēc noklusējuma personas datus bez personas līdzdalības nedara pieejamus nenoteiktam fizisku personu skaitam.”

13

Direktīvas 2016/680 10. un 11. apsvērumā ir teikts:

14

Šīs direktīvas 3. pantā ir noteikts:

“Šajā direktīvā:

[..]

7) “kompetentā iestāde” ir:

[..].”

15

Saskaņā ar likuma “Par nodokļiem un nodevām” (Latvijas Vēstnesis, 1995, Nr. 26), redakcijā, kas piemērojama pamatlietā (turpmāk tekstā – “Nodokļu un nodevu likums”), 15. panta sesto daļu interneta sludinājumu ievietošanas pakalpojuma sniedzējam ir pienākums pēc Latvijas nodokļu administrācijas pieprasījuma sniegt tā rīcībā esošo informāciju par nodokļu maksātājiem, kuri, izmantojot tā pakalpojumus, izvietojuši sludinājumus.

16

“SS” ir Latvijā reģistrēts uzņēmums, kas sniedz internetā publicētu sludinājumu pakalpojumus.

17

2018. gada 28. augustā Latvijas nodokļu administrācija uzņēmumam “SS” nosūtīja informācijas pieprasījumu, pamatojoties uz Nodokļu un nodevu likuma 15. panta sesto daļu, kurā tā lūdza šo uzņēmumu atjaunot šīs nodokļu administrācijas piekļuvi informācijai par minētā uzņēmuma interneta portālā publicētajos sludinājumos minēto transportlīdzekļu šasijas numuriem, kā arī pārdevēju tālruņa numuriem un līdz 2018. gada 3. septembrim tai sniegt informāciju par sludinājumiem, kas laikposmā no 2018. gada 14. jūlija līdz 31. augustam tika publicēti šā portāla sadaļā “Vieglie auto”.

18

Šajā pieprasījumā tika precizēts, ka šī informācija ar saiti uz sludinājumu, sludinājuma tekstu, transportlīdzekļa marku, modeli, šasijas numuru, cenu, kā arī pārdevēja tālruņa numuru ir jāiesniedz elektroniski tādā formātā, kurā ir iespējama datu filtrēšana vai atlase.

19

Turklāt gadījumā, ja piekļuvi attiecīgajai interneta portālā publicētajos sludinājumos ietvertajai informācijai nebūtu iespējams atjaunot, uzņēmumam “SS” tika lūgts norādīt iemeslu, kādēļ tas nav iespējams, kā arī turpmāk līdz katra mēneša trešajam datumam sniegt attiecīgo informāciju par iepriekšējā mēnesī publicētajiem sludinājumiem.

20

Uzskatot, ka Latvijas nodokļu administrācijas informācijas pieprasījums neatbilst Regulā 2016/679 nostiprinātajiem samērīguma un personas datu minimizēšanas principiem, uzņēmums “SS” par šo pieprasījumu iesniedza sūdzību Latvijas nodokļu administrācijas ģenerāldirektora pienākumu izpildītājai.

21

Ar 2018. gada 30. oktobra lēmumu viņa šo sūdzību noraidīja, norādot tostarp, ka pamatlietā aplūkotajā personas datu apstrādē Latvijas nodokļu administrācija īsteno tai likumā noteiktās pilnvaras.

22

Uzņēmums “SS” vērsās Administratīvajā rajona tiesā (Latvija) ar pieteikumu par šā lēmuma atcelšanu. Papildus sūdzībā jau izklāstītajiem argumentiem tas apgalvoja, ka minētajā lēmumā nav norādīts nedz Latvijas nodokļu administrācijas iecerētās personas datu apstrādes konkrētais mērķis, nedz tālab nepieciešamais datu apjoms un tādējādi ir pārkāpts Regulas 2016/679 5. panta 1. punkts.

23

Ar 2019. gada 21. maija spriedumu Administratīvā rajona tiesa šo prasību noraidīja, būtībā norādot, ka Latvijas nodokļu administrācija ir tiesīga pieprasīt piekļuvi jebkāda apjoma informācijai par ikvienu personu, ja vien attiecīgā informācija nav uzskatāma par neatbilstošu nodokļu administrēšanas mērķiem. Šī tiesa arī uzskatīja, ka Regulas 2016/679 normas šai administrācijai nav piemērojamas.

24

Par šo spriedumu uzņēmums “SS” iesniedza apelācijas sūdzību iesniedzējtiesā, apgalvojot, pirmkārt, ka Latvijas nodokļu administrācijai ir saistošas Regulas 2016/679 normas un, otrkārt, ka, pieprasīdama ik mēnesi un bez ierobežojuma laikā iesniegt ievērojama apjoma personas datus par neierobežotu sludinājumu skaitu, taču nenorādīdama konkrētus nodokļu maksātājus, attiecībā uz kuriem būtu sākta pārbaude nodokļu jomā, šī administrācija ir pārkāpusi samērīguma principu.

25

Iesniedzējtiesa norāda, ka pamatlietā nav strīda nedz par to, ka attiecīgā informācijas pieprasījuma izpilde ir nedalāmi saistīta ar personas datu apstrādi, nedz par to, ka Latvijas nodokļu administrācijai ir tiesības iegūt tādus interneta sludinājumu ievietošanas pakalpojuma sniedzēja rīcībā esošos datus, kas nepieciešami konkrētu nodokļu administrēšanas pasākumu veikšanai.

26

Strīds pamatlietā esot par to, kādā apjomā un kāda veida informāciju drīkst pieprasīt Latvijas nodokļu administrācija, vai tās apjoms var būt neierobežots, kā arī par to, vai uzņēmumam “SS” uzliktajam informācijas sniegšanas pienākumam ir jābūt ierobežotam laikā.

27

Konkrēti, iesniedzējtiesa uzskata, ka tai ir jānoskaidro, vai – pamatlietas apstākļos – personas datu apstrāde tiek veikta datu subjektiem pārredzamā veidā, vai informācijas pieprasījumā norādītā informācija ir pieprasīta konkrētos, skaidros un leģitīmos nolūkos un vai personas datu apstrāde tiek veikta tikai tādā apjomā, kas patiešām nepieciešams Latvijas nodokļu administrācijas funkciju izpildei Regulas 2016/679 5. panta 1. punkta izpratnē.

28

Tālab esot jānosaka kritēriji, pēc kuriem ir izvērtējams, vai ar Latvijas nodokļu administrācijas izdoto informācijas pieprasījumu tiek ievērota pamattiesību un pamatbrīvību būtība un vai pamatlietā aplūkotais informācijas pieprasījums var tikt atzīts par demokrātiskā sabiedrībā nepieciešamu un samērīgu, lai garantētu svarīgus Eiropas Savienības un Latvijas sabiedrības interešu mērķus budžeta un nodokļu jautājumos.

29

Šādos apstākļos Administratīvā apgabaltiesa (Latvija) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

30

Ar pirmo jautājumu iesniedzējtiesa būtībā jautā, vai Regulas 2016/679 normas ir jāinterpretē tādējādi, ka dalībvalsts nodokļu administrācijai, ievācot no saimnieciskās darbības subjekta ievērojamu apjomu personas datu ietverošu informāciju, ir jāievēro prasības, kas noteiktas šajā regulā, konkrēti – tās 5. panta 1. punktā.

31

Lai atbildētu uz šo jautājumu, ir jānoskaidro, pirmām kārtām, vai šāds pieprasījums ietilpst Regulas 2016/679 materiālajā piemērošanas jomā, kas noteikta tās 2. panta 1. punktā, un, otrām kārtām, vai tā nav viena no personas datu apstrādēm, kuras šīs regulas 2. panta 2. punkts izslēdz no šīs piemērošanas jomas.

32

Pirmām kārtām, Regulu 2016/679 – atbilstoši tās 2. panta 1. punktā noteiktajam – piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.

33

Regulas 2016/679 4. panta 1. punktā ir precizēts, ka “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu, proti, tādu fizisku personu, kuru var tieši vai netieši identificēt, jo īpaši, atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem. Šīs regulas 26. apsvērumā šajā ziņā ir precizēts, ka tālab, lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot, lai tieši vai netieši identificētu fizisku personu.

34

Pamatlietā nav strīda par to, ka Latvijas nodokļu administrācijas pieprasītā informācija ir personas dati Regulas 2016/679 4. panta 1. punkta izpratnē.

35

Saskaņā ar šīs regulas 4. panta 2. punktu personas datu vākšana, aplūkošana, izpaušana nosūtot, kā arī jebkāda veida darīšana par pieejamiem ir “apstrāde” minētās regulas izpratnē. No šīs tiesību normas, konkrēti – vārdkopas “jebkura [..] darbība”, formulējuma izriet ka jēdzienu “apstrāde” Savienības likumdevējs ir vēlējies apveltīt ar plašu tvērumu. Šādu interpretāciju apstiprina apstāklis, ka šajā normā minēto darbību uzskaitījums – kā apliecina vārda “piemēram” lietojums – nav izsmeļošs.

36

Šajā gadījumā Latvijas nodokļu administrācija pieprasa attiecīgajam saimnieciskās darbības subjektam atjaunot šīs administrācijas dienestu piekļuvi tā interneta portālā publicētajos sludinājumos norādīto transportlīdzekļu šasijas numuriem un sniegt tai informāciju par šajā portālā publicētajiem sludinājumiem.

37

Ar šādu pieprasījumu – ar ko dalībvalsts nodokļu administrācija pieprasa saimnieciskās darbības subjektam sniegt un darīt pieejamus personas datus, kuri tam ir šai administrācijai jāiesniedz un jādara pieejami saskaņā ar šīs dalībvalsts tiesību aktiem, – tiek sākts šo datu “vākšanas” process Regulas 2016/679 4. panta 2. punkta izpratnē.

38

Turklāt attiecīgā saimnieciskās darbības subjekta veiktā minēto datu izpaušana un darīšana par šai administrācijai pieejamiem nozīmē “apstrādi” šā 4. panta 2. punkta izpratnē.

39

Otrām kārtām, ir jāizvērtē, vai darbība, ar kuru dalībvalsts nodokļu administrācija vēlas no saimnieciskās darbības subjekta ievākt konkrētu nodokļu maksātāju personas datus, var tikt uzskatīta par izslēgtu no Regulas 2016/679 piemērošanas jomas saskaņā ar tās 2. panta 2. punktu.

40

Šajā ziņā vispirms jāatgādina, ka šajā tiesību normā ir paredzēti izņēmumi no šīs regulas piemērošanas jomas, kas definēta tās 2. panta 1. punktā, un ka šie izņēmumi ir jāinterpretē šauri (spriedums, 2020. gada 16. jūlijs, Facebook Ireland un Schrems, C‑311/18, EU:C:2020:559, 84. punkts).

41

Konkrēti, Regulas 2016/679 2. panta 2. punkta d) apakšpunktā ir noteikts, ka šo regulu nepiemēro personas datu apstrādei, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus.

42

Kā izriet no šīs regulas 19. apsvēruma, šo izņēmumu pamato apstāklis, ka personas datu apstrādi, ko šādos nolūkos veic kompetentās iestādes, reglamentē speciāls Savienības tiesību akts, proti, Direktīva 2016/680, kura tika pieņemta tajā pašā dienā kā Regula 2016/679 un kuras 3. panta 7. punktā ir definēts, kas ir jāsaprot ar “kompetento iestādi”, un šī definīcija pēc analoģijas ir jāpiemēro arī šīs regulas 2. panta 2. punkta d) apakšpunktam (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 69. punkts).

43

No Direktīvas 2016/680 10. apsvēruma izriet, ka jēdziens “kompetentā iestāde” ir jāsaprot kā saistīts ar personas datu aizsardzību tiesu iestāžu sadarbības krimināllietās un policijas sadarbības jomā, ņemot vērā pielāgojumus, kas šajā ziņā var izrādīties nepieciešami šo jomu specifisko iezīmju dēļ. Turklāt šīs direktīvas 11. apsvērumā ir precizēts, ka personas datu apstrādei, ko“kompetentā iestāde” minētās direktīvas 3. panta 7. punkta izpratnē veic citos, nevis šajā direktīvā paredzētajos nolūkos, ir piemērojama Regula 2016/679 (spriedums, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 70. punkts).

44

Tādējādi nešķiet, ka saistībā ar pieprasījumu saimnieciskās darbības subjektam tai sniegt noteiktu nodokļu maksātāju personas datus tālab, lai varētu veikt nodokļu administrēšanu un apkarotu krāpšanu nodokļu jomā, dalībvalsts nodokļu administrācija būtu uzskatāma par “kompetento iestādi” Direktīvas 2016/680 3. panta 7. punkta izpratnē, nedz arī – ka uz šādiem pieprasījumiem varētu attiekties Regulas 2016/679 2. panta 2. punkta d) apakšpunktā paredzētais izņēmums.

45

Turklāt, lai arī nav izslēgts, ka pamatlietā aplūkotie personas dati varētu tikt izmantoti kriminālvajāšanai, kas nodokļu jomā izdarītu pārkāpumu gadījumā varētu tikt veikta pret konkrētām attiecīgajām personām, nešķiet, ka šie dati būtu vākti konkrēti nolūkā veikt šādu kriminālvajāšanu vai saistībā ar valsts pasākumiem krimināltiesību jomās (šajā nozīmē skat. spriedumu, 2017. gada 27. septembris, Puškár, C‑73/16, EU:C:2017:725, 40. punkts).

46

Tāpēc dalībvalsts nodokļu administrācijas veikta ar ekonomikas operatora tīmekļvietnē publicētajiem transportlīdzekļu pārdošanas sludinājumiem saistīto personas datu vākšana ietilpst Regulas 2016/679 materiālajā piemērošanas jomā un līdz ar to tajā ir jāievēro tostarp šīs regulas 5. pantā noteiktie personas datu apstrādes principi.

47

Ņemot vērā visus iepriekš izklāstītos apsvērumus, uz pirmo jautājumu ir atbildams, ka Regulas 2016/679 normas ir jāinterpretē tādējādi, ka dalībvalsts nodokļu administrācijai, ievācot no saimnieciskās darbības subjekta ievērojamu apjomu personas datu ietverošu informāciju, ir jāievēro prasības, kas noteiktas šajā regulā, konkrēti – tās 5. panta 1. punktā.

48

Ar otro jautājumu iesniedzējtiesa būtībā jautā, vai Regulas 2016/679 normas ir jāinterpretē tādējādi, ka dalībvalsts nodokļu administrācija drīkst atkāpties no šīs regulas 5. panta 1. punkta noteikumiem, lai gan šādas tiesības tai šīs dalībvalsts tiesību aktos nav piešķirtas.

49

Ievadam jāatgādina, ka Regulas 2016/679 mērķis – kā izriet no tās 10. apsvēruma – tostarp ir nodrošināt augsta līmeņa aizsardzību fiziskām personām Savienībā.

50

Tālab Regulas 2016/679 II nodaļā ir noteikti personas datu apstrādes principi un III nodaļā – datu subjektu tiesības, kas ir jāievēro ikvienā personas datu apstrādē. Konkrēti, jebkurai personas datu apstrādei ir jāatbilst tostarp minētās regulas 5. pantā noteiktajiem šo datu apstrādes principiem (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 208. punkts).

51

Tomēr Regulas 2016/679 23. pantā Savienībai un dalībvalstīm ir ļauts veikt “leģislatīvus pasākumus”, lai ierobežotu tostarp šīs regulas 5. pantā paredzēto pienākumu un tiesību tvērumu, ciktāl šie pienākumi un tiesības atbilst 12.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu tādus svarīgus Savienības vai attiecīgās dalībvalsts vispārējo sabiedrības interešu mērķus kā, piemēram, svarīgas ekonomiskās vai finanšu intereses, tostarp budžeta un nodokļu jomās.

52

Šajā ziņā no Regulas 2016/679 41. apsvēruma izriet, ka šajā regulā ietvertā norāde uz “leģislatīvu pasākumu” nenozīmē, ka obligāti būtu vajadzīgs parlamenta pieņemts leģislatīvs akts.

53

Tomēr jāatgādina, ka Regulā 2016/679 – kā teikts tās 4. apsvērumā – tiek ievērotas visas Hartā atzītās un Līgumos nostiprinātās pamattiesības, brīvības un principi, kuru vidū ir arī personas datu aizsardzība.

54

Hartas 52. panta 1. punkta pirmajā teikumā ir noteikts, ka visiem Hartā atzīto tiesību un brīvību – kuru vidū ir arī Hartas 7. pantā garantētā privātās dzīves neaizskaramība un tās 8. pantā nostiprinātās tiesības uz personas datu aizsardzību – izmantošanas ierobežojumiem ir jābūt noteiktiem tiesību aktos; un tas nozīmē konkrēti to, ka attiecīgo tiesību izmantošanas ierobežojuma tvērumam ir jābūt noteiktam jau pašā iejaukšanos šajās tiesībās pieļaujošajā juridiskajā pamatā (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, Privacy International, C‑623/17, EU:C:2020:790, 65. punkts un tajā minētā judikatūra).

55

Šajā ziņā Tiesa ir turklāt nospriedusi, ka tiesiskajā regulējumā, kas paredz šādu iejaukšanos pieļaujošu pasākumu, ir jāparedz skaidri un precīzi noteikumi par attiecīgā pasākuma tvērumu un piemērošanu un minimālajām prasībām, lai tā rezultātā personām, kuru personas dati tikuši pārsūtīti, būtu pietiekamas garantijas, kas ļautu šos datus efektīvi aizsargāt pret ļaunprātīgas izmantošanas risku (šajā nozīmē skat. spriedumu, 2021. gada 2. marts, Prokuratuur (Piekļuves elektronisko komunikāciju datiem nosacījumi), C‑746/18, EU:C:2021:152, 48. punkts un tajā minētā judikatūra).

56

Līdz ar to ikvienam saskaņā ar Regulas 2016/679 23. pantu pieņemtajam pasākumam – kā Savienības likumdevējs to turklāt ir uzsvēris šīs regulas 41. apsvērumā – ir jābūt skaidram un precīzam, un tā piemērošanai ir jābūt paredzamai personām, uz kurām tas attiecas. Konkrēti, šīm personām ir jāspēj identificēt apstākļus un nosacījumus, kādos tām šajā regulā piešķirto tiesību apjoms var tikt ierobežots.

57

No iepriekš izklāstītajiem apsvērumiem izriet, ka dalībvalsts nodokļu administrācija nedrīkst atkāpties no Regulas 2016/679 5. panta noteikumiem, ja šādai rīcībai Savienības vai dalībvalsts tiesībās nav skaidra un precīza juridiska pamata, kura piemērošanai ir jābūt paredzamai personām, uz kurām tas attiecas, un kurā ir paredzēti apstākļi un nosacījumi, kādos šajā 5. pantā paredzēto pienākumu un tiesību apjoms var tikt ierobežots.

58

Tāpēc uz otro jautājumu ir atbildams, ka Regulas 2016/679 normas ir jāinterpretē tādējādi, ka dalībvalsts nodokļu administrācija nedrīkst atkāpties no šīs regulas 5. panta 1. punktā noteiktā, ja šādas tiesības tai nav piešķirtas ar leģislatīvu pasākumu minētās regulas 23. panta 1. punkta izpratnē.

59

Ar trešo līdz devīto jautājumu, kuri ir jāizvērtē kopā, iesniedzējtiesa būtībā jautā, vai Regulas 2016/679 normas ir jāinterpretē tādējādi, ka tām ir pretrunā, ka dalībvalsts nodokļu administrācija interneta sludinājumu ievietošanas pakalpojumu sniedzējam uzliek pienākumu tai – neierobežoti ilgā laikā un neprecizējot šā informācijas pieprasījuma mērķi – sniegt informāciju par visiem nodokļu maksātājiem, kas publicējuši sludinājumus kādā no tā interneta portāla sadaļām.

60

Ievadam jānorāda, ka – tādā situācijā kā pamatlietā aplūkotā – personas dati var tikt apstrādāti divējādi. Kā redzams no šā sprieduma 37. un 38. punkta, runa ir par nodokļu administrācijas veikto personas datu vākšanu no attiecīgā pakalpojumu sniedzēja un tās ietvaros – šā pakalpojumu sniedzēja veikto šo datu izpaušanu, tos nosūtot šai administrācijai.

61

Kā izriet no šā sprieduma 50. punktā minētās judikatūras, katrā no šīm apstrādes darbībām – ja vien saskaņā ar Regulas 2016/679 23. pantā pieļautajām atkāpēm nav noteikts citādi – ir jāievēro šīs regulas 5. pantā noteiktie personas datu apstrādes principi, kā arī tās 12.–22. pantā noteiktās datu subjekta tiesības.

62

Šajā gadījumā iesniedzējtiesai šaubīties liek konkrēti apstāklis, ka, pirmkārt, šā sprieduma 60. punktā minētās apstrādes attiecas uz neierobežota apjoma informāciju par nenoteikta ilguma laikposmu un, otrkārt, ka informācijas pieprasījumā nav norādīts konkrēts šīs apstrādes nolūks.

63

Šajā ziņā ir jāuzsver, pirmām kārtām, ka Regulas 2016/679 5. panta 1. punkta b) apakšpunktā ir paredzēts, ka personas datiem jābūt vāktiem tostarp konkrētos, skaidros un leģitīmos nolūkos.

64

Pirmkārt, prasība par to, ka ir jākonkretizē apstrādes nolūki, nozīmē – kā izriet no šīs regulas 39. apsvēruma –, ka tiem ir jābūt norādītiem jau personas datu vākšanas laikā.

65

Otrkārt, apstrādes nolūkiem ir jābūt skaidriem, un tas nozīmē, ka tiem ir jābūt skaidri norādītiem.

66

Treškārt, šiem nolūkiem ir jābūt leģitīmiem. Tāpēc ir svarīgi, lai tie nodrošinātu likumīgu apstrādi minētās regulas 6. panta 1. punkta izpratnē.

67

Šā sprieduma 60. punktā minētās apstrādes tiek sāktas ar personas datu izpaušanas pieprasījumu, ko Latvijas nodokļu administrācija nosūta interneta sludinājumu ievietošanas pakalpojuma sniedzējam. Šajā ziņā ir skaidrs, ka saskaņā ar Nodokļu un nodevu likuma 15. panta sesto daļu šim pakalpojumu sniedzējam šis pieprasījums ir jāapmierina.

68

Ievērojot šā sprieduma 64. un 65. punktā izklāstītos apsvērumus, ir nepieciešams, lai šajā pieprasījumā tiktu skaidri norādīti šo apstrāžu nolūki.

69

Ja vien minētajā pieprasījumā šādi norādītie nolūki ir nepieciešami, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot nodokļu administrācijai likumīgi piešķirtās oficiālās pilnvaras, ar šo apstākli ir pietiekami – kā izriet no Regulas 2016/679 6. panta 1. punkta pirmās daļas ievaddaļas un e) apakšpunkta, lasot šo normu kopsakarā ar šīs regulas 6. panta 3. punkta otro daļu –, lai minētās apstrādes atbilstu arī šā sprieduma 66. punktā atgādinātajai likumīguma prasībai.

70

Šajā ziņā jāatgādina, ka nodokļu administrēšana un cīņa pret krāpšanu nodokļu jomā ir uzskatāmas par sabiedrības interesēs veicamu uzdevumu Regulas 2016/679 6. panta 1. punkta pirmās daļas e) apakšpunkta izpratnē (pēc analoģijas skat. spriedumu, 2017. gada 27. septembris, Puškár, C‑73/16, EU:C:2017:725, 108. punkts).

71

No tā secināms, ka gadījumā, ja attiecīgā personas datu izpaušana ir nevis tieši balstīta uz to pamatojošo tiesību normu, bet gan izriet no kompetentās valsts iestādes pieprasījuma, šajā pieprasījumā ir jābūt precizētam, kādiem konkrētiem nolūkiem saistībā ar sabiedrības interesēs veicamu uzdevumu vai likumīgi piešķirto oficiālo pilnvaru īstenošanu šie dati tiek vākti; un tas ir darāms tālab, lai šā pieprasījuma adresātam ļautu pārliecināties, ka attiecīgo personas datu nosūtīšana ir likumīga, un dalībvalstu tiesām pārbaudīt attiecīgo apstrāžu likumību.

72

Otrām kārtām, saskaņā ar Regulas 2016/679 5. panta 1. punkta c) apakšpunktu personas datiem ir jābūt adekvātiem, atbilstīgiem un jāietver tikai tas, kas nepieciešams to apstrādes nolūkos.

73

Šajā ziņā jāatgādina pastāvīgās judikatūras atziņa, ka atkāpes no šādu datu aizsardzības principa un tā ierobežojumi ir piemērojami tikai tiktāl, cik tas ir strikti nepieciešams (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 110. punkts un tajā minētā judikatūra).

74

No tā izriet, ka pārzinis – tostarp tad, kad tas rīkojas, izpildot tam uzticēto sabiedrības interesēs veicamo uzdevumu, – nedrīkst vispārīgi un nediferencējot ievākt personas datus un tam ir jāatturas no tādu datu vākšanas, kuri nav strikti nepieciešami apstrādes nolūkos.

75

Šajā gadījumā jānorāda, ka – atbilstoši šā sprieduma 17.–19. punktā teiktajam – Latvijas nodokļu administrācija attiecīgajam saimnieciskās darbības subjektam pieprasīja tai iesniegt datus par vieglo automobiļu pārdošanas sludinājumiem, kas publicēti tā tīmekļvietnē laikā no 2018. gada 14. jūlija līdz 31. augustam, un gadījumā, ja piekļuvi šai informācijai nav iespējams atjaunot – vēlākais līdz katra mēneša trešajam datumam tai iesniegt datus par iepriekšējā mēnesī tā tīmekļvietnē publicētajiem vieglo automobiļu pārdošanas sludinājumiem, pēdējam no minētajiem pieprasījumiem nenosakot nekādu ierobežojumu laikā.

76

Ievērojot šā sprieduma 74. punktā izklāstītos apsvērumus, iesniedzējtiesai ir jāpārbauda, vai šo datu vākšanas mērķis var tikt sasniegts arī tad, ja Latvijas nodokļu administrācijas rīcībā iespējami nebūtu datu par visiem minētā saimnieciskās darbības subjekta tīmekļvietnē publicētajiem vieglo automobiļu pārdošanas sludinājumiem, un, konkrēti, vai ir iespējams šai administrācijai, izmantojot specifiskus kritērijus, mērķorientēti atlasīt noteiktus sludinājumus.

77

Šajā kontekstā jāuzsver, ka saskaņā ar Regulas 2016/679 5. panta 2. punktā noteikto pārskatatbildības principu pārzinim ir jāspēj uzskatāmi pierādīt, ka tas ievēro šā panta 1. punktā noteiktos personas datu apstrādes principus.

78

Tāpēc tieši Latvijas nodokļu administrācija ir tā, kurai ir jāpierāda, ka saskaņā ar šīs regulas 25. panta 2. punktu tā ir centusies vācamo personas datu apjomu cik vien iespējams minimizēt.

79

Runājot par to, ka Latvijas nodokļu administrācijas nosūtītais informācijas pieprasījums – gadījumā, ja attiecīgais sludinājumu ievietošanas pakalpojumu sniedzējs neatjauno piekļuvi šajā pieprasījumā norādītajā periodā publicētajiem sludinājumiem, – neparedz nekādu laika ierobežojumu, ir jāatgādina, ka, ņemot vērā datu minimizēšanas principu, pārzinim ir arī pienākums ierobežot attiecīgo personas datu vākšanas laikposmu līdz tam, kas ir strikti nepieciešams, ievērojot iecerētās apstrādes mērķi.

80

Tāpēc laika periods, par kādu ir ievācami dati, nedrīkst pārsniegt to, kas ir strikti nepieciešams, lai sasniegtu izvirzīto vispārējo interešu mērķi.

81

Kā izriet no šā sprieduma 77. punkta, pierādīšanas pienākums šajā ziņā ir Latvijas nodokļu administrācijai.

82

Tomēr apstāklis, ka minētie dati tiek vākti, Latvijas nodokļu administrācijai pašā informācijas pieprasījumā nenosakot šīs apstrādes laika ierobežojumu, pats par sevi vien neļauj uzskatīt, ka apstrādes ilgums pārsniegtu to, kas ir strikti nepieciešams, lai sasniegtu izvirzīto mērķi.

83

Taču šajā kontekstā ir jāatgādina, ka, lai izpildītu Regulas 2016/679 5. panta 1. punkta c) apakšpunktā formulēto samērīguma principu (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 98. punkts un tajā minētā judikatūra), apstrādi pamatojošajā tiesiskajā regulējumā ir jāparedz skaidri un precīzi noteikumi, kas reglamentē attiecīgā pasākuma tvērumu un piemērošanu un paredz minimālās prasības, lai tā rezultātā attiecīgo personas datu subjektiem būtu pietiekamas garantijas, kas ļautu šos datus efektīvi aizsargāt pret ļaunprātīgas izmantošanas risku. Šim tiesiskajam regulējumam ir jābūt juridiski saistošam valsts tiesībās, un tajā it īpaši ir jānorāda, kādos apstākļos un saskaņā ar kādiem nosacījumiem var īstenot pasākumu, kas ietver šādu datu apstrādi, tādējādi garantējot, ka šāda iejaukšanās notiek tikai strikti nepieciešamajā apmērā (spriedums, 2020. gada 6. oktobris, Privacy International, C‑623/17, EU:C:2020:790, 68. punkts un tajā minētā judikatūra).

84

No tā izriet, ka valsts tiesiskajam regulējumam, kurā ir reglamentēts tāds informācijas pieprasījums kā pamatlietā aplūkotais, ir jābūt balstītam uz objektīviem kritērijiem, lai noteiktu apstākļus un nosacījumus, kādos tiešsaistes pakalpojumu sniedzējam ir jānosūta savu lietotāju personas dati (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, Privacy International, C‑623/17, EU:C:2020:790, 78. punkts un tajā minētā judikatūra).

85

Ievērojot visus iepriekš izklāstītos apsvērumus, uz trešo līdz devīto jautājumu ir atbildams, ka Regulas 2016/679 normas ir jāinterpretē tādējādi, ka tām nav pretrunā, ka dalībvalsts nodokļu administrācija interneta sludinājumu ievietošanas pakalpojumu sniedzējam uzliek pienākumu tai sniegt informāciju par visiem nodokļu maksātājiem, kas publicējuši sludinājumus kādā no tā interneta portāla sadaļām, ja vien – cita starpā – šie dati ir nepieciešami, ņemot vērā konkrētos nolūkus, kuriem tie ir vākti, un laikposms, par kuru šie dati tiek vākti, ilguma ziņā nepārsniedz attiecīgo vispārējo interešu mērķa sasniegšanai strikti nepieciešamo.

86

Attiecībā uz pamatlietas pusēm šī tiesvedība ir stadija procesā, kuru izskata iesniedzējtiesa, un tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

Ar šādu pamatojumu Tiesa (piektā palāta) nospriež: