1.

Direktīvā (ES) 2016/680 ( 2 ), kas plašāk pazīstama kā Tiesībaizsardzības direktīva, ir paredzēti īpaši noteikumi par personas datu aizsardzību un šo datu brīvu apriti tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, un tā būtībā atspoguļo “minēto jomu specifiskās iezīmes” ( 3 ). Ar Direktīvu 2016/680 paredzēts sasniegt divus politikas mērķus. No vienas puses, direktīvas mērķis ir palīdzēt izveidot brīvības, drošības un tiesiskuma telpu (BDTT) ( 4 ), kas ļautu nodrošināt personas datu brīvu apriti starp kompetentajām iestādēm tiesībaizsardzības nolūkos ( 5 ). No otras puses, tās mērķis ir nodrošināt augstu šādu datu aizsardzības līmeni. Tās juridiskais pamats ir LESD 16. panta 2. punkts, kurā Savienības likumdevējam ir uzticēts pieņemt noteikumus par personas datu aizsardzību.

2.

Tomēr šo divu Direktīvā 2016/680 izvirzīto politikas mērķu “saskaņošana” joprojām ir sarežģīts uzdevums ( 6 ). Šī lieta sniedz Tiesai iespēju izskatīt konkrētu piemēru, kā, datu subjektiem īstenojot savas tiesības, tiek salāgotas tiesībaizsardzība un datu aizsardzība. Salīdzinājumā ar iepriekšējo kārtību, kas bija spēkā saskaņā ar Padomes Pamatlēmumu 2008/977/TI ( 7 ), šī direktīva nostiprina datu subjektu tiesības. Īpaši tiek nostiprinātas datu subjekta tiesības uz tiešu piekļuvi datiem, un tās ir būtiska pamattiesību uz datu aizsardzību sastāvdaļa. Kā norādīts akadēmiskajā literatūrā, datu subjektu tiesības tiesībaizsardzības jomā ir “būtisks instruments cīņā ar informatīvās varas asimetriju un nelikumīgām apstrādes darbībām” ( 8 ). Tādēļ ir svarīgi nodrošināt, lai šīs tiesības varētu efektīvi īstenot.

3.

Direktīvas 2016/680 3. pantā ir noteiktas šādas definīcijas:

“8)   “pārzinis” ir kompetentā iestāde, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesībām, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesībās;

[..]

15)   “uzraudzības iestāde” ir neatkarīga publiska iestāde, ko dalībvalsts izveidojusi, ievērojot 41. pantu.”

4.

Direktīvas 2016/680 III nodaļas virsraksts ir “Datu subjekta tiesības”. Šīs nodaļas 13. panta “Informācija, ko dara pieejamu vai sniedz datu subjektam” 3. un 4. punktā noteikts:

“3.   Dalībvalstis var pieņemt leģislatīvus pasākumus, lai atliktu, ierobežotu vai nesniegtu informāciju datu subjektam, ievērojot 2. punktu, ciktāl un kamēr šāds pasākums ir nepieciešams un samērīgs demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:

4.   Dalībvalstis var pieņemt leģislatīvus pasākumus, lai noteiktu apstrādes kategorijas, uz kurām pilnībā vai daļēji var attiekties jebkurš no 3. punkta apakšpunktiem.”

5.

Direktīvas 2016/680 14. pantā “Datu subjekta piekļuves tiesības” ir noteikts:

“Ņemot vērā 15. pantu, dalībvalstis datu subjektam paredz tiesības saņemt no pārziņa apstiprinājumu par to, vai tiek apstrādāti personas dati, kuri attiecas uz viņu, un, ja tā ir, piekļūt personas datiem un šādai informācijai:

[..].”

6.

Direktīvas 2016/680 15. pantā “Piekļuves tiesību ierobežojumi” ir noteikts:

“1.   Dalībvalstis var pieņemt leģislatīvus pasākumus, ar ko pilnībā vai daļēji ierobežo datu subjekta piekļuves tiesības, ciktāl un tik ilgi, kamēr šāds daļējs vai pilnīgs ierobežojums ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:

2.   Dalībvalstis var pieņemt leģislatīvus pasākumus, lai noteiktu apstrādes kategorijas, uz kurām pilnībā vai daļēji var attiekties 1. punkta a)–e) apakšpunktā minētie izņēmumi.

3.   Gadījumos, kas minēti 1. un 2. punktā, dalībvalstis paredz, ka pārzinis bez nepamatotas kavēšanās rakstiski informē datu subjektu par atteikumu vai ierobežojumiem piekļūt datiem un par atteikuma vai ierobežojuma iemesliem. Šādu informāciju var nesniegt, ja tās sniegšana apdraudētu kādu no 1. punktā noteiktajiem nolūkiem. Dalībvalstis paredz, ka pārzinis informē datu subjektu par iespēju iesniegt sūdzību uzraudzības iestādē vai vērsties tiesā.

4.   Dalībvalstis paredz, ka pārzinis dokumentē faktiskos vai juridiskos iemeslus, kuri ir lēmuma pamatā. Minēto informāciju dara pieejamu uzraudzības iestādēm.”

7.

Direktīvas 2016/680 16. panta “Tiesības uz personas datu labošanu vai dzēšanu un apstrādes ierobežošanu” 4. punktā ir noteikts:

“Dalībvalstis paredz, ka pārzinis rakstiski informē datu subjektu par atteikumu labot personas datus, tos dzēst vai ierobežot apstrādi un par atteikuma iemesliem. Dalībvalstis var pieņemt leģislatīvus pasākumus, ar ko pilnībā vai daļēji ierobežo pienākumu sniegt šādu informāciju tiktāl, ciktāl šāds ierobežojums ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:

Dalībvalstis paredz, ka pārzinis informē datu subjektu par iespēju iesniegt sūdzību uzraudzības iestādē vai vērsties tiesā.”

8.

Direktīvas 2016/680 17. pantā “Tiesību īstenošana, ko veic datu subjekts, un pārbaude, ko veic uzraudzības iestāde” ir noteikts:

“1.   Dalībvalstis 13. panta 3. punktā, 15. panta 3. punktā un 16. panta 4. punktā minētajos gadījumos pieņem pasākumus, ar ko paredz, ka datu subjekta tiesības var īstenot arī ar kompetentas uzraudzības iestādes starpniecību.

2.   Dalībvalstis paredz, ka pārzinis informē datu subjektu par iespēju īstenot savas tiesības ar uzraudzības iestādes starpniecību, ievērojot 1. punktu.

3.   Ja tiek īstenotas 1. punktā minētās tiesības, uzraudzības iestāde informē datu subjektu vismaz par to, ka uzraudzības iestāde ir veikusi visas nepieciešamās pārbaudes vai pārskatīšanu. Uzraudzības iestāde arī informē datu subjektu par viņa tiesībām vērsties tiesā.”

9.

Ar 2018. gada 30. jūlijaloi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (Likums par fizisko personu aizsardzību attiecībā uz personas datu apstrādi; Moniteur belge, 2018. gada 5. septembris, 68616. lpp.; turpmāk tekstā – “LPD”) Direktīvu 2016/680 transponē Beļģijas tiesībās. LPD 2. sadaļas III nodaļā ir reglamentētas datu subjekta tiesības, proti, būtībā tiesības uz informāciju, tiesības piekļūt datiem un tiesības uz datu labošanu.

10.

LPD 42. pantā ir noteikts:

“Pieprasījumu izmantot šajā nodaļā minētās tiesības attiecībā pret policijas dienestiem [..] vai Inspection générale de la police fédérale et de la police locale [(Federālās policijas ģenerālinspekcija un vietējā policija, Beļģija)] iesniedz 71. pantā minētajai uzraudzības iestādei.

Gadījumos, kuri noteikti 37. panta 2. punktā, 38. panta 2. punktā, 39. panta 4. punktā un 62. panta 1. punktā, uzraudzības iestāde, kas minēta 71. pantā, tikai informē datu subjektu par to, ka ir veiktas vajadzīgās pārbaudes.

Neskarot 2. punktu, 71. pantā minētā uzraudzības iestāde var paziņot attiecīgajai personai noteiktu “konteksta informāciju”.

Ņemot vērā 71. pantā minētās uzraudzības iestādes atzinumu, Karalis nosaka konteksta informācijas kategoriju, ko šī iestāde var darīt zināmu attiecīgajai personai.”

11.

Iesniedzējtiesa norāda, ka “konteksta informācija”, ko Policijas informācijas uzraudzības iestāde var izpaust datu subjektam, ar LPD 42. panta ceturtajā teikumā paredzēto Karaļa dekrētu vēl nav precizēta.

12.

LPD 71. pantā ir noteikts:

“1.   Pārstāvju palātā tiek izveidota neatkarīga policijas informācijas uzraudzības iestāde, ko sauc par Organe de contrôle de l’information policière [(Policijas informācijas uzraudzības iestāde, Beļģija)].

[..]

[Tai ir] uzdots: 1° pārraudzīt šīs daļas piemērošanu [..].”

13.

LPD 5. sadaļā ir I nodaļa “Prasība atturēties no noteiktu darbību veikšanas”. Šajā nodaļā ietvertajā 209. pantā ir noteikts šādi:

“Neskarot citus tiesiskās, administratīvās vai ārpustiesas tiesiskās aizsardzības līdzekļus, pirmās instances tiesas priekšsēdētājs, izskatīdams lietu pagaidu noregulējuma procedūrā, konstatē, ka ir notikusi apstrāde, kas ir pretrunā normatīvajiem un administratīvajiem aktiem par fizisku personu aizsardzību attiecībā uz viņu personas datu apstrādi, un liek to pārtraukt.

Pirmās instances tiesas priekšsēdētājs, izskatot lietu pagaidu noregulējuma tiesvedībā, izskata visus pieteikumus saistībā ar likumā vai saskaņā ar likumu piešķirtajām tiesībām piekļūt personas datiem, kā arī visus pieteikumus par to personas datu labošanu, dzēšanu vai izmantošanas aizliegšanu, kuri ir neprecīzi vai, ņemot vērā apstrādes nolūku, nepilnīgi vai nebūtiski, vai kuru reģistrēšana, izpaušana vai glabāšana ir aizliegta, vai pret kuru apstrādi datu subjekti ir iebilduši, vai kuri ir glabāti ilgāk par atļauto termiņu.”

14.

LPD 240. pantā ir noteikts, ka Policijas informācijas uzraudzības iestāde:

“4° izskata sūdzības, nepieciešamajā apjomā izmeklē sūdzības priekšmetu un saprātīgā termiņā informē sūdzības iesniedzēju par izmeklēšanas gaitu un iznākumu, it īpaši, ja ir nepieciešama turpmāka izmeklēšana vai koordinēšana ar citu uzraudzības iestādi. [..]”

15.

2016. gadā BA vēlējās piedalīties instalāciju uzstādīšanā un demontāžā desmitajām “Eiropas Attīstības dienām”, kas notika Briselē (Beļģijā). Lai to darītu, viņam bija jāsaņem drošības sertifikāts.

16.

Ar 2016. gada 22. jūnija vēstuli Autorité nationale de sécurité (Nacionālā drošības iestāde, Beļģija) atteicās izsniegt nepieciešamo drošības sertifikātu. Tā norādīja, ka no šīs iestādes rīcībā esošās informācijas izriet, ka par attiecīgo personu ir zināms, ka tā laikposmā no 2007. gada līdz 2016. gadam ir piedalījusies 10 manifestācijās, tāpēc tai tiek liegts saņemt drošības sertifikātu. BA šo Nacionālās drošības iestādes lēmumu neapstrīdēja.

17.

LPD, ar ko izveido Policijas informācijas uzraudzības iestādi, stājās spēkā 2018. gada 5. septembrī.

18.

2020. gada 4. februārī BA pārstāvis lūdza Policijas informācijas uzraudzības iestādi norādīt strīdīgās datu apstrādes pārziņus un uzdot tiem nodrošināt BA piekļuvi visai ar viņu saistītajai informācijai.

19.

Policijas informācijas uzraudzības iestāde 2020. gada 6. februāra elektroniskā pasta vēstulē atbildēja, ka BA ir tikai netiešas piekļuves tiesības, un vienlaikus apliecināja, ka tā pārbaudīs BA personas datus Banque de données nationale générale (BNG – Valsts vispārējā datubāze), lai nodrošinātu to iespējamās apstrādes likumību. Policijas informācijas uzraudzības iestāde norādīja, ka tās pilnvarās ietilpst uzdot policijai, ja nepieciešams, dzēst vai mainīt datus un ka pārbaudes beigās BA tiks informēts par to, ka “nepieciešamās pārbaudes ir veiktas”.

20.

2020. gada 22. jūnijā Policijas informācijas uzraudzības iestāde rakstīja:

“[..]saskaņā ar [LPD] 42. pantu informēju Jūs, ka uzraudzības iestāde ir veikusi nepieciešamās pārbaudes.

Tas nozīmē, ka Jūsu klienta personas dati ir pārbaudīti policijas datubāzēs, lai nodrošinātu iespējamās apstrādes likumību.

Vajadzības gadījumā personas dati ir grozīti vai dzēsti.

Kā jau Jums izskaidroju savā 2. jūnija elektroniskā pasta vēstulē, saskaņā ar LPD 42. pantu uzraudzības iestādei nav atļauts sniegt vairāk informācijas.”

21.

2020. gada 2. septembrī prasītāji pamatlietā, proti, BA un Ligue des droits humains, iesniedza pret Policijas informācijas uzraudzības iestādi prasību tribunal de première instance francophone de Bruxelles (Briseles frankofonā pirmās instances tiesa, Beļģija) priekšsēdētājam, pamatojoties uz LPD 209. panta otro teikumu. Tie lūdza atzīt par pieņemamu to prasību pret uzraudzības iestādi. Pakārtoti tie jautāja tiesai, vai LPD 42. pants nav pretrunā Direktīvas 2016/680 47. panta 4. punktam un 17. panta 3. punktam. Saistībā ar šo BA un Ligue des droits humains norādīja, ka LPD 42. pantā nav paredzēta iespēja vērsties tiesā pret neatkarīgas uzraudzības iestādes pieņemtu lēmumu un šai iestādei nav arī noteikts pienākums informēt datu subjektu par tā tiesībām vērsties tiesā.

22.

Attiecībā uz savas prasības būtību prasītāji lūdza piekļuvi visiem BA personas datiem un lūdza uzdot Policijas informācijas uzraudzības iestādei identificēt pārziņus un visas personas, kas varētu būt saņēmušas šādus datus. Pakārtoti tie lūdza vērsties Tiesā un uzdot jautājumu būtībā par to, vai LPD 42. panta 2. punkts ir saderīgs ar Direktīvas 2016/680 14., 15. un 17. pantu kopsakarā ar Eiropas Savienības Pamattiesību hartas (turpmāk tekstā – “Harta”) 8. un 47. pantu un 52. panta 1. punktu. Šajā ziņā viņi norādīja, ka LPD 42. panta 2. punktā ir paredzēta vispārēja un sistemātiska atkāpe no tiesībām piekļūt personas datiem.

23.

Ar 2021. gada 17. maija rīkojumu tribunal de première instance francophone de Bruxelles (Briseles frankofonā pirmās instances tiesa) atzina, ka tai nav kompetences izskatīt prasītāju prasību.

24.

Ar 2021. gada 15. jūnija pieteikumu pamatlieta tika iesniegta cour d'appel de Bruxelles (Briseles apelācijas tiesa, Beļģija). Apelācijas sūdzības iesniedzēji būtībā atkārtoja iebildumus, ko tie bija cēluši pret LPD 42. panta 2. punktu, un pirmās instances tiesvedībā izvirzītos lūgumus.

25.

Policijas informācijas uzraudzības iestāde apgalvoja, ka apelācijas sūdzība ir jānoraida.

26.

Iesniedzējtiesa norāda, ka saskaņā ar Beļģijas tiesībām uz policijas dienestu apstrādātiem datiem attiecas īpašs režīms. Atbilstoši LPD 42. pantam visus pieprasījumus, kas izriet no tiesībām saistībā ar personas datiem, adresē Policijas informācijas uzraudzības iestādei. Minētā iestāde tikai informē datu subjektu, ka “ir veiktas vajadzīgās pārbaudes”.

27.

Iesniedzējtiesa norāda, ka Direktīvas 2016/680 17. panta 3. punkts nav pienācīgi transponēts valsts tiesību aktos. Pirmkārt, LPD 42. pantā nav paredzēts, ka uzraudzības iestādei ir jāinformē datu subjekts par viņa tiesībām vērsties tiesā. Otrkārt, LPD ir noteikts, ka nav atļauts vērsties tiesā pret Policijas informācijas uzraudzības iestādi.

28.

Šajā ziņā iesniedzējtiesa norāda, pirmām kārtām, ka LPD 240. pantā paredzētais tiesiskās aizsardzības līdzeklis, kas ļauj datu subjektam iesniegt sūdzību uzraudzības iestādē, ir jāvērš pret pārzini.

29.

Otrām kārtām, prasība atturēties no noteiktu darbību veikšanas, kāda paredzēta LPD 209. un nākamajos pantos, nesniedz BA efektīvu tiesiskās aizsardzības līdzekli pret Policijas informācijas uzraudzības iestādi. Saistībā ar šo iesniedzējtiesa norāda – no šīm tiesību normām izriet, pirmkārt, ka prasība ir jāceļ pret pārzini. Tādējādi BA nevar celt prasību pret Policijas informācijas uzraudzības iestādi. Otrkārt, LPD 42. pants neļauj BA celt šādu prasību pret pārzini, jo tā tiesību īstenošana ir uzticēta Policijas informācijas uzraudzības iestādei. Treškārt, Policijas informācijas uzraudzības iestādes sniegtā ļoti ierobežotā informācija, kas atbilst LPD 42. pantam, neļauj ne BA, ne tiesai, īstenojot a posteriori kontroli, novērtēt, vai Policijas informācijas uzraudzības iestāde ir pareizi īstenojusi BA tiesības.

30.

Visbeidzot, lai gan prasība atturēties no noteiktu darbību veikšanas ir reglamentēta LPD, “neskarot citus tiesiskās, administratīvās vai ārpustiesas tiesiskās aizsardzības līdzekļus” un neierobežojot “pirmās instances tiesas un pirmās instances tiesas priekšsēdētāja, kas izskata lietu pagaidu noregulējuma tiesvedībā, kompetenci” (LPD 209. un 219. pants), iesniedzējtiesas ieskatā, BA centieni izmantot jebkuru citu tiesiskās aizsardzības līdzekli atdurtos pret tām pašām grūtībām.

31.

Šādos apstākļos cour d’appel de Bruxelles (Briseles apelācijas tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

32.

Rakstveida apsvērumus ir iesnieguši prasītāji pamatlietā, Beļģijas valdība, Čehijas Republika, Eiropas Komisija, kā arī Eiropas Parlaments. Tiesa uzdeva Beļģijas valdībai vairākus rakstveida jautājumus, uz kuriem jāatbild rakstveidā. Minētā valdība atbildēja 2023. gada 13. martā. Prasītāji un atbildētāja pamatlietā, Francijas valdība, kā arī Eiropas Komisija un Eiropas Parlaments piedalījās tiesas sēdē, kas notika 2023. gada 29. martā.

33.

Prejudiciālie jautājumi būtībā attiecas uz uzraudzības iestādes rīcības pārbaudi tiesā, kā arī uz tās darbības jomu un efektivitāti situācijā, kad šī iestāde īsteno datu subjekta tiesības šā datu subjekta vārdā, proti, kad šīs tiesības tiek īstenotas netieši. Iesniedzējtiesa nav apšaubījusi Beļģijas regulējuma struktūru saistībā ar datu subjektu netiešu piekļuvi datiem. Tomēr tāda sistēma, kurā datu subjektam piekļuve saviem datiem ir praktiski neiespējama vai pārmērīgi apgrūtināta, neizbēgami ietekmē tiesības uz efektīvu tiesiskās aizsardzības līdzekli. Tāpēc ir svarīgi vispirms īsi raksturot Direktīvā 2016/680 paredzēto datu subjekta tiesību struktūru un tikai pēc tam pētīt, kā šajā struktūrā iekļaujas Beļģijas netiešās piekļuves kārtība.

34.

Tiesības piekļūt savāktajiem datiem un tiesības uz datu labošanu ir būtiska Hartas 8. panta 2. punktā paredzēto tiesību uz personas datu aizsardzību sastāvdaļa. Kopumā piekļuves tiesībām ir divi galvenie mērķi, proti, “uzlabot pārredzamību un atvieglot kontroli” ( 9 ). Patiešām, kā norādīts akadēmiskajā literatūrā, tās uzlabo pārredzamību, jo nodrošina “otru, dziļāku un detalizētāku informācijas slāni, ko datu subjekts var iegūt” ( 10 ). Piekļuves tiesības atvieglo kontroli, jo tās ir priekšnoteikums citu tiesību, proti, tiesību uz personas datu labošanu vai dzēšanu vai tiesību vērsties tiesā, izmantošanai ( 11 ).

35.

No Direktīvas 2016/680 7. apsvēruma izriet, ka minētās direktīvas mērķis ir panākt, lai personas datu aizsardzība visā Eiropas Savienībā būtu efektīva, un šajā nolūkā stiprināt datu subjektu tiesības un to personu pienākumus, kas apstrādā personas datus, kā arī līdzvērtīgas pilnvaras uzraudzīt un nodrošināt personas datu aizsardzības noteikumu ievērošanu dalībvalstīs. Tas ir būtisks solis salīdzinājumā ar iepriekšējo kārtību, kas bija noteikta Pamatlēmumā 2008/977. Minētā pamatlēmuma piemērošanas joma attiecās tikai uz pārrobežu datu apstrādi. Turklāt tas atspoguļoja “pirms Lisabonas līguma spēkā stāšanās pastāvējušās Savienības “pīlāru” struktūras īpatnības” ( 12 ), un tajā bija atstāta “plaša rīcības telpa dalībvalstīm” ( 13 ). Salīdzinājumā ar minēto iepriekšējo regulējumu Direktīvas 2016/680 III nodaļā ir paredzēta “datu subjektu tiesību jauna arhitektūra, kuras pamatā ir tiesības uz informāciju, piekļuvi, datu labošanu, dzēšanu vai to apstrādes ierobežošanu, ja vien šīs tiesības nav ierobežotas” ( 14 ).

36.

Konkrētāk, Direktīvas 2016/680 13. pantā ir paredzēts, ka pārziņiem ir jāsniedz noteikta informācija datu subjektiem (“tiesības uz informāciju”). Direktīvas 14. pantā noteikts, ka datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai tiek apstrādāti personas dati, kuri attiecas uz viņu, un, ja tā ir, piekļūt personas datiem un konkrētai informācijai (“piekļuves tiesības”). Direktīvas 16. pantā noteikts, ka datu subjektam ir tiesības no pārziņa panākt neprecīzu datu subjekta personas datu labošanu, kā arī tiesības uz personas datu dzēšanu vai – attiecīgā gadījumā – apstrādes ierobežošanu (“tiesības uz labošanu, dzēšanu vai apstrādes ierobežošanu”). Datu subjekts principā var tieši īstenot savas tiesības.

37.

Direktīva 2016/680 ļauj dalībvalstīm pieņemt leģislatīvus pasākumus, ar kuriem pilnībā vai daļēji ierobežo datu subjektu tiesības saskaņā ar Direktīvas 2016/680 13. panta 3. punktā, 15. pantā un 16. panta 4. punktā paredzētajiem nosacījumiem. Būtībā ikviens šāds pasākums ir atļauts “ciktāl un tik ilgi, kamēr” tas ir “nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses”, lai aizsargātu konkrētu sabiedrības interešu mērķi, proti, lai netraucētu oficiālas vai juridiskas pārbaudes, izmeklēšanas vai procedūras, novērstu, ka tiek kaitēts noziedzīgu nodarījumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu izpildei, aizsargātu sabiedrisko drošību, valsts drošību vai aizsargātu citu personu tiesības un brīvības. Dalībvalstis atbilstoši Direktīvas 2016/680 13. panta 4. punktam un 15. panta 2. punktam var pieņemt leģislatīvus pasākumus, lai noteiktu apstrādes kategorijas, uz kurām pilnībā vai daļēji var attiekties kāds no minētajiem nolūkiem.

38.

Piekļuves tiesību ierobežojuma gadījumā pārzinim saskaņā ar Direktīvas 2016/680 15. panta 3. punktu bez nepamatotas kavēšanās rakstveidā jāinformē datu subjekts par atteikumu vai ierobežojumiem piekļūt datiem un par atteikuma vai ierobežojuma iemesliem. Šādu informāciju var nesniegt, ja tās sniegšana apdraudētu kādu no direktīvas 15. panta 1. punktā norādītajiem sabiedrības interešu mērķiem. Pārzinim ir pienākums informēt datu subjektu par iespēju iesniegt sūdzību uzraudzības iestādē vai vērsties tiesā. Turklāt atbilstoši Direktīvas 2016/680 15. panta 4. punktam, ja piekļuves tiesības ir ierobežotas vai atteiktas, pārzinim ir jādokumentē faktiskie vai juridiskie iemesli, kuri ir lēmuma pamatā, un šī informācija jādara pieejama uzraudzības iestādēm.

39.

No Direktīvas 2016/680 III nodaļā izklāstītās datu subjekta tiesību struktūras izriet, ka vispārējais noteikums ir tāds, ka tiesībaizsardzības jomā datu subjektiem ir tiesības uz savu datu aizsardzību un viņi šīs tiesības var īstenot tieši. Jebkurš šo tiesību ierobežojums ir izņēmums. Saskaņā ar Tiesas pastāvīgo judikatūru izņēmums no vispārējā noteikuma ir jāinterpretē šauri ( 15 ). Turklāt attiecībā uz ierobežojumiem pastāv pienākums norādīt pamatojumu, kāpēc ierobežojumi noteikti, un attiecīgi informēt datu subjektu. Šādu informāciju var nesniegt tikai izņēmuma gadījumos.

40.

Tāda pati savstarpējā saistība starp noteikumu un izņēmumu attiecas arī uz dalībvalstīm doto iespēju noteikt “apstrādes kategorijas”, kuras var pilnībā vai daļēji uzskatīt par sabiedrības interešu mērķiem, kas ļauj ierobežot datu subjektu tiesību īstenošanu saskaņā ar Direktīvas 2016/680 13. panta 3. punktu vai 15. panta 1. punktu. Kā Atzinumā saistībā ar Direktīvu 2016/680 būtībā norādījusi 29. panta datu aizsardzības darba grupa ( 16 ) – lai gan dalībvalstīm ir dota iespēja noteikt šādas apstrādes kategorijas, nav paredzēts, ka tiek noteikti “vispārēji ierobežojumi” attiecībā uz datu subjektu tiesībām uz informāciju un piekļuvi ( 17 ). Šādi vispārēji ierobežojumi piešķirtu izņēmumam prioritāti pār noteikumu, padarot lielākoties bezjēdzīgus noteikumus, kuros ir nostiprinātas datu subjekta tiesības ( 18 ).

41.

Datu subjekta tiesības tieši sazināties ar pārzini, lai īstenotu savas tiesības, ir svarīga Direktīvas 2016/680 iezīme. Šī direktīva principā garantē, ka datu subjekti var tieši īstenot savas tiesības ( 19 ). Datu subjektiem ir tiesības uz tiešu piekļuvi datiem, ja vien netiek piemērots ierobežojums. Ja tiek piemērots ierobežojums un tāpēc tiešās piekļuves tiesības vairs nav pieejamas, tad saskaņā ar Direktīvas 2016/680 17. panta 1. punktu datu subjekts savas tiesības var īstenot netieši ar kompetentās uzraudzības iestādes starpniecību.

42.

Kā norādījušas Francijas valdība, kā arī Komisija un kā to Atzinumā saistībā ar Direktīvu 2016/680 uzsvērusi arī 29. panta datu aizsardzības darba grupa, iespēja netieši īstenot savas tiesības ar kompetentās iestādes starpniecību ir jāuzskata par papildu garantiju, kas datu subjektam tiek piedāvāta tiesību ierobežojuma gadījumā ( 20 ). Tiesību netiešas izmantošanas kā papildu garantijas noteikšana ir nozīmīgs pavērsiens salīdzinājumā ar agrāko situāciju, kas bija spēkā saskaņā ar Pamatlēmumu 2008/977/EK ( 21 ). Tik tiešām – šajā pamatlēmumā ir noteikts, ka netiešā piekļuve bija līdzvērtīga tiešajai piekļuvei ( 22 ). Tas būtu pilnīgi pretrunā Direktīvā 2016/680 paredzētajam saskaņošanas mērķim, ja dalībvalstis, neņemot vērā direktīvā ietvertās izmaiņas datu subjektu tiesību struktūrā, noteiktu, ka netiešas piekļuves nodrošināšana ir nevis papildu iespēja, kas pieejama datu subjektiem, bet gan vienīgā datu subjektiem pieejamā iespēja.

43.

Direktīvas 2016/680 17. pants Beļģijas tiesību aktos ir transponēts ar LPD 42. pantu. LPD 42. panta pirmajā teikumā ir noteikts, ka datu subjektiem visi pieprasījumi izmantot savas tiesības attiecībā pret policijas dienestiem ir jāadresē Policijas informācijas uzraudzības iestādei. LPD 42. panta otrajā teikumā noteikts, ka gadījumā, ja pārzinis ierobežo vai atsaka piekļuvi, minētajai uzraudzības iestādei ir tikai jāinformē datu subjekts par to, ka ir veiktas visas vajadzīgās pārbaudes.

44.

Šķiet, ka LPD 42. pants nosaka kārtību, kādā tiek pieļauta atkāpe no datu subjektu tiesību tiešas īstenošanas principa attiecībā uz visiem policijas dienestu apstrādātajiem datiem. Patiešām, ņemot vērā to datu ārkārtīgi plašo tvērumu, kuriem piemērojams atkāpes režīms, secināms, ka šī kārtība paredz vispārēju atkāpi no tiešajām piekļuves tiesībām. Kā paskaidrots sākotnējos apsvērumos, šādu plašu un vispārēju atkāpi no tiesībām uz tiešu piekļuvi nevar uzskatīt par saderīgu ar Direktīvu 2016/680 ( 23 ). Kā atzinumā par LPD projektu būtībā ir norādījusi Conseil d’État (Valsts padome, Beļģija), iespējas attiecīgajai personai netieši izmantot savas tiesības aizstāšana ar atļauju likumdevējam pieprasīt, lai šādas tiesības tiktu izmantotas tikai netieši, ir pretrunā Direktīvas 2016/680 17. pantam ( 24 ).

45.

LPD 42. pantā paredzētā tiešas piekļuves aizstāšana ar netiešu piekļuvi ir uzskatāma par vēl jo problemātiskāku, ja ņem vērā Policijas informācijas uzraudzības iestādes ierobežotās pilnvaras. Tiesas sēdē atbildot uz jautājumu par šo punktu, šīs iestādes advokāts apstiprināja, ka datu subjekta tiesību netieša īstenošana paredz, ka Policijas informācijas uzraudzības iestāde var tikai informēt datu subjektu, ka ir veiktas visas vajadzīgās pārbaudes. Tomēr jāatgādina, ka netiešas piekļuves kārtība ir izņēmums, kura priekšnoteikums ir pieņēmums, ka datu subjektiem tiesības ir ierobežotas saskaņā ar Direktīvā 2016/680 paredzētajiem nosacījumiem. Turpretim Beļģijas sistēmā datu subjektam ir noteikts pienākums lūgt uzraudzības iestādei īstenot tā tiesības attiecībā uz policijas dienestu apstrādātajiem datiem. Datu subjekts nedrīkst piekļūt saviem datiem, tas tikai drīkst saņemt apstiprinājumu, ka ir veiktas visas vajadzīgās pārbaudes. Šķiet, ka valsts likumdevējs, atkāpjoties no Direktīvas 2016/680, ir noteicis pamatpieņēmumu, ka – attiecībā uz visiem policijas apstrādātajiem datiem – datu subjektu tiesības vienmēr ir ierobežotas un tieša piekļuve šādiem datiem nav iespējama.

46.

Ņemot vērā minētos apsvērumus, uzskatu, ka ar LPD 42. pantu ir iedibināta tiesību netiešas īstenošanas kārtība, kas nav saderīga ar Direktīvā 2016/680 noteikto veidu, kādā datu subjekti var izmantot savas tiesības. Prejudiciālie jautājumi tiks izskatīti, paturot prātā šo apsvērumu.

47.

Vispirms jāatgādina, ka saskaņā ar Tiesas pastāvīgo judikatūru ar LESD 267. pantu ieviestajā valstu tiesu un Tiesas sadarbības procedūrā Tiesas ziņā ir sniegt valsts tiesai noderīgu atbildi, kas tai ļautu atrisināt tās izskatīšanā esošo strīdu. No šā skatpunkta Tiesai attiecīgā gadījumā ir jāpārformulē tai uzdotais jautājums. Šajā ziņā Tiesa no visas valsts tiesas sniegtās informācijas, it īpaši no iesniedzējtiesas nolēmuma pamatojuma, var nošķirt minēto tiesību elementus, kuriem, ņemot vērā strīda priekšmetu, ir nepieciešama interpretācija ( 25 ).

48.

Šajā lietā no lūguma sniegt prejudiciālu nolēmumu izriet, ka iesniedzējtiesa ar savu pirmo jautājumu lūdz interpretēt Direktīvas 2016/680 17. pantu. Tā būtībā jautā, vai šis noteikums kopsakarā ar Hartas 47. pantu un 8. panta 3. punktu ir jāinterpretē tādējādi, ka saskaņā ar to datu subjektam ir jābūt iespējai vērsties tiesā pret neatkarīgu uzraudzības iestādi, ja šis datu subjekts savas tiesības īsteno ar uzraudzības iestādes starpniecību.

49.

Vispirms jānorāda, ka iesniedzējtiesa uzdod šo jautājumu, jo tā uzskata, ka Beļģijas tiesību aktos nav paredzētas tiesības lūgt pārbaudi tiesā pret uzraudzības iestādi, ja tā netieši īsteno datu subjekta tiesības. Šajā ziņā tā, pirmkārt, apgalvo, ka šī tiesību norma nav pareizi transponēta valsts tiesību aktos, jo LPD 42. pantā uzraudzības iestādei nav noteikts pienākums informēt datu subjektu par tā tiesībām vērsties tiesā. Otrkārt, iesniedzējtiesa vērtē, ka neviena cita LPD norma, jo īpaši tā 209. pants, nākamie panti un 240. pants, nenodrošina datu subjektam iespēju celt prasību pret uzraudzības iestādi tā tiesību netiešas īstenošanas gadījumā ( 26 ).

50.

Beļģijas valdība savos rakstveida apsvērumos apgalvo, ka neatkarīgi no LPD 209. panta otrā teikuma interpretācijas Beļģijas tiesību sistēmā ir paredzēta efektīva pārbaude tiesā, kas izmantojama pamatlietas apstākļos. Saistībā ar šo tā apgalvo, ka LPD paredzētie īpašie tiesiskās aizsardzības līdzekļi neierobežo civillietu tiesu vispārējo kompetenci. Ņemot to vērā, Beļģijas valdība pareizi norāda, ka saskaņā ar pastāvīgo judikatūru Tiesai ir pilnvaras lemt par Savienības tiesību normu interpretāciju vai spēkā esamību, tikai pamatojoties uz faktiem, ko tai ir norādījusi valsts tiesa. Savukārt tikai iesniedzējtiesas kompetencē ir interpretēt valsts tiesību aktus ( 27 ).

51.

Lai noteiktu, vai datu subjektam ir tiesības vērsties tiesā pret uzraudzības iestādi savu tiesību netiešas īstenošanas gadījumā, ir jāatgādina, ka Direktīvas 2016/680 VIII nodaļā ir noteikti vairāki datu subjektiem pieejami tiesiskās aizsardzības līdzekļi. Saskaņā ar Direktīvas 2016/680 52. pantu datu subjektiem ir tiesības iesniegt sūdzību uzraudzības iestādē. Direktīvas 2016/680 53. panta 1. punktā ir paredzēts, ka datu subjektiem ir tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas tās skar. Direktīvas 53. panta 2. punktā ir paredzēts, ka katram datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja uzraudzības iestāde trīs mēnešu laikā neizskata sūdzību vai neinformē datu subjektu par sūdzības izskatīšanas virzību vai rezultātiem. Turklāt datu subjektiem ir tiesības uz efektīvu tiesību aizsardzību tiesā pret pārzini vai apstrādātāju, ja datu subjekti uzskata, ka to personas datu nelikumīgas apstrādes rezultātā ir pārkāptas viņu tiesības. Visās šajā tiesību normās ir norādīts, ka katrs no šiem tiesiskās aizsardzības līdzekļiem ir pieejams, “neskarot pieejamos administratīvos vai ārpustiesas tiesiskās aizsardzības līdzekļus”.

52.

Par tiesībām uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi Direktīvas 2016/680 86. apsvērumā ir noteikts, ka šīs tiesības var izmantot pret “uzraudzības iestādes lēmumu, kas rada juridiskas sekas attiecībā uz šādu personu”. Šajā pašā apsvērumā ir norādīts, ka šāds lēmums jo īpaši attiecas uz to, kā uzraudzības iestāde īsteno izmeklēšanas, korektīvās un atļauju izsniegšanas pilnvaras, vai uz sūdzību noraidīšanu, bet šīs tiesības vērsties tiesā neaptver “citus uzraudzības iestāžu pasākumus, kas nav juridiski saistoši, piemēram, uzraudzības iestādes izdotos atzinumus vai sniegtos padomus”.

53.

No Direktīvas 2016/680 53. panta 1. punkta kopsakarā ar tās 86. apsvērumu izriet, ka datu subjektam ir tiesības apstrīdēt uzraudzības iestādes lēmumu vai pasākumu, kas rada juridiski saistošas sekas.

54.

Saistībā ar šo jāatgādina, ka tiesības uz efektīvu tiesību aizsardzību tiesā, kas nostiprinātas Hartas 47. pantā, ir jāatzīst ikvienai personai, kura pret nolēmumu, kas var nelabvēlīgi ietekmēt šīs tiesības vai brīvības, atsaucas uz Savienības tiesību aktos garantētām tiesībām vai brīvībām ( 28 ).

55.

Turpinājumā jānorāda, ka akti, kas var nelabvēlīgi ietekmēt personu, ir “akti vai pasākumi, kuri rada saistošas tiesiskās sekas, kas var tieši un nekavējoties ietekmēt prasītāja intereses, būtiski mainot viņa juridisko stāvokli” ( 29 ). Šajā ziņā ir jāievēro šā akta būtība un jāizvērtē tā sekas atbilstoši tādiem objektīviem kritērijiem kā minētā akta saturs, attiecīgā gadījumā ņemot vērā tā pieņemšanas kontekstu, kā arī tā izdevējas iestādes pilnvaras ( 30 ).

56.

Paturot prātā elementus, atbilstoši kuriem atpazīt aktu, kas nelabvēlīgi ietekme personu, lai noteiktu, vai uzraudzības iestāde pieņem juridiski saistošu lēmumu, kad tā netieši īsteno datu subjekta tiesības saskaņā ar Direktīvas 2016/680 17. pantu, ir jāizvērtē uzraudzības iestādes akta saturs jeb būtība, ņemot vērā akta kontekstu un šīs iestādes pilnvaras.

57.

Par uzraudzības iestādes akta būtību vispirms ir jāprecizē, ka akta spēja tieši radīt sekas attiecībā uz fiziskas vai juridiskas personas tiesisko stāvokli nevar tikt izvērtēta, ņemot vērā tikai to, ka šim aktam ir elektroniskās vēstules forma (kā tas bija pamatlietā), jo tas nozīmētu, ka prasības pamatā esošā akta forma būtu pārāka par pašu minētā akta būtību ( 31 ).

58.

Direktīvas 2016/680 17. panta 1. punktā noteikts, ka datu subjekta tiesības var īstenot ar kompetentās uzraudzības iestādes “starpniecību”. Minētās direktīvas 48. apsvērumā ir apgalvots, ka uzraudzības iestāde rīkojas datu subjekta “vārdā”. Saskaņā ar minētās direktīvas 17. panta 3. punktu uzraudzības iestāde “informē” datu subjektu vismaz par to, ka uzraudzības iestāde ir veikusi visas nepieciešamās pārbaudes vai pārskatīšanu.

59.

Policijas informācijas uzraudzības iestāde apgalvo, ka no šīs tiesību normas formulējuma izriet, ka uzraudzības iestāde tikai un vienīgi īsteno pilnvaras rīkoties datu subjekta vārdā un darbojas kā “ziņnesis”, kas vienkārši sniedz informāciju datu subjektam. Tādēļ nevar uzskatīt, ka šīs iestādes pieņemts akts rada datu subjektam saistošas juridiskās sekas. Čehijas valdība izvirza līdzīgu argumentu.

60.

Neapstrīdu, ka formulējums, kas lietots attiecībā uz datu subjekta tiesību īstenošanu ar uzraudzības iestādes “starpniecību” vai uzraudzības iestādes darbību datu subjekta “vārdā”, pats par sevi varētu tikt saprasts tādējādi, ka tas norāda, ka uzraudzības iestādei ir pilnvaras vienkārši sniegt informāciju.

61.

Tomēr uzskatu, ka tiesību akta konteksta un uzraudzības iestādes pilnvaru pārbaude neapstiprina vienkārša pilnvarojuma tēzi. Saistībā ar datu subjekta tiesību netiešu īstenošanu uzraudzības iestādes pienākumi ir daudz plašāki nekā tie būtu tad, ja tā rīkotos veidā, kas pielīdzināms datu subjekta “pārstāvim”, “ziņnesim” vai starpniekam. Vēlos parādīt, ka ir gluži pretēji, proti, Savienības likumdevējs ir piešķīris uzraudzības iestādei pienākumu, ko var veikt tikai valsts iestāde, – uzņemties vadošu un aktīvu lomu datu apstrādes likumīguma pārbaudē.

62.

Konkrētāk, kā apgalvoja Komisija un Beļģijas valdība, Direktīvas 2016/680 17. pants ir jālasa kopsakarā ar šīs direktīvas VI nodaļas 2. iedaļas tiesību normām, kurās ir paredzēti noteikumi par neatkarīgu uzraudzības iestāžu kompetenci, uzdevumiem un pilnvarām. Minētās direktīvas 46. panta 1. punkta g) apakšpunktā paredzēts, ka uzraudzības iestāde “pārbauda apstrādes likumīgumu saskaņā ar 17. pantu un saprātīgā termiņā informē datu subjektu par atbilstoši minētā panta 3. punktam veiktas pārbaudes rezultātiem vai iemesliem, kādēļ pārbaude netika veikta”.

63.

Beļģijas valdība atbildē uz Tiesas rakstveida jautājumu ir pareizi norādījusi, ka īpašais uzdevums pārbaudīt apstrādes likumīgumu pierāda, ka uzraudzības iestādes pienākumi neaprobežojas tikai ar “ziņneša” funkcijas izpildi starp datu subjektu un pārzini. Gluži pretēji – šī iestāde pienācīgi juridiski novērtē apstrādes likumīgumu.

64.

Turklāt saskaņā ar Direktīvas 2016/680 47. pantu katrai uzraudzības iestādei ir noteiktas izpildes pilnvaras, lai tā varētu īstenot savu funkciju – neatkarīgi pārbaudīt apstrādes likumīgumu. Šīs pilnvaras ir “efektīvas izmeklēšanas pilnvaras”, kuras ietver vismaz “pilnvaras iegūt no pārziņa un apstrādātāja piekļuvi visiem personas datiem, kas tiek apstrādāti”, kā arī “korektīvās” pilnvaras, tostarp pilnvaras izdot rīkojumu par personas datu dzēšanu vai labošanu vai apstrādes ierobežošanu. Turklāt saskaņā ar 47. panta 5. punktu uzraudzības iestādēm ir tiesības iesaistīties tiesvedībā, lai nodrošinātu atbilstoši Direktīvai 2016/680 pieņemto datu aizsardzības noteikumu izpildi. Piekrītu Komisijai, kas šajā ziņā norādīja, ka uzraudzības iestāde šīs pilnvaras var īstenot tikai pati savā vārdā kā valsts iestāde, nevis kā vienkāršs datu subjekta pārstāvis vai datu subjekta vārdā.

65.

Kad uzraudzības iestāde informē datu subjektu par rezultātiem, kas iegūti pārbaudē, kuru tā veikusi saskaņā ar Direktīvas 2016/680 17. panta 3. punktu un 46. panta 1. punkta g) apakšpunktu, tā noteikti jau ir noslēgusi procesu un pieņēmusi lēmumu par apstrādes likumīgumu. Tādējādi datu subjekta tiesisko stāvokli ietekmē i) tas, vai uzraudzības iestāde ir pareizi veikusi tai uzticēto pienākumu pārbaudīt “apstrādes likumīgumu saskaņā ar 17. pantu”, un ii) šīs iestādes pieņemtais secinājums pēc šā procesa.

66.

Direktīvas interpretācija, ņemot vērā Hartu, apstiprina, ka atbilstoši Direktīvas 2016/680 17. pantam jāatzīst, ka uzraudzības iestādei ir autonomi pienākumi, nevis vienkārša starpnieka funkcija. Hartas 8. panta 3. punktā neatkarīgai iestādei ir uzticēts pienākums pārbaudīt atbilstību datu aizsardzības noteikumiem un, konkrētāk, tiesībām piekļūt šiem datiem. Datu aizsardzības iestāžu pienākumam ir piešķirta konstitucionāla nozīmība, jo tas ir minēts Hartā. Uzraudzības iestādei ir pienākums uzraudzīt Direktīvas 2016/680 piemērošanu un nodrošināt tās izpildi. Interpretācija, saskaņā ar kuru šī iestāde, netieši īstenojot datu subjekta tiesības, rīkojas atsevišķi no attiecīgās personas, sekmē uzraudzības iestādei piešķirto konstitucionālo funkciju.

67.

Turklāt, ja pieņemtu, ka uzraudzības iestāde darbojas līdzīgā veidā kā datu subjekta “pārstāvis”, tad šai iestādei būtu pienākums ziņot datu subjektam kā tās pilnvarotājam. Tomēr Policijas informācijas uzraudzības iestāde apgalvo, ka tai nav pilnvaru sniegt papildu informāciju datu subjektam. Šāda pieeja rada savdabīgu situāciju, ka pārstāvis ir zinošāks par tā pilnvarotāju.

68.

Tiesas sēdē Francijas valdība būtībā apgalvoja, ka, lai gan saskaņā ar Direktīvas 2016/680 46. panta 1. punkta f) apakšpunktu uzraudzības iestāde izskata sūdzības, tomēr atbilstoši 46. panta 1. punkta g) apakšpunktam šai iestādei nav pilnvaru vērsties pret pārzini. Francijas valdības ieskatā, tā kā datu subjektam, kad tas savas tiesības īsteno tieši, nav pilnvaru vērsties pret pārzini, minētajam datu subjektam nevar būt šādu pilnvaru, kad tas šīs tiesības īsteno netieši ar uzraudzības iestādes starpniecību. Francijas valdība apgalvoja, ka Direktīvas 2016/680 47. pants attiecas tikai uz pilnvarām, kuras uzraudzības iestāde īsteno savā vārdā, bet ne uz kompetenci, ko tā īsteno datu subjekta vārdā.

69.

Francijas valdības viedoklis būtībā ir balstīts tēzē, ka uzraudzības iestāde darbojas tikai kā datu subjekta starpnieks. Iepriekš izskaidroto iemeslu dēļ nevaru piekrist šādai sašaurinātai uzraudzības iestādes funkcijas interpretācijai. Datu subjekta tiesību netiešai īstenošanai ir jābūt ar pievienoto vērtību un jāietver papildu garantija un nodrošinājums datu subjektam. Ja jebkuros apstākļos iestādei būtu tikai jāapstiprina, ka nepieciešamās pārbaudes ir veiktas, bet tā nevarētu īstenot savas pilnvaras, tās iesaistei apstrādes likumīguma pārbaudē būtu ierobežota pievienotā vērtība.

70.

Šajā ziņā Direktīvas 2016/680 17. pantā ir paredzēts, ka uzraudzības iestādei ir jāinformē datu subjekts “vismaz” par to, ka ir veiktas visas nepieciešamās pārbaudes. Tas nozīmē, ka var būt apstākļi, kuros uzraudzības iestāde var vai tai ir pienākums iesaistīties vairāk, nevis tikai sniegt šādu minimālo informāciju. Šādu interpretāciju apstiprina Direktīvas 2016/680 46. panta 1. punkta g) apakšpunkts, kurā uzraudzības iestādei ir uzdots pārbaudīt apstrādes likumīgumu atbilstoši Direktīvas 2016/680 17. pantam un informēt datu subjektu par saskaņā ar minētā panta 3. punktu veiktas pārbaudes rezultātiem. “Pārbaudes rezultāts” ietver minimālās informācijas sniegšanu, bet ne vienmēr aprobežojas ar to.

71.

Kā norādījusi Komisija, Direktīvas 2016/680 17. pantā uzraudzības iestādei ir piešķirta rīcības brīvība. Tomēr tajā netiek piešķirta rīcības brīvība dalībvalstīm samazināt iestādes pienākumus līdz ziņneša funkcijai vai pilnībā likvidēt šādas iestādes rīcības brīvību, nosakot, ka tai ir jāsniedztikai minimālā informācija. Patiešām, ja dalībvalsts varētu atkāpties no Direktīvas 2016/680 un piešķirt uzraudzības iestādēm mazāk pilnvaru, tas būtiski apdraudētu mērķi stiprināt datu subjektu tiesības un saskaņot pilnvaras datu aizsardzības noteikumu ievērošanas uzraudzībai un nodrošināšanai dalībvalstīs. Tas arī apdraudētu minētajā direktīvā izvirzīto mērķi uzlabot pārredzamību un kontroli.

72.

Tiesas sēdē Policijas informācijas uzraudzības iestāde pauda bažas par tādu pienākumu atzīšanu, kas pārsniedz vienkāršu datu subjekta pilnvarojuma īstenošanu. Tā apgalvoja, ka saskaņā ar Direktīvas 2016/680 17. pantu uzraudzības iestāde nevar lemt par pārziņa rīcības lietderīgumu, kā arī izsvērt intereses, kas saistītas ar attiecīgās informācijas paziņošanu. Šī iestāde apgalvoja, ka pretējā gadījumā tai būtu pienākums uzņemties pārziņa funkciju, kas būtu pretrunā tās neatkarībai.

73.

Saistībā ar šo Direktīvas 2016/680 17. pantā paredzētā uzraudzības iestādes rīcības brīvība nav jāsaprot kā tiesības uzņemties pārziņa funkcijas un automātiski piešķirt piekļuvi informācijai, kuru pārzinis atteicies izpaust. Tā kā uzraudzības iestāde ir neatkarīga, tā uzsāk konfidenciālu dialogu ar pārzini, lai pārbaudītu apstrādes likumīgumu. Kā Komisija būtībā ir norādījusi, šāds dialogs izriet no Direktīvas 2016/680 15. panta 4. punktā noteiktā pārziņa pienākuma atklāt uzraudzības iestādei faktiskos vai juridiskos iemeslus, pamatojoties uz kuriem pieņemts lēmums ierobežot piekļuves tiesības.

74.

Ja šāda dialoga rezultātā uzraudzības iestāde uzskata, ka datu subjekta tiesību ierobežojumi nav pamatoti, tai ir jādod pārzinim iespēja labot šo situāciju. Pēc šāda dialoga noslēgšanas uzraudzības iestādei saskaņā ar 17. panta 3. punktu ir rīcības brīvība lemt par to, cik plašu informāciju tā var izpaust datu subjektam par pārbaudes rezultātiem. Lai noteiktu izpaužamās informācijas apjomu, tai ir jāizvērtē katrs gadījums atsevišķi atbilstoši samērīguma principam. Turklāt uzraudzības iestādei ir jāspēj nodrošināt atbilstību Direktīvas 2016/680 noteikumiem un jāīsteno tās 47. pantā noteiktās pilnvaras. Šī tiesību norma neparedz ierobežojumus šo pilnvaru izmantošanā attiecībā uz direktīvas 17. pantā noteikto. Gluži pretēji – uzraudzības iestādei piešķirtās efektīvās pilnvaras rada nepieciešamo un spēcīgo pretsvaru datu subjekta piekļuves tiesību ierobežojumam.

75.

Visbeidzot, Policijas informācijas uzraudzības iestāde un Čehijas valdība ir izvirzījušas argumentu par tiesiskās aizsardzības līdzekļu hierarhiju. Tās būtībā apgalvo, ka saistībā ar tiesību netiešu īstenošanu ar uzraudzības iestādes starpniecību tiesības vērsties tiesā saskaņā ar Direktīvas 2016/680 54. pantu ir jāīsteno pret pārzini, nevis pret uzraudzības iestādi, ja vien tā nav izvairījusies no savu pienākumu izpildes.

76.

Šajā ziņā jānorāda, ka neviena Direktīvas 2016/680 norma neparedz, ka šajā direktīvā paredzētie tiesiskās aizsardzības līdzekļi ir savstarpēji izslēdzoši. Gluži pretēji – no iepriekšminētā Direktīvas 2016/680 52., 53. un 54. panta formulējuma ( 32 ) izriet, ka šajās tiesību normās personām, kuras atsaucas uz šī regulējuma pārkāpumu, ir piedāvāti dažādi tiesiskās aizsardzības līdzekļi, no kuriem katrs ir izmantojams, “neskarot” pārējos līdzekļus ( 33 ). Jāatgādina, ka attiecībā uz Regulā (ES) 2016/679 ( 34 ) paredzēto tiesiskās aizsardzības līdzekļu savstarpējo attiecību Tiesa lietā Nemzeti nosprieda, ka minētā regula “neparedz ne prioritāru vai ekskluzīvu kompetenci, ne kādu noteikumu par to, ka tajā minētās iestādes vai tiesas veiktais vērtējums jautājumā par šajā regulā piešķirto tiesību pārkāpuma esamību būtu pārāks par kādu citu” ( 35 ).

77.

Pretēji Francijas valdības un Policijas informācijas uzraudzības iestādes nostājai uzskatu, ka spriedumā Nemzeti sniegtā argumentācija pēc analoģijas ir piemērojama attiecībā uz Direktīvā 2016/680 paredzētajiem tiesiskās aizsardzības līdzekļiem. Pirmkārt, tiesiskās aizsardzības līdzekļi, kas datu subjektam ir pieejami pret uzraudzības iestādi un pārzini saskaņā ar Regulu 2016/679 un Direktīvu 2016/680, ir līdzīgi. Otrkārt, Direktīvas 2016/680 7. apsvērumā ir noteikts: lai personas datu aizsardzība visā Savienībā būtu efektīva, ir jāstiprina datu subjektu tiesības ( 36 ). Vairāku tiesiskās aizsardzības līdzekļu pieejamības nodrošināšana stiprina arī Direktīvas 2016/680 85. apsvērumā izvirzīto mērķi atbilstoši Hartas 47. pantam garantēt tiesības uz efektīvu tiesību aizsardzību tiesā katram datu subjektam, kurš uzskata, ka viņa tiesības, kas paredzētas noteikumos, kuri pieņemti saskaņā ar šo direktīvu, ir pārkāptas.

78.

Jāuzsver, ka tiesiskās aizsardzības līdzeklim pret uzraudzības iestādi un tiesiskās aizsardzības līdzeklim pret pārzini ir atšķirīgi nolūki. No vienas puses, kā pareizi norādīja Komisija, prasība pret pārziņa lēmumu ierobežot datu subjekta tiesības tiek iesniegta ar nolūku panākt, lai tiesā tiktu pārbaudīts, vai ir pareizi piemērots Direktīvas 2016/680 13. panta 3. punkts, 15. panta 3. punkts un 16. panta 4. punkts. No otras puses, prasības pret uzraudzības iestādi nolūks ir panākt, lai tiesā tiktu pārbaudīts, vai ir pareizi piemērots Direktīvas 2016/680 17. pants un 46. panta 1. punkta g) apakšpunkts, tostarp izvērtēts, vai šī uzraudzības iestāde ir pareizi veikusi savu pienākumu pārbaudīt apstrādes likumīgumu.

79.

Jānorāda arī, ka tiesiskās aizsardzības sistēma būtu nekonsekventa un nepilnīga, ja datu subjekts varētu vērsties tiesā tikai saistībā ar uzraudzības iestādes bezdarbību, savukārt tās rīcība un veids, kādā iestāde izpilda savus pienākumus, nebūtu pakļauti pārbaudei tiesā.

80.

Jebkurā gadījumā šķiet, ka pamatlietā nav iespējams celt prasību pret pārzini. No lūguma sniegt prejudiciālu nolēmumu izriet, ka datu subjekti nevar celt prasību pret pārzini, jo visu viņu tiesību īstenošana ir uzticēta Policijas informācijas uzraudzības iestādei. Turklāt Ligue des droits humains norādīja, ka Beļģijas policijas datubāzu sistēmā datu subjektam ir ļoti grūti pat identificēt pārzini. Šādos apstākļos pastāv risks, ka datu subjektam var tikt pilnīgi liegta efektīva tiesiskā aizsardzība, jo viņš nezina, kas ir pārzinis, un, pat ja tas būtu zināms, viņam nav tiesību tieši vērsties pie pārziņa. Turklāt tas nevar apstrīdēt Policijas informācijas uzraudzības iestādes rīcību. Man šķiet, ka datu subjekts saskaras ar sistēmu, kurā viņam “visas durvis ir slēgtas”, un tas ir pretrunā Direktīvai 2016/680.

81.

Paturot prātā minētos apsvērumus, uzskatu, ka Direktīvas 2016/680 17. pants – kopsakarā ar šīs direktīvas 46. panta 1. punkta g) apakšpunktu un ņemot vērā Hartas 47. pantu un 8. panta 3. punktu – ir jāinterpretē tādējādi, ka datu subjektam, kurš īsteno savas tiesības ar neatkarīgas uzraudzības iestādes starpniecību, ir jābūt nodrošinātai iespējai vērsties tiesā pret šo iestādi, ciktāl šī vēršanās tiesā attiecas uz minētās uzraudzības iestādes pienākumu pārbaudīt apstrādes likumīgumu.

82.

Ar otro jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai Direktīvas 2016/680 17. pants ir saderīgs ar Hartas 8. panta 3. punktu un 47. pantu, ciktāl tas uzliek uzraudzības iestādei pienākumu informēt datu subjektu tikai i) “par to, ka uzraudzības iestāde ir veikusi visas nepieciešamās pārbaudes vai pārskatīšanu”, un ii) par “viņa tiesībām vērsties tiesā”, lai gan šāda informācija neļauj veikt nekādu kontroli a posteriori pār uzraudzības iestādes rīcību un novērtējumu attiecībā uz šo datu subjektu, ņemot vērā pārziņa pienākumus.

83.

Sākotnēji jāatgādina, ka saskaņā ar vispārēju interpretācijas principu Savienības akts pēc iespējas ir jāinterpretē tā, lai netiktu apšaubīta tā spēkā esamība, un atbilstoši primāro tiesību kopumam, jo īpaši Hartas tiesību normām. Tādējādi, ja Savienības atvasināto tiesību normu var interpretēt dažādi, priekšroka dodama tādai interpretācijai, kas to padara atbilstošu primārajām tiesībām, nevis tādai, kas noved pie secinājuma, ka tiesību norma ar to nav saderīga ( 37 ).

84.

Kā paskaidrots sākotnējos apsvērumos un pirmā jautājuma analīzē, Direktīvas 2016/680 17. pantā ir paredzēts, ka tad, ja datu subjekta tiesības ir ierobežotas atbilstoši Direktīvas 2016/680 13. panta 3. punktam, 15. panta 3. punktam un 16. panta 4. punktam, datu subjekta tiesību netieša īstenošana ir iespējama ar kompetentās uzraudzības iestādes starpniecību. Datu subjekta tiesību ierobežojumi ir pieļaujami tikai tad, ja, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, tie ir nepieciešami un samērīgi demokrātiskā sabiedrībā, lai aizsargātu minētajos noteikumos noteikto konkrēto sabiedrības interešu mērķi.

85.

Jautājums ir par to, cik lielā mērā tās informācijas saturs, ko sniedz uzraudzības iestāde, kura netieši īsteno datu subjekta tiesības, ļauj datu subjektam izmantot savas tiesības uz efektīvu tiesību aizsardzību tiesā saskaņā ar Hartas 47. panta 1. punktu.

86.

Saistībā ar šo pirmā jautājuma analīzē jau atgādināts, ka tiesības uz efektīvu tiesību aizsardzību tiesā, kas nostiprinātas Hartas 47. pantā, ir jāatzīst ikvienai personai, kura atsaucas uz Savienības tiesību aktos garantētām tiesībām vai brīvībām, pret nolēmumu, kas var nelabvēlīgi ietekmēt šīs tiesības vai brīvības ( 38 ).

87.

Tomēr jāpatur prātā, ka tiesības uz efektīvu tiesību aizsardzību tiesā nav absolūta prerogatīva un ka atbilstoši Hartas 52. panta 1. punktam tās var ierobežot, ja, pirmkārt, šādi ierobežojumi ir paredzēti tiesību aktos, otrkārt, ja tie respektē attiecīgo tiesību un brīvību būtību un, treškārt, ja saskaņā ar samērīguma principu tie ir nepieciešami un patiešām atbilst Savienības atzītiem vispārējas nozīmes mērķiem vai vajadzībai aizsargāt citu personu tiesības un brīvības ( 39 ).

88.

Saistībā ar tiesību netiešu īstenošanu ar uzraudzības iestādes starpniecību ir jānorāda, ka netiešas īstenošanas iespēju izraisa datu subjekta tiesību ierobežojums. Situācijā, kad izņēmuma kārtā tiesības ir ierobežotas, tostarp gadījumos, kad atkarībā no apstākļiem pārzinis nav sniedzis informāciju par šāda ierobežojuma iemesliem, uzraudzības iestādes pienākums ir rīkoties ( 40 ). Kā plaši izklāstīts pirmā jautājuma analīzē, veicot šo uzdevumu, uzraudzības iestādes pienākums nav darboties kā vienkāršam “ziņnesim”, bet gan nodrošināt apstrādes likumīgumu.

89.

Tās informācijas apjoms, ko uzraudzības iestāde var izpaust datu subjektam, noteikti ir atkarīgs no iemesliem, kuru dēļ ir noteikts tiesību ierobežojums. Jo nopietnāki ir ierobežojuma un, iespējams, informācijas nesniegšanas iemesli, jo mazāk informācijas uzraudzības iestāde varēs sniegt. Pretēji pieņēmumam, kas ir prejudiciālā jautājuma formulējuma pamatā, no Direktīvas 2016/680 17. panta 3. punkta neizriet, ka jebkuros apstākļos uzraudzības iestāde var “tikai” apstiprināt, ka ir veiktas visas nepieciešamās pārbaudes. Gluži pretēji – saskaņā ar šo tiesību normu uzraudzības iestāde “vismaz” norāda, ka uzraudzības iestāde ir veikusi visas nepieciešamās pārbaudes vai pārskatīšanu.

90.

No tā izriet, ka uzraudzības iestādes sniedzamā informācija nevar būt iepriekš noteikta. Citiem vārdiem sakot, 17. panta 3. punktā noteiktais minimālais saturs nav vienīgais iespējamais saturs. Kā norādīja Komisija, informācijas apjoms jānosaka katrā gadījumā atsevišķi un var atšķirties atkarībā no apstākļiem un no attiecīgo interešu līdzsvara, ņemot vērā samērīguma principu. Lai ilustrētu šo situāciju, akadēmiskajā literatūrā ( 41 ) ir pareizi norādīts, ka uzraudzības iestādei, šķiet, nebūtu problēmu informēt datu subjektu, ka pareizrakstības kļūdas dēļ šā datu subjekta vārds ir atrasts policijas datubāzē.

91.

Jānorāda, ka Komisijas Priekšlikumā tiesībaizsardzības direktīvai bija paredzēts, ka uzraudzības iestādēm papildus minimālajai informācijai ir jāinformē datu subjekts “par rezultātiem attiecībā uz apstrādes likumību” ( 42 ). Šis pēdējais informācijas elements (t.i., rezultāts attiecībā uz apstrādes likumīgumu) nebija iekļauts Direktīvas 2016/680 17. pantā. Tomēr tas nenozīmē, ka var pieļaut datu aizsardzības noteikumu iespējamus pārkāpumus. Analizējot pirmo jautājumu, jau norādīju, ka uzraudzības iestāde iesaistās konfidenciālā dialogā ar pārzini. Ja uzraudzības iestādes vērtējumā datu apstrāde ir nelikumīga, tā nodrošina pārzinim iespēju labot situāciju. Tomēr, ja situācija netiek labota, uzraudzības iestādei saskaņā ar Direktīvas 2016/680 47. pantu ir izpildu pilnvaras, kas ir jāizmanto. Šādā situācijā, manuprāt, nepietiek ar to, ka uzraudzības iestāde ziņo valsts parlamentam, kā tiesas sēdē ierosināja Policijas informācijas uzraudzības iestāde. Tai, kā noteikts Direktīvas 2016/680 47. panta 5. punktā, ir jāizmanto savas pilnvaras vērst tiesu iestāžu uzmanību uz datu aizsardzības noteikumu pārkāpumiem un vajadzības gadījumā uzsākt tiesvedību vai kā citādi iesaistīties tiesvedībā.

92.

Interpretāciju, saskaņā ar kuru uzraudzības iestādei ir rīcības brīvība, kad tā netieši īsteno datu subjekta tiesības, apstiprina arī Hartas 8. panta 3. punktā nostiprinātā neatkarīgu uzraudzības iestāžu pienākuma konstitucionālā nozīmība.

93.

Tomēr var būt apstākļi, kuros uzraudzības iestāde uzskata, ka tā drīkst izpaust tikai minimālo informāciju, proti, ka ir veiktas visas nepieciešamās pārbaudes. Šādos apstākļos pārbaude tiesā nebūtu iespējama, izņemot, ja tiesa, kurai uzticēta uzraudzības iestādes lēmuma pārbaude, var izskatīt visus iemeslus, ar kuriem pamatots šis lēmums, kā arī pārziņa lēmums ierobežot piekļuvi.

94.

Saistībā ar šo jānorāda, ka, pirmkārt, Direktīvas 2016/680 15. panta 4. punktā ir paredzēts, ka pārzinim ir jādokumentē faktiskie vai juridiskie iemesli, kuri ir pamatā lēmumam par piekļuves tiesību ierobežošanu, un minētā informācija jādara pieejama uzraudzības iestādēm. Kā uzsvēris Eiropas Parlaments, ir jāatzīst, ka tad, ja šī informācija ir pieejama uzraudzības iestādei, tā ir jādara pieejama arī tiesu iestādei, ja datu subjekts izmanto savas tiesības pieprasīt pārziņa lēmuma un/vai uzraudzības iestādes lēmuma pārskatīšanu.

95.

Otrkārt, izņēmuma gadījumos, kad pārzinis nesniedz informāciju par datu subjekta tiesību atteikuma vai ierobežošanas iemesliem un uzraudzības iestāde sniedz tikai minimālo informāciju, proti, ka ir veiktas visas nepieciešamās pārbaudes, attiecīgās dalībvalsts piekritīgās tiesas rīcībā ir jābūt un tai ir jāpiemēro procesuālās metodes un noteikumi, lai saskaņotu, no vienas puses, valsts drošības vai sabiedrības interešu leģitīmos apsvērumus saistībā ar lēmuma pieņemšanā ievērotās informācijas būtību un avotiem un, no otras puses, nepieciešamību pietiekami nodrošināt tādu indivīda procesuālo tiesību kā tiesības tikt uzklausītam ievērošanu, kā arī sacīkstes principu ( 43 ).

96.

Šajā nolūkā saskaņā ar argumentāciju judikatūrā, kas izriet no 2013. gada 4. jūnija sprieduma ZZ (C‑300/11, EU:C:2013:363), dalībvalstīm ir jāparedz, pirmkārt, gan valsts izvirzīto iemeslu esības un pamatotības efektīva pārbaude tiesā, gan arī, otrkārt, jānosaka tādas šīs pārbaudes metodes un noteikumi kā šo secinājumu iepriekšējā punktā minētie ( 44 ).

97.

Tiesas sēdē Francijas valdība apgalvoja, ka sprieduma ZZ priekšvēsture atšķiras no pamatlietas priekšvēstures, jo spriedums ZZ attiecās uz tāda lēmuma pārbaudi tiesā, ar kuru Eiropas Savienības pilsonim tika atteikta ieceļošana kādā dalībvalstī valsts drošības apsvērumu dēļ. Saistībā ar šo jāatgādina, ka Tiesas argumentācija judikatūrā, kas izriet no sprieduma ZZ, kurš pamatojas uz spriedumu Kadi ( 45 ), ir saistīta ar prasību atbilstoši līdzsvarot no valsts drošības un tiesībām uz efektīvu tiesību aizsardzību tiesā izrietošās prasības. Iztaujāts tiesas sēdē, Francijas valdības advokāts piekrita, ka no šīs judikatūras būtībā izriet, ka tiesnesim viss tiek atklāts. Tāpēc uzskatu, ka šī judikatūra pēc analoģijas būtu jāpiemēro arī Direktīvas 2016/680 kontekstā, ja kompetento iestāžu vērtējumā valsts drošības apsvērumi vai jebkurš cits sabiedrības interešu apsvērums, kas var pamatot datu subjekta tiesību ierobežojumu, kavē precīzu un pilnīgu šāda ierobežojuma lēmuma pamatojuma izpaušanu.

98.

No iepriekš minētā izriet, ka Direktīvas 2016/680 17. pants ir saderīgs ar Hartas 8. panta 3. punktu un 47. pantu, ciktāl i) uzraudzības iestāde atkarībā no apstākļiem var norādīt vairāk informācijas nekā tikai to, ka ir veiktas visas nepieciešamās pārbaudes, un ii) datu subjektam ir iespēja lūgt tiesai pārbaudīt uzraudzības iestādes veiktās darbības un veikto novērtējumu par šo datu subjektu, ņemot vērā pārziņa pienākumus.

99.

Ņemot vērā minēto, Direktīvas 2016/680 17. panta spēkā esamība netiek apšaubīta.

100.

Ņemot vērā izklāstītos apsvērumus, ierosinu Tiesai uz cour d'appel de Bruxelles (Briseles apelācijas tiesa, Beļģija) uzdotajiem prejudiciālajiem jautājumiem atbildēt šādi: