–

Ligue des droits humains ASBL un BA vārdā – C. Forget, advokāte,

–

Organe de contrôle de l’information policière (OCIP) vārdā – J. Bosquet un J.‑F. De Bock, advocaten,

–

Beļģijas valdības vārdā – P. Cottin, J.‑C. Halleux, C. Pochet un A. Van Baelen, pārstāvji, kuriem palīdz N. Cariat, C. Fischer, B. Lombaert un J. Simba, advokāti,

–

Čehijas valdības vārdā – O. Serdula, M. Smolek un J. Vláčil, pārstāvji,

–

Francijas valdības vārdā – J. Illouz, pārstāvis,

–

Eiropas Parlamenta vārdā – S. Alonso de León, O. Hrstková Šolcová, P. López‑Carceller un M. Thibault, pārstāvji,

–

Eiropas Komisijas vārdā – A. Bouchagiar, H. Kranenborg, A.‑C. Simon un F. Wilman, pārstāvji,

1

Lūgums sniegt prejudiciālu nolēmumu ir, pirmkārt, par to, kā interpretēt Eiropas Savienības Pamattiesību hartas (turpmāk tekstā – “Harta”) 8. panta 3. punktu un 47. pantu, un, otrkārt, par Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI (OV 2016, L 119, 89. lpp.), 17. panta spēkā esamību attiecībā pret iepriekš minētajām Hartas normām.

2

Šis lūgums ir iesniegts tiesvedībā starp Ligue des droits humains ASBL un BA, no vienas puses, un Organe de contrôle de l’information policière (OCIP) (Policijas informācijas uzraudzības iestāde, Beļģija), no otras puses, par BA tiesību īstenošanu saistībā ar viņa personas datiem, kurus apstrādā Beļģijas policijas dienesti un uz kuru pamata Autorité nationale de sécurité (Nacionālā drošības iestāde, Beļģija) noraidīja šīs personas iesniegto pieteikumu drošības sertifikāta saņemšanai.

3

Direktīvas 2016/680 7., 10., 43., 46., 48., 75., 82., 85. un 86. apsvērumā ir noteikts:

[..]

[..]

[..]

[..]

[..]

[..]

[..]

4

Šīs direktīvas 1. panta “Priekšmets un mērķi” 1. un 2. punktā ir noteikts:

“1.   Šajā direktīvā ir paredzēti noteikumi par fizisko personu aizsardzību attiecībā uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu.

2.   Saskaņā ar šo direktīvu dalībvalstis:

5

Minētajā direktīvā ir III nodaļa “Datu subjekta tiesības”, kurā citastarp ietilpst tās 13.–17. pants. 13. panta “Informācija, ko dara pieejamu vai sniedz datu subjektam” 1. punktā ir ietverts pienākums dalībvalstīm paredzēt, ka pārzinis datu subjektam dara pieejamu noteiktu minimālo informāciju – tādu kā tostarp pārziņa identitāti un kontaktinformāciju. Turklāt tā 2. punktā ir uzskaitīta papildu informācija, kuru dalībvalstīm ar likumu ir jānosaka personas datu pārzinim sniegt datu subjektam, lai tas varētu īstenot savas tiesības. Tā 3. un 4. punktā ir noteikts:

“3.   Dalībvalstis var pieņemt leģislatīvus pasākumus, lai atliktu, ierobežotu vai nesniegtu informāciju datu subjektam, ievērojot 2. punktu, ciktāl un kamēr šāds pasākums ir nepieciešams un samērīgs demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:

4.   Dalībvalstis var pieņemt leģislatīvus pasākumus, lai noteiktu apstrādes kategorijas, uz kurām pilnībā vai daļēji var attiekties jebkurš no 3. punkta apakšpunktiem.”

6

Šīs pašas direktīvas 14. pants “Datu subjekta piekļuves tiesības” ir formulēts šādi:

“Ņemot vērā 15. pantu, dalībvalstis datu subjektam paredz tiesības saņemt no pārziņa apstiprinājumu par to, vai tiek apstrādāti personas dati, kuri attiecas uz viņu, un, ja tā ir, piekļūt personas datiem [..].”

7

Saskaņā ar Direktīvas 2016/680 15. pantu “Piekļuves tiesību ierobežojumi”:

“1.   Dalībvalstis var pieņemt leģislatīvus pasākumus, ar ko pilnībā vai daļēji ierobežo datu subjekta piekļuves tiesības, ciktāl un tik ilgi, kamēr šāds daļējs vai pilnīgs ierobežojums ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:

2.   Dalībvalstis var pieņemt leģislatīvus pasākumus, lai noteiktu apstrādes kategorijas, uz kurām pilnībā vai daļēji var attiekties 1. punktā minētie izņēmumi.

3.   Gadījumos, kas minēti 1. un 2. punktā, dalībvalstis paredz, ka pārzinis bez nepamatotas kavēšanās rakstiski informē datu subjektu par atteikumu vai ierobežojumiem piekļūt datiem un par atteikuma vai ierobežojuma iemesliem. Šādu informāciju var nesniegt, ja tās sniegšana apdraudētu kādu no 1. punktā noteiktajiem nolūkiem. Dalībvalstis paredz, ka pārzinis informē datu subjektu par iespēju iesniegt sūdzību uzraudzības iestādē vai vērsties tiesā.

4.   Dalībvalstis paredz, ka pārzinis dokumentē faktiskos vai juridiskos iemeslus, kuri ir lēmuma pamatā. Minēto informāciju dara pieejamu uzraudzības iestādēm.”

8

Šīs pašas direktīvas 16. pantā “Tiesības uz personas datu labošanu vai dzēšanu un apstrādes ierobežošanu” ir noteikts:

“1.   Dalībvalstis paredz, ka datu subjektam ir tiesības no pārziņa panākt neprecīzu datu subjekta personas datu labošanu bez nepamatotas kavēšanās. Ņemot vērā apstrādes nolūkus, dalībvalstis paredz, ka datu subjektam ir tiesības, lai nepilnīgi personas dati tiktu papildināti [..].

2.   Dalībvalstis liek, lai pārzinis bez nepamatotas kavēšanās dzēš personas datus un nodrošina datu subjektam tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu personas datus, kas uz to attiecas, ja apstrāde pārkāpj noteikumus, kas pieņemti saskaņā ar 4., 8. vai 10. pantu, vai ja personas dati ir jādzēš, lai izpildītu uz pārzini attiecināmu juridisku pienākumu.

3.   Dzēšanas vietā pārzinis ierobežo apstrādi, ja:

[..]

4.   Dalībvalstis paredz, ka pārzinis rakstiski informē datu subjektu par atteikumu labot personas datus, tos dzēst vai ierobežot apstrādi un par atteikuma iemesliem. Dalībvalstis var pieņemt leģislatīvus pasākumus, ar ko pilnībā vai daļēji ierobežo pienākumu sniegt šādu informāciju tiktāl, ciktāl šāds ierobežojums ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses, lai:

Dalībvalstis paredz, ka pārzinis informē datu subjektu par iespēju iesniegt sūdzību uzraudzības iestādē vai vērsties tiesā.

[..]”

9

Minētās direktīvas 17. pantā “Tiesību īstenošana, ko veic datu subjekts, un pārbaude, ko veic uzraudzības iestāde” ir noteikts:

“1.   Dalībvalstis 13. panta 3. punktā, 15. panta 3. punktā un 16. panta 4. punktā minētajos gadījumos pieņem pasākumus, ar ko paredz, ka datu subjekta tiesības var īstenot arī ar kompetentas uzraudzības iestādes starpniecību.

2.   Dalībvalstis paredz, ka pārzinis informē datu subjektu par iespēju īstenot savas tiesības ar uzraudzības iestādes starpniecību, ievērojot 1. punktu.

3.   Ja tiek īstenotas 1. punktā minētās tiesības, uzraudzības iestāde informē datu subjektu vismaz par to, ka uzraudzības iestāde ir veikusi visas nepieciešamās pārbaudes vai pārskatīšanu. Uzraudzības iestāde arī informē datu subjektu par viņa tiesībām vērsties tiesā.”

10

Šīs pašas direktīvas 42. panta “Neatkarība” 1. punktā ir noteikts:

“Katra dalībvalsts nodrošina, ka katra tās uzraudzības iestāde rīkojas pilnīgi neatkarīgi, pildot savus uzdevumus un īstenojot savas pilnvaras saskaņā ar šo direktīvu.”

11

Direktīvas 2016/680 46. panta “Uzdevumi” 1. punktā ir noteikts:

“Katra dalībvalstis paredz, ka to teritorijā katra uzraudzības iestāde:

[..]

[..].”

12

Saskaņā ar šīs direktīvas 47. pantu “Pilnvaras”:

“1.   Katra dalībvalsts likumā paredz, ka katrai uzraudzības iestādei ir efektīvas izmeklēšanas pilnvaras. Minētās pilnvaras ietver vismaz pilnvaras iegūt no pārziņa un apstrādātāja piekļuvi visiem personas datiem, kas tiek apstrādāti, un visai informācijai, kas nepieciešama tās uzdevumu veikšanai.

2.   Katra dalībvalsts likumā paredz, ka katrai uzraudzības iestādei ir tādas efektīvas korektīvās pilnvaras kā, piemēram:

[..]

4.   Uzraudzības iestāde atbilstoši šim pantam piešķirto pilnvaru īstenošanā ievēro atbilstošas garantijas, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgas procedūras, kas noteiktas Savienības un dalībvalsts tiesībās saskaņā ar hartu.

[..]”

13

Minētās direktīvas 52. panta “Tiesības iesniegt sūdzību uzraudzības iestādē” 1. punktā ir noteikts:

“Neskarot jebkādus citus administratīvos tiesību aizsardzības līdzekļus vai tiesību aizsardzību tiesā, dalībvalstis paredz, ka katram datu subjektam ir tiesības iesniegt sūdzību vienā uzraudzības iestādē, ja datu subjekts uzskata, ka personas datu apstrāde, kas uz viņu attiecas, pārkāpj saskaņā ar šo direktīvu pieņemtos noteikumus.”

14

Šīs pašas direktīvas 53. panta “Tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi” 1. punktā ir paredzēts:

“Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, dalībvalstis fiziskām vai juridiskām personām paredz tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas tās skar.”

15

Direktīvas 2016/680 54. pants “Tiesības uz efektīvu tiesību aizsardzību tiesā pret pārzini vai apstrādātāju” ir šāds:

“Neskarot pieejamos administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, tostarp tiesības iesniegt sūdzību uzraudzības iestādē, ievērojot 52. pantu, dalībvalstis datu subjektiem paredz tiesības uz efektīvu tiesību aizsardzību tiesā, ja viņš uzskata, ka viņa tiesības, kas izklāstītas saskaņā ar šo direktīvu pieņemtos noteikumos, ir aizskartas personas datu apstrādes rezultātā, kura neatbilst minētajiem noteikumiem.”

16

Ar 2018. gada 30. jūlijala loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (Likums par fizisko personu aizsardzību attiecībā uz personas datu apstrādi; Moniteur belge, 2018. gada 5. septembris, 68616. lpp.; turpmāk tekstā – “LPD”) 2. sadaļu ir transponēta Direktīva 2016/680. Šīs direktīvas 13.–16. pantā minētās tiesības ir paredzētas minētās sadaļas III nodaļā, precīzāk, šī likuma 37.–39. pantā.

17

LPD 42. pantā ir noteikts:

“Pieprasījumu izmantot šajā nodaļā minētās tiesības attiecībā pret policijas dienestiem [..] vai Inspection générale de la police fédérale et de la police locale [Federālās policijas ģenerālinspekcija un vietējā policija] iesniedz 71. pantā minētajai uzraudzības iestādei.

Gadījumos, kuri noteikti 37. panta 2. punktā, 38. panta 2. punktā [un] 39. panta 4. punktā [..], uzraudzības iestāde, kas minēta 71. pantā, tikai informē datu subjektu par to, ka ir veiktas vajadzīgās pārbaudes.

Neskarot 2. punktu, 71. pantā minētā uzraudzības iestāde var paziņot attiecīgajai personai noteiktu konteksta informāciju.

Ņemot vērā 71. pantā minētās uzraudzības iestādes atzinumu, Karalis nosaka konteksta informācijas kategoriju, ko šī iestāde var darīt zināmu attiecīgajai personai.”

18

Cour d’appel de Bruxelles (Briseles apelācijas tiesa, Beļģija) uzskata, ka, lai īstenotu LPD 42. panta ceturto daļu, nav pieņemts neviens Karaļa dekrēts.

19

Saskaņā ar LPD 71. panta 1. punktu:

“Pārstāvju palātā tiek izveidota neatkarīga policijas informācijas uzraudzības iestāde – Organe de contrôle de l’information policière [(Policijas informācijas uzraudzības iestāde)].

[..]

Tās [..] uzdevumi ir:

1° pārraudzīt šīs daļas piemērošanu [..]

2° uzraudzīt 1992. gada 5. augustaloi sur la fonction de police [(Likums par policijas darbību)] 44/1.–44/11/13. pantā paredzētās informācijas un personas datu apstrādi, tostarp to, kas ir iekļauta šī paša likuma 44/2. pantā minētajās datubāzēs;

3° jebkāds cits uzdevums, kas paredzēts citos likumos vai kas veicams saskaņā ar tiem.”

20

LPD 5. sadaļas I nodaļa saucas “Prasība atturēties no noteiktu darbību veikšanas”. 209. pants, kas ietilpst šajā nodaļā, ir formulēts šādi:

“Neskarot citus tiesiskās, administratīvās vai ārpustiesas tiesiskās aizsardzības līdzekļus, pirmās instances tiesas priekšsēdētājs, izskatīdams lietu pagaidu noregulējuma procedūrā, konstatē, ka ir notikusi apstrāde, kas ir pretrunā normatīvajiem un administratīvajiem aktiem par fizisku personu aizsardzību attiecībā uz viņu personas datu apstrādi, un liek to pārtraukt.

Pirmās instances tiesas priekšsēdētājs, izskatot lietu pagaidu noregulējuma tiesvedībā, izskata visus pieteikumus saistībā ar likumā vai saskaņā ar likumu piešķirtajām tiesībām piekļūt personas datiem, kā arī visus pieteikumus par to personas datu labošanu, dzēšanu vai izmantošanas aizliegšanu, kuri ir neprecīzi vai, ņemot vērā apstrādes nolūku, nepilnīgi vai nebūtiski, vai kuru reģistrēšana, izpaušana vai glabāšana ir aizliegta, vai pret kuru apstrādi datu subjekti ir iebilduši, vai kuri ir glabāti ilgāk par atļauto termiņu.”

21

LPD 240. panta 4. punktā ir noteikts, ka:

“[OCIP]

[..]

4° izskata sūdzības, nepieciešamajā apjomā izmeklē sūdzības priekšmetu un saprātīgā termiņā informē sūdzības iesniedzēju par izmeklēšanas gaitu un iznākumu, it īpaši, ja ir nepieciešama turpmāka izmeklēšana vai koordinēšana ar citu uzraudzības iestādi. [..]”

22

2016. gadā BA, kas tolaik bija bezpeļņas organizācijas nepilna darba laika darbinieks, lūdza Autorité Nationale de Sécurité (Nacionālā drošības iestāde) piešķirt drošības sertifikātu, lai varētu piedalīties instalāciju uzstādīšanā un demontāžā desmitajām “Eiropas Attīstības dienām” Briselē (Beļģija).

23

Ar 2016. gada 22. jūnija vēstuli šī iestāde atteicās piešķirt BA drošības sertifikātu, pamatojoties uz to, ka no tās rīcībā esošajiem personas datiem izriet, ka laikposmā no 2007. līdz 2016. gadam šī persona ir piedalījusies desmit manifestācijās un ka šī informācija liedz piešķirt šai personai drošības sertifikātu atbilstoši piemērojamajam tiesiskajam regulējumam, citastarp valsts drošības un konstitucionālās demokrātiskās iekārtas ilgtspējas apsvērumu dēļ. Šis lēmums netika apstrīdēts.

24

2020. gada 4. februārī BA padomnieks lūdza OCIP identificēt attiecīgos personas datu pārziņus un uzdot sniegt viņa klientam piekļuvi visai informācijai par viņu, lai ļautu tam īstenot savas tiesības atbilstošos termiņos.

25

Ar 2020. gada 6. februāra e‑pasta vēstuli OCIP apstiprināja šī pieprasījuma saņemšanu. Tā norādīja, ka BA ir tikai netiešas piekļuves tiesības šiem datiem, vienlaikus apgalvojot, ka tā pati pārbaudīs iespējamās datu apstrādes Banque de données nationale générale (Valsts vispārējā datubāze), proti, visu valsts policijas dienestu izmantotajā datubāzē, likumību. Turklāt tā precizēja, ka tai ir pilnvaras likt policijai vajadzības gadījumā dzēst vai labot datus un ka pēc šīs pārbaudes tā informēs BA par to, ka ir veiktas nepieciešamās pārbaudes.

26

2020. gada 22. jūnija e‑pasta vēstulē OCIP norādīja BA padomniekam:

“[..]

Saskaņā ar [LPD] 42. pantu informēju Jūs, ka [OCIP] ir veikusi nepieciešamās pārbaudes.

Tas nozīmē, ka Jūsu klienta personas dati ir pārbaudīti policijas datubāzēs, lai nodrošinātu iespējamās apstrādes likumību.

Vajadzības gadījumā personas dati ir grozīti vai dzēsti.

Kā jau Jums izskaidroju [2.] jūnija elektroniskā pasta vēstulē, saskaņā ar LPD 42. pantu [OCIP] nav atļauts sniegt vairāk informācijas.”

27

2020. gada 2. septembrīLigue des droits humains un BA, pamatojoties uz LPD 209. panta otro daļu, iesniedza tribunal de première instance francophone de Bruxelles (Briseles frankofonā pirmās instances tiesa, Beļģija) pieteikumu par pagaidu noregulējumu.

28

Pirmām kārtām, prasītāji pamatlietā lūdza šo tiesu atzīt viņu pieteikumu par pagaidu noregulējumu par pieņemamu un – pakārtoti – uzdot Tiesai jautājumu būtībā par to, vai Direktīvas 2016/680 47. panta 4. punkts, lasot to kopsakarā ar šīs direktīvas 85. un 86. apsvērumu un kopsakarā ar Hartas 8. panta 3. punktu un 47. pantu, ir pretrunā LPD 42. un 71. pantam, ciktāl tajos nav paredzēta nekāda iespēja pārsūdzēt OCIP pieņemtos lēmumus.

29

Otrām kārtām, pēc būtības tie lūdza piekļuvi visiem BA personas datiem ar OCIP starpniecību un to, lai pēdējā minētā identificētu personas datu pārziņus un iespējamos šo datu saņēmējus.

30

Gadījumā, ja tiesa, kas izskata lietu, uzskatītu, ka LPD 42. panta 2. punkts ļauj sistemātiski ierobežot piekļuvi personas datiem, kurus apstrādā policijas dienesti, tie pakārtoti lūdza vērsties Tiesā būtībā par to, vai Direktīvas 2016/680 14., 15. un 17. pants, lasot tos kopsakarā ar Hartas 8. un 47. pantu, kā arī 52. panta 1. punktu, ir jāinterpretē tādējādi, ka tiem ir pretrunā tāds valsts tiesiskais regulējums, kurā ir pieļauta vispārēja un sistemātiska atkāpe no tiesībām piekļūt personas datiem, jo, pirmkārt, šīs tiesības īsteno ar uzraudzības iestādes starpniecību un, otrkārt, tā var tikai norādīt datu subjektam, ka tā ir veikusi visas nepieciešamās pārbaudes, neinformējot viņu par apstrādē esošajiem personas datiem un to saņēmējiem un neatkarīgi no sasniedzamā mērķa.

31

Ar 2021. gada 17. maija rīkojumu tribunal de première instance francophone de Bruxelles (Briseles frankofonā pirmās instances tiesa) atzina, ka tai “nav kompetences” izskatīt šo pieteikumu par pagaidu noregulējumu.

32

Ar 2021. gada 15. jūnija prasības pieteikumu cour d’appel de Bruxelles (Briseles apelācijas tiesa) prasītāji pamatlietā iesniedza apelācijas sūdzību par šo rīkojumu. Tie būtībā atkārtoja pirmajā instancē izvirzītos prasījumus.

33

Šajā kontekstā iesniedzējtiesa citastarp būtībā norāda, ka gadījumā, ja personai nav tiesību pašai īstenot Direktīvā 2016/680 paredzētās tiesības, LPD 209. un nākamajos pantos paredzēto prasību par atturēšanos no noteiktu darbību veikšanas nevar celt. Proti, vispirms tie norāda, ka šāda prasība var tikt celta pret personas datu pārzini, bet ne pret pašu uzraudzības iestādi. Turklāt šī persona, šajā gadījumā BA, to nevar celt arī pret personas datu pārzini, jo tās tiesību īstenošana ir uzticēta minētajai iestādei. Visbeidzot, īpaši īsā informācija, ko OCIP sniedza BA, neļauj nedz šim pēdējam minētajam, nedz tiesai izvērtēt, vai šī uzraudzības iestāde ir pareizi īstenojusi šīs personas tiesības. Iesniedzējtiesa piebilst, ka, lai gan LPD paredz, ka šī prasība par atturēšanos no noteiktu darbību veikšanas neskar nevienu citu tiesību aizsardzības līdzekli tiesā, administratīvā vai ārpustiesas ceļā, šāda cita BA izmantota tiesību aizsardzības līdzekļa pielietošana saskartos ar tādām pašām grūtībām.

34

Šādos apstākļos cour d’appel de Bruxelles (Briseles apelācijas tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

35

Vispirms no lūguma sniegt prejudiciālu nolēmumu izriet, ka iesniedzējtiesas jautājumi attiecas uz to, vai, pamatojoties uz Direktīvas 2016/680 53. panta 1. punktu, lasot to Hartas 47. panta kontekstā, pastāv dalībvalstu pienākums paredzēt tiesības uz efektīvu tiesību aizsardzību tiesā pret kompetento valsts uzraudzības iestādi, ja tiek īstenota valsts tiesību norma, ar ko ir transponēts šīs direktīvas 17. pants, atbilstoši kuram minētās direktīvas 13. panta 3. punktā, 15. panta 3. punktā un 16. panta 4. punktā minētajos gadījumos datu subjekta tiesības var īstenot ar šādas uzraudzības iestādes starpniecību.

36

Turklāt jānorāda, ka atbilde uz šo jautājumu ir atkarīga no Direktīvas 2016/680 17. pantā paredzētā uzraudzības iestādes uzdevuma un pilnvaru, īstenojot datu subjekta tiesības, rakstura un apjoma. Tie ir precizēti šīs direktīvas 46. panta 1. punkta g) apakšpunktā un 47. panta 1. un 2. punktā un ir jāanalizē, ņemot vērā Hartas 8. panta 3. punktu, kurā prasīts, lai 8. panta 1. un 2. punktā paredzēto noteikumu par personas datu aizsardzību ievērošanu kontrolētu neatkarīga iestāde.

37

Līdz ar to ir jāsaprot, ka ar pirmo jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai Direktīvas 2016/680 17. pants, lasot to kopsakarā ar šīs direktīvas 46. panta 1. punkta g) apakšpunktu, 47. panta 1. un 2. punktu un 53. panta 1. punktu, kā arī Hartas 8. panta 3. punktu un 47. pantu, ir jāinterpretē tādējādi, ka tad, ja personas tiesības, piemērojot minēto 17. pantu, ir tikušas īstenotas ar kompetentās uzraudzības iestādes starpniecību, šai personai ir jābūt iespējai pret minēto iestādi efektīvi vērsties tiesā.

38

Vispirms jāatgādina, ka saskaņā ar Direktīvas 2016/680 53. panta 1. punktu dalībvalstīm ir jāparedz, ka fiziskai vai juridiskai personai ir tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas tās skar.

39

Tātad ir jānosaka, vai uzraudzības iestāde pieņem šādu lēmumu, ja, piemērojot šīs direktīvas 17. pantu, šajā direktīvā noteiktās datu subjektu tiesības tiek īstenotas ar šīs uzraudzības iestādes starpniecību.

40

Šajā ziņā jānorāda, ka saskaņā ar Direktīvas 2016/680 17. panta 1. punktu “13. panta 3. punktā, 15. panta 3. punktā un 16. panta 4. punktā minētajos gadījumos” dalībvalstis pieņem pasākumus, “ar ko paredz, ka datu subjekta tiesības var īstenot arī ar kompetentas uzraudzības iestādes starpniecību”.

41

Kā norāda partikulas “arī” izmantošana un kā ģenerāladvokāte būtībā norādījusi secinājumu 41. un 42. punktā, datu subjekta tiesību netieša īstenošana ar kompetentās uzraudzības iestādes starpniecību, kas paredzēta šajā tiesību normā, ir papildu garantija, kura tiek sniegta šim datu subjektam, ka viņa personas dati tiek apstrādāti likumīgi, ja ar valsts tiesību normām tiek ierobežota tādu tiesību saņemt papildu informāciju no pārziņa tieša īstenošana, kas minētas Direktīvas 2016/680 13. panta 2. punktā, tiesības piekļūt šiem datiem, kuras noteiktas šīs direktīvas 14. pantā, vai tiesības uz to labošanu, dzēšanu vai apstrādes ierobežošanu saskaņā ar minētās direktīvas 16. panta 1.–3. punkta nosacījumiem.

42

Ņemot vērā to nolūku, kādos tiek veikta šajā pašā direktīvā paredzētā datu apstrāde, īpašo raksturu, kas it īpaši ir uzsvērts Direktīvas 2016/680 10. apsvērumā, tās 13. panta 3. punktā un 15. panta 1. punktā valsts likumdevējam ir atļauts ierobežot, pirmkārt, tiesību uz informāciju un, otrkārt, piekļuves tiesību tiešu īstenošanu, “ciktāl un kamēr šāds pasākums ir nepieciešams un samērīgs demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses”, lai “novērstu, ka tiek traucētas oficiālas vai juridiskas pārbaudes, izmeklēšanas vai procedūras”, “novērstu, ka tiek kaitēts noziedzīgu nodarījumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu izpildei”, “aizsargātu sabiedrisko drošību”, “aizsargātu valsts drošību” vai “aizsargātu citu personu tiesības un brīvības”. Turklāt šīs pašas direktīvas 15. panta 3. punktā ir paredzēts, ka pārzinis var neinformēt datu subjektu par piekļuves atteikumu vai ierobežojumiem, kā arī par atteikuma vai ierobežojuma iemesliem, ja šādas informācijas atklāšana var apdraudēt kādu no iepriekš minētajiem sabiedrības interešu mērķiem.

43

Tāpat minētās direktīvas 16. panta 4. punktā valsts likumdevējam šo pašu sabiedrības interešu vārdā ir atļauts ierobežot pārziņa pienākumu “rakstiski informēt datu subjektu par atteikumu labot personas datus, tos dzēst vai ierobežot apstrādi un par atteikuma iemesliem”, “ciktāl šāds ierobežojums ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas pamattiesības un leģitīmās intereses”.

44

Līdz ar to šajā kontekstā, kā izriet no šīs pašas direktīvas 48. apsvēruma, netieša šī sprieduma 41. punktā minēto tiesību īstenošana ar kompetentās uzraudzības iestādes starpniecību ir jāuzskata par nepieciešamu šo tiesību aizsardzībai, ja to tieša izmantošana attiecībās ar pārzini izrādās sarežģīta vai pat neiespējama.

45

Šajā nolūkā Direktīvas 2016/680 46. panta 1. punkta g) apakšpunktā ir prasīts, lai katrai kompetentajai valsts iestādei būtu uzticēts uzdevums pārbaudīt apstrādes likumību saskaņā ar šīs direktīvas 17. pantu, proti, pēc pieprasījuma, kas pamatots ar pēdējo minēto tiesību normu.

46

Turklāt it īpaši no minētās direktīvas 47. panta 1. un 2. punkta izriet, ka katrai uzraudzības iestādei saskaņā ar valsts tiesību aktiem ir jābūt ne tikai “efektīvām izmeklēšanas pilnvarām”, bet arī “efektīvām korektīvajām pilnvarām”.

47

Šīs tiesību normas ir jālasa, ņemot vērā Hartas 8. panta 3. punktā paredzēto prasību, saskaņā ar kuru šī panta 1. un 2. punktā paredzēto noteikumu par katras personas tiesībām uz personas datu aizsardzību ievērošana ir “kontrolē neatkarīga iestāde”, it īpaši šī panta 2. punkta otrajā teikumā noteiktā prasība, ka “ikvienam ir pieejas tiesības datiem, kas par viņu savākti, un tiesības ieviest labojumus šajos datos”. Proti, kā apstiprina arī pastāvīgā judikatūra, neatkarīgas uzraudzības iestādes izveides nolūks ir nodrošināt noteikumu fizisku personu aizsardzības attiecībā uz personas datu apstrādi jomā ievērošanas uzraudzības efektivitāti un uzticamību, un tā ir jāinterpretē šī mērķa kontekstā (šajā nozīmē skat. atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 229. punkts un tajā minētā judikatūra).

48

Tādējādi, ja šāda uzraudzības iestāde rīkojas, lai nodrošinātu datu subjekta tiesību īstenošanu, pamatojoties uz Direktīvas 2016/680 17. pantu, tās uzdevums pilnībā iekļaujas Savienības primārajās tiesībās sniegtajā tās lomas definīcijā, jo šī definīcija citastarp ietver datu subjekta tiesību piekļūt datiem un tos labot ievērošanas kontroli. No tā izriet, ka, veicot šo īpašo uzdevumu – tāpat kā saistībā ar jebkuru citu uzdevumu –, uzraudzības iestādei ir jāspēj īstenot pilnvaras, kuras tai ir piešķirtas atbilstoši Direktīvas 2016/680 47. pantam, rīkojoties pilnīgi neatkarīgi saskaņā ar Hartu un kā noteikts šīs direktīvas 75. apsvērumā.

49

Turklāt pēc apstrādes likumības pārbaudes kompetentajai uzraudzības iestādei saskaņā ar minētās direktīvas 17. panta 3. punkta pirmo teikumu ir jāinformē datu subjekts “vismaz” par to, ka “[tā] ir veikusi visas nepieciešamās pārbaudes vai pārskatīšanu”.

50

Kā secinājumu 65. punktā būtībā norāda ģenerāladvokāte, no visām šīm tiesību normām ir jāsecina, ka tad, ja kompetentā uzraudzības iestāde informē attiecīgo personu par veikto pārbaužu rezultātu, tā tai dara zināmu lēmumu, ko šī iestāde, noslēdzot pārbaudes procesu, ir pieņēmusi attiecībā uz šo personu, un šis lēmums noteikti ietekmē šīs personas tiesisko stāvokli. Tādējādi šis lēmums attiecībā uz to ir “juridiski saistošs lēmums” Direktīvas 2016/680 53. panta 1. punkta izpratnē neatkarīgi no tā, vai un kādā mērā šī iestāde ir konstatējusi šīs personas datu apstrādes likumību un veikusi koriģējošus pasākumus.

51

Turklāt šīs direktīvas 86. apsvērumā ir noteikts, ka jēdziens “juridiski saistošs lēmums” minētās direktīvas izpratnē ir jāsaprot kā lēmums, kas rada juridiskas sekas datu subjektam, it īpaši lēmums par to, kā uzraudzības iestāde īsteno izmeklēšanas, korektīvās un atļauju izsniegšanas pilnvaras, vai par sūdzību noraidīšanu.

52

Līdz ar to datu subjektam ir jābūt iespējai panākt šāda lēmuma pamatotības pārbaudi tiesā, pamatojoties uz Direktīvas 2016/680 53. panta 1. punktu, un it īpaši veikt “visas nepieciešamās pārbaudes” un attiecīgā gadījumā īstenot savas pilnvaras koriģējošo pasākumu pieņemšanas jomā, lai pārbaudītu veidu, kādā uzraudzības iestāde ir izpildījusi savu pienākumu, kas izriet no šīs direktīvas 17. panta un uz ko ir atsauce minētās direktīvas 46. panta 1. punkta g) apakšpunktā.

53

Šo secinājumu turklāt apstiprina Direktīvas 2016/680 85. apsvērums, no kura izriet, ka ikvienam datu subjektam vajadzētu būt tiesībām uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi, ja šī iestāde “nerīkojas, kad šāda rīcība ir nepieciešama, lai aizsargātu datu subjekta tiesības”.

54

Visbeidzot, šāda interpretācija atbilst Hartas 47. pantam, jo, kā izriet no pastāvīgās judikatūras, šīs tiesības ir jāatzīst ikvienai personai, kas atsaucas uz Savienības tiesību aktos garantētām tiesībām vai brīvībām, pret nolēmumu, kas var nelabvēlīgi ietekmēt šīs tiesības vai brīvības (šajā nozīmē skat. spriedumu, 2023. gada 26. janvāris, Ministerstvo na vatreshnite raboti (Policijas veikta biometrisko un ģenētisko datu reģistrācija), C‑205/21, EU:C:2023:49, 87. punkts, kā arī tajā minētā judikatūra).

55

Ņemot vērā visus iepriekš minētos apsvērumus, uz pirmo jautājumu ir jāatbild, ka Direktīvas 2016/680 17. pants, lasot to kopsakarā ar šīs direktīvas 46. panta 1. punkta g) apakšpunktu, 47. panta 1. un 2. punktu un 53. panta 1. punktu, kā arī Hartas 8. panta 3. punktu un 47. pantu ir jāinterpretē tādējādi, ka tad, ja personas tiesības saskaņā ar minēto 17. pantu ir tikušas īstenotas ar kompetentās uzraudzības iestādes starpniecību un ja šī iestāde informē minēto personu par veikto pārbaužu rezultātiem, šai personai ir jābūt pieejamai efektīvai tiesību aizsardzībai tiesā pret šīs iestādes lēmumu par pārbaudes procedūras pabeigšanu.

56

Ar otro jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai Direktīvas 2016/680 17. panta 3. punkts ir spēkā, ņemot vērā Hartas 8. panta 3. punktu un 47. pantu, ciktāl ar to uzraudzības iestādei ir tikai noteikts pienākums informēt datu subjektu, pirmkārt, ka tā ir veikusi visas nepieciešamās pārbaudes vai pārskatīšanu un, otrkārt, ka šai personai ir tiesības vērsties tiesā, jo šāda informācija neļauj tiesā pārbaudīt uzraudzības iestādes darbību un tās vērtējumus, ņemot vērā apstrādātos datus un pārziņa pienākumus.

57

Šajā ziņā, pirmkārt, jāatgādina, ka saskaņā ar vispārēju interpretācijas principu Savienības akts pēc iespējas ir jāinterpretē tā, lai netiktu apšaubīta tā spēkā esamība, un atbilstoši primāro tiesību kopumam, it īpaši Hartas tiesību normām. Tādējādi, ja Savienības atvasināto tiesību normu var interpretēt dažādi, priekšroka dodama tādai interpretācijai, kas to padara atbilstošu primārajām tiesībām, nevis tādai, kas noved pie secinājuma, ka tiesību norma ar to nav saderīga (spriedums, 2022. gada 21. jūnijs, Ligue des droits humains, C‑817/19, EU:C:2022:491, 86. punkts un tajā minētā judikatūra).

58

Otrkārt, Hartas 47. pantā garantētās tiesības uz efektīvu tiesību aizsardzību tiesā principā prasa, lai attiecīgā persona varētu uzzināt attiecībā uz to pieņemtā lēmuma pamatojumu, lai tā vislabākajā veidā varētu aizstāvēt savas tiesības un, zinot visus apstākļus, nolemt, vai ir lietderīgi vērsties kompetentajā tiesā, kā arī lai šī tiesa pilnībā varētu īstenot attiecīgā lēmuma tiesiskuma pārbaudi (šajā nozīmē skat. spriedumu, 2013. gada 4. jūnijs, ZZ, C‑300/11, EU:C:2013:363, 53. punkts un tajā minētā judikatūra).

59

Lai gan šīs tiesības nav absolūta prerogatīva un atbilstoši Hartas 52. panta 1. punktam tās var ierobežot, tas var notikt tikai tad, ja šādi ierobežojumi ir paredzēti tiesību aktos, ja tie respektē attiecīgo tiesību un brīvību būtību un ja saskaņā ar samērīguma principu tie ir nepieciešami un patiešām atbilst Savienības atzītiem vispārējas nozīmes mērķiem vai vajadzībai aizsargāt citu personu tiesības un brīvības (spriedums, 2023. gada 26. janvāris, Ministerstvo na vatreshnite raboti (Policijas veikta biometrisko un ģenētisko datu reģistrācija), C‑205/21, EU:C:2023:49, 89. punkts, kā arī tajā minētā judikatūra).

60

Šajā gadījumā jānorāda, ka saistībā ar šī sprieduma 50. punktā norādīto kompetentās uzraudzības iestādes lēmumu Direktīvas 2016/680 17. panta 3. punktā attiecībā uz šo uzraudzības iestādi ir ieviests minimālais informēšanas pienākums, paredzot, ka tā informē datu subjektu “vismaz” par to, ka “[tā] ir veikusi visas vajadzīgās pārbaudes vai pārskatīšanu” un par “šīs personas tiesībām vērsties tiesā”.

61

No minētā izriet, ka, tā kā šai tiesību normai nav pretrunā tas, ka konkrētos gadījumos saskaņā ar noteikumiem, ko valsts likumdevējs ir pieņēmis šīs normas īstenošanai, uzraudzības iestādei var būt iespēja vai pat pienākums aprobežoties ar iepriekšējā punktā minēto minimālo informāciju, nesniedzot citus precizējumus, it īpaši, ja šo noteikumu mērķis ir izvairīties no tā, ka tiek apdraudēti minētās direktīvas 13. panta 3. punktā, 15. panta 1. punktā, un 16. panta 4. punktā ietvertie sabiedrības interešu mērķi, tad, kā izklāstīts šī sprieduma 42. un 43. punktā, tā var radīt Hartas 47. pantā garantēto tiesību uz efektīvu tiesību aizsardzību tiesā ierobežojumu.

62

Tomēr, pirmām kārtām, ir jākonstatē, ka šāds ierobežojums ir skaidri paredzēts Direktīvā 2016/680 un ka tādējādi tas atbilst Hartas 52. panta 1. punktā paredzētajam nosacījumam, ka visiem pamattiesību izmantošanas ierobežojumiem ir jābūt “noteiktiem tiesību aktos”.

63

Otrām kārtām, tas, ka Direktīvas 2016/680 17. panta 3. punktā dalībvalstīm ir atļauts noteiktos gadījumos ierobežot šī lēmuma pamatojumu ar šajā tiesību normā noteikto minimālo informāciju, nenozīmē – kā secinājumu 89. punktā būtībā norāda ģenerāladvokāte –, ka datu subjektam jebkuros apstākļos drīkst sniegt tikai šo informāciju.

64

Proti, šī tiesību norma ir jāinterpretē, ņemot vērā Hartas 52. panta 1. punktu, tā, lai būtu izpildīti pārējie tajā minētie kritēriji. Tas nozīmē, ka ar to dalībvalstīm tiek prasīts, lai tās nodrošinātu, ka valsts tiesību normās, ar kurām tā tiek īstenota, pirmkārt, ir ievērota personas tiesību uz efektīvu tiesību aizsardzību tiesā būtība un, otrkārt, ka tās ir balstītas uz sabiedrības interešu mērķu, kuri pamato šīs informācijas ierobežošanu, un šīs personas pamattiesību un leģitīmo interešu salāgošanu, ievērojot nepieciešamības un samērīguma principus, tāpat kā salāgošanu, kas jāveic valsts likumdevējam, kad tas īsteno šīs pašas direktīvas 13. panta 3. punktā, 15. panta 3. punktā un 16. panta 4. punktā paredzētos ierobežojumus.

65

It īpaši, ja, pirmkārt, datu subjekta tiesību uz efektīvu tiesību aizsardzību tiesā aizsardzība pret lēmumu izbeigt pārbaudes procesu to prasa un, otrkārt, ja tas nav pretrunā Direktīvas 2016/680 13. panta 3. punktā, 15. panta 3. punktā un 16. panta 4. punktā minētajiem sabiedrības interešu mērķiem, dalībvalstīm ir jāparedz, ka datu subjektam sniedzamajā informācijā var ietvert vairāk nekā minimālo informāciju, kas paredzēta šīs direktīvas 17. panta 3. punktā, lai datu subjekts varētu aizstāvēt savas tiesības un, zinot visus apstākļus, izlemt, vai ir lietderīgi vērsties kompetentajā tiesā.

66

Tāpat ar valsts pasākumiem, ar kuriem tiek īstenota šī tiesību norma, cik vien iespējams, kompetentajai uzraudzības iestādei saskaņā ar neatkarību – kā tā raksturota Hartas 8. panta 3. punktā – ir jādod zināma rīcības brīvība, lai noteiktu, vai ietvars, kas valsts tiesību aktos noteikts atbilstoši šī sprieduma 65. punktā norādītajām prasībām, neliedz tai vismaz kodolīgā veidā paziņot šai personai tās veikto pārbaužu rezultātus, kā arī attiecīgā gadījumā tās veiktos koriģējošos pasākumus. Šajā ziņā, kā ģenerāladvokāte būtībā norādījusi secinājumu 73. un 74. punktā, šai iestādei, ievērojot minēto valsts tiesisko regulējumu, ir jāuzsāk konfidenciāls dialogs ar pārzini un šī dialoga rezultātā jāizlemj, kāda informācija ir vajadzīga, lai datu subjekts varētu īstenot savas tiesības efektīvi vērsties tiesā, ko tā var tai paziņot, neapdraudot šī sprieduma 65. punktā minētos sabiedrības interešu mērķus.

67

Turklāt gadījumos, kad minētajā regulējumā ir noteikts, ka uzraudzības iestādes sniegtajai informācijai ir jāaprobežojas ar to, kas paredzēts Direktīvas 2016/680 17. panta 3. punktā, tomēr dalībvalstīm, īstenojot savu procesuālo autonomiju, ir jāveic pasākumi, kas vajadzīgi, lai saskaņā ar šīs direktīvas 53. panta 1. punktu nodrošinātu efektīvu pārbaudi tiesā gan attiecībā uz to iemeslu esamību un pamatotību, kas pamatojuši šīs informācijas ierobežošanu, gan to, vai uzraudzības iestāde pareizi izpilda savu pienākumu pārbaudīt apstrādes likumību. Šajā ziņā pēdējā minētajā tiesību normā paredzētais jēdziens “efektīva tiesību aizsardzība tiesā” ir jāinterpretē, ņemot vērā minētās direktīvas 86. apsvērumu, saskaņā ar kuru tiesām, kas izskata lietas pret uzraudzības iestādi, “vajadzētu īstenot pilnu jurisdikciju, kurai vajadzētu ietvert jurisdikciju izskatīt visus faktu jautājumus un tiesību normu piemērošanas jautājumus, kas saistīti ar tajā izskatāmo strīdu”.

68

It īpaši dalībvalstīm ir jānodrošina, ka kompetentās tiesas rīcībā ir un tā piemēro procesuālās metodes un noteikumus, kas ļauj saskaņot leģitīmos apsvērumus saistībā ar Direktīvas 2016/680 13. panta 3. punktā, 15. panta 3. punktā un 16. panta 4. punktā minētajiem sabiedrības interešu mērķiem, jo šie mērķi valsts tiesību aktos ir ņemti vērā, lai ierobežotu attiecīgajai personai sniedzamo informāciju, no vienas puses, un nepieciešamību pietiekami nodrošināt indivīda procesuālo tiesību ievērošanu, piemēram, tiesības tikt uzklausītam, kā arī sacīkstes principu, no otras puses (šajā nozīmē skat. spriedumu, 2013. gada 4. jūnijs, ZZ, C‑300/11, EU:C:2013:363, 57. punkts un tajā minētā judikatūra).

69

Veicot pārbaudi tiesā par to, vai uzraudzības iestāde pareizi piemēro šīs direktīvas 17. pantu, dalībvalstīm ir jāparedz noteikumi, kuri ļauj kompetentajai tiesai iepazīties gan ar visiem iemesliem, gan ar pierādījumiem, kas ar tiem saistīti un ar ko šī iestāde šajā ziņā ir pamatojusi attiecīgās datu apstrādes likumības pārbaudi, kā arī no tā izdarītos secinājumus (šajā nozīmē skat. spriedumu, 2013. gada 4. jūnijs, ZZ, C‑300/11, EU:C:2013:363, 59. punkts un tajā minētā judikatūra).

70

Šajā ziņā, kā Eiropas Parlaments norādījis savos apsvērumos, Direktīvas 2016/680 15. panta 4. punktā ir paredzēts, ka pārzinis dokumentē faktiskos vai juridiskos iemeslus, kas ir pamatā lēmumam, ar kuru tas ir pilnībā vai daļēji ierobežojis datu subjekta piekļuves tiesības, un ka šai informācijai jābūt pieejamai uzraudzības iestādēm. Kā šī iestāde ir ierosinājusi, šī tiesību norma, lasot to kopā ar šīs direktīvas 17. un 53. pantu, kā arī Hartas 47. pantu, kā tas interpretēts šī sprieduma 68. un 69. punktā atgādinātajā judikatūrā, nozīmē, ka šī informācija ir jādara pieejama arī tiesai, kas izskata prasību pret uzraudzības iestādi, lai pārbaudītu minētā 17. panta pareizu piemērošanu.

71

Tādējādi no šī sprieduma 63.–70. punkta izriet, ka Direktīvas 2016/680 17. pantā paredzētajā ierobežojumā ir ievērots datu subjekta tiesību uz efektīvu tiesību aizsardzību tiesā saturs attiecībā uz uzraudzības iestādes lēmumu izbeigt šajā tiesību normā paredzēto procedūru, kā arī nepieciešamības un samērīguma principi saskaņā ar Hartas 52. panta 1. punktu.

72

Ņemot vērā visus iepriekš izklāstītos apsvērumus, ir jāsecina, ka, izskatot otro jautājumu, nav atklājies neviens apstāklis, kas varētu ietekmēt Direktīvas 2016/680 17. panta 3. punkta spēkā esamību.

73

Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

Ar šādu pamatojumu Tiesa (piektā palāta) nospriež: