HOTĂRÂREA CURȚII (Camera a cincea)
24 februarie 2022 ( *1 )
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 2 – Domeniu de aplicare – Articolul 4 – Noțiunea de «prelucrare» – Articolul 5 – Principii legate de prelucrare – Limitarea scopului – Reducerea la minimum a datelor – Articolul 6 – Legalitatea prelucrării – Prelucrare necesară pentru îndeplinirea unei sarcini care servește unui interes public cu care este învestit operatorul – Prelucrare necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului – Articolul 23 – Restricții – Prelucrarea datelor în scopuri fiscale – Cerere de comunicare de informații privind anunțuri de vânzări de autovehicule publicate pe internet – Proporționalitate”
În cauza C‑175/20,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Administratīvā apgabaltiesa (Curtea Administrativă Regională, Letonia), prin decizia din 11 martie 2020, primită de Curte la 14 aprilie 2020, în procedura
„SS” SIA
împotriva
Valsts ieņēmumu dienests,
CURTEA (Camera a cincea),
compusă din domnul E. Regan, președinte de cameră, domnul K. Lenaerts, președintele Curții, îndeplinind funcția de judecător al Camerei a cincea, domnul C. Lycourgos, președintele Camerei a patra, și domnii I. Jarukaitis și M. Ilešič (raportor), judecători,
avocat general: domnul M. Bobek,
grefier: domnul A. Calot Escobar,
având în vedere procedura scrisă,
luând în considerare observațiile prezentate:
– |
pentru „SS” SIA, de M. Ruķers; |
– |
pentru guvernul leton, inițial de K. Pommere, V. Soņeca și L. Juškeviča, ulterior de K. Pommere, în calitate de agenți; |
– |
pentru guvernul belgian, de J.‑C. Halleux și P. Cottin, în calitate de agenți, asistați de C. Molitor, avocat; |
– |
pentru guvernul elen, de E.‑M. Mamouna și O. Patsopoulou, în calitate de agenți; |
– |
pentru guvernul spaniol, inițial de J. Rodríguez de la Rúa Puig și S. Jiménez García, ulterior de J. Rodríguez de la Rúa Puig, în calitate de agenți; |
– |
pentru Comisia Europeană, inițial de H. Kranenborg, D. Nardi și I. Rubene, ulterior de H. Kranenborg și I. Rubene, în calitate de agenți, |
după ascultarea concluziilor avocatului general în ședința din 2 septembrie 2021,
pronunță prezenta
Hotărâre
1 |
Cererea de decizie preliminară privește interpretarea Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, rectificare în JO 2018, L 127, p. 2), în special a articolului 5 alineatul (1) din acesta. |
2 |
Această cerere a fost formulată în cadrul unui litigiu între „SS” SIA, pe de o parte, și Valsts ieņēmumu dienests (Administrația fiscală, Letonia) (denumită în continuare „Administrația fiscală letonă”), pe de altă parte, în legătură cu o cerere de comunicare a unor informații referitoare la anunțuri de vânzări de autovehicule publicate pe site‑ul internet al SS. |
Cadrul juridic
Dreptul Uniunii
Regulamentul 2016/679
3 |
Regulamentul 2016/679, care se întemeiază pe articolul 16 TFUE, este aplicabil, în temeiul articolului 99 alineatul (2) din acesta, începând cu 25 mai 2018. |
4 |
Considerentele (1), (4), (10), (19), (26), (31), (39), (41) și (50) ale RGPD au următorul conținut:
[…]
[…]
[…]
[…]
[…]
[…]
[…]
[…]
|
5 |
Articolul 2 din Regulamentul 2016/679, intitulat „Domeniul de aplicare material”, prevede: „(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor. (2) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:
[…]” |
6 |
Articolul 4 din acest regulament, intitulat „Definiții”, are următorul conținut: „În sensul prezentului regulament:
[…]
[…]
[…]” |
7 |
Potrivit articolului 5 din regulamentul menționat, intitulat „Principii legate de prelucrarea datelor cu caracter personal”: „(1) Datele cu caracter personal sunt:
(2) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).” |
8 |
Articolul 6 din același regulament, intitulat „Legalitatea prelucrării”, prevede: „(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor. (2) Statele membre pot menține sau introduce dispoziții mai specifice de adaptare a aplicării normelor prezentului regulament în ceea ce privește prelucrarea în vederea respectării alineatului (1) literele (c) și (e) prin definirea unor cerințe specifice mai precise cu privire la prelucrare și a altor măsuri de asigurare a unei prelucrări legale și echitabile, inclusiv pentru alte situații concrete de prelucrare, astfel cum este prevăzut în capitolul IX. (3) Temeiul pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:
Scopul prelucrării este stabilit pe baza respectivului temei juridic sau, în ceea ce privește prelucrarea menționată la alineatul (1) litera (e), este necesar pentru îndeplinirea unei sarcini efectuate în interes public sau în cadrul exercitării unei funcții publice atribuite operatorului. […] Dreptul Uniunii sau dreptul intern urmărește un obiectiv de interes public și este proporțional cu obiectivul legitim urmărit. (4) În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimțământul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o măsură necesară și proporțională într‑o societate democratică pentru a proteja obiectivele menționate la articolul 23 alineatul (1), operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate inițial, ia în considerare, printre altele:
|
9 |
Potrivit articolului 13 alineatul (3) din Regulamentul 2016/679: „În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într‑un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu alineatul (2).” |
10 |
Articolul 14 din acest regulament prevede: „(1) În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, operatorul furnizează persoanei vizate următoarele informații: […]
[…] 5. Alineatele (1)-(4) nu se aplică dacă și în măsura în care: […]
[…]” |
11 |
Potrivit articolului 23 alineatul (1) litera (e) din acest regulament: „Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr‑o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică, pentru a asigura: […]
[…]” |
12 |
Articolul 25 alineatul (2) din Regulamentul 2016/679 prevede: „Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane.” |
Directiva 2016/680
13 |
Considerentele (10) și (11) ale Directivei 2016/680 au următorul conținut:
|
14 |
Articolul 3 din această directivă prevede: „În sensul prezentei directive: […] 7. «autoritate competentă» înseamnă:
[…]” |
Dreptul leton
15 |
În temeiul articolului 15 alineatul 6 din likums „Par nodokļiem un nodevām” (Legea privind impozitele și taxele, Latvijas Vēstnesis, 1995, nr. 26), în versiunea aplicabilă litigiului principal (denumită în continuare „Legea privind impozitele și taxele”), furnizorul de servicii de anunțuri publicate pe internet este obligat să furnizeze, la cererea Administrației fiscale letone, informațiile de care dispune cu privire la contribuabilii care au publicat anunțuri recurgând la serviciile sale. |
Litigiul principal și întrebările preliminare
16 |
SS este un furnizor de servicii de anunțuri publicate pe internet cu sediul în Letonia. |
17 |
La 28 august 2018, Administrația fiscală letonă a adresat SS o cerere de comunicare întemeiată pe articolul 15 alineatul 6 din Legea privind impozitele și taxele prin care invita această societate să restabilească accesul de care dispunea Administrația fiscală la numerele de șasiu ale vehiculelor care făceau obiectul unui anunț publicat pe portalul internet al societății menționate, precum și la numerele de telefon ale vânzătorilor și să îi furnizeze, cel mai târziu la 3 septembrie 2018, informații cu privire la anunțurile publicate în perioada cuprinsă între 14 iulie și 31 august 2018 la rubrica intitulată „Autoturism privat” de pe acest portal. |
18 |
Această cerere preciza că informațiile respective, care cuprindeau linkul către anunț, textul acestuia, marca, modelul, numărul șasiului și prețul vehiculului, precum și numărul de telefon al vânzătorului, trebuiau să fie transmise pe cale electronică, într‑un format care să permită filtrarea sau selectarea datelor. |
19 |
În plus, în ipoteza în care accesul la informațiile care figurau în anunțurile publicate pe portalul internet în cauză nu putea fi restabilit, SS era invitată să indice motivul, precum și să furnizeze, cel mai târziu în a treia zi a fiecărei luni, informațiile relevante referitoare la anunțurile publicate în cursul lunii precedente. |
20 |
Apreciind că cererea de comunicare a Administrației fiscale letone nu era conformă cu principiile proporționalității și reducerii la minimum a datelor cu caracter personal, consacrate de Regulamentul 2016/679, SS a formulat o reclamație împotriva acestei cereri la directorul general în funcție al Administrației fiscale letone. |
21 |
Prin decizia din 30 octombrie 2018, acesta din urmă a respins reclamația menționată arătând în special că, în cadrul prelucrării datelor cu caracter personal în discuție în litigiul principal, Administrația fiscală letonă exercita competențele care îi sunt conferite prin lege. |
22 |
SS a formulat în fața administratīvā rajona tiesa (Tribunalul Administrativ Districtual, Letonia) o acțiune având ca obiect anularea acestei decizii. Pe lângă argumentele pe care le expusese în reclamația sa, ea arăta că decizia menționată nu indica scopul specific al prelucrării datelor cu caracter personal avute în vedere de Administrația fiscală letonă, nici cantitatea datelor necesare în cadrul acesteia, cu încălcarea articolului 5 alineatul (1) din Regulamentul 2016/679. |
23 |
Prin hotărârea din 21 mai 2019, administratīvā rajona tiesa (Tribunalul Administrativ Districtual) a respins această acțiune arătând în esență că Administrația fiscală letonă era îndreptățită să solicite accesul la informații referitoare la orice persoană și în cantitate nelimitată, cu excepția cazului în care aceste informații sunt considerate incompatibile cu scopurile legate de perceperea impozitului. Pe de altă parte, această instanță a considerat că dispozițiile Regulamentului 2016/679 nu erau aplicabile în privința acestei administrații. |
24 |
SS a declarat apel împotriva acestei hotărâri în fața instanței de trimitere, susținând, pe de o parte, că Administrația fiscală letonă era guvernată de dispozițiile Regulamentului 2016/679 și, pe de altă parte, că, prin faptul că solicita lunar și fără limitare în timp o cantitate semnificativă de date cu caracter personal referitoare la un număr nelimitat de anunțuri, fără a identifica contribuabilii în privința cărora ar fi fost inițiat un control fiscal, această administrație a încălcat principiul proporționalității. |
25 |
Instanța de trimitere arată că, în cadrul litigiului principal, nu se contestă că executarea cererii de comunicare în cauză este legată intrinsec de o prelucrare de date cu caracter personal, nici că Administrația fiscală letonă are dreptul de a obține informații care sunt la dispoziția unui furnizor de servicii de publicare de anunțuri pe internet și sunt necesare pentru executarea unor măsuri specifice în materie de percepere a impozitului. |
26 |
Litigiul principal ar avea ca obiect cantitatea și tipul de informații care pot fi solicitate de Administrația fiscală letonă, caracterul limitat sau nelimitat al acestora, precum și problema dacă obligația de comunicare căreia îi este supusă SS trebuie să fie limitată în timp. |
27 |
În special, instanța de trimitere apreciază că îi revine sarcina de a stabili dacă, în împrejurările din cauza principală, prelucrarea datelor cu caracter personal este efectuată în mod transparent față de persoanele vizate, dacă informațiile specificate în cererea de comunicare în discuție sunt solicitate în scopuri determinate, explicite și legitime și dacă prelucrarea datelor cu caracter personal este efectuată doar în măsura în care este într‑adevăr necesară exercitării atribuțiilor Administrației fiscale letone, în sensul articolului 5 alineatul (1) din Regulamentul 2016/679. |
28 |
În acest scop, ar fi necesar să se definească criteriile care permit să se aprecieze dacă o cerere de comunicare care provine de la Administrația fiscală letonă respectă esența libertăților și drepturilor fundamentale și dacă cererea de comunicare în discuție în litigiul principal poate fi considerată necesară și proporțională într‑o societate democratică pentru a garanta obiective importante ale Uniunii și interese publice letone în materie bugetară și fiscală. |
29 |
În aceste condiții, Administratīvā apgabaltiesa (Curtea Administrativă Regională, Letonia) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
|
Cu privire la întrebările preliminare
Cu privire la prima întrebare
30 |
Prin intermediul primei întrebări formulate, instanța de trimitere solicită în esență să se stabilească dacă dispozițiile Regulamentului 2016/679 trebuie interpretate în sensul că colectarea de către Administrația fiscală a unui stat membru de la un operator economic a unor informații care implică o cantitate semnificativă de date cu caracter personal este supusă cerințelor acestui regulament, în special celor enunțate la articolul 5 alineatul (1) din acesta. |
31 |
Pentru a răspunde la această întrebare, este necesar să se verifice, în primul rând, dacă o astfel de cerere intră în domeniul de aplicare material al Regulamentului 2016/679, astfel cum este definit la articolul 2 alineatul (1) din acesta, și, în al doilea rând, dacă nu figurează printre prelucrările de date cu caracter personal pe care articolul 2 alineatul (2) din acest regulament le exclude din domeniul de aplicare menționat. |
32 |
În primul rând, potrivit articolului 2 alineatul (1), Regulamentul 2016/679 se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor. |
33 |
Articolul 4 punctul 1 din Regulamentul 2016/679 precizează că prin „date cu caracter personal” se înțelege orice informație privind o persoană fizică identificată sau identificabilă, adică o persoană fizică ce poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. Considerentul (26) al acestui regulament precizează, în această privință, că, pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. |
34 |
În cadrul litigiului principal, este cert că informațiile a căror comunicare este solicitată de Administrația fiscală letonă constituie date cu caracter personal, în sensul articolului 4 punctul 1 din Regulamentul 2016/679. |
35 |
În temeiul articolului 4 punctul 2 din acest regulament, colectarea, consultarea, divulgarea prin transmitere, precum și orice formă de punere la dispoziție de date cu caracter personal constituie „prelucrări” în sensul regulamentului menționat. Din modul de redactare a acestei dispoziții, în special din expresia „orice operațiune”, reiese că legiuitorul Uniunii a intenționat să confere noțiunii de „prelucrare” un domeniu de aplicare larg. Această interpretare este confirmată de caracterul neexhaustiv, exprimat prin locuțiunea „cum ar fi”, al operațiunilor menționate în dispoziția menționată. |
36 |
În speță, Administrația fiscală letonă impune operatorului economic în cauză să restabilească accesul serviciilor acestei administrații la numerele de șasiu ale vehiculelor care fac obiectul unui anunț publicat pe portalul său internet și să îi furnizeze informații cu privire la anunțurile publicate pe acest portal. |
37 |
O astfel de cerere, prin care Administrația fiscală a unui stat membru solicită din partea unui operator economic comunicarea și punerea la dispoziție de date cu caracter personal pe care acesta din urmă este obligat să le furnizeze și să le pună la dispoziția sa în temeiul reglementării naționale a acestui stat membru, declanșează un proces de „colectare” a acestor date, în sensul articolului 4 punctul 2 din Regulamentul 2016/679. |
38 |
Pe de altă parte, comunicarea și punerea la dispoziția administrației a datelor respective de către operatorul economic în cauză implică o „prelucrare” în sensul acestui articol 4 punctul 2. |
39 |
În al doilea rând, trebuie examinat dacă operațiunea prin care Administrația fiscală a unui stat membru urmărește să colecteze de la un operator economic date cu caracter personal referitoare la anumiți contribuabili poate fi considerată exclusă din domeniul de aplicare al Regulamentului 2016/679 în temeiul articolului 2 alineatul (2) din acesta. |
40 |
În această privință, trebuie amintit de la bun început că dispoziția menționată prevede excepții de la domeniul de aplicare al regulamentului respectiv, astfel cum este definit la articolul 2 alineatul (1), și că aceste excepții trebuie să fie de strictă interpretare (Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctul 84). |
41 |
În special, articolul 2 alineatul (2) litera (d) din Regulamentul 2016/679 prevede că acesta din urmă nu se aplică prelucrării datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale. |
42 |
După cum rezultă din considerentul (19) al regulamentului menționat, această excepție este motivată de împrejurarea că prelucrările în astfel de scopuri și de către autoritățile competente a datelor cu caracter personal sunt reglementate de un act specific al Uniunii, și anume Directiva 2016/680, care a fost adoptată la aceeași dată ca Regulamentul 2016/679 și care definește la articolul 3 punctul 7 ceea ce trebuie să se înțeleagă prin „autoritate competentă”, o asemenea definiție trebuind aplicată prin analogie în privința articolului 2 alineatul (2) litera (d) din acest regulament [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 69]. |
43 |
Rezultă din considerentul (10) al Directivei 2016/680 că noțiunea de „autoritate competentă” trebuie înțeleasă în legătură cu protecția datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești, ținând seama de adaptările care se pot dovedi necesare în această privință, având în vedere natura specifică a acestor domenii. În plus, considerentul (11) al acestei directive precizează că Regulamentul 2016/679 se aplică prelucrării datelor cu caracter personal care ar fi efectuată de o „autoritate competentă” în sensul articolului 3 punctul 7 din directiva menționată, dar în alte scopuri decât cele prevăzute în aceasta [Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 70]. |
44 |
Astfel, atunci când solicită unui operator economic să îi comunice date cu caracter personal referitoare la anumiți contribuabili în scopul perceperii impozitului și al combaterii fraudei fiscale, nu rezultă că Administrația fiscală a unui stat membru poate fi considerată o „autoritate competentă” în sensul articolului 3 punctul 7 din Directiva 2016/680 și nici, prin urmare, că asemenea solicitări de informații pot intra sub incidența excepției prevăzute la articolul 2 alineatul (2) litera (d) din Regulamentul 2016/679. |
45 |
În plus, chiar dacă nu este exclus ca datele cu caracter personal în discuție în litigiul principal să poată fi utilizate în cadrul unei urmăriri penale care ar putea fi efectuată, în cazul unor infracțiuni în domeniul fiscal, împotriva unora dintre persoanele vizate, nu rezultă că aceste date sunt colectate cu obiectivul specific de a efectua astfel de urmăriri penale sau în cadrul activităților statului în domeniul dreptului penal (a se vedea în acest sens Hotărârea din 27 septembrie 2017, Puškár, C‑73/16, EU:C:2017:725, punctul 40). |
46 |
Prin urmare, colectarea de către Administrația fiscală a unui stat membru a unor date cu caracter personal referitoare la anunțurile de vânzări de autovehicule publicate pe site‑ul internet al unui operator economic intră în domeniul de aplicare material al Regulamentului 2016/679 și, prin urmare, aceasta trebuie să respecte, printre altele, principiile legate de prelucrarea datelor cu caracter personal enunțate la articolul 5 din acest regulament. |
47 |
Având în vedere ansamblul considerațiilor care precedă, trebuie să se răspundă la prima întrebare că dispozițiile Regulamentului 2016/679 trebuie interpretate în sensul că colectarea de către Administrația fiscală a unui stat membru de la un operator economic a unor informații care implică o cantitate semnificativă de date cu caracter personal este supusă cerințelor acestui regulament, în special celor enunțate la articolul 5 alineatul (1) din acesta. |
Cu privire la a doua întrebare
48 |
Prin intermediul celei de a doua întrebări formulate, instanța de trimitere solicită în esență să se stabilească dacă dispozițiile Regulamentului 2016/679 trebuie interpretate în sensul că Administrația fiscală a unui stat membru poate deroga de la dispozițiile articolului 5 alineatul (1) din acest regulament în condițiile în care un astfel de drept nu i‑a fost acordat în dreptul național al acestui stat membru. |
49 |
Cu titlu introductiv, trebuie amintit că, astfel cum reiese din considerentul (10) al Regulamentului 2016/679, acesta urmărește în special să asigure un nivel ridicat de protecție a persoanelor fizice în cadrul Uniunii. |
50 |
În acest scop, capitolele II și, respectiv, III din Regulamentul 2016/679 prevăd principiile care reglementează prelucrările datelor cu caracter personal, precum și drepturile persoanei în cauză pe care trebuie să le respecte orice prelucrare de date cu caracter personal. În special, orice prelucrare a datelor cu caracter personal trebuie, mai ales, să fie conformă cu principiile legate de prelucrarea unor asemenea date enunțate la articolul 5 din regulamentul respectiv (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 208). |
51 |
Articolul 23 din Regulamentul 2016/679 autorizează totuși Uniunea și statele membre să adopte „măsuri legislative” care restricționează domeniul de aplicare al obligațiilor și drepturilor prevăzute, printre altele, la articolul 5 din acest regulament, în măsura în care acestea corespund drepturilor și obligațiilor prevăzute la articolele 12-22 din regulamentul menționat, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică pentru a garanta obiective importante de interes public general ale Uniunii sau ale statului membru în cauză cum ar fi, printre altele, un interes economic sau financiar important, inclusiv în domeniile bugetar și fiscal. |
52 |
În această privință, din considerentul (41) al Regulamentului 2016/679 reiese că trimiterea, în acest regulament, la o „măsură legislativă” nu necesită neapărat un act legislativ adoptat de un parlament. |
53 |
În aceste condiții, trebuie amintit că, astfel cum se arată în considerentul (4) al acestuia, Regulamentul 2016/679 respectă toate drepturile fundamentale și libertățile și principiile recunoscute în cartă, astfel cum sunt consacrate în tratate, printre care figurează în special protecția datelor cu caracter personal. |
54 |
Or, conform articolului 52 alineatul (1) prima teză din cartă, orice restrângere a exercitării drepturilor și libertăților recunoscute prin aceasta, printre care figurează în special dreptul la respectarea vieții private, garantat la articolul 7 din cartă, și dreptul la protecția datelor cu caracter personal, consacrat la articolul 8 din aceasta, trebuie să fie prevăzută de lege, ceea ce presupune în special că temeiul juridic care permite ingerința în aceste drepturi trebuie să definească ea însăși întinderea restrângerii exercitării dreptului vizat (a se vedea în acest sens Hotărârea din 6 octombrie 2020, Privacy International, C‑623/17, EU:C:2020:790, punctul 65 și jurisprudența citată). |
55 |
În această privință, Curtea a statuat, în plus, că reglementarea care conține o măsură ce permite o asemenea ingerință trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective și să impună o serie de cerințe minime astfel încât persoanele ale căror date cu caracter personal au fost transferate să dispună de garanții suficiente care să permită protejarea în mod eficient a acestor date împotriva riscurilor de abuz [a se vedea în acest sens Hotărârea din 2 martie 2021, Prokuratuur (Condiții de acces la datele referitoare la comunicațiile electronice), C‑746/18, EU:C:2021:152, punctul 48 și jurisprudența citată]. |
56 |
În consecință, orice măsură adoptată în temeiul articolului 23 din Regulamentul 2016/679 trebuie, astfel cum a subliniat de altfel legiuitorul Uniunii în considerentul (41) al acestui regulament, să fie clară și precisă, iar aplicarea sa să fie previzibilă pentru persoanele vizate de aceasta. În special, aceștia din urmă trebuie să fie în măsură să identifice împrejurările și condițiile în care întinderea drepturilor pe care le conferă regulamentul menționat poate face obiectul unei limitări. |
57 |
Din considerațiile care precedă rezultă că Administrația fiscală a unui stat membru nu poate deroga de la dispozițiile articolului 5 din Regulamentul 2016/679 în lipsa unui temei juridic clar și precis în dreptul Uniunii sau în dreptul național, a cărui aplicare să fie previzibilă pentru justițiabili, care să prevadă împrejurările și condițiile în care întinderea obligațiilor și drepturilor prevăzute la acest articol 5 poate fi limitată. |
58 |
Prin urmare, trebuie să se răspundă la a doua întrebare că dispozițiile Regulamentului 2016/679 trebuie interpretate în sensul că Administrația fiscală a unui stat membru nu poate deroga de la dispozițiile articolului 5 alineatul (1) din acest regulament în cazul în care un asemenea drept nu i‑a fost acordat printr‑o măsură legislativă, în sensul articolului 23 alineatul (1) din acesta. |
Cu privire la întrebările a treia-a noua
59 |
Prin intermediul întrebărilor a treia-a noua, care trebuie examinate împreună, instanța de trimitere solicită în esență să se stabilească dacă dispozițiile Regulamentului 2016/679 trebuie interpretate în sensul că se opun ca Administrația fiscală a unui stat membru să impună unui furnizor de servicii de anunțuri publicate pe internet să îi comunice, pe o perioadă nedeterminată și fără a se preciza scopul acestei cereri de comunicare, informații referitoare la toți contribuabilii care au publicat anunțuri în una dintre rubricile portalului său internet. |
60 |
Cu titlu introductiv, trebuie arătat că, într‑o situație precum cea în discuție în litigiul principal, pot avea loc două prelucrări de date cu caracter personal. Astfel cum reiese din cuprinsul punctelor 37 și 38 din prezenta hotărâre, este vorba despre colectarea de date cu caracter personal pe care o efectuează Administrația fiscală la furnizorul de servicii în cauză și, în acest context, despre comunicarea prin transmitere a acestor date de către furnizor administrației respective. |
61 |
Astfel cum reiese din jurisprudența citată la punctul 50 din prezenta hotărâre, fiecare dintre aceste operațiuni de prelucrare trebuie să respecte, sub rezerva derogărilor admise la articolul 23 din Regulamentul 2016/679, principiile legate de prelucrarea datelor cu caracter personal prevăzute la articolul 5 din acest regulament, precum și drepturile persoanei vizate care figurează la articolele 12-22 din acesta. |
62 |
În speță, instanța de trimitere ridică întrebări legate în special de împrejurarea că, pe de o parte, prelucrările menționate la punctul 60 din prezenta hotărâre privesc informații în cantitate nelimitată care se raportează la o perioadă nedeterminată și, pe de altă parte, că scopul acestor prelucrări nu este precizat în cererea de comunicare. |
63 |
În această privință, trebuie subliniat, în primul rând, că articolul 5 alineatul (1) litera (b) din Regulamentul 2016/679 prevede că datele cu caracter personal trebuie colectate, printre altele, în scopuri determinate, explicite și legitime. |
64 |
Mai întâi, cerința potrivit căreia scopurile prelucrării trebuie să fie determinate implică, astfel cum rezultă din considerentul (39) al acestui regulament, că acestea trebuie identificate cel târziu la momentul colectării datelor cu caracter personal. |
65 |
Apoi, scopurile prelucrării trebuie să fie explicite, ceea ce înseamnă că acestea trebuie să fie enunțate în mod clar. |
66 |
În sfârșit, aceste scopuri trebuie să fie legitime. Prin urmare, este necesar ca ele să asigure o prelucrare legală, în sensul articolului 6 alineatul (1) din regulamentul amintit. |
67 |
Prelucrările menționate la punctul 60 din prezenta hotărâre sunt inițiate prin cererea de comunicare a datelor cu caracter personal pe care Administrația fiscală letonă o adresează furnizorului de servicii de anunțuri publicate pe internet. În această privință, rezultă că, în temeiul articolului 15 alineatul (6) din Legea privind impozitele și taxele, acest furnizor este obligat să dea curs favorabil unei astfel de cereri. |
68 |
Având în vedere considerațiile prezentate la punctele 64 și 65 din prezenta hotărâre, este necesar ca scopurile acestor prelucrări să fie clar enunțate în această cerere. |
69 |
Dacă scopurile astfel enunțate în cererea menționată sunt necesare pentru îndeplinirea unei sarcini care servește unui interes public sau care țin de exercitarea autorității publice cu care este învestită Administrația fiscală, această împrejurare este suficientă, astfel cum rezultă din articolul 6 alineatul (1) primul paragraf initio și litera (e) din Regulamentul 2016/679 coroborat cu articolul 6 alineatul (3) al doilea paragraf din acest regulament, pentru ca respectivele prelucrări să îndeplinească și cerința legalității amintită la punctul 66 din prezenta hotărâre. |
70 |
În această privință, trebuie amintit că perceperea impozitului și combaterea fraudei fiscale trebuie să fie considerate ca fiind sarcini de interes public, în sensul articolului 6 alineatul (1) primul paragraf litera (e) din Regulamentul 2016/679 (a se vedea prin analogie Hotărârea din 27 septembrie 2017, Puškár, C‑73/16, EU:C:2017:725, punctul 108). |
71 |
În consecință, în cazul în care comunicarea datelor cu caracter personal în cauză nu se întemeiază în mod direct pe dispoziția legală care constituie temeiul acesteia, ci rezultă dintr‑o cerere a autorității publice competente, este necesar ca această cerere să precizeze care sunt scopurile specifice ale acestei colectări de date în raport cu sarcina care servește interesului public sau care face parte din exercitarea autorității publice, pentru a permite destinatarului respectivei cereri să se asigure că transmiterea datelor cu caracter personal în cauză este licită, iar instanțelor naționale să efectueze un control al legalității privind prelucrările în cauză. |
72 |
În al doilea rând, conform articolului 5 alineatul (1) litera (c) din Regulamentul 2016/679, datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. |
73 |
În această privință, trebuie amintit că, potrivit unei jurisprudențe constante, derogările și restricțiile de la principiul protecției unor asemenea date trebuie să fie efectuate în limitele strictului necesar [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 110 și jurisprudența citată]. |
74 |
În consecință, operatorul, inclusiv atunci când acționează în cadrul sarcinii care servește unui interes public cu care a fost învestit, nu poate efectua colectarea de date cu caracter personal în mod generalizat și nediferențiat și trebuie să se abțină de la colectarea datelor care nu sunt strict necesare în raport cu scopurile prelucrării. |
75 |
În speță, trebuie arătat că, astfel cum reiese din cuprinsul punctelor 17-19 din prezenta hotărâre, Administrația fiscală letonă a solicitat operatorului economic în cauză să îi furnizeze date referitoare la anunțurile de vânzări de autoturisme private publicate pe site‑ul său internet între 14 iulie și 31 august 2018 și, în ipoteza în care accesul la aceste informații nu putea fi restabilit, să îi furnizeze, cel mai târziu în a treia zi a fiecărei luni, datele referitoare la anunțurile de vânzări de autoturisme private publicate pe site‑ul său internet în cursul lunii precedente, fără a adăuga la această cerere vreo limită temporală. |
76 |
Având în vedere considerațiile expuse la punctul 74 din prezenta hotărâre, revine instanței de trimitere sarcina de a verifica dacă scopul colectării acestor date poate fi atins fără ca Administrația fiscală letonă să dispună în mod potențial de datele referitoare la ansamblul anunțurilor de vânzări de autoturisme private publicate pe site‑ul internet al operatorului menționat și în special dacă se poate considera că această administrație vizează anumite anunțuri prin intermediul unor criterii specifice. |
77 |
În acest context, trebuie subliniat că, în conformitate cu principiul răspunderii enunțat la articolul 5 alineatul (2) din Regulamentul 2016/679, operatorul trebuie să fie în măsură să demonstreze că respectă principiile legate de prelucrarea datelor cu caracter personal enunțate la alineatul (1) al acestui articol. |
78 |
Prin urmare, revine Administrației fiscale letone sarcina de a dovedi că, în conformitate cu articolul 25 alineatul (2) din acest regulament, a încercat să reducă la minimum, în măsura posibilului, cantitatea de date cu caracter personal care trebuiau colectate. |
79 |
În ceea ce privește împrejurarea că cererea de comunicare adresată de Administrația fiscală letonă nu prevede, în ipoteza nerestabilirii de către furnizorul de servicii de anunțuri în cauză a accesului la anunțurile publicate în perioada vizată în cerere, nicio limită temporală, trebuie amintit că, ținând seama de principiul reducerii la minimum a datelor, operatorul este de asemenea obligat să limiteze la strictul necesar, în lumina obiectivului prelucrării avute în vedere, perioada de colectare a datelor cu caracter personal în cauză. |
80 |
Prin urmare, perioada la care se referă colectarea nu poate depăși durata strict necesară pentru atingerea obiectivului de interes general vizat. |
81 |
Astfel cum rezultă din cuprinsul punctului 77 din prezenta hotărâre, sarcina probei în această privință revine Administrației fiscale letone. |
82 |
Cu toate acestea, împrejurarea că datele menționate sunt colectate fără ca Administrația fiscală letonă să fi definit, în însăși cererea de comunicare, o limită temporală pentru o astfel de prelucrare nu permite, ca atare, să se considere că durata prelucrării depășește durata strict necesară pentru atingerea obiectivului urmărit. |
83 |
În acest context, trebuie totuși reamintit faptul că, pentru a respecta cerința proporționalității exprimată la articolul 5 alineatul (1) litera (c) din Regulamentul 2016/679 [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 98 și jurisprudența citată], reglementarea care stă la baza prelucrării trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective și să impună o serie de cerințe minime astfel încât persoanele ale căror date cu caracter personal sunt vizate să dispună de garanții suficiente care să permită protejarea în mod eficient a acestor date împotriva riscurilor de abuz. Această reglementare trebuie să fie obligatorie din punct de vedere juridic în dreptul intern și în special să indice în ce împrejurări și în ce condiții poate fi luată o măsură care prevede prelucrarea unor asemenea date, garantând în acest mod că ingerința este limitată la strictul necesar (Hotărârea din 6 octombrie 2020, Privacy International, C‑623/17, EU:C:2020:790, punctul 68 și jurisprudența citată). |
84 |
Rezultă că reglementarea națională care guvernează o cerere de comunicare precum cea în discuție în litigiul principal trebuie să se întemeieze pe criterii obiective pentru a defini împrejurările și condițiile în care un furnizor de servicii online este obligat să transmită date cu caracter personal utilizatorilor săi (a se vedea în acest sens Hotărârea din 6 octombrie 2020, Privacy International, C‑623/17, EU:C:2020:790, punctul 78 și jurisprudența citată). |
85 |
Având în vedere ansamblul considerațiilor care precedă, trebuie să se răspundă la întrebările a treia-a noua că dispozițiile Regulamentului 2016/679 trebuie interpretate în sensul că nu se opun ca Administrația fiscală a unui stat membru să impună unui furnizor de servicii de anunțuri publicate pe internet să îi comunice informații referitoare la contribuabilii care au publicat anunțuri în una dintre rubricile portalului său de internet, cu condiția printre altele ca aceste date să fie necesare în raport cu scopurile specifice pentru care sunt colectate și ca perioada la care se referă colectarea menționată să nu depășească durata strict necesară pentru atingerea obiectivului de interes general vizat. |
Cu privire la cheltuielile de judecată
86 |
Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări. |
Pentru aceste motive, Curtea (Camera a cincea) declară: |
|
|
|
Semnături |
( *1 ) Limba de procedură: letona.