EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62020CJ0175

Tiesas spriedums (piektā palāta), 2022. gada 24. februāris.
SIA “SS” pret Valsts ieņēmumu dienestu.
Administratīvās apgabaltiesas lūgums sniegt prejudiciālu nolēmumu.
Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – 2. pants – Piemērošanas joma – 4. pants – Jēdziens “apstrāde” – 5. pants – Apstrādes principi – Nolūka ierobežojumi – Datu minimizēšana – 6. pants – Apstrādes likumīgums – Apstrāde, kas ir vajadzīga, lai izpildītu pārzinim uzticētu sabiedrības interesēs veicamu uzdevumu – Apstrāde, kas ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu – 23. pants – Ierobežojumi – Datu apstrāde nodokļu administrēšanas nolūkos – Pieprasījums sniegt informāciju par internetā ievietotajiem transportlīdzekļu pārdošanas sludinājumiem – Samērīgums.
Lieta C-175/20.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2022:124

 TIESAS SPRIEDUMS (piektā palāta)

2022. gada 24. februārī ( *1 )

Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – 2. pants – Piemērošanas joma – 4. pants – Jēdziens “apstrāde” – 5. pants – Apstrādes principi – Nolūka ierobežojumi – Datu minimizēšana – 6. pants – Apstrādes likumīgums – Apstrāde, kas ir vajadzīga, lai izpildītu pārzinim uzticētu sabiedrības interesēs veicamu uzdevumu – Apstrāde, kas ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu – 23. pants – Ierobežojumi – Datu apstrāde nodokļu administrēšanas nolūkos – Pieprasījums sniegt informāciju par internetā ievietotajiem transportlīdzekļu pārdošanas sludinājumiem – Samērīgums

Lietā C‑175/20

par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Administratīvā apgabaltiesa (Latvija) iesniedza ar 2020. gada 11. marta lēmumu un kas Tiesā reģistrēts 2020. gada 14. aprīlī, tiesvedībā

SIA “SS”

pret

Valsts ieņēmumu dienestu,

TIESA (piektā palāta)

šādā sastāvā: palātas priekšsēdētājs J. Regans [E. Regan], Tiesas priekšsēdētājs K. Lēnartss [K. Lenaerts], kas pilda piektās palātas tiesneša pienākumus, ceturtās palātas priekšsēdētājs K. Likurgs [C. Lycourgos], tiesneši I. Jarukaitis [I. Jarukaitis] un M. Ilešičs [M. Ilešič] (referents),

ģenerāladvokāts: M. Bobeks [M. Bobek],

sekretārs: A. Kalots Eskobars [A. Calot Escobar],

ņemot vērā rakstveida procesu,

ņemot vērā apsvērumus, ko sniedza:

SIA “SS” vārdā – M. Ruķers,

Latvijas valdības vārdā – sākotnēji K. Pommere, V. Soņeca un L. Juškeviča, vēlāk – K. Pommere, pārstāves,

Beļģijas valdības vārdā – J.‑C. Halleux un P. Cottin, pārstāvji, kuriem palīdz C. Molitor, avocat,

Grieķijas valdības vārdā – E.‑M. Mamouna un O. Patsopoulou, pārstāves,

Spānijas valdības vārdā – sākotnēji J. Rodríguez de la Rúa Puig un S. Jiménez García, vēlāk – J. Rodríguez de la Rúa Puig, pārstāvji,

Eiropas Komisijas vārdā – sākotnēji HKranenborg un D. Nardi, kā arī I. Rubene, vēlāk – H. Kranenborg un I. Rubene, pārstāvji,

noklausījusies ģenerāladvokāta secinājumus 2021. gada 2. septembra tiesas sēdē,

pasludina šo spriedumu.

Spriedums

1

Lūgums sniegt prejudiciālu nolēmumu ir par to, kā jāinterpretē Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; labojums – OV 2018, L 127, 2. lpp.), konkrēti, tās 5. panta 1. punkts.

2

Šis lūgums ir iesniegts saistībā ar tiesvedību strīdā starp SIA “SS” un Valsts ieņēmumu dienestu (Latvija) (turpmāk tekstā – “Latvijas nodokļu administrācija”) par pieprasījumu sniegt informāciju par uzņēmuma “SS” tīmekļvietnē publicētajiem transportlīdzekļu pārdošanas sludinājumiem.

Atbilstošās tiesību normas

Savienības tiesības

Regula 2016/679

3

Uz LESD 16. panta pamata pieņemtā Regula 2016/679 saskaņā ar tās 99. panta 2. punktu ir piemērojama no 2018. gada 25. maija.

4

Šīs regulas 1., 4., 10., 19., 26., 31., 39., 41. un 50. apsvērumā ir teikts:

“(1)

Fizisku personu aizsardzība attiecībā uz personas datu aizsardzību ir pamattiesības. Eiropas Savienības Pamattiesību hartas (“harta”) 8. panta 1. punkts un [LESD] 16. panta 1. punkts paredz, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību.

[..]

(4)

Personas datu apstrāde būtu jāveido tā, lai tā kalpotu cilvēkam. Tiesības uz personas datu aizsardzību nav absolūta prerogatīva; tās ir jāņem vērā saistībā ar to funkciju sabiedrībā un jālīdzsvaro ar citām pamattiesībām saskaņā ar proporcionalitātes principu. Šajā regulā ir ievērotas visas pamattiesības, brīvības un principi, kas atzīti hartā un ietverti Līgumos, jo īpaši privātās un ģimenes dzīves, mājokļa un saziņas neaizskaramība, personas datu aizsardzība, domu, pārliecības un ticības brīvība, vārda un informācijas brīvība, darījumdarbības brīvība, tiesības uz efektīvu tiesību aizsardzību un taisnīgu tiesu un kultūru, reliģiju un valodu daudzveidība.

[..]

(10)

Lai nodrošinātu konsekventu un augsta līmeņa aizsardzību fiziskām personām un novērstu šķēršļus personu datu apritei Savienībā, fiziskas personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs vajadzētu būt vienādam. [..]

[..]

(19)

Fizisku personu aizsardzība attiecībā uz personas datu apstrādi, ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai lai sauktu pie atbildības par tiem, vai lai izpildītu kriminālsodus, tostarp pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, un šādu datu brīva aprite ir konkrēta Savienības tiesību akta priekšmets. Tāpēc šī regula nebūtu jāpiemēro apstrādes darbībām, kas veiktas minētajos nolūkos. Tomēr personas datu apstrāde, ko minētajos nolūkos saskaņā ar šo regulu veic publiskas iestādes, būtu jāreglamentē konkrētākā Savienības tiesību aktā, proti, Eiropas Parlamenta un Padomes Direktīvā (ES) 2016/680 [(2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI (OV 2016, L 119, 89. lpp.)]. [..]

[..]

(26)

Datu aizsardzības principi būtu jāattiecina uz jebkādu informāciju par identificētu vai identificējamu fizisku personu. [..] Lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot – piemēram, atsevišķa izdalīšana –, lai tieši vai netieši identificētu fizisku personu. [..]

[..]

(31)

Publiskas iestādes, kam personas datus izpauž saskaņā ar juridisku pienākumu, lai tās varētu pildīt savus oficiālos uzdevumus, piemēram, nodokļu iestādes un muitas dienesti, finanšu izmeklēšanas vienības, neatkarīgas administratīvās iestādes, vai finanšu tirgus iestādes, kuras atbild par vērtspapīru tirgu regulējumu un uzraudzību, nebūtu jāuzskata par saņēmējām, ja tās saņem personas datus, kas ir vajadzīgi, lai veiktu konkrētu izmeklēšanu vispārējās interesēs, saskaņā ar Savienības vai dalībvalsts tiesību aktiem. Publisko iestāžu nosūtītiem informācijas pieprasījumiem vienmēr vajadzētu būt rakstiskiem, motivētiem un neregulāriem, un tiem nebūtu jāattiecas uz visu kartotēku kopumā vai jārada kartotēku savstarpēji savienojumi. Personas datu apstrādei, ko veic minētās publiskās iestādes, būtu jāatbilst piemērojamajiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem.

[..]

(39)

[..] Pārredzamības principa pamatā ir prasība, ka visa informācija un saziņa, kas saistīta ar minēto personas datu apstrādi, ir viegli pieejama un viegli saprotama un ka ir jāizmanto skaidra un vienkārša valoda. Minētais princips jo īpaši attiecas uz informāciju datu subjektiem par pārziņa identitāti un apstrādes nolūkiem, kā arī papildu informāciju, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz attiecīgajām fiziskajām personām, un viņu tiesībām saņemt apstiprinājumu un paziņojumu par to, kuri viņu personas dati tiek apstrādāti. Fiziskās personas būtu jāinformē par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi un to, kā īstenot savas tiesības saistībā ar šādu apstrādi. Proti, konkrētajiem personas datu apstrādes nolūkiem vajadzētu būt nepārprotamiem, leģitīmiem un noteiktiem jau personas datu vākšanas laikā. Personas datiem vajadzētu būt adekvātiem, atbilstīgiem, un tiem būtu jāietver tikai tas, kas nepieciešams tiem nolūkiem, kādos tie tiek apstrādāti. Tādēļ jo īpaši nepieciešams nodrošināt, lai personas datu glabāšanas laikposms tiktu stingri ierobežots līdz minimumam. Personas dati būtu jāapstrādā tikai tad, ja apstrādes nolūku nav iespējams pienācīgi sasniegt citiem līdzekļiem. [..]

[..]

(41)

Ja šajā regulā atsaucas uz juridisku pamatu vai leģislatīvu pasākumu, tas obligāti nenozīmē, ka vajadzīgs parlamenta pieņemts leģislatīvs akts, neskarot prasības, kas izriet no attiecīgās dalībvalsts konstitucionālās kārtības. Tomēr šādam juridiskam pamatam vai leģislatīvam pasākumam vajadzētu būt skaidram un precīzam un personām, uz kurām tas attiecas, vajadzētu spēt paredzēt tā piemērošanu saskaņā ar [..] Tiesas [..] un Eiropas Cilvēktiesību tiesas judikatūru.

[..]

(50)

Personas datu apstrāde nolūkos, kas nav tie, kādos personas dati sākotnēji tika vākti, būtu jāatļauj tikai tad, ja apstrāde ir saderīga ar tiem nolūkiem, kādos personas dati sākotnēji tika vākti. Šādā gadījumā nav vajadzīgs atsevišķs juridiskais pamats kā vien tas, ar ko tika atļauta personas datu vākšana. Ja apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras, Savienības vai dalībvalsts tiesību aktos var būt noteikti un precizēti uzdevumi un nolūki, kādos turpmākā apstrāde būtu jāuzskata par saderīgu un likumīgu. Turpmākā apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos būtu jāuzskata par saderīgām likumīgām apstrādes darbībām. Personas datu apstrādes juridiskais pamats, ko paredz Savienības vai dalībvalsts tiesību akti, var arī paredzēt juridisko pamatu turpmākai apstrādei. Lai pārliecinātos, vai turpmākas apstrādes nolūks ir saderīgs ar nolūku, kādā personas dati sākotnēji tika vākti, pārzinim – pēc tam, kad ir izpildītas visas prasības attiecībā uz sākotnējās apstrādes likumīgumu, – būtu cita starpā jāņem vērā: jebkura saikne starp minētajiem nolūkiem un paredzētās turpmākās apstrādes nolūkiem; konteksts, kādā personas dati ir vākti, jo īpaši saprātīgas datu subjektu gaidas, kuru pamatā ir to attiecības ar pārzini, attiecībā uz datu turpmāku izmantošanu; personas datu raksturs; sekas, ko paredzētā turpmākā apstrāde rada datu subjektiem; un atbilstošu garantiju esamība gan sākotnējās, gan paredzētajās turpmākās apstrādes darbībās.”

5

Regulas 2016/679 2. pantā “Materiālā darbības joma” ir noteikts:

“1.   Šo regulu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.

2.   Šo regulu nepiemēro personas datu apstrādei:

a)

tādas darbības gaitā, kas neietilpst Savienības tiesību aktu darbības jomā;

b)

ko īsteno dalībvalstis, veicot darbības, kas ir LES V sadaļas 2. nodaļas darbības jomā;

c)

ko veic fiziska persona tikai personiska vai mājsaimnieciska pasākuma gaitā;

d)

ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu.

[..]”

6

Šīs regulas 4. pants “Definīcijas” ir formulēts šādi:

“Šajā regulā:

1)

“personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši, atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;

2)

“apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

[..]

6)

“kartotēka” ir jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;

7)

“pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; [..]

[..]

9)

“saņēmējs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Tomēr publiskas iestādes, kas var saņemt personas datus saistībā ar konkrētu izmeklēšanu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, netiek uzskatītas par saņēmējiem; minēto datu apstrāde, ko veic minētās publiskās iestādes, atbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem;

[..].”

7

Minētās regulas 5. pantā “Personas datu apstrādes principi” ir noteikts:

“1.   Personas dati:

a)

tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”);

b)

tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā; [..] (“nolūka ierobežojumi”);

c)

ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos (“datu minimizēšana”);

d)

ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”);

e)

tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā; [..] (“glabāšanas ierobežojums”);

f)

tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”).

2.   Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).”

8

Šīs pašas regulas 6. pantā “Apstrādes likumīgums” ir paredzēts:

“1.   Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:

a)

datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;

b)

apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;

c)

apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu;

d)

apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses;

e)

apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras;

f)

apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns.

Pirmās daļas f) apakšpunktu nepiemēro apstrādei, ko veic publiskas iestādes, pildot savus uzdevumus.

2.   Dalībvalstis var paturēt spēkā vai ieviest konkrētākus noteikumus, lai šīs regulas noteikumu piemērošanu pielāgotu attiecībā uz apstrādi, ko veic, lai ievērotu 1. punkta c) un e) apakšpunktu, nosakot precīzāk konkrētas prasības apstrādei un citus pasākumus, ar ko nodrošina likumīgu un godprātīgu apstrādi, tostarp citās konkrētās apstrādes situācijās, kas paredzētas IX nodaļā.

3.   Šā panta 1. punkta c) un e) apakšpunktā minēto apstrādes pamatu nosaka ar:

a)

Savienības tiesību aktiem; vai

b)

dalībvalsts tiesību aktiem, kas piemērojami pārzinim.

Apstrādes nolūku nosaka minētajā juridiskajā pamatā vai – attiecībā uz 1. punkta e) apakšpunktā minēto apstrādi – tas ir vajadzīgs, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras. [..] Savienības vai dalībvalsts tiesību akti atbilst sabiedrības interešu mērķim un ir samērīgi ar izvirzīto leģitīmo mērķi.

4.   Ja apstrāde citā nolūkā nekā tajā, kādā personas dati tika vākti, nav balstīta uz datu subjekta piekrišanu vai uz Savienības vai dalībvalsts tiesību aktiem, kas demokrātiskā sabiedrībā ir vajadzīgs un samērīgs pasākums, lai aizsargātu 23. panta 1. punktā minētos mērķus, pārzinis, lai pārliecinātos, vai apstrāde citā nolūkā ir savietojama ar nolūku, kādā personas dati sākotnēji tika vākti, cita starpā ņem vērā:

a)

jebkuru saikni starp nolūkiem, kādos personas dati ir vākti, un paredzētās turpmākās apstrādes nolūkiem;

b)

kontekstu, kādā personas dati ir vākti, jo īpaši saistībā ar datu subjektu un pārziņa attiecībām;

c)

personas datu raksturu, jo īpaši to, vai ir apstrādātas īpašas personas datu kategorijas, ievērojot 9. pantu, vai to, vai ir apstrādāti personas dati, kas attiecas uz sodāmību un pārkāpumiem, ievērojot 10. pantu;

d)

paredzētās turpmākās apstrādes iespējamās sekas datu subjektiem;

e)

atbilstošu garantiju esamību, kas var ietvert šifrēšanu vai pseidonimizāciju.”

9

Atbilstoši Regulas 2016/679 13. panta 3. punktam:

“Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika vākti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.”

10

Šīs regulas 14. pantā ir noteikts:

“1.   Ja personas dati nav iegūti no datu subjekta, pārzinis datu subjektam sniedz šādu informāciju:

[..]

c)

apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;

[..].

5.   Šā panta 1.–4. punktu nepiemēro, ja un ciktāl:

[..]

c)

iegūšana vai izpaušana ir skaidri paredzēta Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim un kuros ir paredzēti atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai; [..]

[..].”

11

Atbilstoši minētās regulas 23. panta 1. punkta e) apakšpunktam:

“Saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami datu pārzinim vai apstrādātājam, ar leģislatīvu pasākumu var ierobežot to pienākumu un tiesību darbības jomu, kas paredzēti 12.–22. pantā un 34. pantā, kā arī 5. pantā, ciktāl tā noteikumi atbilst 12.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu:

[..]

e)

citus svarīgus Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši Savienībai vai dalībvalstij svarīgas ekonomiskās vai finanšu intereses, tostarp monetāros, budžeta un nodokļu jautājumus, sabiedrības veselību un sociālo nodrošinājumu;

[..].”

12

Regulas 2016/679 25. panta 2. punktā ir noteikts:

“Pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai tādi personas dati, kas ir nepieciešami katram konkrētajam apstrādes nolūkam. Minētais pienākums attiecas uz vākto personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. Jo īpaši – ar šādiem pasākumiem nodrošina, ka pēc noklusējuma personas datus bez personas līdzdalības nedara pieejamus nenoteiktam fizisku personu skaitam.”

Direktīva 2016/680

13

Direktīvas 2016/680 10. un 11. apsvērumā ir teikts:

“(10)

21. deklarācijā par personas datu aizsardzību tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, kas pievienota Lisabonas līgumu pieņēmušās Starpvaldību konferences Nobeiguma aktam, konference atzina, ka var būt nepieciešami īpaši noteikumi par personas datu aizsardzību un par personas datu brīvu apriti tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, pamatojoties uz LESD 16. pantu, minēto jomu specifisko iezīmju dēļ.

(11)

Tādēļ ir piemēroti minētās jomas aptvert direktīvā, kurā paredzēti īpaši noteikumi par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, respektējot šo darbību īpašo raksturu. Starp šādām kompetentajām iestādēm var būt ne vien publiskās iestādes, tādas kā tiesu iestādes, policija vai citas tiesībaizsardzības iestādes, bet arī jebkādas citas struktūras vai vienības, kam dalībvalsts tiesībās uzticēts īstenot publisko varu un publiskās pilnvaras šīs direktīvas nolūkos. Ja šāda struktūra vai vienība personas datus apstrādā citos nolūkos, nevis šajā direktīvā noteiktajos, piemēro Regulu [2016/679]. Tāpēc Regulu [2016/679] piemēro gadījumos, kad struktūra vai vienība vāc personas datus citos nolūkos un minētos personas datus apstrādā tālāk, lai pildītu kādu juridisku pienākumu, kam tā pakļauta. [..]”

14

Šīs direktīvas 3. pantā ir noteikts:

“Šajā direktīvā:

[..]

7) “kompetentā iestāde” ir:

a)

jebkura publiska iestāde, kuras kompetencē ir novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem, vai izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst; vai

b)

jebkura cita struktūra vai vienība, kam dalībvalsts tiesībās uzticēts īstenot publisku varu un publiskas pilnvaras ar mērķi novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem, vai izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst;

[..].”

Latvijas tiesiskais regulējums

15

Saskaņā ar likuma “Par nodokļiem un nodevām” (Latvijas Vēstnesis, 1995, Nr. 26), redakcijā, kas piemērojama pamatlietā (turpmāk tekstā – “Nodokļu un nodevu likums”), 15. panta sesto daļu interneta sludinājumu ievietošanas pakalpojuma sniedzējam ir pienākums pēc Latvijas nodokļu administrācijas pieprasījuma sniegt tā rīcībā esošo informāciju par nodokļu maksātājiem, kuri, izmantojot tā pakalpojumus, izvietojuši sludinājumus.

Pamatlieta un prejudiciālie jautājumi

16

“SS” ir Latvijā reģistrēts uzņēmums, kas sniedz internetā publicētu sludinājumu pakalpojumus.

17

2018. gada 28. augustā Latvijas nodokļu administrācija uzņēmumam “SS” nosūtīja informācijas pieprasījumu, pamatojoties uz Nodokļu un nodevu likuma 15. panta sesto daļu, kurā tā lūdza šo uzņēmumu atjaunot šīs nodokļu administrācijas piekļuvi informācijai par minētā uzņēmuma interneta portālā publicētajos sludinājumos minēto transportlīdzekļu šasijas numuriem, kā arī pārdevēju tālruņa numuriem un līdz 2018. gada 3. septembrim tai sniegt informāciju par sludinājumiem, kas laikposmā no 2018. gada 14. jūlija līdz 31. augustam tika publicēti šā portāla sadaļā “Vieglie auto”.

18

Šajā pieprasījumā tika precizēts, ka šī informācija ar saiti uz sludinājumu, sludinājuma tekstu, transportlīdzekļa marku, modeli, šasijas numuru, cenu, kā arī pārdevēja tālruņa numuru ir jāiesniedz elektroniski tādā formātā, kurā ir iespējama datu filtrēšana vai atlase.

19

Turklāt gadījumā, ja piekļuvi attiecīgajai interneta portālā publicētajos sludinājumos ietvertajai informācijai nebūtu iespējams atjaunot, uzņēmumam “SS” tika lūgts norādīt iemeslu, kādēļ tas nav iespējams, kā arī turpmāk līdz katra mēneša trešajam datumam sniegt attiecīgo informāciju par iepriekšējā mēnesī publicētajiem sludinājumiem.

20

Uzskatot, ka Latvijas nodokļu administrācijas informācijas pieprasījums neatbilst Regulā 2016/679 nostiprinātajiem samērīguma un personas datu minimizēšanas principiem, uzņēmums “SS” par šo pieprasījumu iesniedza sūdzību Latvijas nodokļu administrācijas ģenerāldirektora pienākumu izpildītājai.

21

Ar 2018. gada 30. oktobra lēmumu viņa šo sūdzību noraidīja, norādot tostarp, ka pamatlietā aplūkotajā personas datu apstrādē Latvijas nodokļu administrācija īsteno tai likumā noteiktās pilnvaras.

22

Uzņēmums “SS” vērsās Administratīvajā rajona tiesā (Latvija) ar pieteikumu par šā lēmuma atcelšanu. Papildus sūdzībā jau izklāstītajiem argumentiem tas apgalvoja, ka minētajā lēmumā nav norādīts nedz Latvijas nodokļu administrācijas iecerētās personas datu apstrādes konkrētais mērķis, nedz tālab nepieciešamais datu apjoms un tādējādi ir pārkāpts Regulas 2016/679 5. panta 1. punkts.

23

Ar 2019. gada 21. maija spriedumu Administratīvā rajona tiesa šo prasību noraidīja, būtībā norādot, ka Latvijas nodokļu administrācija ir tiesīga pieprasīt piekļuvi jebkāda apjoma informācijai par ikvienu personu, ja vien attiecīgā informācija nav uzskatāma par neatbilstošu nodokļu administrēšanas mērķiem. Šī tiesa arī uzskatīja, ka Regulas 2016/679 normas šai administrācijai nav piemērojamas.

24

Par šo spriedumu uzņēmums “SS” iesniedza apelācijas sūdzību iesniedzējtiesā, apgalvojot, pirmkārt, ka Latvijas nodokļu administrācijai ir saistošas Regulas 2016/679 normas un, otrkārt, ka, pieprasīdama ik mēnesi un bez ierobežojuma laikā iesniegt ievērojama apjoma personas datus par neierobežotu sludinājumu skaitu, taču nenorādīdama konkrētus nodokļu maksātājus, attiecībā uz kuriem būtu sākta pārbaude nodokļu jomā, šī administrācija ir pārkāpusi samērīguma principu.

25

Iesniedzējtiesa norāda, ka pamatlietā nav strīda nedz par to, ka attiecīgā informācijas pieprasījuma izpilde ir nedalāmi saistīta ar personas datu apstrādi, nedz par to, ka Latvijas nodokļu administrācijai ir tiesības iegūt tādus interneta sludinājumu ievietošanas pakalpojuma sniedzēja rīcībā esošos datus, kas nepieciešami konkrētu nodokļu administrēšanas pasākumu veikšanai.

26

Strīds pamatlietā esot par to, kādā apjomā un kāda veida informāciju drīkst pieprasīt Latvijas nodokļu administrācija, vai tās apjoms var būt neierobežots, kā arī par to, vai uzņēmumam “SS” uzliktajam informācijas sniegšanas pienākumam ir jābūt ierobežotam laikā.

27

Konkrēti, iesniedzējtiesa uzskata, ka tai ir jānoskaidro, vai – pamatlietas apstākļos – personas datu apstrāde tiek veikta datu subjektiem pārredzamā veidā, vai informācijas pieprasījumā norādītā informācija ir pieprasīta konkrētos, skaidros un leģitīmos nolūkos un vai personas datu apstrāde tiek veikta tikai tādā apjomā, kas patiešām nepieciešams Latvijas nodokļu administrācijas funkciju izpildei Regulas 2016/679 5. panta 1. punkta izpratnē.

28

Tālab esot jānosaka kritēriji, pēc kuriem ir izvērtējams, vai ar Latvijas nodokļu administrācijas izdoto informācijas pieprasījumu tiek ievērota pamattiesību un pamatbrīvību būtība un vai pamatlietā aplūkotais informācijas pieprasījums var tikt atzīts par demokrātiskā sabiedrībā nepieciešamu un samērīgu, lai garantētu svarīgus Eiropas Savienības un Latvijas sabiedrības interešu mērķus budžeta un nodokļu jautājumos.

29

Šādos apstākļos Administratīvā apgabaltiesa (Latvija) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

“1)

Vai [Regulas 2016/679] normās noteiktās prasības būtu jāinterpretē tādējādi, ka nodokļu administrācijas izdotam informācijas pieprasījumam, kāds konstatējams izskatāmajā lietā un ar kuru tiek pieprasīts sniegt ievērojama apjoma personas datus saturošu informāciju, jābūt atbilstošam [Regulas 2016/679] normās (tostarp 5. panta 1. punktā) noteiktajām prasībām?

2)

Vai [Regulas 2016/679] normās noteiktās prasības būtu jāinterpretē tādējādi, ka nodokļu administrācija drīkst atkāpties no [Regulas 2016/679] 5. panta 1. punktā noteiktā pat tad, ja šādas tiesības nodokļu administrācijai nav piešķirtas ar Latvijas Republikā spēkā esošajiem normatīvajiem aktiem?

3)

Vai, interpretējot [Regulas 2016/679] normās noteiktās prasības, ir saskatāms leģitīms mērķis, kas attaisno ar tādu informācijas pieprasījumu, kāds konstatējams izskatāmajā lietā, uzlikto pienākumu iesniegt visus pieprasītos datus neierobežotā apjomā un termiņā, neparedzot informācijas pieprasījuma izpildes beigu termiņu?

4)

Vai, interpretējot [Regulas 2016/679] normās noteiktās prasības, ir saskatāms leģitīms mērķis, kas attaisno ar tādu informācijas pieprasījumu, kāds konstatējams izskatāmajā lietā, uzlikto pienākumu iesniegt visus pieprasītos datus, neraugoties uz to, ka informācijas pieprasījumā nav norādīts (nepilnīgi norādīts) informācijas sniegšanas mērķis?

5)

Vai, interpretējot [Regulas 2016/679] normās noteiktās prasības, ir saskatāms leģitīms mērķis, kas attaisno ar tādu informācijas pieprasījumu, kāds ir konstatējams izskatāmajā lietā, uzlikto pienākumu iesniegt visus pieprasītos datus, neraugoties uz to, ka faktiski tas attiecas uz pilnīgi visiem datu subjektiem, kuri ir ievietojuši sludinājumus portāla sadaļā “Vieglie auto”?

6)

Pēc kādiem kritērijiem būtu jāveic pārbaude, lai noskaidrotu, vai nodokļu administrācija kā pārzinis pienācīgi nodrošina datu apstrādes (tostarp arī informācijas iegūšanas) atbilstību [Regulas 2016/679] normās noteiktajām prasībām?

7)

Pēc kādiem kritērijiem būtu jāveic pārbaude, lai noskaidrotu, vai tāds informācijas pieprasījums, kāds konstatējams izskatāmajā lietā, ir pienācīgi motivēts un neregulārs?

8)

Pēc kādiem kritērijiem būtu jāveic pārbaude, lai noskaidrotu, vai personu datu apstrāde tiek veikta nepieciešamajā apjomā un veidā, kas ir savietojams ar [Regulas 2016/679] normās noteiktajām prasībām?

9)

Pēc kādiem kritērijiem būtu jāveic pārbaude, lai noskaidrotu, vai nodokļu administrācija kā pārzinis nodrošina datu apstrādes atbilstību [Regulas 2016/679] 5. panta 1. punktā noteiktajām prasībām (pārskatatbildība)?”

Par prejudiciālajiem jautājumiem

Par pirmo jautājumu

30

Ar pirmo jautājumu iesniedzējtiesa būtībā jautā, vai Regulas 2016/679 normas ir jāinterpretē tādējādi, ka dalībvalsts nodokļu administrācijai, ievācot no saimnieciskās darbības subjekta ievērojamu apjomu personas datu ietverošu informāciju, ir jāievēro prasības, kas noteiktas šajā regulā, konkrēti – tās 5. panta 1. punktā.

31

Lai atbildētu uz šo jautājumu, ir jānoskaidro, pirmām kārtām, vai šāds pieprasījums ietilpst Regulas 2016/679 materiālajā piemērošanas jomā, kas noteikta tās 2. panta 1. punktā, un, otrām kārtām, vai tā nav viena no personas datu apstrādēm, kuras šīs regulas 2. panta 2. punkts izslēdz no šīs piemērošanas jomas.

32

Pirmām kārtām, Regulu 2016/679 – atbilstoši tās 2. panta 1. punktā noteiktajam – piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.

33

Regulas 2016/679 4. panta 1. punktā ir precizēts, ka “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu, proti, tādu fizisku personu, kuru var tieši vai netieši identificēt, jo īpaši, atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem. Šīs regulas 26. apsvērumā šajā ziņā ir precizēts, ka tālab, lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot, lai tieši vai netieši identificētu fizisku personu.

34

Pamatlietā nav strīda par to, ka Latvijas nodokļu administrācijas pieprasītā informācija ir personas dati Regulas 2016/679 4. panta 1. punkta izpratnē.

35

Saskaņā ar šīs regulas 4. panta 2. punktu personas datu vākšana, aplūkošana, izpaušana nosūtot, kā arī jebkāda veida darīšana par pieejamiem ir “apstrāde” minētās regulas izpratnē. No šīs tiesību normas, konkrēti – vārdkopas “jebkura [..] darbība”, formulējuma izriet ka jēdzienu “apstrāde” Savienības likumdevējs ir vēlējies apveltīt ar plašu tvērumu. Šādu interpretāciju apstiprina apstāklis, ka šajā normā minēto darbību uzskaitījums – kā apliecina vārda “piemēram” lietojums – nav izsmeļošs.

36

Šajā gadījumā Latvijas nodokļu administrācija pieprasa attiecīgajam saimnieciskās darbības subjektam atjaunot šīs administrācijas dienestu piekļuvi tā interneta portālā publicētajos sludinājumos norādīto transportlīdzekļu šasijas numuriem un sniegt tai informāciju par šajā portālā publicētajiem sludinājumiem.

37

Ar šādu pieprasījumu – ar ko dalībvalsts nodokļu administrācija pieprasa saimnieciskās darbības subjektam sniegt un darīt pieejamus personas datus, kuri tam ir šai administrācijai jāiesniedz un jādara pieejami saskaņā ar šīs dalībvalsts tiesību aktiem, – tiek sākts šo datu “vākšanas” process Regulas 2016/679 4. panta 2. punkta izpratnē.

38

Turklāt attiecīgā saimnieciskās darbības subjekta veiktā minēto datu izpaušana un darīšana par šai administrācijai pieejamiem nozīmē “apstrādi” šā 4. panta 2. punkta izpratnē.

39

Otrām kārtām, ir jāizvērtē, vai darbība, ar kuru dalībvalsts nodokļu administrācija vēlas no saimnieciskās darbības subjekta ievākt konkrētu nodokļu maksātāju personas datus, var tikt uzskatīta par izslēgtu no Regulas 2016/679 piemērošanas jomas saskaņā ar tās 2. panta 2. punktu.

40

Šajā ziņā vispirms jāatgādina, ka šajā tiesību normā ir paredzēti izņēmumi no šīs regulas piemērošanas jomas, kas definēta tās 2. panta 1. punktā, un ka šie izņēmumi ir jāinterpretē šauri (spriedums, 2020. gada 16. jūlijs, Facebook Ireland un Schrems, C‑311/18, EU:C:2020:559, 84. punkts).

41

Konkrēti, Regulas 2016/679 2. panta 2. punkta d) apakšpunktā ir noteikts, ka šo regulu nepiemēro personas datu apstrādei, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus.

42

Kā izriet no šīs regulas 19. apsvēruma, šo izņēmumu pamato apstāklis, ka personas datu apstrādi, ko šādos nolūkos veic kompetentās iestādes, reglamentē speciāls Savienības tiesību akts, proti, Direktīva 2016/680, kura tika pieņemta tajā pašā dienā kā Regula 2016/679 un kuras 3. panta 7. punktā ir definēts, kas ir jāsaprot ar “kompetento iestādi”, un šī definīcija pēc analoģijas ir jāpiemēro arī šīs regulas 2. panta 2. punkta d) apakšpunktam (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 69. punkts).

43

No Direktīvas 2016/680 10. apsvēruma izriet, ka jēdziens “kompetentā iestāde” ir jāsaprot kā saistīts ar personas datu aizsardzību tiesu iestāžu sadarbības krimināllietās un policijas sadarbības jomā, ņemot vērā pielāgojumus, kas šajā ziņā var izrādīties nepieciešami šo jomu specifisko iezīmju dēļ. Turklāt šīs direktīvas 11. apsvērumā ir precizēts, ka personas datu apstrādei, ko“kompetentā iestāde” minētās direktīvas 3. panta 7. punkta izpratnē veic citos, nevis šajā direktīvā paredzētajos nolūkos, ir piemērojama Regula 2016/679 (spriedums, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 70. punkts).

44

Tādējādi nešķiet, ka saistībā ar pieprasījumu saimnieciskās darbības subjektam tai sniegt noteiktu nodokļu maksātāju personas datus tālab, lai varētu veikt nodokļu administrēšanu un apkarotu krāpšanu nodokļu jomā, dalībvalsts nodokļu administrācija būtu uzskatāma par “kompetento iestādi” Direktīvas 2016/680 3. panta 7. punkta izpratnē, nedz arī – ka uz šādiem pieprasījumiem varētu attiekties Regulas 2016/679 2. panta 2. punkta d) apakšpunktā paredzētais izņēmums.

45

Turklāt, lai arī nav izslēgts, ka pamatlietā aplūkotie personas dati varētu tikt izmantoti kriminālvajāšanai, kas nodokļu jomā izdarītu pārkāpumu gadījumā varētu tikt veikta pret konkrētām attiecīgajām personām, nešķiet, ka šie dati būtu vākti konkrēti nolūkā veikt šādu kriminālvajāšanu vai saistībā ar valsts pasākumiem krimināltiesību jomās (šajā nozīmē skat. spriedumu, 2017. gada 27. septembris, Puškár, C‑73/16, EU:C:2017:725, 40. punkts).

46

Tāpēc dalībvalsts nodokļu administrācijas veikta ar ekonomikas operatora tīmekļvietnē publicētajiem transportlīdzekļu pārdošanas sludinājumiem saistīto personas datu vākšana ietilpst Regulas 2016/679 materiālajā piemērošanas jomā un līdz ar to tajā ir jāievēro tostarp šīs regulas 5. pantā noteiktie personas datu apstrādes principi.

47

Ņemot vērā visus iepriekš izklāstītos apsvērumus, uz pirmo jautājumu ir atbildams, ka Regulas 2016/679 normas ir jāinterpretē tādējādi, ka dalībvalsts nodokļu administrācijai, ievācot no saimnieciskās darbības subjekta ievērojamu apjomu personas datu ietverošu informāciju, ir jāievēro prasības, kas noteiktas šajā regulā, konkrēti – tās 5. panta 1. punktā.

Par otro jautājumu

48

Ar otro jautājumu iesniedzējtiesa būtībā jautā, vai Regulas 2016/679 normas ir jāinterpretē tādējādi, ka dalībvalsts nodokļu administrācija drīkst atkāpties no šīs regulas 5. panta 1. punkta noteikumiem, lai gan šādas tiesības tai šīs dalībvalsts tiesību aktos nav piešķirtas.

49

Ievadam jāatgādina, ka Regulas 2016/679 mērķis – kā izriet no tās 10. apsvēruma – tostarp ir nodrošināt augsta līmeņa aizsardzību fiziskām personām Savienībā.

50

Tālab Regulas 2016/679 II nodaļā ir noteikti personas datu apstrādes principi un III nodaļā – datu subjektu tiesības, kas ir jāievēro ikvienā personas datu apstrādē. Konkrēti, jebkurai personas datu apstrādei ir jāatbilst tostarp minētās regulas 5. pantā noteiktajiem šo datu apstrādes principiem (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 208. punkts).

51

Tomēr Regulas 2016/679 23. pantā Savienībai un dalībvalstīm ir ļauts veikt “leģislatīvus pasākumus”, lai ierobežotu tostarp šīs regulas 5. pantā paredzēto pienākumu un tiesību tvērumu, ciktāl šie pienākumi un tiesības atbilst 12.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu tādus svarīgus Savienības vai attiecīgās dalībvalsts vispārējo sabiedrības interešu mērķus kā, piemēram, svarīgas ekonomiskās vai finanšu intereses, tostarp budžeta un nodokļu jomās.

52

Šajā ziņā no Regulas 2016/679 41. apsvēruma izriet, ka šajā regulā ietvertā norāde uz “leģislatīvu pasākumu” nenozīmē, ka obligāti būtu vajadzīgs parlamenta pieņemts leģislatīvs akts.

53

Tomēr jāatgādina, ka Regulā 2016/679 – kā teikts tās 4. apsvērumā – tiek ievērotas visas Hartā atzītās un Līgumos nostiprinātās pamattiesības, brīvības un principi, kuru vidū ir arī personas datu aizsardzība.

54

Hartas 52. panta 1. punkta pirmajā teikumā ir noteikts, ka visiem Hartā atzīto tiesību un brīvību – kuru vidū ir arī Hartas 7. pantā garantētā privātās dzīves neaizskaramība un tās 8. pantā nostiprinātās tiesības uz personas datu aizsardzību – izmantošanas ierobežojumiem ir jābūt noteiktiem tiesību aktos; un tas nozīmē konkrēti to, ka attiecīgo tiesību izmantošanas ierobežojuma tvērumam ir jābūt noteiktam jau pašā iejaukšanos šajās tiesībās pieļaujošajā juridiskajā pamatā (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, Privacy International, C‑623/17, EU:C:2020:790, 65. punkts un tajā minētā judikatūra).

55

Šajā ziņā Tiesa ir turklāt nospriedusi, ka tiesiskajā regulējumā, kas paredz šādu iejaukšanos pieļaujošu pasākumu, ir jāparedz skaidri un precīzi noteikumi par attiecīgā pasākuma tvērumu un piemērošanu un minimālajām prasībām, lai tā rezultātā personām, kuru personas dati tikuši pārsūtīti, būtu pietiekamas garantijas, kas ļautu šos datus efektīvi aizsargāt pret ļaunprātīgas izmantošanas risku (šajā nozīmē skat. spriedumu, 2021. gada 2. marts, Prokuratuur (Piekļuves elektronisko komunikāciju datiem nosacījumi), C‑746/18, EU:C:2021:152, 48. punkts un tajā minētā judikatūra).

56

Līdz ar to ikvienam saskaņā ar Regulas 2016/679 23. pantu pieņemtajam pasākumam – kā Savienības likumdevējs to turklāt ir uzsvēris šīs regulas 41. apsvērumā – ir jābūt skaidram un precīzam, un tā piemērošanai ir jābūt paredzamai personām, uz kurām tas attiecas. Konkrēti, šīm personām ir jāspēj identificēt apstākļus un nosacījumus, kādos tām šajā regulā piešķirto tiesību apjoms var tikt ierobežots.

57

No iepriekš izklāstītajiem apsvērumiem izriet, ka dalībvalsts nodokļu administrācija nedrīkst atkāpties no Regulas 2016/679 5. panta noteikumiem, ja šādai rīcībai Savienības vai dalībvalsts tiesībās nav skaidra un precīza juridiska pamata, kura piemērošanai ir jābūt paredzamai personām, uz kurām tas attiecas, un kurā ir paredzēti apstākļi un nosacījumi, kādos šajā 5. pantā paredzēto pienākumu un tiesību apjoms var tikt ierobežots.

58

Tāpēc uz otro jautājumu ir atbildams, ka Regulas 2016/679 normas ir jāinterpretē tādējādi, ka dalībvalsts nodokļu administrācija nedrīkst atkāpties no šīs regulas 5. panta 1. punktā noteiktā, ja šādas tiesības tai nav piešķirtas ar leģislatīvu pasākumu minētās regulas 23. panta 1. punkta izpratnē.

Par trešo līdz devīto jautājumu

59

Ar trešo līdz devīto jautājumu, kuri ir jāizvērtē kopā, iesniedzējtiesa būtībā jautā, vai Regulas 2016/679 normas ir jāinterpretē tādējādi, ka tām ir pretrunā, ka dalībvalsts nodokļu administrācija interneta sludinājumu ievietošanas pakalpojumu sniedzējam uzliek pienākumu tai – neierobežoti ilgā laikā un neprecizējot šā informācijas pieprasījuma mērķi – sniegt informāciju par visiem nodokļu maksātājiem, kas publicējuši sludinājumus kādā no tā interneta portāla sadaļām.

60

Ievadam jānorāda, ka – tādā situācijā kā pamatlietā aplūkotā – personas dati var tikt apstrādāti divējādi. Kā redzams no šā sprieduma 37. un 38. punkta, runa ir par nodokļu administrācijas veikto personas datu vākšanu no attiecīgā pakalpojumu sniedzēja un tās ietvaros – šā pakalpojumu sniedzēja veikto šo datu izpaušanu, tos nosūtot šai administrācijai.

61

Kā izriet no šā sprieduma 50. punktā minētās judikatūras, katrā no šīm apstrādes darbībām – ja vien saskaņā ar Regulas 2016/679 23. pantā pieļautajām atkāpēm nav noteikts citādi – ir jāievēro šīs regulas 5. pantā noteiktie personas datu apstrādes principi, kā arī tās 12.–22. pantā noteiktās datu subjekta tiesības.

62

Šajā gadījumā iesniedzējtiesai šaubīties liek konkrēti apstāklis, ka, pirmkārt, šā sprieduma 60. punktā minētās apstrādes attiecas uz neierobežota apjoma informāciju par nenoteikta ilguma laikposmu un, otrkārt, ka informācijas pieprasījumā nav norādīts konkrēts šīs apstrādes nolūks.

63

Šajā ziņā ir jāuzsver, pirmām kārtām, ka Regulas 2016/679 5. panta 1. punkta b) apakšpunktā ir paredzēts, ka personas datiem jābūt vāktiem tostarp konkrētos, skaidros un leģitīmos nolūkos.

64

Pirmkārt, prasība par to, ka ir jākonkretizē apstrādes nolūki, nozīmē – kā izriet no šīs regulas 39. apsvēruma –, ka tiem ir jābūt norādītiem jau personas datu vākšanas laikā.

65

Otrkārt, apstrādes nolūkiem ir jābūt skaidriem, un tas nozīmē, ka tiem ir jābūt skaidri norādītiem.

66

Treškārt, šiem nolūkiem ir jābūt leģitīmiem. Tāpēc ir svarīgi, lai tie nodrošinātu likumīgu apstrādi minētās regulas 6. panta 1. punkta izpratnē.

67

Šā sprieduma 60. punktā minētās apstrādes tiek sāktas ar personas datu izpaušanas pieprasījumu, ko Latvijas nodokļu administrācija nosūta interneta sludinājumu ievietošanas pakalpojuma sniedzējam. Šajā ziņā ir skaidrs, ka saskaņā ar Nodokļu un nodevu likuma 15. panta sesto daļu šim pakalpojumu sniedzējam šis pieprasījums ir jāapmierina.

68

Ievērojot šā sprieduma 64. un 65. punktā izklāstītos apsvērumus, ir nepieciešams, lai šajā pieprasījumā tiktu skaidri norādīti šo apstrāžu nolūki.

69

Ja vien minētajā pieprasījumā šādi norādītie nolūki ir nepieciešami, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot nodokļu administrācijai likumīgi piešķirtās oficiālās pilnvaras, ar šo apstākli ir pietiekami – kā izriet no Regulas 2016/679 6. panta 1. punkta pirmās daļas ievaddaļas un e) apakšpunkta, lasot šo normu kopsakarā ar šīs regulas 6. panta 3. punkta otro daļu –, lai minētās apstrādes atbilstu arī šā sprieduma 66. punktā atgādinātajai likumīguma prasībai.

70

Šajā ziņā jāatgādina, ka nodokļu administrēšana un cīņa pret krāpšanu nodokļu jomā ir uzskatāmas par sabiedrības interesēs veicamu uzdevumu Regulas 2016/679 6. panta 1. punkta pirmās daļas e) apakšpunkta izpratnē (pēc analoģijas skat. spriedumu, 2017. gada 27. septembris, Puškár, C‑73/16, EU:C:2017:725, 108. punkts).

71

No tā secināms, ka gadījumā, ja attiecīgā personas datu izpaušana ir nevis tieši balstīta uz to pamatojošo tiesību normu, bet gan izriet no kompetentās valsts iestādes pieprasījuma, šajā pieprasījumā ir jābūt precizētam, kādiem konkrētiem nolūkiem saistībā ar sabiedrības interesēs veicamu uzdevumu vai likumīgi piešķirto oficiālo pilnvaru īstenošanu šie dati tiek vākti; un tas ir darāms tālab, lai šā pieprasījuma adresātam ļautu pārliecināties, ka attiecīgo personas datu nosūtīšana ir likumīga, un dalībvalstu tiesām pārbaudīt attiecīgo apstrāžu likumību.

72

Otrām kārtām, saskaņā ar Regulas 2016/679 5. panta 1. punkta c) apakšpunktu personas datiem ir jābūt adekvātiem, atbilstīgiem un jāietver tikai tas, kas nepieciešams to apstrādes nolūkos.

73

Šajā ziņā jāatgādina pastāvīgās judikatūras atziņa, ka atkāpes no šādu datu aizsardzības principa un tā ierobežojumi ir piemērojami tikai tiktāl, cik tas ir strikti nepieciešams (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 110. punkts un tajā minētā judikatūra).

74

No tā izriet, ka pārzinis – tostarp tad, kad tas rīkojas, izpildot tam uzticēto sabiedrības interesēs veicamo uzdevumu, – nedrīkst vispārīgi un nediferencējot ievākt personas datus un tam ir jāatturas no tādu datu vākšanas, kuri nav strikti nepieciešami apstrādes nolūkos.

75

Šajā gadījumā jānorāda, ka – atbilstoši šā sprieduma 17.–19. punktā teiktajam – Latvijas nodokļu administrācija attiecīgajam saimnieciskās darbības subjektam pieprasīja tai iesniegt datus par vieglo automobiļu pārdošanas sludinājumiem, kas publicēti tā tīmekļvietnē laikā no 2018. gada 14. jūlija līdz 31. augustam, un gadījumā, ja piekļuvi šai informācijai nav iespējams atjaunot – vēlākais līdz katra mēneša trešajam datumam tai iesniegt datus par iepriekšējā mēnesī tā tīmekļvietnē publicētajiem vieglo automobiļu pārdošanas sludinājumiem, pēdējam no minētajiem pieprasījumiem nenosakot nekādu ierobežojumu laikā.

76

Ievērojot šā sprieduma 74. punktā izklāstītos apsvērumus, iesniedzējtiesai ir jāpārbauda, vai šo datu vākšanas mērķis var tikt sasniegts arī tad, ja Latvijas nodokļu administrācijas rīcībā iespējami nebūtu datu par visiem minētā saimnieciskās darbības subjekta tīmekļvietnē publicētajiem vieglo automobiļu pārdošanas sludinājumiem, un, konkrēti, vai ir iespējams šai administrācijai, izmantojot specifiskus kritērijus, mērķorientēti atlasīt noteiktus sludinājumus.

77

Šajā kontekstā jāuzsver, ka saskaņā ar Regulas 2016/679 5. panta 2. punktā noteikto pārskatatbildības principu pārzinim ir jāspēj uzskatāmi pierādīt, ka tas ievēro šā panta 1. punktā noteiktos personas datu apstrādes principus.

78

Tāpēc tieši Latvijas nodokļu administrācija ir tā, kurai ir jāpierāda, ka saskaņā ar šīs regulas 25. panta 2. punktu tā ir centusies vācamo personas datu apjomu cik vien iespējams minimizēt.

79

Runājot par to, ka Latvijas nodokļu administrācijas nosūtītais informācijas pieprasījums – gadījumā, ja attiecīgais sludinājumu ievietošanas pakalpojumu sniedzējs neatjauno piekļuvi šajā pieprasījumā norādītajā periodā publicētajiem sludinājumiem, – neparedz nekādu laika ierobežojumu, ir jāatgādina, ka, ņemot vērā datu minimizēšanas principu, pārzinim ir arī pienākums ierobežot attiecīgo personas datu vākšanas laikposmu līdz tam, kas ir strikti nepieciešams, ievērojot iecerētās apstrādes mērķi.

80

Tāpēc laika periods, par kādu ir ievācami dati, nedrīkst pārsniegt to, kas ir strikti nepieciešams, lai sasniegtu izvirzīto vispārējo interešu mērķi.

81

Kā izriet no šā sprieduma 77. punkta, pierādīšanas pienākums šajā ziņā ir Latvijas nodokļu administrācijai.

82

Tomēr apstāklis, ka minētie dati tiek vākti, Latvijas nodokļu administrācijai pašā informācijas pieprasījumā nenosakot šīs apstrādes laika ierobežojumu, pats par sevi vien neļauj uzskatīt, ka apstrādes ilgums pārsniegtu to, kas ir strikti nepieciešams, lai sasniegtu izvirzīto mērķi.

83

Taču šajā kontekstā ir jāatgādina, ka, lai izpildītu Regulas 2016/679 5. panta 1. punkta c) apakšpunktā formulēto samērīguma principu (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 98. punkts un tajā minētā judikatūra), apstrādi pamatojošajā tiesiskajā regulējumā ir jāparedz skaidri un precīzi noteikumi, kas reglamentē attiecīgā pasākuma tvērumu un piemērošanu un paredz minimālās prasības, lai tā rezultātā attiecīgo personas datu subjektiem būtu pietiekamas garantijas, kas ļautu šos datus efektīvi aizsargāt pret ļaunprātīgas izmantošanas risku. Šim tiesiskajam regulējumam ir jābūt juridiski saistošam valsts tiesībās, un tajā it īpaši ir jānorāda, kādos apstākļos un saskaņā ar kādiem nosacījumiem var īstenot pasākumu, kas ietver šādu datu apstrādi, tādējādi garantējot, ka šāda iejaukšanās notiek tikai strikti nepieciešamajā apmērā (spriedums, 2020. gada 6. oktobris, Privacy International, C‑623/17, EU:C:2020:790, 68. punkts un tajā minētā judikatūra).

84

No tā izriet, ka valsts tiesiskajam regulējumam, kurā ir reglamentēts tāds informācijas pieprasījums kā pamatlietā aplūkotais, ir jābūt balstītam uz objektīviem kritērijiem, lai noteiktu apstākļus un nosacījumus, kādos tiešsaistes pakalpojumu sniedzējam ir jānosūta savu lietotāju personas dati (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, Privacy International, C‑623/17, EU:C:2020:790, 78. punkts un tajā minētā judikatūra).

85

Ievērojot visus iepriekš izklāstītos apsvērumus, uz trešo līdz devīto jautājumu ir atbildams, ka Regulas 2016/679 normas ir jāinterpretē tādējādi, ka tām nav pretrunā, ka dalībvalsts nodokļu administrācija interneta sludinājumu ievietošanas pakalpojumu sniedzējam uzliek pienākumu tai sniegt informāciju par visiem nodokļu maksātājiem, kas publicējuši sludinājumus kādā no tā interneta portāla sadaļām, ja vien – cita starpā – šie dati ir nepieciešami, ņemot vērā konkrētos nolūkus, kuriem tie ir vākti, un laikposms, par kuru šie dati tiek vākti, ilguma ziņā nepārsniedz attiecīgo vispārējo interešu mērķa sasniegšanai strikti nepieciešamo.

Par tiesāšanās izdevumiem

86

Attiecībā uz pamatlietas pusēm šī tiesvedība ir stadija procesā, kuru izskata iesniedzējtiesa, un tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

 

Ar šādu pamatojumu Tiesa (piektā palāta) nospriež:

 

1)

Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) normas ir jāinterpretē tādējādi, ka dalībvalsts nodokļu administrācijai, ievācot no saimnieciskās darbības subjekta ievērojamu apjomu personas datu ietverošu informāciju, ir jāievēro prasības, kas noteiktas šajā regulā, konkrēti – tās 5. panta 1. punktā.

 

2)

Regulas 2016/679 normas ir jāinterpretē tādējādi, ka dalībvalsts nodokļu administrācija nedrīkst atkāpties no šīs regulas 5. panta 1. punktā noteiktā, ja šādas tiesības tai nav piešķirtas ar leģislatīvu pasākumu minētās regulas 23. panta 1. punkta izpratnē.

 

3)

Regulas 2016/679 normas ir jāinterpretē tādējādi, ka tām nav pretrunā, ka dalībvalsts nodokļu administrācija interneta sludinājumu ievietošanas pakalpojumu sniedzējam uzliek pienākumu tai sniegt informāciju par visiem nodokļu maksātājiem, kas publicējuši sludinājumus kādā no tā interneta portāla sadaļām, ja vien – cita starpā – šie dati ir nepieciešami, ņemot vērā konkrētos nolūkus, kuriem tie ir vākti, un laikposms, par kuru šie dati tiek vākti, ilguma ziņā nepārsniedz attiecīgo vispārējo interešu mērķa sasniegšanai strikti nepieciešamo.

 

Regan

Lenaerts

Lycourgos

Jarukaitis

Ilešič

Pasludināts atklātā tiesas sēdē Luksemburgā 2022. gada 24. februārī.

Sekretārs

A. Calot Escobar

Priekšsēdētājs

K. Lenaerts


( *1 ) Tiesvedības valoda – latviešu.

Top