ARREST VAN HET HOF (Vijfde kamer)

24 februari 2022 ( *1 )

„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 2 – Toepassingsgebied – Artikel 4 – Begrip ‚verwerking’ – Artikel 5 – Beginselen inzake verwerking – Doelbinding – Minimale gegevensverwerking – Artikel 6 – Rechtmatigheid van de verwerking – Verwerking noodzakelijk voor de vervulling van een taak van algemeen belang die aan de verwerkingsverantwoordelijke is opgedragen – Verwerking noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust – Artikel 23 – Beperkingen – Verwerking van gegevens voor fiscale doeleinden – Verzoek om informatie over online geplaatste advertenties voor de verkoop van voertuigen – Evenredigheid”

In zaak C‑175/20,

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door de Administratīvā apgabaltiesa (bestuursrechter in tweede aanleg, Letland) bij beslissing van 11 maart 2020, ingekomen bij het Hof op 14 april 2020, in de procedure

„SS” SIA

tegen

Valsts ieņēmumu dienests,

wijst

HET HOF (Vijfde kamer),

samengesteld als volgt: E. Regan, kamerpresident, K. Lenaerts, president van het Hof, waarnemend rechter van de Vijfde kamer, C. Lycourgos, president van de Vierde kamer, I. Jarukaitis en M. Ilešič (rapporteur), rechters,

advocaat-generaal: M. Bobek,

griffier: A. Calot Escobar,

gezien de stukken,

gelet op de opmerkingen van:

„SS” SIA, vertegenwoordigd door M. Ruķers,

de Letse regering, aanvankelijk vertegenwoordigd door K. Pommere, V. Soņeca en L. Juškeviča, vervolgens door K. Pommere als gemachtigden,

de Belgische regering, vertegenwoordigd door J.‑C. Halleux en P. Cottin als gemachtigden, bijgestaan door C. Molitor, advocaat,

de Griekse regering, vertegenwoordigd door E.‑M. Mamouna en O. Patsopoulou als gemachtigden,

de Spaanse regering, aanvankelijk vertegenwoordigd door J. Rodríguez de la Rúa Puig en S. Jiménez García, vervolgens door J. Rodríguez de la Rúa Puig als gemachtigden,

de Europese Commissie, aanvankelijk vertegenwoordigd door H. Kranenborg, D. Nardi en I. Rubene, vervolgens door H. Kranenborg en I. Rubene als gemachtigden,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 2 september 2021,

het navolgende

Arrest

1

Het verzoek om een prejudiciële beslissing betreft de uitlegging van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2, en PB 2021, L 74, blz. 35), met name artikel 5, lid 1, ervan.

2

Dit verzoek is ingediend in het kader van een geding tussen „SS” SIA en de Valsts ieņēmumu dienests (belastingautoriteit, Letland; hierna: „Letse belastingautoriteit”) over een verzoek om informatie over advertenties voor de verkoop van voertuigen die op de website van SS zijn geplaatst.

Toepasselijke bepalingen

Unierecht

Verordening 2016/679

3

Verordening 2016/679, die is gebaseerd op artikel 16 VWEU, is krachtens artikel 99, lid 2, ervan van toepassing met ingang van 25 mei 2018.

4

De overwegingen 1, 4, 10, 19, 26, 31, 39, 41 en 50 van deze verordening luiden:

„(1)

De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie (het ‚Handvest’) en artikel 16, lid 1, van het [VWEU] heeft eenieder recht op bescherming van zijn persoonsgegevens.

[...]

(4)

De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen. Deze verordening eerbiedigt alle grondrechten alsook de vrijheden en beginselen die zijn erkend in het Handvest zoals dat in de Verdragen is verankerd, met name de eerbiediging van het privéleven en het familie- en gezinsleven, woning en communicatie, de bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, en het recht op culturele, godsdienstige en taalkundige verscheidenheid.

[...]

(10)

Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. [...]

[...]

(19)

De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, en het vrije verkeer van die gegevens wordt geregeld in een specifieke rechtshandeling van de Unie. Deze verordening mag derhalve niet van toepassing zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Overeenkomstig deze verordening door overheidsinstanties verwerkte persoonsgegevens die voor die doeleinden worden gebruikt, moeten vallen onder een meer specifieke rechtshandeling van de Unie, namelijk richtlijn (EU) 2016/680 van het Europees Parlement en de Raad [van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van kaderbesluit 2008/977/JBZ van de Raad (PB 2016, L 119, blz. 89)]. [...]

[...]

(26)

De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. [...] Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. [...]

[...]

(31)

Overheidsinstanties waaraan ingevolge een wettelijke verplichting persoonsgegevens worden meegedeeld voor het vervullen van hun overheidstaak, zoals belasting- of douaneautoriteiten, financiëleonderzoeksdiensten, onafhankelijke bestuurlijke autoriteiten of financiëlemarktautoriteiten die belast zijn met de regulering van en het toezicht op de effectenmarkten, mogen niet worden beschouwd als ontvangers indien zij persoonsgegevens ontvangen die noodzakelijk zijn voor de uitvoering van een bepaald onderzoek van algemeen belang, overeenkomstig het Unierecht of het lidstatelijke recht. Door overheidsinstanties ingediende verzoeken om verstrekking moeten in ieder geval schriftelijk, gemotiveerd en incidenteel zijn, en mogen geen volledig bestand betreffen of resulteren in het onderling combineren van bestanden. De verwerking van persoonsgegevens door bedoelde overheidsinstanties moet stroken met de voor de doeleinden van de verwerking toepasselijke gegevensbeschermingsregels.

[...]

(39)

[...] Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt. Natuurlijke personen moeten bewust worden gemaakt van de risico’s, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Meer bepaald dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt, expliciet en gerechtvaardigd te zijn en te zijn vastgesteld wanneer de persoonsgegevens worden verzameld. De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist met name dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt. [...]

[...]

(41)

Wanneer in deze verordening naar een rechtsgrond of een wetgevingsmaatregel wordt verwezen, vereist dit niet noodzakelijkerwijs dat een door een parlement vastgestelde wetgevingshandeling nodig is, onverminderd de vereisten overeenkomstig de grondwettelijke orde van de lidstaat in kwestie. Deze rechtsgrond of wetgevingsmaatregel moet evenwel duidelijk en nauwkeurig zijn, en de toepassing daarvan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, zoals vereist door de rechtspraak van het Hof [...] en het Europees Hof voor de Rechten van de Mens.

[...]

(50)

De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. In dat geval is er geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan. Indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, kan in het Unierecht of het lidstatelijke recht worden vastgesteld en gespecificeerd voor welke taken en doeleinden de verdere verwerking als rechtmatig en verenigbaar met de aanvankelijke doeleinden moet worden beschouwd. De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, moet als een met de aanvankelijke doeleinden verenigbare rechtmatige verwerking worden beschouwd. De Unierechtelijke of lidstaatrechtelijke bepaling die als rechtsgrond voor de verwerking van persoonsgegevens dient, kan ook als rechtsgrond voor verdere verwerking dienen. Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, onder meer rekening houden met: een eventuele koppeling tussen die doeleinden en de doeleinden van de voorgenomen verdere verwerking; het kader waarin de gegevens zijn verzameld; met name de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan; de aard van de persoonsgegevens; de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen; en passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen.

[...]”

5

Artikel 2 van verordening 2016/679, met als opschrift „Materieel toepassingsgebied”, bepaalt:

„1.   Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

2.   Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:

a)

in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen;

b)

door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, VEU vallen;

c)

door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit;

d)

door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.

[...]”

6

Artikel 4 van de verordening, met het opschrift „Definities”, bepaalt:

„Voor de toepassing van deze verordening wordt verstaan onder:

1)

‚persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‚de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

2)

‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

[...]

6)

‚bestand’: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;

7)

‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

[...]

9)

‚ontvanger’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn;

[...]”

7

Artikel 5 van deze verordening, met als opschrift „Beginselen inzake verwerking van persoonsgegevens”, luidt als volgt:

„1.   Persoonsgegevens moeten:

a)

worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (‚rechtmatigheid, behoorlijkheid en transparantie’);

b)

voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; [...] (‚doelbinding’);

c)

toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (‚minimale gegevensverwerking’);

d)

juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (‚juistheid’);

e)

worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; [...] (‚opslagbeperking’);

f)

door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (‚integriteit en vertrouwelijkheid’).

2.   De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).”

8

Artikel 6 van deze verordening, met als opschrift „Rechtmatigheid van de verwerking”, bepaalt:

„1.   De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a)

de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b)

de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

c)

de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d)

de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e)

de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f)

de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

2.   De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.

3.   De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:

a)

Unierecht; of

b)

lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.

Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. [...] Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.

4.   Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)

ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

b)

het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;

c)

de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;

d)

de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

e)

het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”

9

Artikel 13, lid 3, van verordening 2016/679 luidt als volgt:

„Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.”

10

Artikel 14 van die verordening bepaalt:

„1.   Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie:

[...]

c)

de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking;

[...]

5.   De leden 1 tot en met 4 zijn niet van toepassing indien en voor zover:

[...]

c)

het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie- of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen; [...]

[...]”

11

Artikel 23, lid 1, onder e), van deze verordening luidt:

„De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede artikel 5 voor zover de bepalingen van dat artikel overeenkomen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met 22, kan door middel van een Unierechtelijke of lidstaatrechtelijke wetgevingsmaatregel die op de verwerkingsverantwoordelijke of de verwerker van toepassing is worden beperkt, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:

[...]

e)

andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;

[...]”

12

Artikel 25, lid 2, van verordening 2016/679 luidt als volgt:

„De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.”

Richtlijn 2016/680

13

De overwegingen 10 en 11 van richtlijn 2016/680 luiden als volgt:

„(10)

In verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de justitiële samenwerking in strafzaken en de politiële samenwerking, op die gebieden specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens op basis van artikel 16 VWEU nodig zouden kunnen blijken.

(11)

Derhalve is het aangewezen dat die gebieden worden behandeld in een richtlijn waarin specifieke regels worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, daarbij rekening houdend met de specifieke aard van die activiteiten. Die bevoegde autoriteiten kunnen niet alleen overheidsinstanties zoals de rechterlijke autoriteiten, de politie of andere rechtshandhavingsautoriteiten omvatten, maar ook ieder ander orgaan dat of iedere andere entiteit die krachtens het lidstatelijke recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen voor de doeleinden van deze richtlijn. Wanneer dat orgaan of die entiteit persoonsgegevens verwerkt voor andere doeleinden dan die van deze richtlijn, is verordening [2016/679] van toepassing. Verordening [2016/679] is dan ook van toepassing in gevallen waarin een orgaan of entiteit persoonsgegevens verzamelt voor andere doeleinden en die persoonsgegevens verder verwerkt met het oog op nakoming van een wettelijke verplichting waaraan het orgaan of de entiteit is onderworpen. [...]”

14

Artikel 3 van deze richtlijn bepaalt:

„Voor de toepassing van deze richtlijn wordt verstaan onder:

[...]

7. ,bevoegde autoriteit’:

a)

iedere overheidsinstantie die bevoegd is voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; of

b)

ieder ander orgaan dat of iedere andere entiteit die krachtens het lidstatelijke recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;

[...]”

Lets recht

15

Krachtens artikel 15, lid 6, van de likums „Par nodokļiem un nodevām” (algemene belastingwet, Latvijas Vēstnesis, 1995, nr. 26), in de versie die van toepassing is op het hoofdgeding (hierna: „algemene belastingwet”), is de aanbieder van internetadvertentiediensten verplicht om op verzoek van de Letse belastingautoriteit de informatie te verstrekken waarover hij beschikt inzake de belastingplichtigen die van zijn diensten met betrekking tot de plaatsing van advertenties hebben gebruikgemaakt.

Hoofdgeding en prejudiciële vragen

16

SS is een in Letland gevestigde aanbieder van internetadvertentiediensten.

17

Op 28 augustus 2018 heeft de Letse belastingautoriteit op grond van artikel 15, lid 6, van de algemene belastingwet een verzoek om informatie aan SS gericht, waarbij zij deze vennootschap verzocht om haar opnieuw toegang te verlenen tot de chassisnummers van de voertuigen die in de advertenties op het internetportaal van die vennootschap werden aangeboden alsmede tot de telefoonnummers van de verkopers, en haar uiterlijk op 3 september 2018 informatie te verstrekken over de advertenties die in het tijdvak van 14 juli tot en met 31 augustus 2018 in de rubriek „Personenauto’s” op die portaalsite waren geplaatst.

18

In dit verzoek werd gepreciseerd dat deze informatie de link naar de advertentie, de tekst ervan, het merk, het model, het chassisnummer, de prijs van het voertuig en het telefoonnummer van de verkoper moest bevatten, en elektronisch moest worden verstrekt in een formaat waarin de gegevens konden worden gefilterd of geselecteerd.

19

Voor het geval dat de toegang tot de informatie in de op het betrokken internetportaal geplaatste advertenties niet opnieuw kon worden verleend, werd SS bovendien verzocht om de reden daarvoor aan te geven en uiterlijk op de derde dag van elke maand de relevante informatie over de in de voorgaande maand geplaatste advertenties te verstrekken.

20

SS heeft tegen het verzoek om informatie van de Letse belastingautoriteit bezwaar ingediend bij de waarnemend directeur-generaal van de Letse belastingautoriteit, aangezien zij van mening was dat dat verzoek niet in overeenstemming was met de in verordening 2016/679 neergelegde beginselen van evenredigheid en van minimale verwerking van persoonsgegevens.

21

Bij besluit van 30 oktober 2018 heeft de waarnemend directeur-generaal van de Letse belastingautoriteit dit bezwaar afgewezen, met name op grond dat de Letse belastingautoriteit in het kader van de in het hoofdgeding aan de orde zijnde verwerking van persoonsgegevens de haar bij de wet verleende bevoegdheden uitoefende.

22

SS heeft bij de administratīvā rajona tiesa (bestuursrechter in eerste aanleg, Letland) beroep tot nietigverklaring van dat besluit ingesteld. Naast de argumenten die zij in haar bezwaar had uiteengezet, voerde zij aan dat dat besluit in strijd met artikel 5, lid 1, van verordening 2016/679 niet vermeldde wat het specifieke doel van de door de Letse belastingautoriteit beoogde verwerking van persoonsgegevens was, noch hoeveel gegevens daartoe nodig waren.

23

Bij vonnis van 21 mei 2019 heeft de administratīvā rajona tiesa dat beroep verworpen, in wezen op grond dat de Letse belastingautoriteit gerechtigd was om te verzoeken om toegang tot informatie over alle personen en in een onbeperkte hoeveelheid, tenzij die informatie onverenigbaar werd geacht met de doeleinden van de belastinginning. Deze rechter was bovendien van oordeel dat verordening 2016/679 niet van toepassing was op deze autoriteit.

24

SS heeft tegen dit vonnis hoger beroep ingesteld bij de verwijzende rechter, waarbij zij aanvoerde dat de Letse belastingautoriteit onderworpen was aan verordening 2016/679 en dat deze autoriteit het evenredigheidsbeginsel had geschonden door maandelijks en zonder beperking in de tijd een aanzienlijke hoeveelheid persoonsgegevens betreffende een onbeperkt aantal advertenties te eisen zonder aan te geven tegen welke belastingplichtigen een belastingcontrole zou worden ingesteld.

25

De verwijzende rechter wijst erop dat in het hoofdgeding niet wordt betwist dat de uitvoering van het betrokken verzoek om informatie intrinsiek samenhangt met een verwerking van persoonsgegevens, noch dat de Letse belastingautoriteit recht heeft op informatie waarover een aanbieder van internetadvertentiediensten beschikt en die noodzakelijk is voor de uitvoering van specifieke maatregelen op het gebied van belastinginning.

26

Het hoofdgeding betreft de hoeveelheid en de soort informatie waar de Letse belastingautoriteit om kan verzoeken, de grenzen die ter zake gelden, en de vraag of de mededelingsplicht waaraan SS is onderworpen, in de tijd moet worden beperkt.

27

De verwijzende rechter is met name van oordeel dat het aan hem staat om te bepalen of, in de omstandigheden van het hoofdgeding, de verwerking van persoonsgegevens ten aanzien van de betrokkenen op transparante wijze wordt verricht, of de in het betrokken verzoek omschreven informatie wordt opgevraagd voor welbepaalde, eenduidige en gerechtvaardigde doeleinden en of de verwerking van persoonsgegevens slechts plaatsvindt voor zover dat werkelijk noodzakelijk is voor de uitoefening van de taken van de Letse belastingautoriteit in de zin van artikel 5, lid 1, van verordening 2016/679.

28

Daartoe moeten de criteria worden vastgesteld aan de hand waarvan kan worden beoordeeld of een verzoek van de Letse belastingautoriteit om informatie de wezenlijke inhoud van de fundamentele rechten en vrijheden eerbiedigt en of het in het hoofdgeding aan de orde zijnde verzoek om informatie in een democratische samenleving kan worden beschouwd als noodzakelijk en evenredig om belangrijke doelstellingen van de Unie en Letse openbare belangen op fiscaal en budgettair gebied te beschermen.

29

In deze omstandigheden heeft de Administratīvā apgabaltiesa (bestuursrechter in tweede aanleg, Letland) de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1)

Moeten de in [verordening 2016/679] gestelde vereisten aldus worden uitgelegd dat een verzoek van de belastingautoriteit om informatie zoals in casu aan de orde, waarbij informatie wordt opgevraagd die een aanzienlijke hoeveelheid persoonsgegevens bevat, moet voldoen aan die vereisten (in het bijzonder artikel 5, lid 1, van verordening 2016/679)?

2)

Moeten de in [verordening 2016/679] gestelde vereisten aldus worden uitgelegd dat de belastingautoriteit kan afwijken van artikel 5, lid 1, van deze verordening, ook al verleent de in Letland geldende wetgeving de belastingautoriteit die mogelijkheid niet?

3)

Kan bij de uitlegging van de in [verordening 2016/679] gestelde vereisten worden aangenomen dat er een legitiem doel bestaat ter rechtvaardiging van de verplichting die bij een verzoek om informatie zoals in casu wordt opgelegd om een onbepaald aantal gegevens over een onbepaald tijdvak te verstrekken, zonder dat er een einddatum is vastgesteld waarop niet langer aan dat verzoek om informatie hoeft te worden voldaan?

4)

Kan bij de uitlegging van de in [verordening 2016/679] gestelde vereisten worden aangenomen dat er een legitiem doel bestaat ter rechtvaardiging van de verplichting die bij een verzoek om informatie zoals in casu wordt opgelegd om alle verlangde gegevens te verstrekken, ook al vermeldt het verzoek om informatie niet (of onvolledig) wat het doel van de informatieverstrekking is?

5)

Kan bij de uitlegging van de in [verordening 2016/679] gestelde vereisten worden aangenomen dat er een legitiem doel bestaat ter rechtvaardiging van de verplichting die bij een verzoek om informatie zoals in casu wordt opgelegd om alle verlangde gegevens te verstrekken, ook al heeft dat verzoek in de praktijk betrekking op alle betrokkenen die advertenties in de rubriek ‚Personenauto’s’ van een portaalsite hebben geplaatst?

6)

Welke criteria moeten worden toegepast om na te gaan of de belastingautoriteit, die optreedt als verwerkingsverantwoordelijke, naar behoren waarborgt dat de gegevensverwerking (met inbegrip van de informatieverzameling) voldoet aan de in [verordening 2016/679] gestelde vereisten?

7)

Welke criteria moeten worden toegepast om na te gaan of een verzoek om informatie zoals in casu naar behoren is gemotiveerd en incidenteel van aard is?

8)

Welke criteria moeten worden toegepast om na te gaan of de verwerking van persoonsgegevens wordt uitgevoerd in de mate waarin dat nodig is en in overeenstemming met de in [verordening 2016/679] gestelde vereisten?

9)

Welke criteria moeten worden toegepast om na te gaan of de belastingautoriteit, die optreedt als verwerkingsverantwoordelijke, waarborgt dat de gegevensverwerking voldoet aan de in artikel 5, lid 1, van [verordening 2016/679] gestelde vereisten (verantwoordingsplicht)?”

Beantwoording van de prejudiciële vragen

Eerste vraag

30

Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen of verordening 2016/679 aldus moet worden uitgelegd dat het verzamelen van informatie die een aanzienlijke hoeveelheid persoonsgegevens inhoudt waartoe de belastingautoriteit van een lidstaat overgaat bij een marktdeelnemer, onderworpen is aan de vereisten van deze verordening, in het bijzonder die van artikel 5, lid 1, ervan.

31

Om deze vraag te beantwoorden moet in de eerste plaats worden nagegaan of een dergelijk verzoek binnen het materiële toepassingsgebied van verordening 2016/679 valt, zoals dat is omschreven in artikel 2, lid 1, ervan, en in de tweede plaats of het niet behoort tot de verwerkingen van persoonsgegevens die artikel 2, lid 2, van die verordening van dit toepassingsgebied uitsluit.

32

In de eerste plaats is verordening 2016/679 volgens artikel 2, lid 1, ervan van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

33

Artikel 4, punt 1, van verordening 2016/679 verduidelijkt wat er onder „persoonsgegevens” wordt verstaan: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, dat wil zeggen een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Overweging 26 van deze verordening preciseert in dit verband dat om te bepalen of een natuurlijke persoon identificeerbaar is rekening moet worden gehouden met alle middelen waarvan redelijkerwijs te verwachten valt dat zij door de verwerkingsverantwoordelijke of door een andere persoon zullen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren.

34

In het hoofdgeding staat vast dat de informatie waarvan de Letse belastingautoriteit om verstrekking verzoekt, persoonsgegevens zijn in de zin van artikel 4, punt 1, van verordening 2016/679.

35

Krachtens artikel 4, punt 2, van deze verordening vormen het verzamelen, raadplegen, verstrekken door middel van doorzending, of op andere wijze ter beschikking stellen van persoonsgegevens „verwerkingen” in de zin van deze verordening. Uit de bewoordingen van deze bepaling, met name uit de uitdrukking „een bewerking”, blijkt dat de Uniewetgever aan het begrip „verwerking” een ruime strekking heeft willen geven. Deze uitlegging vindt steun in het feit dat de in die bepaling genoemde handelingen niet exhaustief zijn, wat tot uitdrukking komt in het woord „zoals”.

36

In casu verlangt de Letse belastingautoriteit van de betrokken marktdeelnemer dat hij haar diensten opnieuw toegang verleent tot de chassisnummers van de voertuigen waarvoor op zijn internetportaal advertenties zijn geplaatst, en dat hij informatie verstrekt over de op die portaalsite geplaatste advertenties.

37

Een dergelijk verzoek, waarmee de belastingautoriteit van een lidstaat een marktdeelnemer vraagt om haar persoonsgegevens te verstrekken en ter beschikking te stellen, waartoe hij krachtens de nationale regeling van die lidstaat gehouden is, brengt een proces van „verzameling” van die gegevens op gang in de zin van artikel 4, punt 2, van verordening 2016/679.

38

Bovendien houdt de verstrekking en de terbeschikkingstelling van die gegevens door de betrokken marktdeelnemer aan deze autoriteit een „verwerking” in de zin van dat artikel 4, punt 2, in.

39

In de tweede plaats moet worden onderzocht of de bewerking waarmee de belastingautoriteit van een lidstaat de persoonsgegevens van bepaalde belastingplichtigen bij een marktdeelnemer tracht te verzamelen, kan worden geacht van het toepassingsgebied van verordening 2016/679 te zijn uitgesloten op grond van artikel 2, lid 2, daarvan.

40

In dit verband zij er eerst aan herinnerd dat deze bepaling voorziet in uitzonderingen op het in artikel 2, lid 1, omschreven toepassingsgebied van deze verordening en dat deze uitzonderingen strikt moeten worden uitgelegd (arrest van 16 juli 2020, Facebook Ireland en Schrems, C‑311/18, EU:C:2020:559, punt 84).

41

In het bijzonder bepaalt artikel 2, lid 2, onder d), van verordening 2016/679 dat deze verordening niet van toepassing is op de verwerking van persoonsgegevens door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

42

Blijkens overweging 19 van die verordening is deze uitzondering ingegeven door de omstandigheid dat de verwerking van persoonsgegevens voor dergelijke doeleinden door de bevoegde autoriteiten valt onder een specifieke handeling van de Unie, te weten richtlijn 2016/680, die is vastgesteld op dezelfde dag als verordening 2016/679 en die in artikel 3, punt 7, definieert wat moet worden verstaan onder „bevoegde autoriteit”, waarbij deze definitie naar analogie behoort te gelden voor de toepassing van artikel 2, lid 2, onder d), van verordening 2016/679 [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punt 69].

43

Uit overweging 10 van richtlijn 2016/680 komt naar voren dat het begrip „bevoegde autoriteit” moet worden begrepen in het licht van de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, waarbij rekening dient te worden gehouden met de aanpassingen die in dit verband nodig zouden kunnen blijken wegens de specifieke aard van die gebieden. Voorts wordt in overweging 11 van richtlijn 2016/680 gepreciseerd dat verordening 2016/679 van toepassing is op de verwerking van persoonsgegevens die door een „bevoegde autoriteit” in de zin van artikel 3, punt 7, van deze richtlijn wordt verricht voor andere doeleinden dan die welke in die richtlijn worden genoemd [arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punt 70].

44

Wanneer de belastingautoriteit van een lidstaat een marktdeelnemer verzoekt om haar persoonsgegevens betreffende bepaalde belastingplichtigen te verstrekken met het oog op de inning van de belasting en de bestrijding van belastingfraude, blijkt dus niet dat deze belastingautoriteit kan worden beschouwd als een „bevoegde autoriteit” in de zin van artikel 3, punt 7, van richtlijn 2016/680, en dus ook niet dat dergelijke verzoeken om informatie onder de uitzondering van artikel 2, lid 2, onder d), van verordening 2016/679 kunnen vallen.

45

Bovendien is het weliswaar niet uitgesloten dat de in het hoofdgeding aan de orde zijnde persoonsgegevens kunnen worden gebruikt in het kader van strafvervolgingen die in geval van inbreuken op fiscaal gebied zouden kunnen worden ingesteld tegen bepaalde betrokkenen, maar het blijkt niet dat die gegevens worden verzameld met als specifiek doel dergelijke strafvervolgingen in te stellen of in het kader van de activiteiten van de staat op strafrechtelijk gebied (zie in die zin arrest van 27 september 2017, Puškár, C‑73/16, EU:C:2017:725, punt 40).

46

Bijgevolg valt het verzamelen, door de belastingautoriteit van een lidstaat, van persoonsgegevens betreffende de op de website van een marktdeelnemer geplaatste advertenties voor de verkoop van voertuigen binnen het materiële toepassingsgebied van verordening 2016/679 en moet deze autoriteit dus met name de in artikel 5 van die verordening neergelegde beginselen inzake de verwerking van persoonsgegevens in acht nemen.

47

Gelet op een en ander moet op de eerste vraag worden geantwoord dat verordening 2016/679 aldus moet worden uitgelegd dat het verzamelen van informatie die een aanzienlijke hoeveelheid persoonsgegevens inhoudt waartoe de belastingautoriteit van een lidstaat overgaat bij een marktdeelnemer, onderworpen is aan de vereisten van deze verordening, in het bijzonder die van artikel 5, lid 1, ervan.

Tweede vraag

48

Met zijn tweede vraag wenst de verwijzende rechter in essentie te vernemen of verordening 2016/679 aldus moet worden uitgelegd dat de belastingautoriteit van een lidstaat mag afwijken van artikel 5, lid 1, van deze verordening, ook al is haar dat recht niet toegekend door het nationale recht van die lidstaat.

49

Om te beginnen zij eraan herinnerd dat verordening 2016/679, zoals blijkt uit overweging 10 ervan, met name een hoog niveau van bescherming van natuurlijke personen binnen de Unie beoogt te waarborgen.

50

Daartoe vermelden de hoofdstukken II en III van verordening 2016/679 respectievelijk de beginselen die van toepassing zijn op de verwerking van persoonsgegevens en de rechten van de betrokkene die bij elke verwerking van persoonsgegevens moeten worden geëerbiedigd. In het bijzonder moet elke verwerking van persoonsgegevens met name in overeenstemming zijn met de in artikel 5 van verordening 2016/679 geformuleerde beginselen inzake de verwerking van die gegevens (zie in die zin arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 208).

51

Artikel 23 van verordening 2016/679 staat de Unie en de lidstaten evenwel toe „wetgevingsmaatregelen” vast te stellen die de reikwijdte van de onder meer in artikel 5 van deze verordening bedoelde verplichtingen en rechten beperken, voor zover zij overeenkomen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met 22 van die verordening, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, zoals met name een belangrijk economisch of financieel belang, met inbegrip van budgettaire en fiscale aangelegenheden.

52

In dit verband volgt uit overweging 41 van verordening 2016/679 dat de verwijzing in deze verordening naar een „wetgevingsmaatregel” niet noodzakelijk inhoudt dat er een door een parlement vastgestelde wetgevingshandeling nodig is.

53

Niettemin zij eraan herinnerd dat verordening 2016/679, zoals in overweging 4 ervan staat te lezen, alle grondrechten eerbiedigt alsook de vrijheden en beginselen die zijn erkend in het Handvest, zoals die in de Verdragen zijn verankerd, waaronder met name de bescherming van persoonsgegevens.

54

Volgens artikel 52, lid 1, eerste volzin, van het Handvest moeten beperkingen op de uitoefening van de daarin erkende rechten en vrijheden, waaronder met name het door artikel 7 van het Handvest gewaarborgde recht op eerbiediging van het privéleven en het in artikel 8 ervan neergelegde recht op bescherming van persoonsgegevens, bij wet worden gesteld, wat met name inhoudt dat de rechtsgrond die de inmenging in die rechten toestaat, zelf de reikwijdte van de beperking op de uitoefening van het betrokken recht moet bepalen (zie in die zin arrest van 6 oktober 2020, Privacy International, C‑623/17, EU:C:2020:790, punt 65 en aldaar aangehaalde rechtspraak).

55

In dit verband heeft het Hof bovendien geoordeeld dat de regeling die een dergelijke inmenging mogelijk maakt, duidelijke en nauwkeurige regels moet bevatten die de reikwijdte en de toepassing van de betrokken maatregel vastleggen en minimumvereisten opleggen, zodat degenen van wie de persoonsgegevens zijn doorgegeven, over voldoende waarborgen beschikken dat die gegevens doeltreffend worden beschermd tegen het risico van misbruik [zie in die zin arrest van 2 maart 2021, Prokuratuur (Voorwaarden voor toegang tot elektronischecommunicatiegegevens), C‑746/18, EU:C:2021:152, punt 48 en aldaar aangehaalde rechtspraak].

56

Bijgevolg moet elke krachtens artikel 23 van verordening 2016/679 vastgestelde maatregel, zoals de Uniewetgever overigens in overweging 41 van deze verordening heeft benadrukt, duidelijk en nauwkeurig zijn en moet de toepassing daarvan voorspelbaar zijn voor degenen op wie deze van toepassing is. Deze personen moeten in het bijzonder kunnen vaststellen onder welke omstandigheden en voorwaarden de reikwijdte van de hun door deze verordening verleende rechten kan worden beperkt.

57

Uit het voorgaande volgt dat de belastingautoriteit van een lidstaat niet mag afwijken van artikel 5 van verordening 2016/679 wanneer er in het Unierecht of het nationale recht geen duidelijke en nauwkeurige rechtsgrondslag bestaat waarvan de toepassing voorspelbaar is voor degenen op wie deze van toepassing is en die bepaalt onder welke omstandigheden en voorwaarden de reikwijdte van de in dat artikel 5 bedoelde verplichtingen en rechten kan worden beperkt.

58

Bijgevolg moet op de tweede vraag worden geantwoord dat verordening 2016/679 aldus moet worden uitgelegd dat de belastingautoriteit van een lidstaat niet mag afwijken van artikel 5, lid 1, van deze verordening wanneer haar een dergelijk recht niet is toegekend bij een wetgevingsmaatregel in de zin van artikel 23, lid 1, van die verordening.

Derde tot en met negende vraag

59

Met zijn derde tot en met negende vraag, die samen moeten worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of verordening 2016/679 aldus moet worden uitgelegd dat zij eraan in de weg staat dat de belastingautoriteit van een lidstaat een aanbieder van internetadvertentiediensten verplicht om haar gedurende onbepaalde tijd informatie te verstrekken over alle belastingplichtigen die advertenties in een van de rubrieken van zijn internetportaal hebben geplaatst, zonder dat zij hem het doel van dit verzoek om informatie meedeelt.

60

Om te beginnen moet worden opgemerkt dat er in een situatie als die in het hoofdgeding twee verwerkingen van persoonsgegevens kunnen plaatsvinden. Zoals uit de punten 37 en 38 van het onderhavige arrest blijkt, gaat het om het verzamelen van persoonsgegevens door de belastingautoriteit bij de betrokken aanbieder van diensten en, in dat kader, om de verstrekking door middel van doorzending van die gegevens door deze aanbieder aan die autoriteit.

61

Zoals blijkt uit de in punt 50 van het onderhavige arrest aangehaalde rechtspraak, moet elk van deze bewerkingen de in artikel 5 van verordening 2016/679 neergelegde beginselen inzake de verwerking van persoonsgegevens en de in de artikelen 12 tot en met 22 van die verordening neergelegde rechten van de betrokkene eerbiedigen, behoudens de in artikel 23 ervan toegestane afwijkingen.

62

In casu stelt de verwijzende rechter zich met name vragen bij de omstandigheid dat, ten eerste, de in punt 60 van het onderhavige arrest vermelde verwerkingen betrekking hebben op informatie in onbeperkte hoeveelheden betreffende een onbepaald tijdvak, en, ten tweede, het doel van deze verwerkingen in het verzoek om informatie niet is gepreciseerd.

63

In dit verband moet in de eerste plaats worden benadrukt dat artikel 5, lid 1, onder b), van verordening 2016/679 bepaalt dat persoonsgegevens met name voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld.

64

Om te beginnen impliceert het vereiste dat de doeleinden van de verwerking bepaald zijn, zoals tevens volgt uit overweging 39 van deze verordening, dat deze uiterlijk bij het verzamelen van de persoonsgegevens moeten vaststaan.

65

Vervolgens moeten de doeleinden van de verwerking uitdrukkelijk omschreven zijn, hetgeen betekent dat zij duidelijk moeten zijn geformuleerd.

66

Ten slotte moeten deze doeleinden gerechtvaardigd zijn. Zij moeten derhalve een rechtmatige verwerking in de zin van artikel 6, lid 1, van deze verordening waarborgen.

67

De in punt 60 van het onderhavige arrest bedoelde verwerkingen worden geïnitieerd door het verzoek om verstrekking van persoonsgegevens dat de Letse belastingautoriteit richt aan de aanbieder van internetadvertentiediensten. In dit verband blijkt dat deze aanbieder krachtens artikel 15, lid 6, van de algemene belastingwet gehouden is een dergelijk verzoek in te willigen.

68

Gelet op de overwegingen die in de punten 64 en 65 van dit arrest zijn uiteengezet, is het noodzakelijk dat de doeleinden van deze verwerkingen duidelijk in dat verzoek worden vermeld.

69

Mits de aldus in dat verzoek vermelde doeleinden noodzakelijk zijn voor de uitvoering van een taak van algemeen belang of een taak die deel uitmaakt van de uitoefening van het openbaar gezag dat aan de belastingautoriteit is opgedragen, volstaat deze omstandigheid, zoals voortvloeit uit artikel 6, lid 1, eerste alinea, aanhef en onder e), van verordening 2016/679, gelezen in samenhang met artikel 6, lid 3, tweede alinea, van die verordening, opdat die verwerkingen ook voldoen aan het in punt 66 van het onderhavige arrest in herinnering gebrachte vereiste van rechtmatigheid.

70

In dit verband zij eraan herinnerd dat de inning van de belasting en de bestrijding van belastingfraude moeten worden beschouwd als taken van algemeen belang in de zin van artikel 6, lid 1, eerste alinea, onder e), van verordening 2016/679 (zie naar analogie arrest van 27 september 2017, Puškár, C‑73/16, EU:C:2017:725, punt 108).

71

Hieruit volgt dat in een geval waarin de verstrekking van de betrokken persoonsgegevens niet rechtstreeks is gebaseerd op de wettelijke bepaling die er de grondslag van vormt, maar voortvloeit uit een verzoek van de bevoegde overheidsinstantie, dit verzoek de specifieke doeleinden voor dat verzamelen van gegevens met het oog op de taak van openbaar belang of de uitoefening van het openbaar gezag nader moet omschrijven, teneinde de ontvanger van dat verzoek in staat te stellen zich ervan te vergewissen dat de doorzending van de betrokken persoonsgegevens rechtmatig is en het de nationale rechterlijke instanties mogelijk te maken de rechtmatigheid van de betrokken verwerkingen te toetsen.

72

In de tweede plaats moeten persoonsgegevens overeenkomstig artikel 5, lid 1, onder c), van verordening 2016/679 toereikend en ter zake dienend zijn en beperkt blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

73

Dienaangaande zij eraan herinnerd dat afwijkingen en beperkingen van het beginsel van bescherming van persoonsgegevens volgens vaste rechtspraak binnen de grenzen van het strikt noodzakelijke moeten blijven [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punt 110 en aldaar aangehaalde rechtspraak].

74

Hieruit volgt dat de verwerkingsverantwoordelijke niet op algemene en ongedifferentieerde wijze persoonsgegevens mag verzamelen en zich dient te onthouden van het verzamelen van gegevens die niet strikt noodzakelijk zijn voor de doeleinden van de verwerking, ook wanneer hij handelt in het kader van de hem opgedragen taak van algemeen belang.

75

In casu moet worden opgemerkt dat de Letse belastingautoriteit, zoals blijkt uit de punten 17 tot en met 19 van het onderhavige arrest, de betrokken marktdeelnemer heeft verzocht om haar gegevens te verstrekken over de advertenties voor de verkoop van personenauto’s die tussen 14 juli en 31 augustus 2018 op zijn website zijn geplaatst, en, voor het geval dat de toegang tot deze informatie niet opnieuw kon worden verleend, om haar uiterlijk op de derde dag van elke maand de gegevens te verstrekken over de advertenties voor de verkoop van personenauto’s die in de voorgaande maand op zijn website zijn geplaatst, zonder dit laatste verzoek in de tijd te beperken.

76

Gelet op de in punt 74 van het onderhavige arrest uiteengezette overwegingen staat het aan de verwijzende rechter om na te gaan of het doel van het verzamelen van deze gegevens kan worden bereikt zonder dat de Letse belastingautoriteit potentieel beschikt over de gegevens betreffende alle advertenties voor de verkoop van personenauto’s die op de website van die marktdeelnemer zijn geplaatst, en met name of het denkbaar is dat deze belastingautoriteit zich aan de hand van specifieke criteria op bepaalde advertenties richt.

77

In dit verband moet worden benadrukt dat de verwerkingsverantwoordelijke overeenkomstig de in artikel 5, lid 2, van verordening 2016/679 neergelegde verantwoordingsplicht moet kunnen aantonen dat hij de in lid 1 van dat artikel neergelegde beginselen inzake de verwerking van persoonsgegevens naleeft.

78

Bijgevolg staat het aan de Letse belastingautoriteit om aan te tonen dat zij overeenkomstig artikel 25, lid 2, van die verordening heeft getracht de hoeveelheid te verzamelen persoonsgegevens zoveel mogelijk te beperken.

79

Wat de omstandigheid betreft dat het verzoek van de Letse belastingautoriteit om informatie niet voorziet in een temporele beperking voor het geval dat de betrokken aanbieder van advertentiediensten de toegang tot de advertenties die zijn geplaatst in het in het verzoek bedoelde tijdvak niet opnieuw verleent, zij eraan herinnerd dat de verwerkingsverantwoordelijke, gelet op het beginsel van minimale gegevensverwerking, ook verplicht is om het tijdvak waarin de betrokken persoonsgegevens worden verzameld, te beperken tot hetgeen strikt noodzakelijk is voor het doel van de verwerking.

80

Bijgevolg mag het tijdvak waarop het verzamelen betrekking heeft, niet langer duren dan strikt noodzakelijk is om het beoogde doel van algemeen belang te bereiken.

81

Zoals blijkt uit punt 77 van het onderhavige arrest, rust de bewijslast dienaangaande op de Letse belastingautoriteit.

82

Uit het feit dat deze gegevens worden verzameld zonder dat de Letse belastingautoriteit in het verzoek om informatie zelf temporele grenzen aan een dergelijke verwerking heeft gesteld, kan als zodanig echter niet worden afgeleid dat de duur van de verwerking langer is dan wat strikt noodzakelijk is om het doel te bereiken.

83

In deze context dient er niettemin aan te worden herinnerd dat om te voldoen aan het evenredigheidsvereiste waaraan artikel 5, lid 1, onder c), van verordening 2016/679 uitdrukking geeft [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punt 98 en aldaar aangehaalde rechtspraak], de regeling waarop de verwerking is gebaseerd duidelijke en nauwkeurige regels moet bevatten over de reikwijdte en de toepassing van de betrokken maatregel en minimumvereisten moet opleggen, zodat degenen van wie de persoonsgegevens worden verwerkt, over voldoende waarborgen beschikken dat die gegevens doeltreffend worden beschermd tegen het risico van misbruik. Die regeling moet wettelijk verbindend zijn naar intern recht en in het bijzonder aangeven in welke omstandigheden en onder welke voorwaarden een maatregel die voorziet in de verwerking van dergelijke gegevens kan worden genomen, en aldus waarborgen dat de inmenging tot het strikt noodzakelijke wordt beperkt (arrest van 6 oktober 2020, Privacy International, C‑623/17, EU:C:2020:790, punt 68 en aldaar aangehaalde rechtspraak).

84

Hieruit volgt dat de nationale regeling inzake een verzoek om informatie als in het hoofdgeding aan de orde, aan de hand van objectieve criteria moet bepalen in welke omstandigheden en onder welke voorwaarden een aanbieder van onlinediensten persoonsgegevens van zijn gebruikers moet doorgeven (zie in die zin arrest van 6 oktober 2020, Privacy International, C‑623/17, EU:C:2020:790, punt 78 en aldaar aangehaalde rechtspraak).

85

Gelet op een en ander dient op de derde tot en met negende vraag te worden geantwoord dat verordening 2016/679 aldus moet worden uitgelegd dat zij zich er niet tegen verzet dat de belastingautoriteit van een lidstaat een aanbieder van internetadvertentiediensten verplicht om haar informatie te verstrekken over de belastingplichtigen die advertenties in een van de rubrieken van zijn internetportaal hebben geplaatst, mits de betrokken gegevens met name noodzakelijk zijn voor de specifieke doeleinden waarvoor zij worden verzameld en het tijdvak gedurende hetwelk die gegevens worden verzameld niet langer is dan strikt noodzakelijk om de doelstelling van algemeen belang te verwezenlijken.

Kosten

86

Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

 

Het Hof (Vijfde kamer) verklaart voor recht:

 

1)

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) moet aldus worden uitgelegd dat het verzamelen van informatie die een aanzienlijke hoeveelheid persoonsgegevens inhoudt waartoe de belastingautoriteit van een lidstaat overgaat bij een marktdeelnemer, onderworpen is aan de vereisten van deze verordening, in het bijzonder die van artikel 5, lid 1, ervan.

 

2)

Verordening 2016/679 moet aldus worden uitgelegd dat de belastingautoriteit van een lidstaat niet mag afwijken van artikel 5, lid 1, van deze verordening wanneer haar een dergelijk recht niet is toegekend bij een wetgevingsmaatregel in de zin van artikel 23, lid 1, van die verordening.

 

3)

Verordening 2016/679 moet aldus worden uitgelegd dat zij zich er niet tegen verzet dat de belastingautoriteit van een lidstaat een aanbieder van internetadvertentiediensten verplicht om haar informatie te verstrekken over de belastingplichtigen die advertenties in een van de rubrieken van zijn internetportaal hebben geplaatst, mits de betrokken gegevens met name noodzakelijk zijn voor de specifieke doeleinden waarvoor zij worden verzameld en het tijdvak gedurende hetwelk die gegevens worden verzameld niet langer is dan strikt noodzakelijk om de doelstelling van algemeen belang te verwezenlijken.

 

ondertekeningen


( *1 ) Procestaal: Lets.