1.

Un principiu de bază al Regulamentului (UE) 2016/679 ( 2 ), care reprezintă reglementarea generală privind protecția datelor cu caracter personal, și al Directivei (UE) 2016/680 ( 3 ) (lex specialis în această materie în cadrul procedurilor penale) este cel al limitării colectării și a prelucrării datelor respective la scopurile specifice prevăzute de lege.

2.

În prezenta cauză, Curtea trebuie să răspundă la întrebările unei instanțe bulgare cu privire la interpretarea RGPD și a Directivei 2016/680, pentru a stabili dacă există o prelucrare nelegală a datelor cu caracter personal pe care le deține un parchet dintr‑un stat membru atunci când:

3.

Conform articolului 2 („Domeniul de aplicare material”):

„(1)   Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor.

(2)   Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:

[…]

[…]”

4.

Articolul 4 („Definiții”) stabilește:

„În sensul prezentului regulament:

[…]

[…]

[…]”

5.

Articolul 5 („Principii legate de prelucrarea datelor cu caracter personal”) prevede:

„(1)   Datele cu caracter personal sunt:

[…]”

6.

Articolul 6 („Legalitatea prelucrării”) stabilește:

„(1)   Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

[…]

[…]

Litera (f) din primul alineat nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.

[…]

(3)   Temeiul pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:

Scopul prelucrării este stabilit pe baza respectivului temei juridic sau, în ceea ce privește prelucrarea menționată la alineatul (1) litera (e), este necesar pentru îndeplinirea unei sarcini efectuate în interes public sau în cadrul exercitării unei funcții publice atribuite operatorului. Respectivul temei juridic poate conține dispoziții specifice privind adaptarea aplicării normelor prezentului regulament […] Dreptul Uniunii sau dreptul intern urmărește un obiectiv de interes public și este proporțional cu obiectivul legitim urmărit.

(4)   În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimțământul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o măsură necesară și proporțională într‑o societate democratică pentru a proteja obiectivele menționate la articolul 23 alineatul (1), operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate inițial, ia în considerare, printre altele:

7.

În conformitate cu articolul 1 („Obiect și obiective”):

„(1)   Prezenta directivă stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora.

(2)   În conformitate cu prezenta directivă, statele membre:

[…]”

8.

Articolul 2 („Domeniul de aplicare”) prevede:

„(1)   Prezenta directivă se aplică prelucrării datelor cu caracter personal de către autoritățile competente în scopurile prevăzute la articolul 1 alineatul (1).

[…]

(3)   Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:

[…]”

9.

Articolul 3 punctele 1, 2 și 8 preia definițiile de la articolul 4 punctele 1, 2 și 7 din RGPD.

10.

Articolul 4 („Principii referitoare la prelucrarea datelor cu caracter personal”) prevede:

„[…]

(2)   Prelucrarea de către același operator sau de către un altul, în oricare dintre scopurile stabilite la articolul 1 alineatul (1), altele decât cele pentru care datele cu caracter personal au fost colectate, este permisă în măsura în care:

[…]”

11.

Articolul 6 („Distincția între diferitele categorii de persoane vizate”) prevede:

„Statele membre garantează că, după caz și în măsura posibilului, operatorul face distincție clară între datele cu caracter personal ale diferitelor categorii de persoane vizate, precum:

12.

Articolul 8 („Legalitatea prelucrării”) stabilește:

„(1)   Statele membre garantează legalitatea prelucrării numai dacă și în măsura în care aceasta este necesară pentru îndeplinirea unei sarcini de către o autoritate competentă în scopurile stabilite la articolul 1 alineatul (1) și aceasta se întemeiază pe dreptul Uniunii sau pe dreptul intern.

(2)   Dreptul intern care reglementează prelucrarea care intră sub incidența prezentei directive precizează cel puțin obiectivele prelucrării, datele cu caracter personal care urmează să fie prelucrate și scopurile prelucrării.”

13.

Conform articolului 9 („Condiții specifice de prelucrare”):

„(1)   Datele cu caracter personal colectate de autoritățile competente în scopurile stabilite la articolul 1 alineatul (1) nu se prelucrează în alte scopuri decât cele stabilite la articolul 1 alineatul (1), cu excepția cazurilor în care o astfel de prelucrare este autorizată în temeiul dreptului Uniunii sau al dreptului intern. În cazurile în care datele cu caracter personal sunt prelucrate în alte scopuri, prelucrării respective i se aplică [RGPD], cu excepția cazului în care prelucrarea este efectuată în cadrul unei activități care nu intră sub incidența dreptului Uniunii.

(2)   În cazul în care autoritățile competente sunt împuternicite prin dreptul intern să îndeplinească alte atribuții decât cele aferente scopurilor stabilite la articolul 1 alineatul (1), pentru prelucrarea în astfel de scopuri se aplică [RGPD], inclusiv în ce privește prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, cu excepția cazului în care prelucrarea este efectuată în cadrul unei activități care nu intră sub incidența dreptului Uniunii.

[…]”

14.

Articolul 127 stabilește competența exclusivă a Ministerului Public în ceea ce privește conducerea anchetelor, învinuirea autorilor infracțiunilor și punerea în mișcare a acțiunii penale din oficiu.

15.

Articolul 1 prevede:

„(1)   Prezenta lege reglementează relațiile sociale referitoare la protecția drepturilor persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, atunci când acestea nu sunt reglementate de [RGPD].

(2)   Prezenta lege instituie de asemenea norme privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.

[…]”

16.

Articolul 17 stabilește:

„(1)   Inspecția judiciară din cadrul Consiliului Judiciar Suprem asigură controlul și respectarea [RGPD], a prezentei legi și a actelor în domeniul protecției datelor cu caracter personal în ceea ce privește prelucrarea datelor cu caracter personal de către:

1. instanță în exercitarea funcțiilor sale de autoritate a puterii judiciare și

2. Ministerul Public și organele de urmărire penală în exercitarea funcțiilor lor de autorități judiciare, în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor.

[…]”

17.

Articolul 42 prevede:

„(1)   Normele din prezentul capitol sunt aplicabile în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.

(2)   Datele cu caracter personal colectate în scopurile prevăzute la alineatul (1) nu vor fi prelucrate în alte scopuri, cu excepția cazului în care dreptul Uniunii sau legislația Republicii Bulgaria prevede altfel.

(3)   În cazul în care autoritățile competente în temeiul alineatului (1) prelucrează datele cu caracter personal în alte scopuri decât cele menționate la alineatul (1), precum și în situațiile prevăzute la alineatul (2), sunt aplicabile [RGPD] și dispozițiile relevante din prezenta lege care introduc măsuri de punere în aplicare a acestuia.

(4)   «Autoritate competentă» în sensul alineatului (1) înseamnă orice autoritate publică competentă în materie de prevenire, depistare, investigare și urmărire penală a infracțiunilor sau de executare a sancțiunilor penale, inclusiv în materie de protejare împotriva amenințărilor la adresa securității publice și de prevenire a acestora.

(5)   Cu excepția cazului în care o dispoziție legislativă prevede altfel, un operator, în sensul prezentului capitol, de date cu caracter personal în scopurile prevăzute la alineatul (1) înseamnă o autoritate competentă în sensul alineatului (4) sau entitatea administrativă din care face parte autoritatea respectivă care, singură sau împreună cu alte autorități, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.”

18.

Articolul 45 prevede:

„[…]

(2)   Prelucrarea datelor cu caracter personal de către operatorul care le‑a colectat inițial sau de către un alt operator, într‑un alt scop dintre cele menționate la articolul 42 alineatul (1) decât cel pentru care datele au fost colectate inițial, este autorizată cu condiția ca:

1. operatorul să fie abilitat să prelucreze date cu caracter personal în acest alt scop, în conformitate cu dreptul Uniunii sau cu legislația Republicii Bulgaria, și

2. prelucrarea să fie necesară și proporțională cu acest alt scop, în conformitate cu dreptul Uniunii sau cu legislația Republicii Bulgaria.

[…]”

19.

Articolul 47 reproduce articolul 6 din Directiva 2016/680.

20.

La articolul 49 se arată că:

„Prelucrarea datelor cu caracter personal este legală atunci când este necesară pentru exercitarea atribuțiilor autorității competente în scopurile menționate la articolul 42 alineatul (1) și este prevăzută de dreptul Uniunii sau de o dispoziție legislativă care definește scopul prelucrării și categoriile de date cu caracter personal care se prelucrează.”

21.

Sub conducerea Rayonna prokuratura – Petrich (Parchetul de Raion din Petrich, Bulgaria), s‑a desfășurat o anchetă (nr. 252/2013 a poliției din Petrich) ( 6 ) în vederea stabilirii unor fapte care constituiau o infracțiune ( 7 ), care au avut loc la 18 aprilie 2013.

22.

Pe parcursul anchetei respective, datele cu caracter personal ale lui VS au fost colectate inițial în calitatea sa de victimă.

23.

Prin deciziile Ministerului Public din 4 și 5 aprilie 2018, patru persoane (inclusiv VS) au fost acuzate de faptele respective.

24.

La 10 noiembrie 2020, Rayonen sad ‑ Petrich (Tribunalul de Raion din Petrich, Bulgaria) a dispus clasarea procedurii penale, ca urmare a intervenirii prescripției.

25.

În anii 2016 și 2017, ca urmare a unor plângeri formulate împotriva lui VS, Parchetul de Raion din Petrich a inițiat mai multe proceduri ( 8 ), care, în lipsa unor indicii ale unei infracțiuni, nu au condus la inițierea urmăririi penale.

26.

În anul 2018, VS a introdus o acțiune civilă ( 9 ) împotriva Ministerului Public al Republicii Bulgaria în fața Okrazhen sad ‑ Blagoevgrad (Tribunalul Regional din Blagoevgrad, Bulgaria), solicitând despăgubiri pentru prejudiciul cauzat de durata excesivă a procedurii penale nr. 252/2013.

27.

Pentru a se apăra împotriva acestei acțiuni civile, Ministerul Public a solicitat instanței prezentarea dosarelor nr. 517/2016 și nr. 1872/2016 ale Parchetului de Raion din Petrich.

28.

Prin ordonanța din 15 octombrie 2018, Okrazhen sad ‑ Blagoevgrad (Tribunalul Regional din Blagoevgrad, Bulgaria) a obligat Parchetul de Raion din Petrich să furnizeze copiile documentelor conținute în dosarele nr. 517/2016 și nr. 1872/2016.

29.

La 12 martie 2020, VS a depus o plângere la Inspektorata kam Visshia sadeben savet (Inspecția judiciară din cadrul Consiliului Judiciar Suprem, denumită în continuare „IVSS”) cu privire la o pretinsă dublă prelucrare nelegală a datelor sale cu caracter personal de către Ministerul Public, care utilizase în mod abuziv:

30.

La 22 iunie 2020, IVSS a respins cererea dublă a lui VS.

31.

VS a atacat decizia adoptată de IVSS în fața Administrativen sad Blagoevgrad (Tribunalul Administrativ din Blagoevgrad, Bulgaria), care adresează Curții următoarele întrebări preliminare:

32.

Cererea de decizie preliminară a fost înregistrată la grefa Curții la 23 martie 2021.

33.

Au intervenit în procedură și au depus observații scrise VS, IVSS, guvernele bulgar, ceh și neerlandez, precum și Comisia Europeană.

34.

Curtea a considerat că nu este necesară organizarea unei ședințe publice, nefiind solicitată de niciuna dintre părți.

35.

RGPD și Directiva 2016/680 formează un sistem coerent în cadrul căruia:

36.

Protecția oferită de regimul constituit de cele două dispoziții se bazează pe principiile legalității, echității, transparenței și, pentru ceea ce ne interesează aici, pe principiul limitării stricte a colectării și prelucrării datelor la scopurile prevăzute de lege ( 10 ).

37.

În concret, articolul 5 alineatul (1) litera (b) din RGPD prevede că datele sunt „colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într‑un mod incompatibil cu aceste scopuri” ( 11 ). Articolul 4 alineatul (1) litera (b) din Directiva 2016/680, care reprezintă lex specialis, are o formulare identică.

38.

Prin urmare, datele cu caracter personal nu pot fi colectate și prelucrate cu caracter general, ci numai în scopuri determinate ( 12 ) și în condițiile de legalitate stabilite de legiuitorul Uniunii.

39.

Principiul legăturii stricte dintre colectarea și prelucrarea datelor, pe de o parte, și scopurile care trebuie îndeplinite de ambele operațiuni, pe de altă parte, nu are caracter absolut, deoarece atât RGPD, cât și Directiva 2016/680 permit o anumită flexibilitate, astfel cum vom arăta în continuare.

40.

În prezenta cauză, instanța administrativă trebuie să stabilească dacă autoritatea de supraveghere (IVSS) ( 13 ) a acționat în mod legal atunci când a respins plângerea prin care VS acuza Ministerul Public bulgar de prelucrarea nelegală a datelor sale cu caracter personal.

41.

Aceste date au fost colectate, astfel cum am menționat anterior, în două contexte diferite:

42.

Întrebările instanței de trimitere se referă, în mod corelativ, la:

43.

Împărtășim opinia instanței de trimitere, precum și a tuturor părților care au intervenit în această procedură preliminară, potrivit căreia prelucrarea datelor cu caracter personal care face obiectul primei întrebări preliminare este reglementată de Directiva 2016/680.

44.

În conformitate cu articolul 1 alineatul (1) și cu articolul 2 alineatul (1) din Directiva 2016/680, aceasta se aplică prelucrării datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor. În prezenta cauză, datele lui VS au fost colectate și prelucrate tocmai în contextul unei anchete penale.

45.

Cu toate acestea, în ceea ce privește transmiterea datelor cu caracter personal în cadrul procedurii civile îndreptate împotriva Ministerului Public (a doua întrebare preliminară), RGPD va fi aplicabil dacă transmiterea respectivă constituie o prelucrare de date în scopuri care nu sunt prevăzute la articolul 1 alineatul (1) din Directiva 2016/680, dar care se încadrează într‑o activitate care intră în domeniul de aplicare al dreptului Uniunii.

46.

În conformitate cu articolul 4 alineatul (2) din Directiva 2016/680, [p]relucrarea de către același operator sau de către un altul, în oricare dintre scopurile stabilite la articolul 1 alineatul (1) ( 15 ), altele decât cele pentru care datele cu caracter personal au fost colectate, este permisă în măsura în care:

47.

Prin urmare, Directiva 2016/680 autorizează o reafectare ad intra a datelor cu caracter personal colectate în temeiul său. Cele care au fost colectate pentru unul dintre scopurile enumerate la articolul 1 alineatul (1) din aceasta pot fi utilizate de asemenea, în anumite condiții, în alt sau alte scopuri incluse în enumerarea respectivă.

48.

Problema care se ridică în prima întrebare preliminară se referă la aspectul dacă datele cu caracter personal obținute de la VS la momentul la care acesta figura ca presupusă victimă a infracțiunii care face obiectul anchetei pot fi prelucrate ulterior împotriva sa în calitate de persoană învinuită sau de inculpat în cadrul aceleiași proceduri penale.

49.

Cu alte cuvinte, trebuie să se stabilească dacă datele cu caracter personal ale lui VS au fost prelucrate în același scop care a justificat colectarea lor inițială sau, mai degrabă, în două scopuri diferite, însă care intră în domeniul de aplicare al Directivei 2016/680. În acest din urmă caz, prelucrarea ar trebui să fie supusă condițiilor specifice prevăzute la articolul 4 alineatul (2) din directiva respectivă.

50.

Instanța de trimitere a formulat prima sa întrebare într‑un mod oarecum ambiguu în raport cu obiectul litigiului. Aceasta solicită literalmente să se stabilească dacă articolul 1 alineatul (1) din Directiva 2016/680 trebuie interpretat „în sensul că, la indicarea obiectivelor, «prevenirea, depistarea, investigarea sau urmărirea penală a infracțiunilor» sunt enumerate ca aspecte ale unui obiectiv general”.

51.

Având în vedere expunerea instanței de trimitere, ar putea fi oportună reformularea primei sale întrebări, astfel cum au propus părțile și intervenienții în această procedură preliminară. În loc să se concentreze pe relația abstractă scop general/scop particular, ceea ce este cu adevărat important (și ceea ce viza de fapt plângerea lui VS) este dacă, în contextul unei proceduri penale reglementate de Directiva 2016/680, scopul care a condus la colectarea datelor cu caracter personal ale unei persoane în calitatea sa de presupusă victimă a unei infracțiuni persistă atunci când datele respective conduc la acuzarea ulterioară a acesteia în cadrul aceleiași proceduri.

52.

Interpretarea literală a articolului 1 alineatul (1) din Directiva 2016/680 sugerează că, în cuprinsul acesteia, se pot distinge trei tipuri de scopuri, care corespund unor momente și unor activități diferite:

53.

Din punct de vedere sistematic sau contextual, articolul 4 alineatul (2) din Directiva 2016/680 pledează pentru considerarea acestor scopuri ca fiind separabile. În caz contrar, astfel cum a subliniat guvernul neerlandez, această dispoziție ar fi golită de conținut, deoarece se referă chiar la „scopurile stabilite la articolul 1 alineatul (1), altele decât cele pentru care datele cu caracter personal au fost colectate […]”.

54.

Plecând de la această premisă, vom încerca să explicăm de ce, în prezenta cauză, datele în litigiu au fost obținute și prelucrate în unul dintre scopurile (cel de „investigare”) menționate la articolul 1 alineatul (1) din Directiva 2016/680, ceea ce determină aplicarea acestei directive și legalitatea corelativă a prelucrării.

55.

În subsidiar, inclusiv în cazul în care colectarea și prelucrarea ar fi urmat două dintre scopurile enumerate la articolul 4 alineatul (2) din Directiva 2016/680, legalitatea acestora nu ar fi pusă sub semnul îndoielii.

56.

În cadrul procedurilor penale, nu este întotdeauna posibil să se stabilească de la început calitatea procesuală a persoanelor implicate. În multe cazuri, prin intermediul acestor proceduri se urmărește identificarea și, prin urmare, „calificarea” persoanelor care figurează prima facie ca autori, victime sau martori ai faptelor.

57.

În această fază pregătitoare, este logic să existe o anumită fluiditate în ceea ce privește calificarea respectivă. Ancheta va trebui să conducă, în funcție de rezultatele sale, la identificarea exactă a calității atribuite acelor persoane la momentul urmării penale cu privire la fapte.

58.

Această situație se regăsește în special în împrejurări precum cele din prezenta cauză. Potrivit instanței de trimitere, au existat agresiuni încrucișate între mai multe persoane. Una dintre ele, care figura inițial ca victimă, a fost acuzată în cele din urmă în calitate de autoare a agresiunilor respective.

59.

În acest context, activitatea desfășurată în ansamblul său se încadrează în noțiunea de „investigație” prevăzută la articolul 1 alineatul (1) din Directiva 2016/680. Scopul acestei activități era, așadar, unic și corespunde unuia dintre „scopurile” în care se poate efectua prelucrarea datelor cu caracter personal.

60.

Totuși, instanța de trimitere are îndoieli cu privire la aspectul dacă o astfel de interpretare a articolului 1 alineatul (1) din Directiva 2016/680 este conformă cu considerentul (31) al acesteia ( 16 ).

61.

Împărtășim opinia majorității părților, potrivit căreia considerentul respectiv, la fel ca articolul 6 din Directiva 2016/680 care îl preia, nu sunt relevante pentru a stabili dacă a avut loc modificarea scopului la care face referire articolul 4 alineatul (2) din directiva menționată.

62.

În conformitate cu articolul 6 din Directiva 2016/680, distincția clară între datele cu caracter personal ale diferitelor categorii de persoane vizate trebuie să se facă „după caz și în măsura posibilului”. Având în vedere motivele prezentate anterior, nu este ușor, în cadrul unei proceduri inițiale pentru fapte precum cele din prezenta cauză, să se identifice în mod clar și de la început „diferitel[e] categorii de persoane vizate”. În plus, unul și același participant la faptele respective poate fi atât victimă, cât și autor al agresiunilor.

63.

Inclusiv în cazul în care operatorul datelor cu caracter personal colectate în cadrul procedurilor penale ar reuși să facă o distincție clară, la începutul și în cursul urmăririi penale, între victime, suspecți și martori, acest lucru nu ar modifica scopul (investigarea) care stă la baza colectării și a prelucrării datelor respective.

64.

Cu alte cuvinte, atribuirea succesivă a uneia sau a alteia dintre calități (victimă, martor, persoană implicată) persoanelor care apar în cadrul unei anchete penale nu implică în mod necesar o modificare a scopurilor, în sensul articolului 4 alineatul (2) din Directiva 2016/680.

65.

În subsidiar, în cazul în care ar exista circumstanța menționată la articolul 4 alineatul (2) din Directiva 2016/680, prelucrarea datelor cu caracter personal în litigiu ar fi respectat condițiile de legalitate prevăzute de directiva menționată. Acest lucru a fost semnalat de guvernele bulgar și ceh, a căror opinie o împărtășim.

66.

Deși verificarea acestui aspect revine instanței de trimitere, nu pare să existe îndoieli în privința faptului că, în conformitate cu dreptul național, Ministerul Public bulgar ar fi autoritatea responsabilă de prelucrarea datelor cu caracter personal ale lui VS „în oricare dintre scopurile stabilite la articolul 1 alineatul (1), altele decât cele pentru care datele cu caracter personal au fost colectate”. Prin urmare, prima condiție prevăzută la articolul 4 alineatul (2) litera (a) din Directiva 2016/680 este îndeplinită.

67.

În ceea ce privește cea de a doua condiție impusă la articolul 4 alineatul (2) litera (b) (ca „prelucrarea [să fie] necesară și proporțională în raport cu respectivul alt scop”), considerăm că:

68.

Aplicate în prezenta cauză, condițiile prevăzute la articolul 4 alineatul (2) din Directiva 2016/680 au o importanță redusă și se confirmă caracterul unic al scopului inerent colectării datelor cu caracter personal în litigiu: există o continuitate logică între prelucrarea inițială a acestora și cea care a condus ulterior la acuzarea persoanei în cauză.

69.

Nu ar fi necesar, așadar, să se confirme competența unui nou operator (care ar fi întotdeauna același) și nici nu ar exista dificultăți în a dovedi necesitatea celei de a doua prelucrări (efectuate în cadrul aceleiași proceduri) atunci când criteriul proporționalității se aplică în cazul tuturor prelucrărilor, astfel cum rezultă din principiile enumerate la articolul 4 alineatul (1) din Directiva 2016/680.

70.

Articolul 9 alineatul (1) din Directiva 2016/680 prevede posibilitatea unei reafectări ad extra a datelor cu caracter personal colectate în temeiul său.

71.

Pornind, ca regulă, de la faptul că datele respective „nu se prelucrează în alte scopuri decât cele stabilite la articolul 1 alineatul (1)”, articolul 9 alineatul (1) din Directiva 2016/680 prevede cu titlu de excepție că dreptul Uniunii sau al unui stat membru poate autoriza prelucrarea datelor în alte scopuri decât cele stabilite la articolul 1 alineatul (1). În această situație, se va aplica RGPD (cu condiția ca activitatea să intre în domeniul de aplicare al dreptului Uniunii).

72.

Prin intermediul celei de a doua întrebări preliminare, instanța de trimitere solicită să se stabilească:

73.

IVSS susține că, având în vedere că plângerea lui VS a fost respinsă la momentul respectiv ca fiind tardivă, cea de a doua întrebare preliminară ar fi inadmisibilă.

74.

Nu împărtășim această obiecție.

75.

Refuzul Curții de a se pronunța asupra unei întrebări preliminare adresate de o instanță națională este posibil numai atunci când este evident că interpretarea solicitată a dreptului Uniunii nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică ori atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările care i‑au fost adresate ( 17 ).

76.

Obiecția formulată de IVSS se referă la o chestiune care intră în sfera de competență exclusivă a instanței de trimitere. Doar aceasta este în măsură să definească, sub răspunderea sa, cadrul factual și normativ în care se înscrie întrebarea adresată Curții ( 18 ).

77.

Aprecierea atât a caracterului tardiv al plângerii, subliniat de IVSS, cât și a relevanței acestuia în scopul soluționării litigiului constituie elemente de analiză a căror examinare revine exclusiv instanței de trimitere. În prezenta cauză, această instanță a insistat asupra faptului că întrebarea este relevantă pentru soluționarea litigiului principal, în pofida formulării tardive a plângerii invocate de IVSS ( 19 ).

78.

Aprecierea respectivă nu poate fi revizuită de Curte, care trebuie să respecte, în principiu, interpretarea și aplicarea dreptului național, procedural și material, realizate de instanțe atunci când acestea definesc cadrul trimiterii preliminare.

79.

Având în vedere motivele invocate de instanța de trimitere pentru a justifica cea de a doua întrebare preliminară, ceea ce aceasta îi solicită Curții de fapt este să stabilească dacă transmiterea datelor în litigiu reprezintă o „prelucrare de date”, în sensul articolului 4 punctele 1 și 2 din RGPD ( 20 ), și dacă prelucrarea respectivă era legală, în sensul articolului 6 din regulamentul menționat.

80.

Articolul 4 punctele 1 și 2 din RGPD, precum și articolul 3 punctele 1 și 2 din Directiva 2016/680 definesc în mod identic noțiunile de „date cu caracter personal” și de „prelucrare”.

81.

Pe baza acestor definiții, deducem că Ministerul Public a intenționat să utilizeze în apărarea sa în fața instanței civile „informații privind o persoană fizică identificată”, care conțineau „date cu caracter personal” ale lui VS.

82.

Transmiterea acestor date cu caracter personal în cadrul procedurii civile a implicat mai multe „operațiuni” care constituie o „prelucrare a datelor” fără consimțământul persoanei vizate. A fost necesar cel puțin ca Ministerul Public însuși să le consulte pentru a aprecia posibila lor utilitate pentru susținerea poziției sale în cadrul procedurii civile. În plus, se presupune că, în același scop, datele au fost pregătite, structurate, adaptate sau modificate și, desigur, comunicate și diseminate cel puțin minimal atunci când s‑a solicitat includerea lor în procedura civilă ( 21 ).

83.

În definitiv, atunci când le‑a înregistrat, le‑a inclus în arhivele sale, le‑a consultat și a solicitat instanței civile să admită ca probe informațiile conținute în dosarul penal, Ministerul Public a realizat o prelucrare a datelor cu caracter personal ale lui VS.

84.

IVSS și Comisia susțin că Ministerul Public poate fi „operator” doar în calitate de autoritate competentă în scopurile – de natură penală – care intră în domeniul de aplicare al Directivei 2016/680.

85.

În opinia noastră, acest aspect nu implică faptul că a doua întrebare preliminară este lipsită de obiect, astfel cum afirmă IVSS. Mai degrabă, presupune că legalitatea prelucrării, în temeiul articolului 9 alineatul (1) din Directiva 2016/680, va trebui verificată în lumina RGPD.

86.

Instanța competentă să soluționeze litigiul civil va avea calitatea de operator în procedura respectivă atunci când datele respective vor fi depuse în cadrul acesteia. Deciziile instanței respective nu sunt supuse controlului autorității de supraveghere, în conformitate cu articolul 55 alineatul (3) din RGPD, având în vedere că acestea sunt adoptate în exercițiul funcției sale judiciare ( 22 ).

87.

Or, instanța de trimitere își limitează întrebarea la aplicabilitatea RGPD la momentul la care Ministerul Public încearcă să utilizeze informațiile pe care le‑a colectat în calitate de „operator”, în sensul Directivei 2016/680, pentru a se apăra în cadrul procedurii civile.

88.

Având în vedere aspectele anterioare, considerăm că RGPD este aplicabil, deoarece printre scopurile menționate la articolul 1 alineatul (1) din Directiva 2016/680 nu se include apărarea Ministerului Public în cadrul unei proceduri civile.

89.

Condițiile de legalitate a unei prelucrări de date cu caracter personal sunt enumerate la articolul 6 alineatul (1) din RGPD: „[p]relucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții”, pe care le descrie în continuare. Enumerarea este exhaustivă ( 23 ).

90.

În opinia noastră, dintre aceste condiții, nu se aplică cea bazată pe consimțământul persoanei vizate [litera (a)], nici pe executarea unui contract [litera (b)], nici pe îndeplinirea unei obligații legale [litera (c)] ( 24 ) și nici pe protecția intereselor vitale ale persoanei vizate sau ale unui terț [litera (d)].

91.

Potrivit instanței de trimitere, condiția prevăzută la articolul 6 alineatul (1) litera (f) din RGPD ar fi îndeplinită. Totuși, astfel cum a susținut Comisia, ultimul paragraf al alineatului respectiv exclude aplicarea acestei condiții în prezenta cauză, deoarece ea „nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor” ( 25 ).

92.

Ca răspuns la o întrebare a Curții, guvernul bulgar, susținut în această privință de guvernele ceh și neerlandez, a insistat asupra aplicabilității condiției prevăzute la articolul 6 alineatul (1) litera (f) din RGPD. Acesta invocă necesitatea de a lua în considerare „natura activității desfășurate de către Ministerul Public”, care, deși este o entitate publică, poate participa la procedurile civile ca „parte egală” ( 26 ).

93.

Totuși, „interesele legitime” pe care le‑ar apăra Ministerul Public, în calitate de autoritate publică, în cadrul unei proceduri în care se solicită angajarea răspunderii acestuia pentru comportamentul său procesual sunt excluse din situația prevăzută la articolul 6 alineatul (1) litera (f) din RGPD, astfel cum prevede în mod explicit ultimul paragraf al alineatului respectiv.

94.

Pentru autoritățile care acționează în îndeplinirea sarcinilor care le sunt încredințate prin lege (în speță, exercitarea acțiunii penale și reprezentarea statului împotriva acțiunilor în angajarea răspunderii patrimoniale), interesul relevant, în sensul articolului 6 alineatul (1) din RGPD, este interesul public pe care îl servesc, în conformitate cu litera (e) a dispoziției respective.

95.

Condiția prevăzută la litera (f) se referă la realizarea intereselor legitime urmărite de operator sau de un terț, cu condiția ca asupra intereselor respective să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate care necesită protecția datelor cu caracter personal.

96.

Prin urmare, această clauză se referă nu atât la posibilitățile de apărare ale autorității publice – care pot fi identificate prin intermediul literei (e) –, cât la posibila prevalență a intereselor, drepturilor și libertăților persoanei vizate față de operator sau față de un terț. Clauza respectivă se aplică mai degrabă conflictelor dintre părți (particulari) ale căror interese nu sunt de natură publică.

97.

Având în vedere că Ministerul Public acționează, prin definiție, în calitatea sa de instituție de stat, este necesar să se analizeze dacă prelucrarea în litigiu intră sub incidența articolului 6 alineatul (1) litera (e) din RGPD.

98.

Acest lucru ar fi valabil în cazul în care prelucrarea respectivă ar fi „necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit” operatorul.

99.

Ne vom concentra asupra primului dintre aceste două scopuri, fără a‑l aborda pe cel de al doilea ( 27 ), pentru a determina dacă intervenția Ministerului Public în procedura civilă în care i se solicită plata unei despăgubiri pentru comportamentul său corespunde îndeplinirii unei misiuni de interes public.

100.

În conformitate cu dreptul național ( 28 ), Ministerul Public este responsabil de reprezentarea statului în cadrul procedurilor privind răspunderea extracontractuală pentru prejudiciile cauzate de tergiversarea lor. În aceeași măsură, Ministerul Public intervine în apărarea intereselor generale (financiare) ale statului și, prin urmare, în exercitarea unei misiuni de interes public ( 29 ).

101.

Articolul 9 alineatul (1) din Directiva 2016/680 condiționează reafectarea ad extra a datelor colectate în dosare de autorizarea prelucrării acestora în temeiul dreptului Uniunii sau al dreptului intern. Pentru ceea ce ne interesează în speță, revine instanței de trimitere sarcina de a verifica existența autorizării respective, având în vedere îndeplinirea misiunii de interes public încredințate Ministerului Public pentru protecția patrimoniului statului.

102.

În conformitate cu articolul 6 alineatul (3) din RGPD, temeiul juridic al prelucrării menționate la alineatul (1) litera (e) „poate conține dispoziții specifice privind adaptarea aplicării normelor” din RGPD ( 30 ). În cazul în care acest temei juridic este prevăzut de dreptul statului membru care se aplică operatorului, revine instanței naționale sarcina de a îl identifica ( 31 ).

103.

În sfârșit, chiar dacă instanța de trimitere nu identifică temeiul juridic relevant, compatibilitatea prelucrării contestate cu scopul pentru care au fost colectate datele în litigiu trebuie determinată în conformitate cu articolul 6 alineatul (4) din RGPD. În acest sens, trebuie să se țină seama, printre altele, de orice legătură dintre scopurile inițiale și noul scop, de contextul în care au fost colectate datele cu caracter personal și de natura lor, de posibilele consecințe ale noii prelucrări pentru persoana vizată și de existența unor garanții adecvate.

104.

În temeiul considerațiilor anterioare, propunem Curții să răspundă Administrativen sad – Blagoevgrad (Tribunalul Administrativ din Blagoevgrad, Bulgaria) după cum urmează: