1.

W 1946 r. George Orwell w następujący sposób skomentował kampanię „Keep Death off the Roads” prowadzoną wówczas przez byłe państwo członkowskie Unii Europejskiej: „Aby naprawdę trzymać śmierć z dala od dróg, należałoby zmienić cały system drogowy w taki sposób, aby kolizje były niemożliwe. Pomyślcie, z czym by to się wiązało (oznaczałoby to na przykład rozbiórkę i odbudowę całego Londynu), i zauważcie, że jest to w tej chwili zupełnie poza możliwościami jakiegokolwiek narodu. Krótko mówiąc, można tylko przyjąć środki łagodzące, które ostatecznie sprowadzają się do zwiększenia ostrożności ludzi” ( 2 ).

2.

Sprawa rozpatrywana przez Satversmes tiesa (trybunałem konstytucyjnym, Łotwa), który zwrócił się do Trybunału z niniejszym wnioskiem o wydanie orzeczenia w trybie prejudycjalnym, dotyczy przede wszystkim „środków łagodzących”, o których mowa powyżej: w celu wspierania bezpieczeństwa ruchu drogowego poprzez uwrażliwienie kierowców i zwiększenie ich ostrożności kierowcom, którzy popełnili wykroczenia drogowe, przypisuje się punkty karne. Informacje dotyczące tych punktów karnych są następnie podawane do publicznej wiadomości i przekazywane do ponownego wykorzystania. Sąd odsyłający, rozpatrujący skargę konstytucyjną dąży do dokonania oceny zgodności przedmiotowego prawa krajowego z rozporządzeniem (UE) 2016/679 ( 3 ) (zwanym dalej „RODO”).

3.

Z tego względu niniejsza sprawa jest niemal klasyczną sprawą z zakresu ochrony danych w tym sensie, że jest ona w przeważającej mierze osadzona w realiach życia poza Internetem i że wiąże się z wertykalną relacją między państwem a osobą fizyczną, co sprawia, że doskonale wpisuje się w serię spraw, które trafiły do Trybunału od momentu wydania przez Trybunał mającego doniosłe znaczenie wyroku Stauder ( 4 ), prawdopodobnie pierwszej sprawy z zakresu ochrony danych w szerokim ujęciu ( 5 ).

4.

Proponuję, by w ramach oceny, w jakim stopniu państwo członkowskie może ingerować w prawa osobiste jednostki, aby zrealizować swój cel, jakim jest wspieranie bezpieczeństwa ruchu drogowego, Trybunał uznał, że środki takie jak uregulowania przyjęte na Łotwie nie były proporcjonalne w stosunku do zamierzonego celu.

5.

Zanim jednak dojdziemy do tego punktu, niniejsza sprawa postawi nas przed koniecznością odnalezienia odpowiedzi na szereg fundamentalnych i zawiłych pytań, prowadząc nas przez RODO z zawrotną prędkością. Proszę zapiąć pasy, aby uchronić się przed kolejnym punktem karnym.

6.

Rozdział I RODO, zatytułowany „Przepisy ogólne”, obejmuje art. 1–4, w których określono przedmiot i cele, materialny i terytorialny zakres stosowania oraz definicje.

7.

Artykuł 1 RODO, zatytułowany „Przedmiot i cele”, ma następujące brzmienie:

„1.   W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

2.   Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.

3.   Nie ogranicza się ani nie zakazuje swobodnego przepływu danych osobowych w Unii z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych”.

8.

Artykuł 2 RODO, zatytułowany „Materialny zakres stosowania”, stanowi:

„1.   Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

2.   Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

[…]”.

9.

Rozdział II RODO, który zawiera art. 5–11, określa zasady rozporządzenia, a mianowicie zasady dotyczące przetwarzania danych osobowych, zgodności przetwarzania z prawem, warunków wyrażenia zgody, w tym wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego, przetwarzania szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa oraz przetwarzania niewymagającego identyfikacji.

10.

Zgodnie z art. 5 RODO, zatytułowanym „Zasady dotyczące przetwarzania danych osobowych”:

„1.   Dane osobowe muszą być:

2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

11.

Artykuł 10 RODO, zatytułowany „Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa”, stanowi:

„Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych”.

12.

Artykuł 1 dyrektywy 2003/98/WE ( 6 ), zatytułowany „Przedmiot i zakres”, ma następujące brzmienie:

„1.   Niniejsza dyrektywa ustanawia minimalny zestaw reguł określających ponowne wykorzystywanie oraz praktyczne środki ułatwiające ponowne wykorzystywanie istniejących dokumentów będących w posiadaniu organów sektora publicznego państw członkowskich.

2.   Niniejsza dyrektywa nie ma zastosowania do:

3.   Niniejsza dyrektywa opiera się na systemach dostępu obowiązujących w państwach członkowskich i pozostaje bez uszczerbku dla tych systemów.

4.   Niniejsza dyrektywa pozostawia nienaruszony i w żaden sposób nie wpływa na poziom ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych zgodnie z przepisami Unii i prawa krajowego, w szczególności nie zmienia zobowiązań i praw określonych w dyrektywie 95/46/WE[ ( 7 )].

5.   Nałożone niniejszą dyrektywą zobowiązania stosuje się tylko wtedy, kiedy są zgodne z przepisami umów międzynarodowych w sprawie ochrony praw własności intelektualnej, w szczególności Konwencji berneńskiej[ ( 8 )] i porozumienia TRIPS”[ ( 9 )].

13.

Artykuł 2 dyrektywy 2003/98, zatytułowany „Definicje”, ma następujące brzmienie:

„Do celów niniejszej dyrektywy stosuje się następujące definicje:

14.

Artykuł 3 dyrektywy 2003/98, zatytułowany „Zasada ogólna”, ma następujące brzmienie:

„1.   Z zastrzeżeniem ust. 2 państwa członkowskie zapewniają możliwość ponownego wykorzystywania dokumentów, do których niniejsza dyrektywa ma zastosowanie zgodnie z art. 1, do celów komercyjnych lub niekomercyjnych zgodnie z warunkami określonymi w rozdziałach III i IV.

2.   W przypadku dokumentów, do których prawa własności intelektualnej posiadają biblioteki, w tym biblioteki uniwersyteckie, muzea i archiwa, państwa członkowskie zapewniają – w sytuacji gdy dozwolone jest ponowne wykorzystywanie takich dokumentów – możliwość ponownego wykorzystywania tych dokumentów do celów komercyjnych lub niekomercyjnych zgodnie z warunkami określonymi w rozdziałach III i IV”.

15.

Artykuł 141 ust. 2 Ceļu satiksmes likums (zwanej dalej „ustawą o ruchu drogowym”) ( 10 ) ma następujące brzmienie:

„Informacje odnoszące się do pojazdu będącego własnością osoby prawnej, […] do uprawnień danej osoby do prowadzenia pojazdów, do grzywien za popełnienie wykroczeń drogowych nakładanych na daną osobę i nieuiszczonych w terminach przez prawo przewidzianych oraz pozostałe informacje wpisane do krajowego rejestru pojazdów i kierowców [zwanego dalej »krajowym rejestrem pojazdów«], jak również do systemu informacji o środkach przewozu i kierowcach, uznawane są za informacje publicznie dostępne”.

16.

B, skarżący w postępowaniu przed sądem odsyłającym, jest osobą fizyczną, na którą nałożono punkty karne za wykroczenia drogowe zgodnie z ustawą o ruchu drogowym i odpowiednim aktem wykonawczym ( 11 ). Ceļu satiksmes drošības direkcija (dyrekcja bezpieczeństwa ruchu drogowego, Łotwa, zwana dalej „CSDD”) jest organem publicznym, który dokonał wpisu tych punktów karnych do krajowego rejestru pojazdów.

17.

Ponieważ informacje dotyczące punktów karnych mogą być ujawniane na żądanie i, według B, zostały przekazane do ponownego wykorzystania kilku przedsiębiorstwom, B wniósł skargę konstytucyjną do sądu odsyłającego, w której zakwestionował zgodność art. 141 ust. 2 ustawy o ruchu drogowym z prawem do prywatności określonym w art. 96 Latvijas Republikas Satversme (łotewskiej konstytucji).

18.

Ponieważ art. 141 ust. 2 ustawy o ruchu drogowym został przyjęty przez Latvijas Republikas Saeima (parlament łotewski, zwany dalej „Saeima”), instytucja ta wzięła udział w postępowaniu. Przesłuchano również CSDD, która przetwarza sporne dane. Co więcej, Datu valsts inspekcija (organ ochrony danych, Łotwa) – który na Łotwie jest organem nadzorczym w rozumieniu art. 51 RODO – oraz kilka innych organów i osób poproszono o wydanie opinii w charakterze amicus curiae przed sądem odsyłającym.

19.

Saeima przyznaje, że zgodnie ze spornym przepisem każda osoba może uzyskać informacje na temat punktów karnych za wykroczenia drogowe innej osoby, kierując wniosek bezpośrednio do CSDD lub korzystając z usług świadczonych przez działające na zasadach komercyjnych podmioty ponownie wykorzystujące dane.

20.

W świetle powyższego Saeima jest zdania, że sporny przepis jest zgodny z prawem, ponieważ jest uzasadniony celem w postaci poprawy bezpieczeństwa ruchu drogowego, który wymaga jawnej identyfikacji sprawców wykroczeń drogowych oraz zniechęcenia kierowców do popełniania wykroczeń.

21.

Ponadto należy przestrzegać prawa dostępu do informacji, przewidzianego w art. 100 łotewskiej konstytucji. W każdym przypadku przetwarzanie informacji dotyczących punktów karnych za wykroczenia drogowe odbywa się pod kontrolą organu publicznego i zgodnie z odpowiednimi zabezpieczeniami praw i wolności osób, których dane dotyczą.

22.

Ponadto Saeima wyjaśnia, że w praktyce informacje zawarte w krajowym rejestrze pojazdów są przekazywane pod warunkiem, że osoba występująca o nie wskaże krajowy numer identyfikacyjny kierowcy, którego dotyczy wniosek. Uzależnienie uzyskania informacji od spełnienia tego warunku wstępnego wynika z tego, że w przeciwieństwie do nazwiska osoby krajowy numer identyfikacyjny jest identyfikatorem o charakterze unikatowym.

23.

CSDD ze swojej strony wyjaśniła sądowi odsyłającemu funkcjonowanie systemu punktów karnych i potwierdziła, że przepisy krajowe nie przewidują ograniczeń w zakresie publicznego dostępu do danych dotyczących punktów karnych i ich ponownego wykorzystywania.

24.

CSDD przekazała również szczegółowe informacje na temat umów zawartych z działającymi na zasadach komercyjnych podmiotami ponownie wykorzystującymi dane. Wskazała ona, że umowy te nie przewidują legalnego przekazywania danych oraz że podmioty ponownie wykorzystujące dane zapewniają, aby informacje przekazywane ich klientom nie wykraczały poza te, które można uzyskać od CSDD. Ponadto jeden z warunków umownych stanowi, że nabywca informacji musi korzystać z nich w sposób określony w obowiązujących przepisach i zgodnie z celami wskazanymi w umowie.

25.

Organ ochrony danych wyraził wątpliwości w przedmiocie zgodności spornego przepisu z art. 96 łotewskiej konstytucji. Nie wykluczył on możliwości, że przetwarzanie spornych danych jest niewłaściwe lub nieproporcjonalne.

26.

Organ ten zauważył również, że chociaż w danych statystycznych dotyczących wypadków drogowych na Łotwie widoczny jest spadek liczby wypadków, brak jest dowodów na to, że system punktów za wykroczenia drogowe i publiczny dostęp do informacji na jego temat przyczyniły się do tej korzystnej zmiany.

27.

Satversmes tiesa (trybunał konstytucyjny) zauważa przede wszystkim, że toczące się przed nim postępowanie nie dotyczy art. 141 ust. 2 ustawy o ruchu drogowym w całości, lecz jedynie w zakresie, w jakim przepis ten przewiduje publiczne udostępnianie informacji na temat punktów karnych wpisanych do krajowego rejestru pojazdów.

28.

Sąd ten stwierdza ponadto, że punkty karne stanowią dane osobowe i z tego względu muszą być przetwarzane zgodnie z prawem do poszanowania życia prywatnego. Podkreśla on, że przy ocenie zakresu stosowania art. 96 łotewskiej konstytucji należy uwzględnić RODO, jak również art. 16 TFUE i art. 8 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”).

29.

W odniesieniu do celów ustawy o ruchu drogowym sąd odsyłający stwierdza, że w celu wywarcia wpływu na zachowanie kierowców pojazdów, a tym samym zminimalizowania zagrożenia dla życia, zdrowia i mienia osób, wykroczenia popełniane przez kierowców, które na Łotwie są klasyfikowane jako wykroczenia administracyjne, wpisuje się do krajowego rejestru wyroków skazujących, a punkty karne za wykroczenia drogowe – do krajowego rejestru pojazdów.

30.

Krajowy rejestr wyroków skazujących jest jedynym rejestrem wyroków skazujących osoby, które dopuściły się naruszeń prawa (o charakterze karnym lub administracyjnym), prowadzonym między innymi w celu ułatwienia kontroli nałożonych sankcji. Krajowy rejestr pojazdów umożliwia natomiast prowadzenie ewidencji wykroczeń drogowych i wdrażanie środków w zależności od liczby popełnionych wykroczeń. System punktów za wykroczenia drogowe służy poprawie bezpieczeństwa ruchu drogowego poprzez umożliwienie odróżnienia kierowców pojazdów, którzy systematycznie i działając w złej wierze lekceważą przepisy ruchu drogowego, od tych, którzy sporadycznie popełniają wykroczenia, oraz poprzez wpływanie na zachowanie użytkowników dróg w sposób odstraszający.

31.

Sąd odsyłający zauważa, że art. 141 ust. 2 ustawy o ruchu drogowym daje każdej osobie prawo do żądania i uzyskania od CSDD zawartych w krajowym rejestrze pojazdów informacji dotyczących punktów karnych za wykroczenia drogowe nałożonych na kierowców. W praktyce informacje o punktach karnych są przekazywane osobie, która o nie wystąpiła, po podaniu przez nią krajowego numeru identyfikacyjnego danego kierowcy.

32.

Satversmes tiesa (trybunał konstytucyjny) wyjaśnia następnie, że punkty karne za wykroczenia drogowe, ze względu na ich zaklasyfikowanie jako informacji publicznie dostępnych, są objęte zakresem ustawy o udostępnianiu informacji, a zatem mogą być ponownie wykorzystane do celów komercyjnych lub niekomercyjnych innych niż pierwotny cel, dla którego informacje zostały stworzone.

33.

W celu dokonania wykładni i zastosowania art. 96 łotewskiej konstytucji zgodnie z prawem Unii sąd odsyłający zmierza, po pierwsze, do ustalenia, czy punkty karne za wykroczenia drogowe, takie jak te przyznawane na podstawie łotewskiego prawa, są objęte zakresem art. 10 RODO. W szczególności sąd odsyłający dąży do wyjaśnienia, czy art. 141 ust. 2 ustawy o ruchu drogowym narusza wymogi zawarte w art. 10 RODO, zgodnie z którymi przetwarzanie danych, o którym mowa w tym przepisie, może odbywać się wyłącznie „pod nadzorem władz publicznych” lub przy zapewnieniu „odpowiedni[ch] zabezpiecze[ń] praw i wolności osób, których dane dotyczą”.

34.

Sąd ten zauważa, że art. 8 ust. 5 dyrektywy 95/46, w którym pozostawiono w gestii każdego państwa członkowskiego ocenę, czy szczególne przepisy dotyczące danych odnoszących się do przestępstw i wyroków skazujących powinny zostać rozszerzone o dane odnoszące się do wykroczeń i sankcji administracyjnych, został wprowadzony w życie na Łotwie na mocy art. 12 Fizisko personu datu aizsardzības likums (ustawy o ochronie danych osobowych osób fizycznych), zgodnie z którym dane osobowe dotyczące wykroczeń administracyjnych, podobnie jak dane dotyczące przestępstw i wyroków skazujących, mogą być przetwarzane jedynie przez osoby wskazane w ustawie i w przypadkach określonych w ustawie.

35.

Na podstawie powyższego można wysnuć wniosek, że od ponad dziesięciu lat na Łotwie podobne wymogi stosowano w odniesieniu do przetwarzania danych osobowych związanych z przestępstwami i wyrokami skazującymi oraz w odniesieniu do wykroczeń administracyjnych.

36.

Sąd odsyłający zauważa również, że zgodnie z motywem 4 RODO zakres stosowania art. 10 tego rozporządzenia należy oceniać z uwzględnieniem funkcji praw podstawowych w społeczeństwie. Sąd ten podnosi w tym względzie, że cel polegający na zapewnieniu, aby wcześniejsze skazanie danej osoby nie miało nadmiernie negatywnego wpływu na jej życie zawodowe i prywatne, mógłby odnosić się zarówno do wyroków skazujących, jak i do wykroczeń administracyjnych.

37.

Po drugie, Satversmes tiesa (trybunał konstytucyjny) dąży do ustalenia zakresu stosowania art. 5 RODO. W szczególności zastanawia się on, czy w świetle motywu 39 tego rozporządzenia łotewski ustawodawca spełnił określony w art. 5 ust. 1 lit. f) RODO obowiązek zapewnienia, aby dane osobowe były przetwarzane w sposób zapewniający „integralność i poufność”. Sąd ten zauważa, że art. 141 ust. 2 ustawy o ruchu drogowym, który poprzez umożliwienie dostępu do informacji o punktach karnych za wykroczenia drogowe pozwala na ustalenie, czy dana osoba została skazana za wykroczenie drogowe, nie został uzupełniony o konkretne środki zapewniające bezpieczeństwo takich danych.

38.

Po trzecie, sąd ten pragnie dowiedzieć się, czy dyrektywa 2003/98 ma znaczenie dla oceny, czy art. 141 ust. 2 ustawy o ruchu drogowym jest zgodny z art. 96 łotewskiej konstytucji. Wskazuje on, że w myśl tej dyrektywy ponowne wykorzystywanie danych osobowych może być dozwolone wyłącznie pod warunkiem poszanowania prawa do prywatności.

39.

Po czwarte, w świetle orzecznictwa Trybunału, zgodnie z którym wykładnia prawa Unii przedstawiona w orzeczeniach wydanych w trybie prejudycjalnym wywołuje skutki erga omnes i ex tunc, sąd odsyłający zastanawia się, czy w przypadku uznania, że art. 141 ust. 2 ustawy o ruchu drogowym jest niezgodny z art. 96 łotewskiej konstytucji, interpretowanym w świetle prawa Unii rozumianego tak, jak wynika to z wykładni dokonywanej przez Trybunał, mógłby on jednak utrzymać w mocy skutki prawne art. 141 ust. 2 do dnia ogłoszenia wyroku stwierdzającego, że przepis ten jest niezgodny z konstytucją, na tej podstawie, że wyrok ten będzie miał wpływ na dużą liczbę stosunków prawnych.

40.

W tym względzie sąd odsyłający wyjaśnia, że zgodnie z prawem łotewskim akt uznany za niekonstytucyjny uważa się za nieważny od dnia publikacji orzeczenia Satversmes tiesa (trybunału konstytucyjnego), chyba że sąd ten postanowi inaczej. Wyjaśnia również swoją praktykę zmierzającą do uzyskania równowagi pomiędzy zasadą pewności prawa a prawami podstawowymi różnych zainteresowanych stron przy ustalaniu dnia, w którym przepis uznany za niekonstytucyjny przestaje obowiązywać.

41.

W tym kontekście postanowieniem z dnia 4 czerwca 2019 r., które wpłynęło do Trybunału w dniu 11 czerwca 2019 r., Satversmes tiesa (trybunał konstytucyjny) zwrócił się do Trybunału z następującymi pytaniami prejudycjalnymi:

42.

Uwagi na piśmie przedstawiły rządy łotewski, niderlandzki, austriacki i portugalski oraz Komisja Europejska.

43.

W związku z rozprzestrzenianiem się wirusa SARS‑CoV‑2 Trybunał postanowił odstąpić od przeprowadzenia w niniejszej sprawie rozprawy, która została przewidziana na dzień 11 maja 2020 r. W ramach środków organizacji postępowania i w drodze wyjątku Trybunał postanowił zastąpić tę rozprawę pytaniami, na które należało udzielić odpowiedzi na piśmie. Rządy łotewski i szwedzki oraz Komisja udzieliły odpowiedzi na pytania zadane przez Trybunał.

44.

Przedstawiony w niniejszej sprawie wniosek o wydanie orzeczenia w trybie prejudycjalnym rodzi szereg zasadniczych pytań dotyczących RODO. Wszystkie one zakładają jednak możliwość zastosowania RODO w rozpatrywanej sprawie ( 12 ). Podnoszę tę kwestię z uwagi fakt, że Unia Europejska nie ustanowiła przepisów w zakresie punktów karnych za wykroczenia drogowe.

45.

Zgodnie z art. 2 ust. 2 lit. a) RODO rozporządzenie to nie ma zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej zakresem prawa Unii. Nie ulega wątpliwości, że chociaż w art. 2 ust. 1 RODO w sposób pozytywny sformułowano kwestie objęte zakresem tego rozporządzenia ( 13 ), to w art. 2 ust. 2 tego aktu prawnego wyłączono z zakresu jego stosowania cztery rodzaje działalności. Artykuł 2 ust. 2 RODO, jako wyjątek od zasady ogólnej, należy interpretować w sposób ścisły ( 14 ).

46.

Prawodawca Unii postanowił posłużyć się rozporządzeniem jako formą instrumentu prawnego w celu zwiększenia stopnia jednolitości prawa Unii dotyczącego ochrony danych, a w szczególności w celu stworzenia równych warunków działania dla podmiotów (gospodarczych) na rynku wewnętrznym, niezależnie od miejsca ich siedziby ( 15 ).

47.

Artykuł 16 TFUE nie tylko zawiera podstawę prawną do przyjęcia przepisów takich jak RODO, ale także stanowi, w ujęciu bardziej ogólnym, jako element części pierwszej tytułu II TFUE ( 16 ), postanowienie horyzontalne o charakterze ustrojowym, które należy uwzględnić przy wykonywaniu wszelkich kompetencji Unii.

48.

Podobnie jak wcześniej obowiązujący akt prawny, czyli dyrektywa 95/46, RODO ma na celu zapewnienie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do prywatności, w odniesieniu do przetwarzania danych osobowych ( 17 ).

49.

Brzmienie art. 2 ust. 2 lit. a) RODO zasadniczo odzwierciedla brzmienie art. 16 ust. 2 TFUE ( 18 ), który stanowi zawartą w prawie pierwotnym podstawę prawną tego rozporządzenia. Zgodnie z art. 16 ust. 2 TFUE prawodawca Unii ma określać zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez państwa członkowskie „w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych” ( 19 ). Postanowienie to ma zatem charakter deklaratywny. Poniższa analiza odnosi się zatem w równej mierze do art. 2 ust. 2 lit. a) RODO i art. 16 ust. 2 TFUE.

50.

Po pierwsze, należy zauważyć, że brzmienie art. 2 ust. 2 lit. a) RODO („działalnoś[ć] nieobjęt[a] zakresem prawa Unii”) różni się od brzmienia art. 51 ust. 1 karty ( 20 ), zgodnie z którym „postanowienia niniejszej Karty mają zastosowanie do […] państw członkowskich wyłącznie w zakresie, w jakim stosują one prawo Unii” ( 21 ).

51.

Gdyby chcieć uznać to za wskazanie, że sformułowanie art. 2 ust. 2 lit. a) RODO sugeruje jego szerszy zakres niż art. 51 ust. 1 karty ( 22 ), to i tak biorąc pod uwagę, że w świetle wykładni Trybunału dotyczącej art. 51 ust. 1 karty ma ona zastosowanie „gdy przepisy krajowe mieszczą się w zakresie zastosowania prawa Unii” ( 23 ), nie powodowałoby to istotnej różnicy między sformułowaniem zamieszczonym we wskazanym przepisie RODO a sformułowaniem użytym we wskazanym postanowieniu karty, tak, jak interpretuje je Trybunał ( 24 ).

52.

Nie sądzę jednak, by należało dopatrywać się analogii do orzecznictwa Trybunału w odniesieniu do zakresu stosowania karty ( 25 ). Byłoby to podejście zbyt restrykcyjne i sprzeczne z celem, do którego zmierzają art. 16 TFUE oraz RODO. Logika karty jest bowiem całkowicie odmienna od logiki RODO: karta ma na celu wprowadzenie do prawa krajowego przepisów dotyczących wykonywania uprawnień przez instytucje Unii i państwa członkowskie, gdy ich działalność wchodzi w zakres prawa Unii i, z drugiej strony, stanowi tarczę ochronną zapewniającą jednostkom możliwość egzekwowania ich praw. Ochrona danych osobowych jest natomiast czymś więcej niż prawem podstawowym. Jak wynika z art. 16 TFUE ( 26 ), ochrona danych sama w sobie stanowi obszar polityki Unii. Cel RODO polega właśnie na tym, że rozporządzenie to ma być stosowane do wszelkich form przetwarzania danych osobowych, bez względu na przedmiot, i to niezależnie od tego, czy owo przetwarzanie jest dokonywane przez państwa członkowskie, czy też przez osoby fizyczne. Dokonanie zawężającej wykładni warunków art. 2 ust. 2 lit. a) RODO całkowicie zniweczyłoby ten cel. Ogólne rozporządzenie o ochronie danych, które miało być jak tygrys do ochrony danych, okazałoby się kociakiem domowym.

53.

Obrazuje to sam fakt istnienia przepisu takiego jak art. 10 RODO, który zostanie szczegółowo zinterpretowany poniżej w ramach analizy pierwszego z pytań prejudycjalnych przedstawionych przez sąd odsyłający. Jeżeli RODO odnosi się do „przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1” RODO ( 27 ), podczas gdy wyroki skazujące i naruszenia prawa są niemal wyłącznie regulowane przepisami prawa krajowego, a nie prawa Unii, to bez uznania art. 10 RODO za nieważny rozporządzenie to nie może pełnić funkcji pomocniczej, która jest właściwa dla karty.

54.

To samo dotyczy istnienia art. 87 RODO, który przewiduje możliwość dalszego określania szczególnych warunków przetwarzania krajowego numeru identyfikacyjnego ( 28 ).

55.

Ponadto należy uwzględnić motyw 16 RODO, który w niewiążącej, aczkolwiek pouczającej części tego rozporządzenia, odzwierciedla przepisy art. 2 RODO. W tym przypadku bezpieczeństwo narodowe wymieniono jako przykład obszaru, który nie jest objęty zakresem prawa Unii. To samo dotyczy równie niewiążącej deklaracji odnoszącej się do art. 16 TFUE ( 29 ), w której stwierdza się, że „w każdym przypadku, w którym na podstawie artykułu 16 [TFUE] mają zostać przyjęte zasady dotyczące ochrony danych osobowych, które mogłyby mieć bezpośredni wpływ na bezpieczeństwo narodowe, powinno to być należycie wzięte pod uwagę” oraz przypomina się, że „w szczególności dyrektywa 95/46 […] zawiera szczególne odstępstwa w tym zakresie” ( 30 ).

56.

Ta wyraźna koncentracja na bezpieczeństwie narodowym jednoznacznie wskazuje na intencję, jaką kierowali się zarówno autorzy TFUE (art. 16 TFUE), jak i prawodawca Unii [art. 2 ust. 2 lit. a) RODO], gdy opracowywali odpowiednie fragmenty.

57.

Prawodawca Unii określił gdzie indziej, nadal w kontekście ochrony danych, że przez bezpieczeństwo narodowe należy w tym kontekście rozumieć „bezpieczeństwo państwa” ( 31 ).

58.

W tym względzie art. 2 ust. 2 lit. a) RODO należy rozpatrywać w świetle art. 4 ust. 2 TUE, który stanowi, że Unia Europejska ma szanować podstawowe funkcje państwa ( 32 ), i w związku z tym wskazuje on, tytułem przykładu, że „bezpieczeństwo narodowe pozostaje w zakresie wyłącznej odpowiedzialności każdego państwa członkowskiego”. Artykuł 2 ust. 2 lit. a) RODO jest zatem niczym więcej, jak tylko powtórzeniem tego ustrojowego wymogu, określającego, co należy zagwarantować, aby umożliwić funkcjonowanie państwa ( 33 ).

59.

W oparciu o dokonaną wyżej analizę nie mam podstaw, aby sądzić, że art. 2 ust. 2 lit. a) RODO wprowadza surowe kryterium, które należy spełnić, aby uruchomić możliwość stosowania RODO, ani że miałoby to być intencją prawodawcy Unii.

60.

Wreszcie pobieżne spojrzenie na trzy pozostałe wyjątki od zakresu materialnego RODO, zawarte w art. 2 ust. 2 lit. b)–d), potwierdza zasadność tej analizy. Ogólne rozporządzenie o ochronie danych nie ma zatem zastosowania do przetwarzania danych osobowych przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres wspólnej polityki zagranicznej i bezpieczeństwa Unii ( 34 ), przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze ( 35 ) oraz przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom ( 36 ).

61.

Wyłączenie wspólnej polityki zagranicznej i bezpieczeństwa, która w przeważającej mierze jest polityką międzyrządową, jest jak najbardziej logiczne ( 37 ). Czynności osób fizycznych o czysto osobistym lub domowym charakterze w każdym wypadku zasadniczo wykraczają poza zakres prawa Unii, ponieważ nie podlegają prawu pierwotnemu ani wtórnemu. To samo dotyczy, co do zasady, zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar. Niemniej jednak uzasadnieniem tego ostatniego wyjątku jest fakt, że Unia przyjęła specjalistyczną dyrektywę ( 38 ), notabene w dniu, w którym przyjęto RODO. Ponadto z art. 23 ust. 1 lit. d) RODO wynika, że przetwarzanie danych osobowych przez osoby fizyczne w tych samych celach jest objęte zakresem stosowania RODO ( 39 ).

62.

Tak więc jeśli dwa ostatnie wyjątki mają mieć jakiekolwiek normatywne znaczenie prawne, nie można uznać, że wykraczają one poza zakres prawa Unii w rozumieniu art. 2 ust. 2 lit. a) RODO.

63.

Na koniec należy zaznaczyć, że nie ma widocznych dowodów na to, że Trybunał co do zasady byłby wprowadzić ścisłe kryterium odnośnie do zakresu stosowania RODO lub dyrektywy 95/46 na podstawie, odpowiednio, art. 2 RODO i art. 3 dyrektywy 95/46 ( 40 ). Przeciwnie, Trybunał zwykle podkreśla, że „możliwość stosowania dyrektywy 95/46 nie może zależeć od tego, czy konkretne sytuacje rozpatrywane w sprawach przed sądami krajowymi przedstawiają wystarczający związek z korzystaniem z zagwarantowanych przez traktat podstawowych swobód” ( 41 ).

64.

Na zakończenie tej wstępnej części analizy należy wskazać, że prawidłowa wykładnia art. 2 ust. 2 lit. a) RODO prowadzi do wniosku, że rozporządzenie to ma zastosowanie do przetwarzania danych osobowych w państwie członkowskim lub przez państwo członkowskie, chyba że przetwarzanie to odbywa się w obszarze, w którym Unia Europejska nie ma kompetencji.

65.

W związku z tym RODO znajduje zastosowanie w niniejszej sprawie i musi zostać uwzględnione przez sąd odsyłający przy badaniu ważności uregulowania krajowego.

66.

Dla kompletności wywodu chciałbym pokrótce odnieść się do przepisu art. 86 RODO w kontekście niniejszej sprawy.

67.

Zgodnie z tym artykułem dane osobowe zawarte w dokumentach urzędowych, które organ lub podmiot publiczny lub podmiot prywatny posiada w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy RODO.

68.

Przepis ten jedynie podkreśla znaczenie publicznego dostępu do dokumentów urzędowych. Ponadto, jak słusznie zauważyła Komisja, przepis ten nie zawiera żadnych dalszych wytycznych dotyczących sposobu pogodzenia publicznego dostępu do dokumentów urzędowych z zasadami ochrony danych ( 42 ). Przepis ten ma raczej charakter deklaratywny, co przybliża go bardziej do motywu niż do przepisu normatywnego tekstu prawnego ( 43 ). W związku z tym uważam, że „norma opisowa” zawarta w art. 86 RODO pozostaje bez jakiegokolwiek wpływu na analizę, którą przedstawię poniżej.

69.

Poprzez pytanie pierwsze sąd odsyłający zmierza do ustalenia, czy art. 10 RODO należy interpretować w ten sposób, że obejmuje on swoim zakresem przewidziane w prawie krajowym sytuacje przetwarzania informacji dotyczących punktów karnych otrzymanych przez kierowców za wykroczenia drogowe.

70.

Zgodnie z tym przepisem przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 RODO ( 44 ) wolno dokonywać wyłącznie pod nadzorem władz publicznych ( 45 ). Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.

71.

Biorąc pod uwagę fakt, że CSDD najwyraźniej jest organem władzy, w znaczeniu „[władz] publicznych”, można kwestionować zasadność pytania pierwszego i powziąć wątpliwość, czy jest ono hipotetyczne w rozumieniu orzecznictwa Trybunału dotyczącego dopuszczalności. Niemniej jednak rozwiałbym te wątpliwości poprzez wskazanie, że niniejsza sprawa odnosi się zarówno do przekazywania informacji dotyczących punktów za wykroczenia drogowe (przez CSDD), jak i do ponownego wykorzystania tych danych przez inne podmioty. W zakresie, w jakim pytanie pierwsze odnosi się do owych innych podmiotów, jest ono, moim zdaniem, dopuszczalne.

72.

Artykuł 4 pkt 1 RODO stanowi, że „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

73.

Nie ma powodu, by wątpić, że informacje dotyczące punktów otrzymanych przez kierowców za wykroczenia drogowe stanowią dane osobowe w rozumieniu art. 4 pkt 1 RODO.

74.

Co się tyczy pojęcia „naruszeń prawa” (ang. „offences”), o którym mowa w art. 10 RODO, należy zauważyć, że jego zakres znaczeniowy nie jest zupełnie jasny we wszystkich wersjach językowych, w tym sensie, że nie wiadomo, czy odnosi się wyłącznie do naruszeń prawa o charakterze karnym („criminal offences”), czy też obejmuje także te o charakterze administracyjnym („administrative offences”). Najbardziej naturalna i intuicyjna interpretacja angielskiej wersji językowej przemawia za umieszczeniem terminu „criminal” niejako przed nawiasem i uznaniem, że odnosi się on zarówno do wyroków skazujących („convictions”), jak i naruszeń prawa („offences”). W tym względzie niektóre wersje językowe ( 46 ) nie pozostawiają żadnej wątpliwości: „naruszenia prawa” w rozumieniu art. 10 RODO należy interpretować jako te o charakterze karnym („criminal offences”). Inne wersje językowe ( 47 ) są niejednoznaczne, w tym sensie, że dopuszczają więcej niż jedną interpretację. Łotewska wersja językowa („saistītiem drošības pasākumiem”), która najprawdopodobniej jest najbliższa sądowi odsyłającemu, także jest niejednoznaczna. W tym przypadku nie tylko brak jest wskazania, czy „naruszenia prawa” („pārkāpumi”) mają mieć charakter karny, lecz otwartą pozostawiono także kwestię tego, czy wyroki skazujące („sodāmība”) mają mieć charakter karny ( 48 ).

75.

Mimo pozornie zróżnicowanego i niejednolitego charakteru poszczególnych wersji językowych już na tym etapie można pokusić się o pewne wnioski.

76.

Wszystkie języki urzędowe Unii Europejskiej stanowią autentyczne języki aktów, w których akty te zredagowano, wobec czego wszystkim wersjom językowym aktu Unii należy co do zasady przypisać tę samą wartość ( 49 ). Wykładnia przepisu prawa Unii wymaga zatem porównania jego różnych wersji językowych ( 50 ). Ponadto różne wersje językowe tekstu prawa Unii należy interpretować w sposób jednolity ( 51 ).

77.

W tych okolicznościach to znaczenie bardziej „precyzyjnych” wersji językowych należy uznać za prawidłowe, w szczególności z tego względu, że owo bardziej precyzyjne znaczenie stanowi także jedną z możliwych interpretacji zgodnie z mniej precyzyjnymi wersjami językowymi, na gruncie których jedną z możliwości jest przyjęcie interpretacji, w myśl której naruszenia prawa („offences”) mają wyłącznie charakter karny („criminal”). Na tym etapie mogę więc wysnuć wniosek tymczasowy, że analiza porównawcza poszczególnych wersji językowych art. 10 RODO pozwala stwierdzić, iż pojęcie „criminal” (karny) odnosi się zarówno do „convictions” (wyroków skazujących), jak i do „offences” (naruszeń prawa) ( 52 ).

78.

Ponadto ta proponowana interpretacja art. 10 RODO utrzymuje rozróżnienie poczynione we wcześniej obowiązującym przepisie, mianowicie w art. 8 ust. 5 dyrektywy 95/46. Zgodnie z tym wcześniejszym przepisem kontrola ze strony władz publicznych była wymagana w odniesieniu do przetwarzania danych dotyczących wyroków skazujących i przestępstw („offences”) ( 53 ), natomiast w przypadku sankcji administracyjnych przewidziano jedynie możliwość poddania przetwarzania danych kontroli ze strony oficjalnego organu ( 54 ). Jeżeli zgodnie z art. 8 ust. 5 dyrektywy 95/46 pojęcie przestępstw („offences”) należałoby rozumieć jako obejmujące swoim zakresem również te o charakterze administracyjnym („administrative offences”), wówczas druga część tego przepisu byłaby zbędna.

79.

Wniosek ten nadal nie pozwala rozstrzygnąć, co należy rozumieć przez pojęcie naruszeń prawa o charakterze karnym („criminal offences”).

80.

Pierwsza kwestia dotyczy tego, czy pojęcie to stanowi autonomiczne pojęcie prawa Unii, czy też jego interpretację pozostawia się państwom członkowskim.

81.

Zgodnie z utrwalonym orzecznictwem Trybunału względy zarówno jednolitego stosowania prawa Unii, jak i zasady równości wskazują na to, że treści przepisu prawa Unii, który nie zawiera wyraźnego odesłania do prawa państw członkowskich dla określenia swego znaczenia i zakresu, należy zwykle nadać w całej Unii autonomiczną i jednolitą wykładnię ( 55 ). Przy dokonywaniu wykładni przepisu prawa Unii należy uwzględniać nie tylko brzmienie i cele tego przepisu, lecz także jego kontekst, a także ogół przepisów prawa Unii. Geneza przepisu prawa Unii również może dostarczyć informacji istotnych dla jego wykładni ( 56 ).

82.

W tej materii nie ulega wątpliwości, że zasadniczo ustawodawstwo karne i normy postępowania karnego należą do kompetencji państw członkowskich ( 57 ). Wobec tego to do państw członkowskich należy określenie, czym jest naruszenie prawa ( 58 ).

83.

Biorąc jednak pod uwagę, że prawodawca Unii wybrał formę prawną rozporządzenia, w przeciwieństwie do dyrektywy, uważam, że normą w całej Unii Europejskiej powinna być jednolita wykładnia pojęć zawartych w tym rozporządzeniu, dzięki której możliwe jest zapewnienie zasięgu ogólnego tego aktu i bezpośredniego stosowania go we wszystkich państwach członkowskich, zgodnie z art. 288 ust. 2 TFUE.

84.

Istnieją również inne przesłanki, w podobnym duchu, wskazujące, że prawodawca Unii nie chciał odwoływać się do prawa krajowego (praw krajowych) w odniesieniu do wykładni pojęcia „offences” (w przywołanej poniżej dyrektywie „czyn zabroniony”). W związku z tym zgodnie z motywem 13 dyrektywy 2016/680 ( 59 ) czyn zabroniony w rozumieniu tej dyrektywy powinien być autonomicznym pojęciem prawa Unii zgodnie z wykładnią Trybunału Sprawiedliwości Unii Europejskiej. Podchodząc do tej kwestii w duchu wnioskowania a maiore ad minus uważam, że takie stwierdzenie odnosi się również do RODO, które, jak stwierdzono powyżej, jako rozporządzenie stanowi akt prawny automatycznie charakteryzujący się wyższym stopniem integracji i centralizacji.

85.

Więcej trudności przysparza druga kwestia, polegająca na ustaleniu, czy rozpatrywane dane osobowe dotyczą wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa w rozumieniu art. 10 RODO.

86.

Trybunał miał wcześniej okazję orzekać w przedmiocie definicji „czynu zabronionego” („criminal offence”) w kontekście zasady ne bis in idem ( 60 ) w świetle art. 50 karty ( 61 ).

87.

W tym względzie Trybunał powołuje orzecznictwo Europejskiego Trybunału Praw Człowieka ( 62 ), zgodnie z którym przy określaniu definicji pojęcia „sprawy karnej” należy uwzględnić trzy kryteria: kwalifikację prawną naruszenia w prawie krajowym, sam charakter naruszenia oraz charakter i stopień rygoryzmu sankcji, która grozi zainteresowanemu ( 63 ).

88.

Punkty karne za wykroczenia drogowe, takie jak te przypisywane na podstawie badanego prawa krajowego, nie kwalifikują się moim zdaniem jako naruszenia prawa o charakterze karnym w świetle tego orzecznictwa, ponieważ nie spełniają tych kryteriów. W szczególności nie odznaczają się one odpowiednim stopniem surowości ( 64 ).

89.

Na koniec chciałbym podkreślić, że z analizy tej wynika, iż nie ma potrzeby analizowania rozgraniczenia między art. 10 RODO a przepisami dyrektywy 2016/680, ponieważ dyrektywa ta nie ma zastosowania w rozpatrywanej sprawie.

90.

Proponuję zatem, aby na pytanie pierwsze udzielić odpowiedzi, że art. 10 RODO należy interpretować w ten sposób, iż nie obejmuje on sytuacji przetwarzania informacji dotyczących punktów karnych otrzymanych przez kierowców za wykroczenia drogowe, przewidzianych w przepisie krajowym, takim jak art. 141 ust. 2 ustawy o ruchu drogowym.

91.

Poprzez pytanie drugie sąd odsyłający zmierza zasadniczo do ustalenia, czy przepisy RODO stoją na przeszkodzie przetwarzaniu i ujawnianiu przez państwo członkowskie informacji dotyczących punktów karnych otrzymanych przez kierowców za wykroczenia drogowe.

92.

Chociaż sąd odsyłający wskazuje, tytułem przykładu, na zasadę integralności i poufności zawartą w art. 5 ust. 1 lit. f) RODO ( 65 ), pytanie to jest sformułowane szeroko, ponieważ odnosi się do przepisów tego rozporządzenia jako całości ( 66 ). Przedstawiona poniżej analiza będzie zatem obejmować także przepisy RODO inne niż ten, który sąd odsyłający wskazał w swoim pytaniu.

93.

Każda operacja przetwarzania danych osobowych musi być zgodna z jednej strony z określonymi w art. 5 RODO zasadami dotyczącymi jakości danych, a z drugiej strony – z jednym z kryteriów legalności przetwarzania danych, wymienionych w art. 6 tego rozporządzenia ( 67 ). Na podstawie brzmienia tych dwóch przepisów można wysnuć wniosek, że pierwszy z nich ma charakter kumulatywny ( 68 ), a drugi alternatywny ( 69 ).

94.

Pytanie drugie odnosi się do zasad dotyczących jakości danych. Sąd odsyłający wydaje się – całkiem słusznie – zakładać, że CSDD przetwarza dane, i nie kwestionuje samego rejestrowania punktów karnych za wykroczenia drogowe, lecz ich udostępnianie informacji o nich na wniosek.

95.

Nie ulega wątpliwości, że CSDD jest „administratorem” w rozumieniu art. 4 pkt 7 RODO, który przetwarza dane osobowe w rozumieniu art. 4 pkt 2 tego rozporządzenia, rejestrując punkty za wykroczenia drogowe w krajowym rejestrze pojazdów.

96.

Wystarczy przypomnieć, że w odniesieniu do publicznego „rejestru spółek” Trybunał orzekł, iż poprzez wpisywanie i przechowywanie informacji w rejestrze, a także ujawnianie ich, w stosownym wypadku, na wniosek osób trzecich, organ odpowiedzialny za prowadzenie tego rejestru „przetwarza dane osobowe”, w odniesieniu do których jest „administratorem” w rozumieniu definicji przedstawionych w dyrektywie 95/46 ( 70 ), które są prekursorami definicji zawartych w art. 4 pkt 2 i 7 RODO ( 71 ).

97.

W tym względzie pojawia się pytanie, czy przestrzegane są zasady integralności i poufności, określone w art. 5 ust. 1 lit. f) RODO, na który to przepis powołuje się sam sąd odsyłający w swoim pytaniu.

98.

Zgodnie z art. 5 ust. 1 lit. f) RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

99.

Z brzmienia tego przepisu wynika jednoznacznie, że dotyczy on bezpieczeństwa oraz środków technicznych i organizacyjnych związanych z przetwarzaniem danych osobowych ( 72 ). Mamy tu do czynienia z ogólnymi wymogami formalnymi dotyczącymi bezpieczeństwa danych ( 73 ).

100.

Sąd odsyłający z kolei zmierza do uzyskania wytycznych o bardziej podstawowym charakterze, odnoszących się do prawnej możliwości takiego przetwarzania. Ujmując rzecz inaczej i w sposób bardziej obrazowy: zmierza on do uzyskania wytycznych odnoszących się do dopuszczalności przetwarzania danych osobowych, natomiast art. 5 ust. 1 lit. f) RODO dotyczy sposobu tego przetwarzania. Artykuł 5 ust. 1 lit. f) RODO nie ma zatem znaczenia dla niniejszej sprawy.

101.

Zgodnie z art. 5 ust. 1 lit. a) RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

102.

Należy zauważyć, że termin „zgodność z prawem” pojawia się zarówno w art. 5 ust. 1 lit. a), jak i w art. 6 RODO. Szukanie szczegółowych wymogów art. 6 w art. 5 tego rozporządzenia nie miałoby większego sensu z punktu widzenia techniki prawodawczej, gdyby art. 5 miał także zawierać kryteria z art. 6 RODO.

103.

Zgodność z prawem w rozumieniu art. 5 ust. 1 lit. a) RODO należy natomiast interpretować w świetle motywu 40 tego rozporządzenia ( 74 ), który wymaga, aby przetwarzanie odbywało się na podstawie zgody lub na innej podstawie przewidzianej prawem ( 75 ).

104.

W tym stanie rzeczy (istnieje podstawa prawna w prawie krajowym) nie widzę powodu, by kwestionować zgodność z prawem przetwarzania w rozpatrywanej sprawie ( 76 ).

105.

Przychylam się do zatem do stanowiska przedstawionego w uwagach rządu austriackiego ( 77 ), według którego zasada ta nie jest istotna dla okoliczności faktycznych rozpatrywanej sprawy.

106.

Artykuł 5 ust. 1 lit. b) RODO określa zasadę „ograniczenia celu” poprzez wskazanie, że dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie być przetwarzane dalej w sposób niezgodny z tymi celami ( 78 ).

107.

Sąd odsyłający wyjaśnia, że rozpatrywany przepis, mianowicie art. 141 ust. 2 ustawy o ruchu drogowym, służy realizacji celu bezpieczeństwa ruchu drogowego poprzez wskazywanie kierowców, którzy naruszają przepisy. W związku z tym ujawnianie informacji dotyczących punktów karnych za wykroczenia drogowe wydaje się konkretnym, wyraźnym i prawnie uzasadnionym celem. Co więcej, przetwarzanie danych osobowych nie wydaje się niezgodne z tym celem.

108.

Zgodnie z art. 5 ust. 1 lit. c) RODO zasada minimalizacji wymaga, by dane osobowe były adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do celów, w których są przetwarzane. Podobnie w motywie 39 RODO wskazano, że dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.

109.

Jestem zdania, że podobnie jak inne zasady przewidziane w art. 5 ust. 1 RODO, niniejsza zasada odzwierciedla zasadę proporcjonalności ( 79 ), wobec czego uważam, że na tym etapie należy zbadać, czy rozpatrywane uregulowanie krajowe jest proporcjonalne do celu, którego realizacji służy.

110.

Z utrwalonego orzecznictwa wynika, że zasada proporcjonalności, która zalicza się do podstawowych zasad prawa Unii, wymaga, by środki wprowadzone aktem Unii były odpowiednie do realizacji zamierzonego celu i nie wykraczały poza to, co jest konieczne do jego osiągnięcia ( 80 ).

111.

Artykuł 141 ust. 2 ustawy o ruchu drogowym musi być zatem odpowiedni i konieczny do realizacji zamierzonego celu, mianowicie poprawy bezpieczeństwa ruchu drogowego.

112.

Pierwszym domniemanym celem spornego uregulowania krajowego jest identyfikacja kierowców pojazdów, którzy systematycznie lekceważą zasady systemu ruchu drogowego. Jest jasne, że identyfikacja sprawców naruszeń przepisów ruchu drogowego nie zależy w żaden sposób od publicznego (ogólnie dostępnego) charakteru punktów karnych nałożonych na sprawcę wykroczenia. Dokładna identyfikacja takich sprawców i prowadzenie rejestru nałożonych na nich punktów karnych za wykroczenia drogowe, tak aby wywrzeć właściwe skutki prawne i zastosować odpowiednie sankcje, leży wyłącznie w gestii władzy publicznej.

113.

Drugim celem przepisu prawa krajowego zezwalającego na ujawnienie przedmiotowych danych osobowych, na który powołuje się Saeima, jest wpływanie na zachowanie użytkowników dróg w celu zniechęcenia ewentualnych sprawców do popełniania kolejnych wykroczeń. W tym przypadku można by przyjąć, że umożliwienie komukolwiek uzyskania informacji o tym, kto łamie przepisy ruchu drogowego, może wywoływać pewien skutek odstraszający: wielu kierowców sprzeciwiłoby się podawaniu do publicznej wiadomości tego rodzaju informacji na ich temat, aby nie być napiętnowanymi jako osoby łamiące prawo.

114.

Cel ten jest również wyraźnie określony w art. 431 ustawy o ruchu drogowym jako cel, do którego dąży się poprzez wprowadzenie systemu punktów karnych za wykroczenia drogowe. Jest całkiem oczywiste, że samo upublicznienie przypisywanych punktów karnych może w pewnym stopniu stanowić dodatkowy czynnik odstraszający. Sporny przepis mógłby zatem być co do zasady zgodny z realizowanym interesem ogólnym, jakim jest wspieranie bezpieczeństwa ruchu drogowego i zapobieganie wypadkom drogowym.

115.

Jeśli jednak rozpatrywane dane osobowe są udostępniane wyłącznie na żądanie i jeśli wnioskodawca podaje osobisty numer identyfikacyjny danej osoby, powstaje pytanie, jak trudno jest uzyskać ten numer. Im trudniej bowiem będzie uzyskać tego rodzaju dane, tym mniej zniechęcający będzie system ich ujawniania, ponieważ publiczna dostępność danych będzie zależała od innych, trudnych do przewidzenia czynników.

116.

Z tego właśnie powodu mam poważne wątpliwości co do tego, czy charakteru rozpatrywanego uregulowania krajowego jest odpowiedni.

117.

Do sądu odsyłającego należy rozstrzygnięcie, w świetle wszystkich okoliczności sprawy, czy art. 141 ust. 2 ustawy o ruchu drogowym jest rzeczywiście odpowiedni dla osiągnięcia prawnie uzasadnionego celu, jakim jest poprawa bezpieczeństwa ruchu drogowego.

118.

Jeśli chodzi o kwestię konieczności, a więc wymóg, by rozpatrywany środek nie wykraczał poza to, co jest konieczne do osiągnięcia zamierzonego celu, sytuacja wydaje się bardziej jednoznaczna.

119.

Również w tym przypadku do sądu odsyłającego należy rozstrzygnięcie, w świetle wszystkich okoliczności sprawy, czy sporny przepis jest rzeczywiście konieczny. Jednakże na podstawie dostępnych informacji nie widzę możliwości, aby przepis ten można było w jakikolwiek sposób uznać za konieczny.

120.

Chociaż cel, jakim jest propagowanie bezpieczeństwa ruchu drogowego, jest ważny, konieczne jest znalezienie właściwej równowagi między różnymi interesami, w związku z czym do ustawodawcy krajowego należy decyzja, czy ujawnienie danych osobowych, o których mowa w niniejszej sprawie, nie wykracza poza to, co jest konieczne do osiągnięcia zamierzonych, prawnie uzasadnionych celów, z uwzględnieniem w szczególności naruszenia praw podstawowych wynikające z takiego ujawnienia.

121.

W postanowieniu odsyłającym nie wskazano, czy Saeima, przed przyjęciem spornego przepisu, rozważył inne środki realizacji celu polegającego na propagowaniu bezpieczeństwa ruchu drogowego, które nie prowadziłyby do tak znaczącej ingerencji w prawo osób fizycznych do ochrony danych. Ponadto ustawodawca musi być w stanie wykazać, że odstępstwa i ograniczenia w zakresie ochrony danych byłyby całkowicie zgodne z nałożonymi ograniczeniami. Przed opublikowaniem zbioru danych (lub przed przyjęciem uregulowania nakazującego jego publikację) należy przeprowadzić dokładną ocenę wpływu na ochronę danych, w tym także ocenę możliwości ponownego wykorzystania i jego potencjalne skutki.

122.

Istnienie i dokładność takich informacji ma zasadnicze znaczenie dla podjęcia decyzji, czy cele w zakresie poprawy bezpieczeństwa ruchu drogowego i zmniejszenia liczby wypadków mogą zostać osiągnięte za pomocą środków, które byłyby mniej szkodliwe dla praw zainteresowanych osób, a tym samym pozwoliłyby uniknąć naruszenia ochrony przyznanej na mocy art. 8 karty lub przynajmniej złagodzić jego skutki.

123.

Naruszenie prywatności spowodowane publikacją danych dotyczących wykroczeń i nałożonych kar ma już samo w sobie szczególnie poważny charakter: powoduje ujawnienie opinii publicznej informacji o wykroczeniach popełnionych przez daną osobę. Ponadto nie można wykluczyć, że takie przetwarzanie danych nieodłącznie związane z publikacją danych, o których mowa w niniejszej sprawie, może prowadzić do stygmatyzacji sprawcy i innych negatywnych konsekwencji. Dlatego też tego rodzaju „czarne listy” muszą podlegać ścisłym regulacjom.

124.

Wreszcie, jak stwierdził organ ochrony danych, prewencyjny charakter spornego przepisu oraz dane statystyczne wskazujące na korzystne tendencje, mianowicie zmniejszenie liczby wypadków drogowych, nie wskazują na to, by zmniejszenie to było powiązane z wprowadzeniem systemu punktów za wykroczenia drogowe jako takim lub też z tym, że informacje dotyczące zarejestrowanych punktów za wykroczenia drogowe są publicznie dostępne.

125.

Moja propozycja dla Trybunału dotycząca odpowiedzi na pytanie drugie jest zatem taka, że art. 5 ust. 1 lit. c) RODO stoi na przeszkodzie uregulowaniu krajowemu takiemu jak art. 141 ust. 2 ustawy o ruchu drogowym, które zezwala na przetwarzanie i przekazywanie informacji dotyczących punktów karnych otrzymanych przez kierowców za wykroczenia drogowe.

126.

Jak przewidziano w art. 1 ust. 1 dyrektywy 2003/98, ustanawia ona minimalny zestaw reguł określających ponowne wykorzystywanie oraz praktyczne środki ułatwiające ponowne wykorzystywanie istniejących dokumentów będących w posiadaniu organów sektora publicznego państw członkowskich.

127.

Do celów niniejszej analizy można założyć, że punkty karne za wykroczenia drogowe na Łotwie są zapisywane w dokumentach, które znajdują się w posiadaniu CSDD, jako organu sektora publicznego w rozumieniu tego przepisu.

128.

Nie jest to jednak objęte zakresem zastosowania dyrektywy 2003/98, ponieważ jej art. 1 ust. 2 lit. c) stanowi, że dyrektywa ta nie ma zastosowania do dokumentów wyłączonych z dostępu lub do których dostęp jest ograniczony na podstawie systemów dostępu z powodu ochrony danych osobowych ( 81 ). Ponadto zgodnie z art. 1 ust. 4 dyrektywy 2003/98 pozostawia ona nienaruszony – i w żaden sposób na niego nie wpływa – poziom ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych zgodnie z przepisami prawa Unii i prawa krajowego, w szczególności nie zmienia zobowiązań i praw określonych w RODO ( 82 ).

129.

Z przepisów tych wynika, że przetwarzanie danych osobowych, o których mowa w niniejszej sprawie, należy oceniać w świetle przepisów Unii dotyczących ochrony danych, czyli RODO, a nie dyrektywy 2003/98 ( 83 ).

130.

Jak słusznie zauważa sąd odsyłający, jeżeli informacje dotyczące punktów karnych otrzymanych przez kierowców za wykroczenia drogowe mogą zostać przekazane każdemu, w tym podmiotom zajmującym się ponownym wykorzystaniem owych informacji, nie jest możliwe określenie celów dalszego przetwarzania danych ani dokonanie oceny, czy dane osobowe są przetwarzane w sposób niezgodny z tymi celami.

131.

W tym kontekście moja analiza odnosząca się do pytania drugiego ma w pełni zastosowanie nie tylko mutatis mutandis, lecz także a fortiori: przedsiębiorstwa prywatne mogą odczuwać pokusę wykorzystywania danych osobowych do celów komercyjnych, to znaczy do celów, które są niezgodne z celem przetwarzania, jakim jest poprawa bezpieczeństwa ruchu drogowego.

132.

Ponadto możliwość dalszego przetwarzania danych osobowych przez osoby trzecie wyraźnie wykracza poza ograniczenie celu ustanowione w art. 5 ust. 1 lit. b) RODO.

133.

Wobec powyższego proponuję, aby na pytanie trzecie odpowiedzieć w ten sposób, że uregulowanie krajowe takie jak art. 141 ust. 2 ustawy o ruchu drogowym, które zezwala na przetwarzanie i przekazywanie, w tym w celu ponownego wykorzystania, informacji dotyczących punktów karnych otrzymanych przez kierowców za wykroczenia drogowe, nie podlega przepisom dyrektywy 2003/98. Wyklucza je ponadto art. 5 ust. 1 lit. c) RODO.

134.

Poprzez pytanie czwarte sąd odsyłający dąży do ustalenia, czy – w przypadku stwierdzenia, że dane uregulowanie krajowe jest niezgodne z prawem Unii – możliwe byłoby zastosowanie spornego przepisu i utrzymanie jego skutków prawnych do czasu uprawomocnienia się ostatecznego orzeczenia wydanego przez Satversmes tiesa (trybunał konstytucyjny).

135.

Sąd odsyłający wnosi zatem o utrzymanie skutków prawnych spornego przepisu do czasu wydania przezeń prawomocnego orzeczenia.

136.

Zgodnie z utrwalonym orzecznictwem wykładnia przepisu prawa Unii dokonana przez Trybunał w ramach kompetencji przyznanej mu w art. 267 TFUE wyjaśnia i precyzuje znaczenie oraz zakres tego przepisu, tak jak powinien lub powinien był on być rozumiany i stosowany od chwili jego wejścia w życie ( 84 ). Z powyższego wynika, że sądy mogą i powinny stosować zinterpretowany w ten sposób przepis również do stosunków prawnych powstałych i ukształtowanych przed wydaniem orzeczenia w sprawie wniosku o dokonanie wykładni, jeżeli spełnione są wszystkie pozostałe przesłanki wszczęcia przed właściwym sądem postępowania w sprawie związanej ze stosowaniem takiego przepisu ( 85 ). W związku z tym jedynie w wyjątkowych wypadkach Trybunał, stosując ogólną zasadę pewności prawa leżącą u podstaw porządku prawnego Unii, może uznać, że należy ograniczyć ze skutkiem dla wszystkich zainteresowanych możliwość powoływania się na zinterpretowany przez niego przepis celem podważenia stosunków prawnych nawiązanych w dobrej wierze ( 86 ).

137.

W każdym wypadku określenie warunków potencjalnego zawieszenia należy wyłącznie do kompetencji Trybunału ( 87 ), i wynika to ze słusznych względów: w przeciwnym przypadku sąd krajowy mógłby odroczyć skutki tego orzeczenia, naruszając tym samym jego charakter erga omnes, którego podstawowym celem jest zapewnienie jednolitego stosowania prawa Unii i pewności prawa we wszystkich państwach członkowskich oraz stworzenie równych warunków działania dla państw członkowskich, obywateli i podmiotów gospodarczych. W związku z tym jest niedopuszczalne, by przepisy prawa krajowego, nawet rangi konstytucyjnej, naruszały jedność i skuteczność prawa Unii ( 88 ).

138.

Aby tego rodzaju ograniczenie mogło zostać wprowadzone, powinny zostać spełnione dwie istotne przesłanki, mianowicie dobra wiara zainteresowanych i ryzyko wystąpienia poważnych trudności ( 89 ).

139.

Należy dodać, że Trybunał stosował to rozwiązanie jedynie wyjątkowo i w ściśle określonych okolicznościach ( 90 ): gdy istniało ryzyko poważnych reperkusji gospodarczych ze względu między innymi na znaczną liczbę stosunków prawnych nawiązanych w dobrej wierze na podstawie przepisów uważanych za skuteczne i obowiązujące i gdy okazywało się, że osoby prywatne oraz organy krajowe dopuściły się zachowań niezgodnych z prawem Unii ze względu na istnienie obiektywnej i istotnej niepewności co do znaczenia przepisów tego prawa, do której to niepewności przyczyniło się ewentualnie również takie samo zachowanie innych państw członkowskich bądź Unii ( 91 ).

140.

W niniejszej sprawie informacje wskazane w postanowieniu odsyłającym nie pozwalają na stwierdzenie, że doszłoby do naruszenia znacznej liczby stosunków prawnych nawiązanych w dobrej wierze na podstawie spornego przepisu, a w konsekwencji że szczególnie trudne byłoby zapewnienie ex tunc zgodności z orzeczeniem Trybunału uznającym ten przepis za niezgodny z prawem Unii.

141.

W związku z tym w niniejszej sprawie nie ma potrzeby ograniczania skutków wyroku Trybunału w czasie.

142.

Dlatego też proponuję, aby na pytanie czwarte odpowiedzieć, że nie jest możliwe stosowanie spornego przepisu i utrzymanie jego skutków prawnych do czasu uprawomocnienia się ostatecznego orzeczenia wydanego przez Satversmes tiesa (trybunał konstytucyjny).

143.

Wobec powyższego proponuję, aby na pytania prejudycjalne skierowane przez Satversmes tiesa (trybunał konstytucyjny, Łotwa) Trybunał odpowiedział w sposób następujący: