Pagaidu versija

ĢENERĀLADVOKĀTA MACEJA ŠPUNARA

[MACIEJ SZPUNAR] SECINĀJUMI,

sniegti 2024. gada 11. jūlijā (1)

Lieta C‑394/23

Association Mousse

pret

Commission nationale de l’informatique et des libertés (CNIL),

SNCF Connect

(Conseil d’État (Valsts padome, Francija) lūgums sniegt prejudiciālu nolēmumu)

Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – 6. panta 1. punkts – Apstrādes likumīguma princips – 5. panta 1. punkta c) apakšpunkts – Datu minimizēšanas princips – Uzruna – Transporta pakalpojumu iegāde tiešsaistē – 21. pants – Tiesības iebilst

I.      Ievads

1.        Regulas (ES) 2016/679 (2) (turpmāk tekstā –”VDAR”) mērķis ir nodrošināt fizisku personu augsta līmeņa aizsardzību attiecībā uz viņu personas datu apstrādi. Tālab tā pārziņiem ir noteic pienākumu personas datu apstrādē ievērot noteiktus principus, tostarp “datu minimizēšanas” principu un apstrādes likumīguma principu.

2.        Par abiem šiem principiem būtībā ir šī lieta, kurā izskatīts strīds starp kādu biedrību un valsts uzraudzības iestādi par to, kā transporta uzņēmums apstrādā savu klientu uzrunas datus norādītajam mērķim tos izmantot komerciālajā saziņā un kura tādējādi sniedz Tiesai iespēju precizēt šo principu tvērumu.

II.    Atbilstošās tiesību normas

A.      Savienības tiesību normas

3.        VDAR 4., 10., 39., 40., 44., 47., 69. un 75. apsvērumā ir teikts:

“(4)      Personas datu apstrāde būtu jāveido tā, lai tā kalpotu cilvēkam. Tiesības uz personas datu aizsardzību nav absolūta prerogatīva; tās ir jāņem vērā saistībā ar to funkciju sabiedrībā un jālīdzsvaro ar citām pamattiesībām saskaņā ar proporcionalitātes principu. Šajā regulā ir ievērotas visas pamattiesības, brīvības un principi, kas atzīti [Eiropas Savienības Pamattiesību hartā (turpmāk tekstā – “Harta”)] un ietverti Līgumos, jo īpaši privātās un ģimenes dzīves, mājokļa un saziņas neaizskaramība, personas datu aizsardzība, domu, pārliecības un ticības brīvība, vārda un informācijas brīvība, darījumdarbības brīvība, tiesības uz efektīvu tiesību aizsardzību un taisnīgu tiesu un kultūru, reliģiju un valodu daudzveidība.

[..]

(10)      Lai nodrošinātu konsekventu un augsta līmeņa aizsardzību fiziskām personām un novērstu šķēršļus personu datu apritei Savienībā, fiziskas personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs vajadzētu būt vienādam. Visā Savienībā būtu jānodrošina noteikumu par fiziskas personas pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi vienveidīga piemērošana. [..]

[..]

(39)      [..] Personas datiem vajadzētu būt adekvātiem, atbilstīgiem, un tiem būtu jāietver tikai tas, kas nepieciešams tiem nolūkiem, kādos tie tiek apstrādāti. [..] Personas dati būtu jāapstrādā tikai tad, ja apstrādes nolūku nav iespējams pienācīgi sasniegt citiem līdzekļiem. [..]

(40)      Lai apstrāde būtu likumīga, personas dati būtu jāapstrādā, pamatojoties uz attiecīgā datu subjekta piekrišanu vai kādu citu leģitīmu pamatu, kas noteikts vai nu šajā regulā, vai citā Savienības vai dalībvalsts tiesību aktā, kā minēts šajā regulā, tostarp [..] lai izpildītu līgumu, kurā datu subjekts ir līgumslēdzēja puse, vai lai veiktu pasākumus pēc datu subjekta pieprasījuma pirms līguma noslēgšanas.

[..]

(44)      Apstrādei vajadzētu būt likumīgai, ja tas ir nepieciešams saistībā ar līgumu vai nodomu noslēgt līgumu.

[..]

(47)      Pārziņa, tostarp tāda pārziņa, kuram personas dati var tikt izpausti, vai trešās personas leģitīmās intereses var būt apstrādes juridiskais pamats ar noteikumu, ka datu subjekta intereses vai pamattiesības un pamatbrīvības nav svarīgākas, ņemot vērā saprātīgas datu subjektu gaidas, kuru pamatā ir viņu attiecības ar pārzini. Šādas leģitīmas intereses varētu būt, piemēram, tad, ja starp datu subjektu un pārzini pastāv būtiskas un atbilstošas attiecības, piemēram, ja datu subjekts ir pārziņa klients [..]. Jebkurā gadījumā būtu rūpīgi jāizvērtē, vai pastāv leģitīmas intereses, tostarp, vai datu subjekts personas datu vākšanas laikā un saistībā ar to var pamatoti sagaidīt, ka var notikt minētajā nolūkā paredzēta apstrāde. [..] Personas datu apstrāde tikai tādā apjomā, kas vajadzīgs, lai novērstu krāpšanu, arī ir attiecīgā datu pārziņa leģitīmās interesēs. Var uzskatīt, ka personas datu apstrāde tiešās tirgvedības vajadzībām ir veikta leģitīmās interesēs.

[..]

(69)      Ja personas datus var likumīgi apstrādāt tāpēc, ka apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras, vai arī pamatojoties uz pārziņa vai trešās personas leģitīmajām interesēm, datu subjektam tomēr vajadzētu būt tiesībām iebilst pret to, ka tiek apstrādāti personas dati, kas attiecas uz viņa konkrēto situāciju. Pārzinim būtu jāpierāda, ka viņa pārliecinošās leģitīmās intereses ir svarīgākas par datu subjekta pamattiesībām un brīvībām.

[..]

(75)      Risku fizisku personu tiesībām un brīvībām – ar atšķirīgu iespējamību un nopietnību – var radīt personas datu apstrāde, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu, jo īpaši, ja apstrāde var izraisīt diskrimināciju [..].”

4.        Saskaņā ar VDAR 2. panta 1. punktu šo regulu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.

5.        VDAR 4. pantā “Definīcijas” ir noteikts:

“Šajā regulā:

1)      “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu [..]

2)      “apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija [..]

[..]

7)      “pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus [..]

[..]

11)      datu subjekta “piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei;

[..].”

6.        VDAR 5. pantā “Personas datu apstrādes principi” ir noteikts:

“1.      Personas dati:

a)      tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”);

[..]

c)      ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos (“datu minimizēšana”);

d)      ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”);

[..]”

7.        VDAR 6. panta “Apstrādes likumīgums” 1. punktā ir noteikts:

“Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:

a)      datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;

b)      apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;

c)      apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu;

d)      apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses;

e)      apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras;

f)      apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns.

[..]”

8.        VDAR 13. pantā “Informācija, kas jāsniedz, ja personas dati ir iegūti no datu subjekta” ir noteikts:

“1.      Ja datu subjekta personas datus vāc no datu subjekta, pārzinis personas datu iegūšanas laikā datu subjektam sniedz visu šādu informāciju:

[..]

d)      pārziņa vai trešās personas leģitīmās intereses, ja apstrāde pamatojas uz 6. panta 1. punkta f) apakšpunktu;

[..].”

9.        VDAR 21. panta “Tiesības iebilst” 1. punktā ir noteikts:

“Datu subjektam, balstoties uz iemesliem saistībā ar viņa īpašo situāciju, ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi, kas pamatojas uz 6. panta 1. punkta e) vai f) apakšpunktu, tostarp profilēšanu, kas pamatojas uz minētajiem noteikumiem. Pārzinis personas datus vairs neapstrādā, izņemot, ja pārzinis norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības.”

10.      VDAR 25. panta “Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma” 2. punktā ir noteikts:

“Pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai tādi personas dati, kas ir nepieciešami katram konkrētajam apstrādes nolūkam. Minētais pienākums attiecas uz vākto personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. [..]”

B.      Francijas tiesības

11.      Loi n° 78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (1978. gada 6. janvāra Likums Nr. 78–17 par informātiku, datnēm un brīvībām) (3) 8. pantā ir noteikts:

“Commission nationale de l’informatique et des libertés (CNIL; Valsts informātikas un brīvību komisija) ir neatkarīga administratīva iestāde. Tā ir valsts uzraudzības iestāde [VDAR] izpratnē un tās piemērošanas nolūkā. Tā veic šādus uzdevumus:

[..]

2°      nodrošina, ka personas datu apstrāde tiek veikta saskaņā ar šā likuma noteikumiem un citiem noteikumiem par personas datu aizsardzību, kas paredzēti tiesību aktos, Eiropas Savienības tiesībās un Francijas starptautiskajās saistībās.

Tālab:

[..]

d)      tā izskata datu subjekta, struktūras vai organizācijas, vai apvienības iesniegtās sūdzības, lūgumus un pretenzijas, vajadzīgajā apjomā pārbauda vai izmeklē jautājumu par sūdzības priekšmetu un saprātīgā termiņā informē sūdzības iesniedzēju par lietas virzību un izmeklēšanas rezultātiem, jo īpaši, ja ir nepieciešama papildu izmeklēšana vai koordinācija ar citu uzraudzības iestādi; [..]”

III. Pamatlietas fakti, tiesvedība Tiesā un prejudiciālie jautājumi

12.      SNCF Connect ir sabiedrība, kas ar savas tīmekļvietnes un lietotņu palīdzību tirgo dzelzceļa transporta biļetes, piemēram, vilciena biļetes, abonementus un atlaižu kartes. Iegādājoties šīs transporta biļetes, šīs sabiedrības klientiem obligāti jānorāda, kā tie uzrunājami, atzīmējot norādi “Monsieur” (kungs) vai “Madame” (kundze).

13.      Uzskatīdama, ka nosacījumi, kādos, iegādājoties transporta biļetes, tiek vākta un reģistrēta klientu uzrunas informācija, neatbilst VDAR prasībām, prasītāja pamatlietā – biedrība Mousse (turpmāk tekstā – “Mousse”) iesniedza CNIL sūdzību par SNCF Connect. Šīs sūdzības pamatojumam Mousse norādīja, ka attiecīgo datu vākšana neatbilst šīs regulas 5. panta 1. punkta a) apakšpunktā nostiprinātajam likumīguma principam, jo tā nav balstīta ne uz vienu no minētās regulas 6. panta 1. punktā paredzētajiem pamatojumiem. Turklāt šāda datu vākšana pārkāpjot datu minimizēšanas principu un precizitātes principu, kas noteikti attiecīgi tās pašas regulas 5. panta 1. punkta c) un d) apakšpunktā, kā arī pārredzamības un informēšanas prasības, kas izriet tostarp no tās 13. panta. Šajā kontekstā Mousse apgalvoja, ka SNCF Connect nedrīkstot vākt šos datus vai arī tai vismaz esot jāpiedāvā saviem klientiem papildu varianti, piemēram, norādes, ka to uzrunai jābūt “Neutre” (neitrālai) vai “Autre” (citādai).

14.      Ar 2021. gada 23. marta lēmumu CNIL iesniegtās sūdzības izskatīšanu izbeidza, uzskatot, ka fakti, kas pārmesti SNCF Connect, nav minēto VDAR normu pārkāpums. CNIL konstatēja, ka datu apstrāde ir likumīga atbilstoši šīs regulas 6. panta 1. punkta b) apakšpunktam, jo tā ir nepieciešama transporta pakalpojumu sniegšanas līguma izpildei. Turklāt CNIL norādīja, ka šī apstrāde, ņemot vērā tās mērķus, atbilst datu minimizēšanas principam, jo vēršanās pie klientiem, izmantojot viņu uzrunu, atbilst ierastajai praksei formālajā, komerciālajā un administratīvajā saziņā.

15.      2021. gada 21. maijā Mousse iesniedza Conseil d’État (Valsts padome, Francija) prasību atcelt CNIL 2021. gada 23. marta lēmumu. Prasības pieteikumā Mousse it īpaši norāda, ka pienākums, veicot pirkumu tiešsaistē, izvēlēties norādi “Monsieur” (kungs) vai “Madame” (kundze) neatbilst ne likumīguma principam, ne datu minimizēšanas principam, kas izklāstīti attiecīgi VDAR 5. panta 1. punkta a) un c) apakšpunktā, jo šī norāde neesot nepieciešama nedz līguma izpildei, nedz SNCF Connect leģitīmo interešu ievērošanai. Ar apstākli, ka minētā norāde tiek izmantota komerciālajā saziņā, nepietiekot, lai šo datu vākšana būtu jāuzskata par nepieciešamu. Visbeidzot šis pienākums esot pretrunā tiesībām ceļot bez savas uzrunas norādīšanas, tiesībām uz privātās dzīves neaizskaramību, kā arī brīvībai brīvi noteikt savu dzimtes izpausmi. It īpaši attiecībā uz to valstu valstspiederīgajiem, kurās civilstāvokļa aktos tiek atzīta arī “nebinārā dzimtes identitāte”, iepriekš minētās norādes neatbilstot realitātei un tādējādi varot izrādīties esam pretrunā precizitātes principam, kas noteikts šīs regulas 5. panta 1. punkta d) apakšpunktā, vienlaikus radot aizskārumu šo personu pārvietošanās brīvībai, kas garantēta Savienības tiesībās.

16.      CNIL lūdz noraidīt šo prasību un norāda, ka uzrunas datu apstrāde esot kvalificējama arī kā “nepieciešama” SNCF Connect leģitīmo interešu ievērošanai VDAR 6. panta 1. punkta f) apakšpunkta izpratnē un ka datu subjekti – ņemot vērā viņu īpašo situāciju – varot atsaukties uz tiesībām iebilst, kas garantētas šīs regulas 21. pantā.

17.      Iesniedzējtiesa vaicā, pirmkārt, vai, vērtējot, vai datu vākšana ir adekvāta, atbilstīga un ietver tikai to, kas nepieciešams, kā arī vērtējot datu apstrādes nepieciešamību, var ņemt vērā formālajā, komerciālajā un administratīvajā saziņā vispārpieņemto praksi un tādējādi klientu uzrunas datu vākšanu, kas aprobežojas ar norādēm “Monsieur” (kungs) vai “Madame” (kundze), var atzīt par “likumīgu un atbilstīgu” datu minimizēšanas principam. Otrkārt, šī tiesa vaicā, vai, izvērtējot vajadzību obligāti vākt un pēc tam apstrādāt klientu uzrunas datus, ja daži klienti uzskata, ka uz tiem neattiecas neviena no abām uzrunām, jāņem vērā, ka šie klienti pēc šo datu sniegšanas pārzinim, lai izmantotu piedāvāto pakalpojumu, varētu izmantot savas tiesības iebilst pret šādu datu izmantošanu, pamatojoties uz viņu īpašo situāciju VDAR 21. panta izpratnē.

18.      Šajos apstākļos Conseil d’État (Valsts padome) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālos jautājumus:

“1)      Vai, lai izvērtētu, vai datu vākšana ir adekvāta, atbilstīga un ietver tikai to, kas nepieciešams, VDAR 5. panta 1. punkta c) apakšpunkta izpratnē un vai to apstrāde ir vajadzīga VDAR 6. panta 1. punkta b) un f) apakšpunkta izpratnē, var ņemt vērā formālajā, komerciālajā un administratīvajā saziņā vispārpieņemto praksi, tādējādi ka klientu uzrunas datu vākšanu, kas aprobežojas ar norādēm “Monsieur” (kungs) vai “Madame” (kundze), var uzskatīt par vajadzīgu, un datu minimizēšanas princips to neliedz?

2)      Vai, izvērtējot vajadzību obligāti vākt un apstrādāt klientu uzrunas datus – pat ja daži klienti uzskata, ka uz tiem neattiecas neviena no abām uzrunām un ka šo datu vākšana attiecībā uz viņiem nav atbilstīga –, jāņem vērā, ka šie klienti pēc šo datu sniegšanas pārzinim, lai izmantotu piedāvāto pakalpojumu, varētu izmantot savas tiesības iebilst pret šo datu izmantošanu un glabāšanu, atsaucoties uz savu īpašo situāciju saskaņā ar VDAR 21. pantu?”

19.      Mousse, SNCF Connect, Francijas valdība, kā arī Eiropas Komisija iesniedza rakstveida apsvērumus. Šie paši lietas dalībnieki piedalījās tiesas sēdē, kas notika 2024. gada 29. aprīlī.

IV.    Analīze

A.      Par pirmo prejudiciālo jautājumu

20.      Ar pirmo prejudiciālo jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR 5. panta 1. punkta c) apakšpunkts un 6. panta 1. punkta b) un f) apakšpunkts jāinterpretē tādējādi, ka personas datu, kas attiecas uz transporta uzņēmuma klientu uzrunu, apstrāde jāuzskata par vajadzīgu līguma izpildei vai par pasākumu veikšanai pirms līguma noslēgšanas, vai par vajadzīgu pārziņa vai trešās personas leģitīmo interešu ievērošanai, ja šī apstrāde ir vērsta uz to, lai ļautu veikt personalizētu komerciālo saziņu, nodrošinot komerciālajā saziņā vispārpieņemtās prakses ievērošanu.

21.      Šajā ziņā vispirms jāizklāsta divi ievadapsvērumi.

22.      Pirmkārt, jānorāda, ka lietas dalībnieki ir vienisprātis un nav šaubu par to, ka transporta uzņēmuma klientu uzrunas dati ir personas dati VDAR 4. panta 1. punkta izpratnē un ka turklāt SNCF Connect veiktā šo datu vākšana un reģistrācija ir uzskatāma par apstrādi šīs regulas 4. panta 2. punkta izpratnē, un tādējādi tie jāizvērtē, ņemot vērā minētās regulas normas.

23.      Otrkārt, SNCF Connect un Francijas valdība uzskata, ka gadījumā, ja uz pirmo prejudiciālo jautājumu tiktu sniegta noliedzoša atbilde, VDAR nāktos piemērot kontekstā, kas tai ir svešs, jo, pieņemot šo regulu, likumdevējs neesot vēlējies regulēt saziņas jomā pastāvošo praksi vai dzimuma jautājumu. Lai arī atzīstu, tāpat kā ģenerāladvokāts M. Bobeks [M. Bobek], ka privātās dzīves aizsardzības tiesību akti dažkārt tiek “izmantoti diezgan pārsteidzošos apstākļos” (4), man tomēr šķiet, ka šī situācija nav daļa no tādiem. Apstāklis, ka ir runa par personas identitātes datiem un ka saistībā ar tiem netieši nākas skatīt valstu tiesību sistēmās pastāvošās diskusijas par dzimuma binaritātes jautājumu, nevar likt ignorēt faktu, ka šajā gadījumā patiesībā runa ir par transporta sabiedrības veiktu klientu personas datu automatizētu apstrādi, kas ne tikai objektīvi ietilpst VDAR piemērošanas jomā, bet arī ir datu apstrādes darbība, kuru regulēt bija Savienības likumdevēja mērķis (5).

24.      Tādējādi pirmā prejudiciālā jautājumu analīzi sākšu ar vispārīgām piezīmēm par datu apstrādes likumīguma nosacījumu, kas atbilstoši VDAR normām ir saistošs pārziņiem, un pēc tam, ņemot vērā izklāstītos principus, noskaidrošu, vai šis nosacījums šajā gadījumā jāuzskata par izpildītu saistībā ar transporta uzņēmuma klientu uzrunas datu apstrādi nolūkā sazināties ar šiem klientiem, izmantojot komerciālajā saziņā vispārpieņemto praksi.

1.      Par personas datu apstrādes likumīgumu

25.      VDAR 5. pantā ir noteikti vairāki personas datu apstrādes principi. Konkrēti šī norma noteic, ka šādi dati “tiek apstrādāti likumīgi” (6) un “ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos” (7). Citiem vārdiem, ikvienai datu apstrādei jāatbilst tostarp likumīguma principam un datu minimizēšanas principam.

26.      VDAR 6. pantā ir precizēts datu apstrādes likumīguma principa tvērums. Šīs regulas 6. panta 1. punkts – ciktāl tas ļauj ierobežot tiesības uz personas datu aizsardzību (8) – atbilst Hartas 52. panta 1. punktā noteiktajiem nosacījumiem, proti, attiecīgais ierobežojums ir noteikts tiesību aktos un respektē šo tiesību būtību. Turklāt šis ierobežojums ir nepieciešams un atbilst vispārējas nozīmes mērķim, ko atzinusi Savienība, vai vajadzībai aizsargāt citu personu tiesības un brīvības (9).

27.      Proti, likumdevējs ir paredzējis sešus iemeslus, kuru dēļ datu apstrāde ir likumīga, izklāstot vispārējo interešu mērķus, kā arī aizsargājamās tiesības un brīvības, kas var pamatot tiesībām uz personas datu aizsardzību noteikto ierobežojumu. VDAR 6. panta 1. punktā tādējādi ir paredzēts “izsmeļošs un ierobežojošs to gadījumu uzskaitījums, kuros personas datu apstrādi var uzskatīt par likumīgu” (10).

28.      VDAR 6. panta 1. punktā nav noteikta stingra hierarhija (11) starp iemesliem, kuru dēļ datu apstrāde ir uzskatāma par likumīgu. Tādējādi Tiesa judikatūrā ir paskaidrojusi attiecības starp tiem.

29.      Pirmkārt, tā atgādināja, ka saskaņā ar VDAR 6. panta 1. punkta a) apakšpunktu “personas datu apstrāde ir likumīga, ja un ciktāl datu subjekts ir devis piekrišanu savu datu apstrādei vienam vai vairākiem konkrētiem nolūkiem”. Tiesa piebilda, ka tad, “ja šādas piekrišanas nav [..], šāda apstrāde tomēr ir attaisnota, ja tā atbilst kādai no nepieciešamības prasībām, kas minētas šīs regulas 6. panta 1. punkta [..] b)–f) apakšpunktā” (12). Turklāt tā piebilda, ka “[aplūkojamie] pamatojumi, ciktāl tie rada likumīgu pamatu personas datu apstrādei, kas veikta bez datu subjekta piekrišanas, ir jāinterpretē šauri” (13). Tādējādi minētās regulas 6. panta 1. punktā paredzētie personas datu apstrādes iemesli ir līdzvērtīgi un neviens no tiem nav uzskatāms par tādu, kas būtu pakārtots citam.

30.      Otrkārt, Tiesa paskaidroja, ka VDAR 6. panta 1. punktā paredzētie pamatojumi nav kumulatīvi. Proti, tā norādīja, ka tad, “ja var konstatēt, ka personas datu apstrāde ir nepieciešama, ņemot vērā kādu no VDAR 6. panta 1. punkta [..] b)–f) apakšpunktā paredzētajiem pamatojumiem, nav jānoskaidro, vai uz šo apstrādi attiecas arī kāds cits no šiem pamatojumiem” (14). Citiem vārdiem, kā jau teicu (15), personas datu apstrāde ir likumīga, ja tā ir pamatota ar kādu vienu iemeslu, un nevienu no iemesliem nevar uzskatīt par tādu, kas būtu pakārtots citam.

31.      VDAR 6. panta 1. punktā izklāstītais likumīguma princips tomēr nav analizējams savrupi. Tiesa tādējādi pastāvīgi ir lēmusi, ka minētais nosacījums “ir jāaplūko kopā ar tā saukto “datu minimizēšanas” principu, kurš nostiprināts [šīs regulas] 5. panta 1. punkta c) apakšpunktā” (16). Tiesas judikatūrā, kā jau teicu (17), ir atzīts, ka šis princips atspoguļo samērīguma principu (18), kurš savukārt prasa – kā savos rakstveida apsvērumos norāda Francijas valdība –, lai izmantotie līdzekļi būtu piemēroti noteiktā mērķa sasniegšanai un nepārsniegtu šā mērķa sasniegšanai nepieciešamo (19).

32.      Citiem vārdiem, datu minimizēšanas princips prasa pārbaudīt, vai ar apstrādātajiem datiem ir iespējams sasniegt to apstrādes mērķi – atbilstoši VDAR 6. panta 1. punktā norādītajiem iemesliem – un vai dati tiek apstrādāti tikai tad, ja apstrādes mērķis nav saprātīgi sasniedzams ar citiem līdzekļiem. Šādi apstrādāto datu apjoms, raugoties gan no kvantitatīvā viedokļa, gan pēc būtības, nav plašāks nekā tas, kas vajadzīgs, lai sasniegtu šo mērķi (20).

33.      Šajā ziņā izklāstīšu vēl vienu papildapsvērumu. Jānorāda, ka datu minimizēšanas principu kopā ar apstrādes likumīguma principu Tiesa ir interpretējusi tikai situācijās, kurās aplūkojamā apstrāde bija pamatota ar kādu no VDAR 6. panta 1. punkta b)–f) apakšpunktā minētajiem iemesliem. Citiem vārdiem, Tiesa nav skaidri precizējusi, vai datu minimizēšanas princips ir piemērojams arī tad, ja datu subjekts ir piekritis savu personas datu apstrādei. Lai arī patiešām varētu uzskatīt, ka, ciktāl persona piekrīt apstrādei, pārzinis var apstrādāt visus datus un datu minimizēšanas princips to neliedz.

34.      Tomēr šāda interpretācija man nešķiet esam saderīga ne ar VDAR mērķi nodrošināt fizisku personu augsta līmeņa aizsardzību attiecībā uz viņu personas datu apstrādi, ne ar aplūkojamo normu formulējumu.

35.      Proti, jānorāda, ka VDAR 6. panta 1. punkta a) apakšpunktā ir paredzēts, ka apstrāde ir likumīga tad, ja datu subjekts ir devis “piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem” (21). Šajā ziņā jāpaskaidro, ka piekrišana ir “jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm” (22). Citiem vārdiem, nevar būt runa par vispārīgu piekrišanu visu datu apstrādei. Turklāt datu subjektam jābūt paziņotam, kādā nolūkā tiek sniegta piekrišana datu apstrādei. Savukārt šīs regulas 5. panta 1. punkta c) apakšpunkts noteic, ka apstrādātie dati ir “adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos” (23). Šajos apstākļos man šķiet, ka datu minimizēšanas princips ir piemērojams pat gadījumā, kad šo datu apstrādi veic ar datu subjektu piekrišanu, un liek pārbaudīt, vai aplūkojamie dati tik tiešām ietver tikai to, kas nepieciešams konkrētajam apstrādes nolūkam.

36.      Šos apsvērumu dēļ SNCF Connect veiktā savu klientu uzrunas datu apstrāde ir izvērtējama, ņemot vērā VDAR 6. panta 1. punkta b) un f) apakšpunktu, turklāt precizējot, ka iesniedzējtiesa atsaucas tikai uz šiem diviem apstrādes nolūkiem.

2.      Par VDAR 6. panta 1. punkta b) apakšpunktu – apstrādes vajadzību līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas

37.      VDAR 6. panta 1. punkta b) apakšpunkts noteic, ka personas datu apstrāde ir likumīga, ja tā ir “vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas”.

38.      Šīs normas tvērumu Tiesa ir precizējusi spriedumā Meta Platforms u.c. Tā ir nospriedusi, ka, “lai personas datu apstrādi varētu uzskatīt par vajadzīgu līguma izpildei šīs tiesību normas izpratnē, tai ir jābūt objektīvi nepieciešamai, lai īstenotu mērķi, kas ir datu subjektam paredzētā līgumiskā pakalpojuma neatņemama sastāvdaļa. Tādējādi pārzinim ir jāspēj pierādīt, kādēļ līguma galveno mērķi nevarētu sasniegt, ja attiecīgā apstrāde nenotiktu” (24).

39.      Lietas dalībnieki ir vienisprātis, ka līguma galvenais mērķis ir transporta biļetes izsniegšana un galu galā – klientu pārvadāšana pa dzelzceļu. Tāpēc jāpārbauda, pirmkārt, vai klienta uzrunas dati tiek apstrādāti tādam nolūkam, kas ir transporta pakalpojuma neatņemama sastāvdaļa, un, otrkārt, vai šī apstrāde ir objektīvi nepieciešama šim nolūkam.

a)      Apstrādes nolūka identificēšana

40.      SNCF Connect un Francijas valdība norāda, ka, lai varētu izpildīt pārvadājumu līgumu, jāsazinās ar klientu, gan rezervējot attiecīgo braucienu, gan tā laikā un pēc tam, un jāzina šā klienta uzruna, lai ar klientu sazinātos personalizētā veidā un atbilstoši komerciālajā saziņā vispārpieņemtajai praksei.

41.      SNCF Connect piebilst, ka pārvadājumu līguma izpildei ir svarīgi zināt datu subjekta dzimumu, lai pielāgotu pakalpojumu īpašos gadījumos, piemēram, nodrošinot palīdzību personām ar ierobežotām pārvietošanās spējām vai piekļuvi nakts vilcienu vagoniem, kas paredzēti sievietēm. Šajā ziņā jānorāda, ka šāds mērķis, stingri ņemot, nav pirmā iesniedzējtiesas formulētā prejudiciālā jautājuma priekšmets, jo šajā jautājumā tiek skaidri norādīts uz komerciālajā saziņā vispārpieņemtās prakses izmantošanu. Taču šo argumentu tik un tā izvērtēšanu, jo iesniedzējtiesa Tiesai vispārīgāk vaicā par uzrunas datu vākšanu, ņemot vērā datu minimizēšanas principu un apstrādes likumīguma principu.

42.      Mērķis nodrošināt saziņu ar klientu, manuprāt, ir uzskatāms par pārvadājumu līguma neatņemamu sastāvdaļu. Proti, šāds līgums paredz transporta biļetes izsniegšanu un tātad to, ka jāsazinās ar klientu, lai tam šo biļeti nodotu. Nepieciešamība sazināties ar klientu, manuprāt, turpina pastāvēt gan pārvadājuma veikšanas laikā, tostarp tālab, lai brīdinātu klientu par jebkādiem starpgadījumiem, kas varētu ietekmēt viņa braucienu, gan pēc brauciena, it īpaši gadījumā, ja jāsazinās ar klientu apkalpošanas centru par šo braucienu.

43.      Šajā ziņā jāprecizē, ka Francijas valdības arguments par to, ka apstrādes nolūks ir ne tikai nodrošināt saziņu ar klientu, bet konkrētāk – nodrošināt saziņu ar klientu atbilstoši komerciālajā saziņā ierastajai praksei, ir noraidāms. Pirmkārt, šādi formulēts nolūks man nešķiet esam tāds, kas būtu transporta pakalpojuma sniegšanas neatņemama sastāvdaļa – nekas neliecina par to, ka šo pakalpojumu nevarētu sniegt, ja nenotiktu saziņa atbilstoši komerciālajā saziņā vispārpieņemtajai praksei. Otrkārt, šis arguments izriet no apļveida argumentācijas. Proti, šādi definēts datu apstrādes nolūks – sazināties atbilstoši komerciālajā saziņā vispārpieņemtajai praksei – tiek jaukts ar līdzekļiem, kas izmantoti šā mērķa sasniegšanai – komerciālajā saziņā vispārpieņemtās prakses izmantošanu.

44.      Runājot par SNCF Connect minēto transporta pakalpojuma pielāgošanu īpašiem gadījumiem, man tāpat šķiet, ka nav noliedzams, ka tā ir šā pakalpojuma neatņemama sastāvdaļa, jo ar to tieši tiecas nodrošināt šā pakalpojuma īstenošanu.

45.      Tomēr, lai arī aplūkojamās apstrādes nolūki, manuprāt, atbilst transporta pakalpojuma sniegšanai un ir pieņemami saskaņā ar VDAR 6. panta 1. punkta b) apakšpunktu, vēl ir vajadzīgs, lai personas datu apstrāde būtu nepieciešama šim nolūkam tā, ka līguma galvenais mērķis nebūtu sasniedzams bez šīs apstrādes un ka tā sasniegšanai nebūtu citu praktiski īstenojamu risinājumu, kas radītu mazāku aizskārumu.

46.      Manuprāt, uzrunas datu apstrāde pārsniedz to, kas ir nepieciešams, lai nodrošinātu pienācīgu līguma izpildi.

b)      Apstrādes nepieciešamība noteikto mērķu sasniegšanai

47.      Pirmām kārtām, par saziņas nolūku jāteic, ka pārvadājumu līguma pienācīga izpilde nav atkarīga no uzrunas lietojuma transporta sabiedrības saziņā ar saviem klientiem, pat ja pārzinis vēlas sazināties ar saviem klientiem personalizētā veidā. Proti, transporta uzņēmums var sazināties ar saviem klientiem personalizētā veidā, neizmantojot viņu uzrunu.

48.      Turklāt, lai gan SNCF Connect tiesas sēdē uzsvēra nepieciešamību saglabāt zīmola tēlu, izmantojot komerciālajā saziņā vispārpieņemtos izteiksmes veidus, šo rezultātu tikpat labi var sasniegt ar citiem izteiksmes veidiem, kuri apliecina uzmanību pret klientu un nav atkarīgi no uzrunas.

49.      Tas tā vēl jo vairāk ir tāpēc, ka atbilstoši Mousse teiktajam – ko gan pārbaudīt ir iesniedzējtiesas ziņā – SNCF Connect patiesībā sistemātiski nepiekopj komerciālajā saziņā vispārpieņemto praksi, kuras lietošanai būtu jāzina klientu uzrunas, bet gan lieto citus, vispārīgākus formulējumus, piemēram, “Merci, bon voyage” (Paldies un patīkamu ceļojumu!) vai “Bonjour” (Labdien!). Tas, ka SNCF Connect saziņā netiek sistemātiski izmantota klientu uzruna, manuprāt, skaidri norāda ne tikai to, ka aplūkojamā līguma izpildei nav nepieciešama šo datu apstrāde, bet arī to, ka, ņemot vērā datu minimizēšanas principu, šī datu apstrāde ir plašāka par nepieciešamo.

50.      Tāpat jānorāda, ka, atbildot uz šo jautājumu tiesas sēdē, SNCF Connect piekrita, ka transporta pakalpojuma sniegšanu faktiski neietekmē apstāklis, ka apzināti tiek norādīta nevis datu subjekta patiesā uzruna, bet gan kāda cita uzruna. Šajos apstākļos jākonstatē, ka līguma galveno mērķi var sasniegt bez aplūkojamās datu apstrādes.

51.      Otrām kārtām, arī attiecībā uz transporta pakalpojuma pielāgošanas mērķi uzskatu, ka uzrunas datu apstrāde pārsniedz to, kas ir nepieciešams šā mērķa sasniegšanai. Pirmkārt, nozīmīgie personas dati, kas ļauj veikt šādu pielāgošanu, manuprāt, ir nevis uzrunas dati, kuri atbilstoši Francijas valdības viedoklim nav ziņas par personu civilstāvokli, bet gan dati par klientu dzimumu, kas norādīts ziņās par personu civilstāvokli. Otrkārt, šo pašu mērķi varētu sasniegt, vācot un apstrādājot šos datus nevis attiecībā uz visiem transporta biļešu pasūtījumiem, bet tikai attiecībā uz īpašajiem gadījumiem, kad tas ir nepieciešams, piemēram, transporta biļetes pasūtījumam nakts vilciena guļamvagonā, kas paredzēts sievietēm, vai lūgumiem sniegt palīdzību personai ar ierobežotām pārvietošanās spējām.

52.      Šajos apstākļos uzskatu, ka VDAR 6. panta 1. punkta b) apakšpunkts un 5. panta 1. punkta c) apakšpunkts jāinterpretē tādējādi, ka sistemātiska uzrunas datu apstrāde nav uzskatāma par vajadzīgu līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas, ja šī apstrāde ir vērsta uz to, lai nodrošinātu personalizētu komerciālo saziņu, ievērojot komerciālajā saziņā vispārpieņemto praksi, vai lai nodrošinātu transporta pakalpojuma pielāgošanu datu subjekta dzimuma dēļ.

3.      Par VDAR 6. panta 1. punkta f) apakšpunktu – apstrādes vajadzību pārziņa vai trešās personas leģitīmo interešu ievērošanai

53.      VDAR 6. panta 1. punkta f) apakšpunktā ir paredzēts, ka personas datu apstrāde ir likumīga, ja tā ir “vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns”.

54.      Saskaņā ar Tiesas judikatūras pastāvīgo atziņu no šīs normas izriet, ka jābūt izpildītiem trim kumulatīviem nosacījumiem, lai tajā minētā personas datu apstrāde būtu likumīga. Pirmkārt, pārzinim vai trešajai personai jābūt leģitīmām interesēm. Otrkārt, personas datu apstrāde ir nepieciešama leģitīmo interešu ievērošanai. Treškārt, personas, uz kuru attiecas datu aizsardzība, intereses vai pamattiesības un brīvības neprevalē pār pārziņa vai trešās personas leģitīmajām interesēm (25).

55.      Attiecībā uz pirmo nosacījumu par leģitīmu interešu esamību Tiesa spriedumā Meta Platforms u.c. ir uzsvērusi, ka “saskaņā ar VDAR 13. panta 1. punkta d) apakšpunktu pārzinim brīdī, kad no datu subjekta tiek iegūti viņa personas dati, ir tam jānorāda leģitīmās intereses, ja šī apstrāde pamatojas uz šīs regulas 6. panta 1. punkta [..] f) apakšpunktu” (26). Tādējādi tajā pašā spriedumā Tiesa ir nospriedusi, ka šī pēdējā tiesību norma jāinterpretē tādējādi, ka personas datu apstrādi “var uzskatīt par vajadzīgu pārziņa vai trešās personas leģitīmo interešu mērķiem šīs tiesību normas izpratnē tikai tad, ja operators lietotājiem, kuru dati ir ievākti, ir norādījis datu apstrādes pamatā esošās leģitīmās intereses” (27).

56.      Citiem vārdiem, sankcija par VDAR 13. panta 1. punkta d) apakšpunktā paredzētā informēšanas pienākuma neizpildi ir attiecīgās personas datu apstrādes nelikumība.

57.      Savukārt pēc Komisijas teiktā – ko gan pārbaudīt ir iesniedzējtiesas ziņā –SNCF Connect šo pienākumu, manuprāt, nav izpildījusi.

58.      Kā uzsver Komisija, SNCF Connect savā tīmekļvietnē esošajā “charte de confidentialité” (privātuma atrunā) norāda, ka uzrunas datu apstrādes juridiskais pamats ir “leģitīmās intereses”. Šajā ziņā vēlos izdarīt divas piezīmes. Pirmkārt, ar vienu vienīgu norādi uz leģitīmajām interesēm, neprecizējot, kādas tieši ir šīs leģitīmās intereses, nav izpildīts VDAR 13. panta 1. punkta d) apakšpunktā noteiktais informēšanas pienākums, kas liek pārzinim norādīt leģitīmās intereses [, ko tiecas sasniegt]. Otrkārt, katrā ziņā arī vispārīgā norāde par leģitīmajām interesēm “privātuma atrunā”, kura, lai arī patiešām būdama pieejama pārziņa tīmekļvietnē, klientam tomēr ir apzināti jāmeklē, arīdzan neatbilst šīs regulas 13. panta 1. punkta d) apakšpunktam. Proti, šī norma nosaka pienākumu informēt datu subjektu par leģitīmajām interesēm, ko tiecas sasniegt, datu iegūšanas laikā, kas, manuprāt, nozīmē, ka šī informācija jādara zināma tieši klientam, kad tas sniedz attiecīgos datus par sevi.

59.      Turklāt, tiesas sēdē atbildot uz jautājumu par informēšanas pienākumu, SNCF Connect nespēja norādīt, ka uzrunas datu vākšanas brīdī klientiem patiešām tiktu darītas zināmas leģitīmās intereses, ko tiecas sasniegt ar apstrādi.

60.      Līdz ar to pirmais VDAR 6. panta 1. punkta f) apakšpunkta nosacījums attiecībā uz leģitīmu interešu esamību – interpretējot šo nosacījumu šīs regulas 13. panta 1. punkta d) apakšpunktā paredzētā pienākuma paziņot par šīm interesēm gaismā – nav izpildīts. Tādējādi uzrunas datu apstrāde šādā situācijā nav uzskatāma par likumīgu šīs normas izpratnē, un nav nepieciešams izvērtēt, vai ir izpildīti abi pārējie minētās regulas 6. panta 1. punkta f) apakšpunktā paredzētie nosacījumi.

a)      Secinājumi par VDAR 6. panta 1. punkta f) apakšpunkta interpretāciju

61.      Manuprāt, no iepriekš minētā izriet, ka VDAR 6. panta 1. punkta f) apakšpunkts un 5. panta 1. punkta c) apakšpunkts jāinterpretē tādējādi, ka transporta sabiedrības klientu uzrunas datu apstrāde nav uzskatāma par vajadzīgu pārziņa vai trešās personas leģitīmo interešu ievērošanai šīs normas izpratnē, ciktāl šī sabiedrība lietotājiem, no kuriem šie dati tika vākti, nav norādījusi leģitīmās intereses, kuras ir gribēts īstenot ar šo datu apstrādi.

b)      Papildu piezīmes

62.      Pilnības labad un gadījumam, ja Tiesa secinātu, ka aplūkojamās leģitīmās intereses tika darītas zināmas atbilstoši VDAR 13. panta 1. punkta d) apakšpunktam, tomēr turpināšu analīzi par nosacījumiem, kas jāizpilda, lai personas datu apstrāde būtu uzskatāma par likumīgu, pamatojoties uz šīs regulas 6. panta 1. punkta f) apakšpunktu.

63.      Pirmām kārtām, attiecībā uz nosacījumu par leģitīmu interešu esamību SNCF Connect un Francijas valdība norāda, ka leģitīmās intereses, kuras ir gribēts īstenot, esot saziņa ar klientu.

64.      Jānorāda, ka Tiesa attiecībā uz jēdzienu “leģitīmās intereses” ir nospriedusi, ka, “ņemot vērā, ka VDAR šis jēdziens nav definēts, ir jāuzsver [..], ka par leģitīmām principā var uzskatīt plašu interešu loku” (28).

65.      Šajā ziņā atgādinu, ka SNCF Connect ir uzņēmums, kas piedāvā tiešsaistē iegādāties dzelzceļa transporta biļetes. Kā jau norādīju (29), šis pakalpojums prasa sazināšanos ar klientu, vismaz nolūkā tam nodot transporta biļeti. Līdz ar to mērķis sazināties ar klientu, manuprāt, var būt šā uzņēmuma leģitīmas intereses VDAR 6. panta 1. punkta f) apakšpunkta izpratnē un tādējādi pirmais nosacījums par šādu leģitīmu interešu esamību, manuprāt, jāuzskata par izpildītu.

66.      Otrām kārtām, nosacījums par vajadzību apstrādāt personas datus leģitīmo interešu ievērošanai man nešķiet izpildīts. Kā jau parādīju savā analīzē par VDAR 6. panta 1. punkta b) apakšpunktu, uzrunas datu apstrāde pārsniedz to, kas ir nepieciešams, lai sasniegtu mērķi sazināties ar klientu, jo šī saziņa ir iespējama, arī neizmantojot šos datus (30).

67.      Visbeidzot trešām kārtām, attiecībā uz nosacījumu par to, ka datu subjekta intereses vai pamattiesības un brīvības neprevalē pār pārziņa vai trešās personas leģitīmajām interesēm, jāuzsver, ka Tiesa ir nospriedusi, ka “šā nosacījuma dēļ ir jāveic attiecīgo pretnostatīto tiesību un interešu samērošana, kas principā ir atkarīga no attiecīgā gadījuma konkrētajiem apstākļiem, un ka tādējādi valsts tiesai ir jāveic šī samērošana, ņemot vērā konkrētos apstākļus” (31). Tomēr sniegšu dažas norādes, lai palīdzētu minētajai tiesai veikt šo izvērtējumu.

68.      Tiesa tādējādi nosprieda, ka, “samērojot šīs attiecīgās pretnostatītās intereses – proti, pārziņa intereses ar datu subjekta interesēm –, svarīgi ir ņemt vērā [..] to, ar ko datu subjektam ir pamats rēķināties, kā arī attiecīgās apstrādes apjomu un šīs apstrādes ietekmi uz šo subjektu” (32).

69.      Turklāt no VDAR 47. apsvēruma izriet, ka “būtu rūpīgi jāizvērtē, vai pastāv leģitīmas intereses, tostarp, vai datu subjekts personas datu vākšanas laikā un saistībā ar to var pamatoti sagaidīt, ka var notikt minētajā nolūkā paredzēta apstrāde”.

70.      Šajā ziņā man nav skaidrs, kā transporta uzņēmuma klients varētu saprātīgi sagaidīt, ka šis uzņēmums apstrādās viņa uzrunas datus nolūkā sazināties ar viņu, sniedzot transporta biļetes iegādes pakalpojumu.

71.      Katrā ziņā man nešķiet, ka tikai ar sapratīgu gaidu pastāvēšanu pietiek, lai panāktu, ka pārziņa leģitīmās intereses prevalē pār datu subjekta interesēm vai brīvībām un pamattiesībām. Lai arī šim aspektam noteikti ir nozīme, veicot nepieciešamo samērošanu, tas turpretī nevar likt sistemātiski uzskatīt, ka pārziņa leģitīmās intereses prevalē, it īpaši tad, ja aplūkojamā personas datu apstrāde var radīt aizskārumu kādai datu subjekta brīvībai vai pamattiesībām, kas garantētas Hartā.

72.      Taču, manuprāt, tā tas ir – kā apgalvo Mousse – šajā gadījumā. Proti, šī biedrība norāda, ka sakarā ar personas datu apstrādi pastāv diskriminācijas risks dzimuma dēļ, it īpaši attiecībā uz transpersonām vai personām, kurām ir nebināro dzimtes identitāti atzīstošas valsts valstspiederība.

73.      Šajos apstākļos – kurus gan pārbaudīt ir iesniedzējtiesas ziņā – uzskatu, ka leģitīmās intereses sazināties ar klientu neprevalē pār datu subjekta interesēm vai brīvībām un pamattiesībām.

B.      Par otro prejudiciālo jautājumu

74.      Ar otro prejudiciālo jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 6. panta 1. punkta f) apakšpunkts jāinterpretē tādējādi, ka, vērtējot personas datu apstrādes nepieciešamību šīs normas izpratnē, jāņem vērā datu subjekta tiesību iebilst iespējamā esamība atbilstoši šīs regulas 21. panta 1. punktam.

75.      VDAR 21. panta 1. punkts noteic, ka datu subjektam, balstoties uz iemesliem saistībā ar viņa īpašo situāciju, ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi, kas pamatojas uz 6. panta 1. punkta e) vai f) apakšpunktu, tostarp profilēšanu, kas pamatojas uz minētajiem noteikumiem. Pārzinis personas datus vairs neapstrādā, izņemot, ja pārzinis norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības.

76.      Saskaņā ar pastāvīgo judikatūru, interpretējot Savienības tiesību normu, jāņem vērā ne tikai tās teksts, bet arī tās konteksts un šo normu ietverošā tiesiskā regulējuma mērķi (33).

77.      Attiecībā uz VDAR 21. panta 1. punkta tekstu jānorāda, ka Savienības likumdevējs uzsver, ka tiesības iebilst attiecas uz tādu personas datu apstrādi, kas pamatota tostarp ar šīs regulas 6. panta 1. punkta f) apakšpunktu. Citiem vārdiem, kā norāda Mousse un Komisija, tiesību iebilst esamības priekšnosacījums ir datu likumīga apstrāde, kas veikta, pamatojoties tostarp uz pārziņa leģitīmajām interesēm. Šīs tiesības tātad var īstenot tikai tad, ja ir notikusi datu likumīga apstrāde, un tas darāms tālab, lai panāktu šīs apstrādes izbeigšanu.

78.      Manuprāt, to apstiprina VDAR 21. panta 1. punkta otrā daļa, kas noteic, ka gadījumā, ja datu subjekts iebilst atbilstoši šai normai, pārzinis aplūkojamos datus vairs neapstrādā (34). Šāds formulējums, manuprāt, skaidri norāda, ka aplūkojamā datu apstrāde ir likumīga atbilstoši šīs regulas 6. panta 1. punkta f) apakšpunktā izklāstītajiem nosacījumiem, bet pēc izteiktā iebilduma šos datus vairs nedrīkst šādi apstrādāt.

79.      Citiem vārdiem, VDAR 21. panta 1. punktam nozīme ir tikai tad, ja ir pierādīts apstrādes likumīgums.

80.      Tātad no VDAR 21. panta 1. punkta formulējuma izriet, ka tiesību iebilst esamībai nekādi nav nozīmes, vērtējot šādas apstrādes nepieciešamību atbilstoši šīs regulas 6. panta 1. punkta f) apakšpunktam, jo minētās regulas 21. panta 1. punkta piemērojamības priekšnosacījums ir tāds, ka jau jābūt izpildītiem šīs pašas regulas 6. panta 1. punkta f) apakšpunkta nosacījumiem.

81.      Šādu VDAR 21. panta 1. punkta gramatisku interpretāciju turklāt apstiprina tā analīze, ņemot vērā šīs regulas kontekstu un mērķus.

82.      Saistībā ar šīs normas kontekstuālo interpretāciju jānorāda, ka iemesli, kas var pamatot personas datu apstrādi, ir izklāstīti VDAR 6. pantā, kurš attiecas uz likumīguma principu un atrodas šīs regulas II nodaļā par datu apstrādē ievērojamajiem principiem. Savukārt minētās regulas 21. pants atrodas III nodaļā par datu subjekta tiesībām. Turklāt, kā jau uzsvēru, šīs pašas regulas 6. pantā minētie iemesli saskaņā ar pastāvīgo judikatūru ir izsmeļoši (35). Tāpēc abas aplūkojamās normas pilda divus atšķirīgus uzdevumus, un nav uzskatāms, ka VDAR 21. pants būtu jāņem vērā, izvērtējot apstrādes likumīgumu, kuru reglamentē tikai šīs regulas 6. pants.

83.      Attiecībā uz VDAR 6. panta 1. punkta f) apakšpunkta un 21. panta teleoloģisko interpretāciju jānorāda – ja, vērtējot datu apstrādes likumību atbilstoši šīs regulas 6. pantam, tiktu ņemta vērā tiesību iebilst esamība, tas nozīmētu atzīt, ka datu apstrāde ir likumīga tāpēc vien, ka datu subjektam vēlāk ir iespēja iebilst pret šo apstrādi. Tas nozīmētu paplašināt apstrādes likumīguma iemeslus ārpus tiem gadījumiem, kas paredzēti minētās regulas 6. pantā, un padarīt datu subjektu aizsardzības līmeni atkarīgu no tā, cik centīgi tie iebilst pret savu personas datu apstrādi, jo bez šīs iebilšanas attiecīgo apstrādi varētu atzīt par likumīgu. Man šķiet, ka šāda interpretācija var kaitēt mērķim nodrošināt fizisku personu augsta līmeņa aizsardzību attiecībā uz viņu personas datu apstrādi.

84.      Līdz uz otro prejudiciālo jautājumu, manuprāt, ir atbildams, ka VDAR 6. panta 1. punkta f) apakšpunkts jāinterpretē tādējādi, ka tas liedz, vērtējot personas datu apstrādes nepieciešamību šīs normas izpratnē, ņemt vērā datu subjekta tiesību iebilst iespējamo esamību atbilstoši šīs regulas 21. panta 1. punktam.

V.      Secinājumi

85.      Ņemot vērā visus iepriekš izklāstītos apsvērumus, ierosinu uz Conseil d’État (Valsts padome, Francija) uzdotajiem prejudiciālajiem jautājumiem atbildēt šādi:

Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 6. panta 1. punkta b) apakšpunkts un 5. panta 1. punkta c) apakšpunkts

jāinterpretē tādējādi, ka

sistemātiska uzrunas datu apstrāde nav uzskatāma par vajadzīgu līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas, ja šī apstrāde ir vērsta uz to, lai nodrošinātu personalizētu komerciālo saziņu, ievērojot komerciālajā saziņā vispārpieņemto praksi, vai lai nodrošinātu transporta pakalpojuma pielāgošanu datu subjekta dzimuma dēļ.

Regulas 2016/679 6. panta 1. punkta f) apakšpunkts un 5. panta 1. punkta c) apakšpunkts

jāinterpretē tādējādi, ka

transporta sabiedrības klientu uzrunas datu apstrāde nav uzskatāma par vajadzīgu pārziņa vai trešās personas leģitīmo interešu ievērošanai šīs normas izpratnē, ciktāl šī sabiedrība lietotājiem, no kuriem šie dati tika vākti, nav norādījusi leģitīmās intereses, kuras ir gribēts īstenot ar šo datu apstrādi.

Regulas 2016/679 6. panta 1. punkta f) apakšpunkts

jāinterpretē tādējādi, ka

tas liedz, vērtējot personas datu apstrādes nepieciešamību šīs normas izpratnē, ņemt vērā datu subjekta tiesību iebilst iespējamo esamību atbilstoši šīs regulas 21. panta 1. punktam.

1      Oriģinālvaloda – franču.

2      Eiropas Parlamenta un Padomes Regula (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp., un labojums – OV 2018, L 127, 2. lpp.).

3      1978. gada 7. janvāra JORF, 227. lpp., ar grozījumiem, kas izdarīti ar 2018. gada 12. decembra Rīkojumu Nr. 2018‑1125 (2018. gada 13. decembra JORF Nr. 288).

4      Ģenerāladvokāta M. Bobeka secinājumi lietā Rīgas satiksme (C‑13/16, EU:C:2017:43, 93. punkts).

5      Turpretī lietā, kurā tika pasludināts 2017. gada 4. maija spriedums Rīgas satiksme (C‑13/16, EU:C:2017:336), runa ir par tādu personas datu pārsūtīšanu fiziskai personai, kas vajadzīgi, lai civillietu tiesā celtu prasību pret citu fizisku personu, kura, iespējams, izdarījusi administratīvu pārkāpumu.

6      VDAR 5. panta 1. punkta a) apakšpunkts.

7      VDAR 5. panta 1. punkta c) apakšpunkts.

8      Kā tās nostiprinātas Hartas 8. panta 1. punktā un LESD 16. panta 1. punktā.

9      Attiecībā uz saikni starp VDAR 6. panta 1. punktu un Hartas 52. panta 1. punktu skat. Kotschy, W., “Article 6. Lawfulness of Processing”, The EU General Data Protection Regulation (GDPR), A Commentary, Kuner, C., Bygrave, L. A., un Docksey, C., (red.), Oxford University Press, Oksforda, 2020, 325. un 326. lpp.

10      Spriedumi, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti) (C‑439/19, EU:C:2021:504, 99. punkts), un 2023. gada 4. jūlijs, Meta Platforms u.c. (Vispārīgie sociālā tīkla lietošanas noteikumi) (C‑252/21, EU:C:2023:537; turpmāk tekstā – “spriedums Meta Platforms u.c.”, 90. punkts).

11      Skat. Kotschy, W., “Article 6. Lawfulness of Processing”, The EU General Data Protection Regulation (GDPR), A Commentary, minēts iepriekš, 329. lpp.

12      Spriedums Meta Platforms u.c. (91. un 92. punkts).

13      Spriedums Meta Platforms u.c. (93. punkts).

14      Spriedums Meta Platforms u.c. (94. punkts).

15      Skat. manus secinājumus lietā Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti) (C‑439/19, EU:C:2020:1054, 93. punkts).

16      Spriedumi Meta Platforms u.c. (109. punkts) un 2023. gada 7. decembris, SCHUFA Holding (Atbrīvošana no atlikušajām parādsaistībām) (C‑26/22 un C‑64/22, EU:C:2023:958, 78. punkts).

17      Skat. manus secinājumus lietā Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti) (C‑439/19, EU:C:2020:1054, 109. punkts).

18      Spriedums, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti) (C‑439/19, EU:C:2021:504, 98. punkts). Par šo aspektu skat. arī Lubasz, D., no: Lubasz, D. (red.), Ochrona danych osobowych, Wolters Kluwer, Varšava, 2020, 202. punkts.

19      Skat. piemēram, spriedumu, 2010. gada 9. novembris, Volker und Markus Schecke un Eifert (C‑92/09 un C‑93/09, EU:C:2010:662, 74. punkts un tajā minētā judikatūra).

20      Skat. de Terwangne, C., “Article 5. Principles Relating to Processing of Personal Data”, The EU General Data Protection Regulation (GDPR), A Commentary, minēts iepriekš, 317. lpp.

21      Mans izcēlums.

22      VDAR 4. panta 11. punkts.

23      Mans izcēlums.

24      Spriedums Meta Platforms u.c. (98. punkts). Mans izcēlums.

25      Skat. spriedumu, 2021. gada 17. jūnijs, M.I.C.M. (C‑597/19, EU:C:2021:492, 106. punkts), un Meta Platforms u.c. (106. punkts).

26      Spriedums Meta Platforms u.c. (107. punkts).

27      Spriedums Meta Platforms u.c. (126. punkts un rezolutīvā daļa).

28      Spriedums, 2023. gada 7. decembris, SCHUFA Holding (Atbrīvošana no atlikušajām parādsaistībām) (C‑26/22 un C‑64/22, EU:C:2023:958, 76. punkts).

29      Skat. šo secinājumu 42. punktu.

30      Skat. šo secinājumu 47. un nākamos punktus.

31      Spriedums Meta Platforms u.c. (110. punkts).

32      Spriedums Meta Platforms u.c. (116. punkts).

33      Spriedumi, 2017. gada 11. maijs, Krijgsman (C‑302/16, EU:C:2017:359, 24. punkts); 2022. gada 29. septembris, LOT (Administratīvās iestādes noteikta kompensācija) (C‑597/20, EU:C:2022:735, 21. punkts), un 2024. gada 29. februāris, Eventmedia Soluciones (C‑11/23, EU:C:2024:194, 24. punkts).

34      Skat. vācu valodas versiju (“Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr [..]”, angļu valodas versiju (“The controller shall no longer process the personal data [..]”) vai poļu valodas versiju (“Administratorowi nie wolno już przetwarzać tych danych osobowych [..]”). Mans izcēlums.

35      Skat. šo secinājumu 27. punktu. Skat. arī spriedumu Meta Platforms u.c. (90. punkts).