MACIEJ SZPUNAR
prednesené 17. decembra 2020 ( 1 )
Vec C‑439/19
B
za účasti:
Latvijas Republikas Saeima
[návrh na začatie prejudiciálneho konania, ktorý podal Satversmes tiesa (Ústavný súd, Lotyšsko)]
„Návrh na začatie prejudiciálneho konania – Nariadenie (EÚ) 2016/679 – Spracovávanie osobných údajov – Informácie o pokutových bodoch za dopravné priestupky – Koncept spracúvania osobných údajov týkajúcich uznania viny za trestné činy a priestupky – Vnútroštátne pravidlá o sprístupnení takýchto informácií a umožnení ich opakovaného použitia“
I. Úvod
1. |
George Orwell v roku 1946 v komentári ku kampani s názvom Zabráňme smrti na cestách, ktorá v tom čase v niekdajšom členskom štáte Európskej únie prebiehala, uviedol: „Ak by ste skutočne chceli zabrániť smrti na cestách, museli by ste úplne nanovo naplánovať celý systém ciest tak, aby nemohlo dochádzať k zrážkam. Ak si uvedomíte, čo to znamená (napríklad by sa musel zbúrať a znova postaviť celý Londýn), zistíte, že v tejto chvíli to nijaký národ nedokáže. V takom prípade je možné prijať len zmierňujúce opatrenia, ktorých podstata bude spočívať vo väčšej opatrnosti ľudí“ ( 2 ). |
2. |
Podstatou veci prejednávanej Satversmes tiesa (Ústavný súd, Lotyšsko), ktorý sa obrátil na Súdny dvor s týmto návrhom na začatie prejudiciálneho konania, sú práve „zmierňujúce opatrenia“ uvedené vyššie: vodiči, ktorí sa dopustia dopravných priestupkov, dostávajú pokutové body s cieľom zvyšovať bezpečnosť na cestách prostredníctvom lepšej informovanosti a opatrnosti vodičov. Táto informácia je následne sprístupnená a poskytuje sa na účely jej opakovaného použitia. Vnútroštátny súd rozhoduje o ústavnej sťažnosti a chce posúdiť súlad dotknutého vnútroštátneho práva a nariadenia (EÚ) 2016/679 ( 3 ) (ďalej len „nariadenie GDPR“). |
3. |
Za týchto okolností je prejednávaná vec takmer klasickým príkladom veci o ochrane údajov, pretože ide o situáciu najmä v off‑line prostredí, ktorá sa týka vertikálneho vzťahu medzi štátom a jednotlivcom, a tak sa plynule zaraďuje medzi veci, o ktorých Súdny dvor rozhoduje od zásadného rozsudku vo veci Stauder ( 4 ), teda pravdepodobne prvého rozsudku o ochrane údajov v širšom zmysle ( 5 ). |
4. |
Pri skúmaní, ako ďaleko môže členský štát zasiahnuť do osobných práv jednotlivca pri sledovaní svojho cieľa zvýšenia bezpečnosti na cestách, navrhnem Súdnemu dvoru riešenie v tom zmysle, že opatrenia, aké vyplývajú z dotknutej lotyšskej právnej úpravy, nie sú primerané cieľu, ktorý sa pokúšajú dosiahnuť. |
5. |
Ešte predtým sa však zameriam na širokú škálu zásadných a komplexných otázok, ktoré nás nebezpečne vysokou rýchlosťou prevedú nariadením GDPR. Zapnite si bezpečnostné pásy. Možno sa tak vyhnete prípadným pokutovým bodom. |
II. Právny rámec
A. Právo Únie
1. Nariadenie GDPR
6. |
Kapitola I nariadenia GDPR, nazvaná „Všeobecné ustanovenia“, obsahuje články 1 až 4, v ktorých sa vymedzujú predmet úpravy a ciele, vecná a územná pôsobnosť, a tiež pojmy. |
7. |
Článok 1 nariadenia GDPR má názov „Predmet úpravy a ciele“ a stanovuje: „1. Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov. 2. Týmto nariadením sa chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov. 3. Voľný pohyb osobných údajov v rámci Únie sa nesmie obmedziť ani zakázať z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov.“ |
8. |
Článok 2 nariadenia GDPR, nazvaný „Vecná pôsobnosť“, uvádza: „1. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému. 2. Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov:
…“ |
9. |
Kapitola II nariadenia GDPR obsahuje články 5 až 11 a vymedzuje zásady nariadenia: zásady spracúvania osobných údajov, zákonnosť spracúvania, podmienky vyjadrenia súhlasu vrátane súhlasu dieťaťa v súvislosti so službami informačnej spoločnosti, spracúvanie osobitných kategórií osobných údajov a osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky a tiež spracúvanie bez potreby identifikácie. |
10. |
Podľa článku 5 nariadenia GDPR, nazvaného „Zásady spracúvania osobných údajov“: „1. Osobné údaje musia byť:
2. Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“ |
11. |
Článok 10 nariadenia GDPR má názov „Spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky“ a uvádza: „Spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky alebo súvisiacich bezpečnostných opatrení založených na článku 6 ods. 1 sa vykonáva len pod kontrolou orgánu verejnej moci, alebo ak je spracúvanie povolené právom Únie alebo právom členského štátu poskytujúcim primerané záruky ochrany práv a slobôd dotknutých osôb. Každý komplexný register uznania viny za trestné činy sa vedie iba pod kontrolou orgánu verejnej moci.“ |
2. Smernica 2003/98/ES
12. |
Článok 1 smernice 2003/98/ES ( 6 ), nazvaný „Predmet a rozsah platnosti“, znie: „1. Táto smernica stanovuje minimálny súbor pravidiel a praktické prostriedky, ktorými sa riadi a uľahčuje ďalšie použitie existujúcich dokumentov v držbe subjektami verejného sektora členských štátov. 2. Táto smernica sa neuplatňuje na:
3. Táto smernica vychádza z prístupových režimov členských štátov, ktoré ňou nie sú dotknuté. 4. Táto smernica sa nedotýka a žiadnym spôsobom neovplyvňuje úroveň ochrany jednotlivcov z hľadiska spracovávania osobných údajov podľa ustanovení právnych predpisov Únie a členských štátov a nemení najmä povinnosti a práva stanovené v smernici 95/46/ES.[ ( 7 )] 5. Povinnosti uložené touto smernicou platia len do tej miery, do akej sú kompatibilné s ustanoveniami medzinárodných dohôd o ochrane práv duševného vlastníctva, najmä Bernského dohovoru[ ( 8 )] a dohody TRIPS[ ( 9 )].“ |
13. |
Článok 2 smernice 2003/98, ktorý má názov „Definície“, stanovuje: „Na účely tejto smernice sa uplatňujú tieto definície:
|
14. |
Článok 3 smernice 2003/98, nazvaný „Všeobecná zásada“, znie: „1. Členské štáty podľa odseku 2 zabezpečujú možnosť opakovaného použitia dokumentov, na ktoré sa vzťahuje táto smernica v súlade s článkom 1 na obchodné a neobchodné účely v súlade s podmienkami ustanovenými v kapitolách III a IV. 2. Pri dokumentoch, na ktoré sa vzťahujú práva duševného vlastníctva, ktoré prináležia knižniciam, vrátane univerzitných knižníc, múzeám a archívom, členské štáty zabezpečia, aby v prípadoch, keď je opakované použitie takýchto dokumentov povolené, boli tieto dokumenty opakovane použiteľné na obchodné alebo neobchodné účely v súlade s podmienkami ustanovenými v kapitole III a IV.“ |
B. Lotyšské právo
15. |
§ 141 ods. 2 Ceļu satiksmes likums (ďalej len „zákon o cestnej premávke“) ( 10 ) stanovuje: „Informácie týkajúce sa vozidla, ktorého vlastníkom je právnická osoba,… práva určitej osoby viesť vozidlá, pokút za spáchanie dopravných priestupkov uložených určitej osobe, ktoré neboli uhradené v lehotách stanovených zákonom, a ďalšie informácie zapísané v štátnom registri motorových vozidiel a vodičov [ďalej len ‚štátny register motorových vozidiel‘], ako aj v systéme informácií o ťažných zariadeniach a vodičoch, sa považujú za verejne dostupné informácie.“ |
III. Skutkové okolnosti, konanie a prejudiciálne otázky
16. |
B je sťažovateľ v konaní na vnútroštátnom súde, pričom ide o fyzickú osobu, ktorej boli v zmysle zákona o cestnej premávke a súvisiaceho nariadenia ( 11 ) uložené pokutové body. Ceļu satiksmes drošības direkcija (Riaditeľstvo pre bezpečnosť cestnej premávky, Lotyšsko, ďalej len „CSDD“) je verejný orgán, ktorý uvedené pokutové body zaznamenal do štátneho registra motorových vozidiel. |
17. |
Informácie o pokutových bodoch možno na základe žiadosti sprístupniť a podľa B boli tieto informácie poskytnuté na účely opakovaného použitia viacerým spoločnostiam, a preto podal ústavnú sťažnosť na vnútroštátny súd, ktorou spochybnil súlad § 141 ods. 2 zákona o cestnej premávke a práva na súkromie zakotveného v článku 96 Latvijas Republikas Satversme (Ústava Lotyšskej republiky). |
18. |
Keďže § 141 ods. 2 zákona o cestnej premávke prijal Latvijas Republikas Saeima (Parlament Lotyšskej republiky, ďalej len „Saeima“), táto inštitúcia sa zúčastnila na konaní. Vypočuté bolo aj CSDD, ktoré dotknuté údaje spracovalo. Datu valsts inspekcija (Úrad na ochranu údajov, Lotyšsko), ktorý je v Lotyšsku v zmysle článku 51 nariadenia GDPR dozorným orgánom, rovnako ako ďalšie osoby a orgány boli tiež vyzvané, aby na vnútroštátnom súde predniesli svoje stanovisko ako amici curiae. |
19. |
Saeima pripúšťa, že podľa dotknutého ustanovenia môže ktorákoľvek osoba získať informácie o pokutových bodoch inej osoby, a to buď prostredníctvom priameho oslovenia CSDD, alebo prostredníctvom služieb poskytovaných komerčnými subjektmi činnými v oblasti opakovaného použitia. |
20. |
Saeima pritom zastáva názor, že dotknuté ustanovenie je zákonné, pretože je odôvodnené cieľom zvýšenia bezpečnosti na cestách, ktorý si vyžaduje jednak otvorenú identifikáciu vodičov, ktorí sa dopustili dopravného priestupku, a jednak odradenie vodičov od toho, aby sa takýchto priestupkov dopúšťali. |
21. |
Okrem toho sa musí rešpektovať právo na prístup k informáciám zakotvené v článku 100 Ústavy Lotyšska. Spracúvanie informácií týkajúcich sa pokutových bodov sa uskutočňuje pod kontrolou verejného orgánu a v súlade s príslušnými zárukami týkajúcimi sa práv a slobôd dotknutých osôb. |
22. |
Saeima ďalej uvádza, že v praxi je sprístupnenie informácie nachádzajúcej sa v štátnom registri motorových vozidiel podmienené tým, že osoba, ktorá údaj požaduje, predloží národné identifikačné číslo vodiča, o ktorom chce získať informáciu. Vysvetlenie tejto podmienky získania informácií spočíva v tom, že na rozdiel od mena osoby je uvedené číslo jedinečným identifikátorom. |
23. |
CSDD vysvetlilo vnútroštátnemu súdu fungovanie pokutových bodov a potvrdilo, že vnútroštátna právna úprava nijako neobmedzuje verejný prístup k údajom o pokutových bodoch ani ich opakované použitie. |
24. |
CSDD tiež poskytlo podrobnosti o zmluvách uzavretých s komerčnými subjektmi činnými v oblasti opakovaného použitia. Poukázalo na to, že tieto zmluvy neupravujú právny prevod údajov a že uvedené subjekty zabezpečujú, aby rozsah informácií, ktoré odovzdajú svojim zákazníkom, nebol väčší ako rozsah, ktorý možno získať od CSDD. Okrem toho jedna zo zmluvných podmienok spresňuje, že nadobúdateľ musí informáciu využiť spôsobom stanoveným v platnej právnej úprave a v súlade s cieľmi uvedenými v zmluve. |
25. |
Úrad na ochranu údajov vyjadril pochybnosť o súlade dotknutého ustanovenia a článku 96 Ústavy Lotyšska. Nevylúčil možnosť, že spracúvanie predmetných údajov by mohlo byť nevhodné alebo neprimerané. |
26. |
Uvedený úrad tiež poukázal na to, že hoci zo štatistík týkajúcich sa dopravných nehôd v Lotyšsku vyplýva pokles počtu nehôd, neexistuje dôkaz, že k tomuto priaznivému trendu prispel systém pokutových bodov a verejný prístup k informáciám o nich. |
27. |
Satversmes tiesa (Ústavný súd) predovšetkým uvádza, že konanie, v ktorom rozhoduje, sa netýka § 141 ods. 2 zákona o cestnej premávke ako celku, ale len tej jeho časti, ktorá umožňuje prístup verejnosti k informáciám o pokutových bodoch zaznamenaných do štátneho registra motorových vozidiel. |
28. |
Tento súd ďalej usudzuje, že pokutové body sú osobnými údajmi, a preto sa s nimi musí zaobchádzať v súlade s právom na rešpektovanie súkromného života. Zdôrazňuje, že pri posudzovaní pôsobnosti článku 96 Ústavy Lotyšska sa musí zohľadniť nariadenie GDPR, a tiež článok 16 ZFEÚ a článok 8 Charty základných práv Európskej únie (ďalej len „Charta“). |
29. |
Vzhľadom na zámer zákona o cestnej premávke vnútroštátny súd uvádza, že dopravné priestupky, ktorých sa dopustili vodiči, a v Lotyšsku sa klasifikujú ako správne delikty, sa zaznamenávajú do štátneho registra trestov, pričom pokutové body sa zaznamenávajú do štátneho registra motorových vozidiel s cieľom ovplyvniť správanie vodičov motorových vozidiel a minimalizovať tak ohrozenie života, zdravia a majetku. |
30. |
Štátny register trestov je jediným registrom, v ktorom sa zaznamenávajú rozsudky v súvislosti s osobami, ktoré sa dopustili protiprávneho konania (trestného činu alebo správneho deliktu), pričom jedným z cieľov je zabezpečenie možnosti preskúmania uložených sankcií. Na druhej strane štátny register motorových vozidiel zabezpečuje prehľad o dopravných priestupkoch a umožňuje prijímať na základe počtu takýchto priestupkov príslušné opatrenia. Systém pokutových bodov má za cieľ zvýšiť bezpečnosť na cestách jednak odlíšením vodičov, ktorí systematicky a so zlým úmyslom nerešpektujú pravidlá cestnej premávky, od vodičov, ktorí sa príležitostne dopustia dopravného priestupku, a jednak ovplyvňovaním správania účastníkov cestnej premávky odrádzajúcim spôsobom. |
31. |
Vnútroštátny súd poukazuje na to, že § 141 ods. 2 zákona o cestnej premávke umožňuje komukoľvek, aby od CSDD žiadal a získal informácie zo štátneho registra motorových vozidiel týkajúce sa pokutových bodov uložených vodičom. Osoba požadujúca informáciu o pokutových bodoch ju v praxi získa po predložení národného identifikačného čísla dotknutého vodiča. |
32. |
Satversmes tiesa (Ústavný súd) následne spresnil, že pokutové body sú klasifikované ako verejne dostupné informácie, a preto spadajú do pôsobnosti zákona o prístupe k informáciám a môžu byť opakovane používané na komerčné alebo nekomerčné účely, ktoré sa líšia od pôvodného účelu ich vytvorenia. |
33. |
Aby mohol vnútroštátny súd vykladať a uplatňovať článok 96 Ústavy Lotyšska v súlade s právom Únie, chce predovšetkým vedieť, či pokutové body, ako sú tie, ktoré vyplývajú z lotyšského práva, spadajú do pôsobnosti článku 10 nariadenia GDPR. Konkrétne sa vnútroštátny súd snaží zistiť, či § 141 ods. 2 zákona o cestnej premávke porušuje požiadavky uvedené v článku 10 nariadenia GDPR, podľa ktorých sa spracúvanie údajov uvedených v tomto ustanovení môže vykonávať len „pod kontrolou orgánu verejnej moci“, alebo ak sú poskytnuté „primerané záruky ochrany práv a slobôd dotknutých osôb“. |
34. |
Vnútroštátny súd poznamenáva, že článok 8 ods. 5 smernice 95/46, ktorý ponechal na jednotlivé členské štáty, aby posúdili, či osobitné pravidlá týkajúce sa trestných činov a rozsudkov v trestných veciach majú platiť aj pre údaje týkajúce sa správnych deliktov a sankcií, bol prebratý v § 12 Fizisko personu datu aizsardzības likums (zákon o ochrane údajov fyzických osôb), v zmysle ktorého osobné údaje týkajúce sa správnych deliktov môžu byť spracované rovnako ako v prípade údajov týkajúcich sa trestných činov a rozsudkov v trestných veciach len osobami uvedenými v zákone a za okolností stanovených zákonom. |
35. |
Z toho vyplýva, že v Lotyšsku sa viac ako desaťročie uplatňujú podobné požiadavky na spracúvanie osobných údajov týkajúcich sa trestných činov a rozsudkov v trestných veciach a na spracúvanie osobných údajov týkajúcich sa správnych deliktov. |
36. |
Uvedený súd tiež konštatuje, že pôsobnosť článku 10 nariadenia GDPR sa v zmysle odôvodnenia 4 tohto nariadenia musí posúdiť pri zohľadnení úlohy základných práv v spoločnosti. V tejto súvislosti uvedený súd uviedol, že cieľ spočívajúci v zabezpečení, aby súkromný a profesionálny život jednotlivca nebol neprimerane a nepriaznivo ovplyvnený predchádzajúcimi odsúdeniami, by sa mohol uplatniť tak v prípade rozsudkov v trestných veciach, ako aj v prípade správnych deliktov. |
37. |
Satversmes tiesa (Ústavný súd) sa po druhé usiluje zistiť, aká je pôsobnosť článku 5 nariadenia GDPR. Osobitne si kladie otázku, či vzhľadom na odôvodnenie 39 tohto nariadenia lotyšský zákonodarca splnil povinnosť, ktorá vyplýva z článku 5 ods. 1 písm. f) nariadenia GDPR a spočíva v spracúvaní osobných údajov pri dodržaní zásad „integrity a dôvernosti“. Tento súd poukazuje na to, že § 141 ods. 2 zákona o cestnej premávke, ktorý sprístupnením informácií o pokutových bodoch umožňuje zistiť, či bola daná osoba odsúdená za dopravný priestupok, nesprevádza nijaké osobitné opatrenie zaisťujúce bezpečnosť takýchto údajov. |
38. |
Po tretie by chcel vnútroštátny súd vedieť, či je smernica 2003/98 relevantná pri posudzovaní súladu § 141 ods. 2 zákona o cestnej premávke a článku 96 Ústavy Lotyšska. Poukazuje na to, že podľa tejto smernice je opakované používanie osobných údajov možné len v prípade rešpektovania práva na súkromie. |
39. |
Po štvrté si vnútroštátny súd kladie otázku, či by vzhľadom na judikatúru Súdneho dvora, podľa ktorej má výklad práva Únie v rozhodnutiach v prejudiciálnom konaní účinky erga omnes a ex tunc, mohol v prípade zistenia nesúladu medzi § 141 ods. 2 zákona o cestnej premávke a článkom 96 Ústavy Lotyšska pri zohľadnení práva Únie, ako ho vykladá Súdny dvor, konštatovať, že právne účinky § 141 ods. 2 sa zachovajú až do vyhlásenia jeho rozsudku o rozpore tohto ustanovenia s ústavou, a to z dôvodu, že tento rozsudok bude mať vplyv na veľký počet právnych vzťahov. |
40. |
V tejto súvislosti vnútroštátny súd vysvetľuje, že podľa lotyšského práva akt, ktorý bol vyhlásený za protiústavný, stráca platnosť odo dňa zverejnenia nálezu Satversmes tiesa (Ústavný súd), ak tento súd nerozhodne inak. Uvedený súd tiež vysvetľuje svoju snahu o hľadanie rovnováhy medzi zásadou právnej istoty a základnými právami jednotlivých účastníkov konania, keď určuje dátum, ku ktorému ustanovenie vyhlásené za protiústavné stráca účinnosť. |
41. |
Za týchto okolností Satversmes tiesa (Ústavný súd) rozhodol uznesením zo 4. júna 2019, ktoré bolo Súdnemu dvoru doručené 11. júna 2019, že Súdnemu dvoru položí nasledujúce prejudiciálne otázky:
|
42. |
Písomné pripomienky predložili lotyšská, holandská, rakúska a portugalská vláda a Európska komisia. |
43. |
Vzhľadom na šírenie vírusu SARS‑CoV‑2 Súdny dvor rozhodol o zrušení pojednávania v tejto veci, ktoré bolo naplánované na 11. máj 2020. V rámci opatrení na zabezpečenie priebehu konania Súdny dvor výnimočne rozhodol nahradiť pojednávanie písomnými otázkami. Lotyšská a švédska vláda, rovnako ako Komisia na otázky Súdneho dvora písomne odpovedali. |
IV. Posúdenie
44. |
Tento návrh na začatie prejudiciálneho konania vyvoláva niekoľko zásadných otázok týkajúcich sa GDPR. Všetky uvedené otázky však predpokladajú, že nariadenie GDPR sa na prejednávanú vec uplatňuje. ( 12 ) Na túto okolnosť poukazujem preto, že Európska únia neprijala v oblasti pokutových bodov za dopravné priestupky nijakú právnu úpravu. |
A. O vecnej pôsobnosti nariadenia GDPR – článok 2 ods. 2 písm. a)
45. |
Podľa článku 2 ods. 2 písm. a) nariadenia GDPR sa toto nariadenie nevzťahuje na spracúvanie osobných údajov v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie. Je zjavné, že kým článok 2 ods. 1 nariadenia GDPR pozitívne vymedzuje, čo patrí do jeho pôsobnosti, ( 13 ) článok 2 ods. 2 z pôsobnosti nariadenia vylučuje štyri typy činností. Toto ustanovenie sa ako výnimka zo všeobecného pravidla musí vykladať reštriktívne. ( 14 ) |
46. |
Normotvorca EÚ sa rozhodol použiť ako formu právneho nástroja nariadenie, aby zvýšil stupeň jednotnosti práva EÚ upravujúceho ochranu údajov, a najmä aby vytvoril medzi (hospodárskymi subjektmi) na vnútornom trhu rovnaké podmienky bez ohľadu na to, kde sa tieto subjekty nachádzajú. ( 15 ) |
47. |
Článok 16 ZFEÚ nielen obsahuje právny základ pre prijatie textov, ako je nariadenie GDPR, ale vo všeobecnosti je ako súčasť prvej časti hlavy II Zmluvy o FEÚ ( 16 ) aj horizontálnym ustanovením ústavnej povahy, ktoré sa musí pri výkone akejkoľvek právomoci EÚ zohľadniť. |
48. |
Nariadenie GDPR, rovnako ako smernica 95/46, ktorá mu predchádzala, má za cieľ pri spracúvaní osobných údajov zabezpečiť vysokú úroveň ochrany základných práv a slobôd fyzických osôb, a najmä ich právo na súkromie. ( 17 ) |
49. |
Znenie článku 2 ods. 2 písm. a) nariadenia GDPR v podstate odráža znenie článku 16 ods. 2 ZFEÚ, ( 18 ) ktorý je právnym základom uvedeného nariadenia v rámci primárneho práva. Podľa článku 16 ods. 2 ZFEÚ normotvorca Únie ustanoví pravidlá, ktoré sa vzťahujú na ochranu fyzických osôb, pokiaľ ide o spracúvanie osobných údajov členskými štátmi „pri výkone činností, ktoré patria do rozsahu pôsobnosti práva Únie, a pravidlá, ktoré sa vzťahujú na voľný pohyb takýchto údajov“ ( 19 ). Toto ustanovenie teda má deklaratórnu povahu. Nasledujúca analýza sa preto týka v rovnakej miere článku 2 ods. 2 písm. a) nariadenia GDPR, ako aj článku 16 ods. 2 ZFEÚ. |
50. |
Prvá vec, ktorá si vyžaduje pozornosť, je rozdiel vo formulácii článku 2 ods. 2 písm. a) nariadenia GDPR („činnosť, ktorá nepatrí do pôsobnosti práva Únie“) a článku 51 ods. 1 Charty, ( 20 ) podľa ktorého „ustanovenia tejto charty sú… určené… pre členské štáty výlučne vtedy, ak vykonávajú právo Únie“ ( 21 ). |
51. |
Ak by sa uvedené malo považovať za dôkaz, že znenie článku 2 ods. 2 písm. a) nariadenia GDPR je širšie ako znenie článku 51 ods. 1 Charty, ( 22 ) je potrebné uviesť, že vzhľadom na to, že Súdny dvor vykladá článok 51 ods. 1 Charty v tom zmysle, že sa uplatňuje, „ak vnútroštátna právna úprava patrí do pôsobnosti práva Únie“ ( 23 ), neexistuje nijaký podstatný rozdiel medzi zneniami uvedených dvoch ustanovení tak, ako ich vykladá Súdny dvor. ( 24 ) |
52. |
Nemyslím si však, že by bolo potrebné vytvárať analógiu s judikatúrou Súdneho dvora v oblasti uplatňovania Charty. ( 25 ) Bolo by to príliš obmedzujúce, a tiež by to odporovalo cieľu článku 16 ZFEÚ, rovnako ako cieľu nariadenia GDPR. Logika Charty je totiž úplne iná ako logika nariadenia GDPR: jej cieľ spočíva v kontrole výkonu právomocí inštitúcií EÚ a členských štátov, keď konajú v rámci pôsobnosti práva Únie, a naopak v poskytnutí ochrany jednotlivcom, na základe ktorej si môžu uplatňovať svoje práva. Ochrana osobných údajov je však viac ako základné právo. Ako vyplýva z článku 16 ZFEÚ, ( 26 ) ochrana údajov je samostatnou oblasťou politík EÚ. Cieľ nariadenia GDPR spočíva v tom, že sa má uplatňovať na akúkoľvek formu spracúvania osobných údajov nezávisle od jej predmetu, a to bez ohľadu na to, či ide o spracúvanie členskými štátmi alebo jednotlivcami. Reštriktívny výklad článku 2 ods. 2 písm. a) nariadenia GDPR by tento cieľ úplne narušil. Nariadenie GDPR, ktoré bolo prijaté so zámerom vytvoriť tigra ochrany údajov, by sa tak zmenilo na domáce mačiatko. |
53. |
Dobrým príkladom v tejto súvislosti je samotná existencia ustanovenia, ako je článok 10 nariadenia GDPR, ktorého výklad bude predmetom mojej analýzy prvej otázky vnútroštátneho súdu. Ak sa nariadenie GDPR zaoberá „spracúvaním osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky alebo súvisiacich bezpečnostných opatrení založených na článku 6 ods. 1“ tohto nariadenia ( 27 ) v dobe, keď uznanie viny za trestné činy a priestupky spadá takmer výlučne do pôsobnosti vnútroštátneho práva, a nie práva Únie, toto nariadenie nemôže mať doplnkovú funkciu, ktorá prislúcha Charte, inak by bol jeho článok 10 neplatný. |
54. |
To isté platí o existencii článku 87 nariadenia GDPR, ktorý členským štátom umožňuje stanoviť podrobnejšie osobitné podmienky spracúvania národného identifikačného čísla. ( 28 ) |
55. |
Okrem toho je potrebné zohľadniť odôvodnenie 16 nariadenia GDPR, ktoré síce v deklaratórnej, ale názornej časti tohto nariadenia odráža článok 2 nariadenia GDPR. V spomenutom odôvodnení je uvedená národná bezpečnosť ako príklad oblasti, ktorá je mimo pôsobnosti práva EÚ. To isté platí pre rovnako nezáväzné vyhlásenie o článku 16 Zmluvy o FEÚ, ( 29 ) v ktorom sa uvádza, že „vždy, keď by predpisy o ochrane osobných údajov, ktoré majú byť prijaté na základe článku 16 [ZFEÚ], mohli mať priame dôsledky na národnú bezpečnosť, musí sa náležito zohľadniť osobitná povaha záležitosti“, pričom sa v ňom pripomína, že „najmä smernica 95/46/ES… ustanovuje v tomto ohľade osobitné výnimky“ ( 30 ). |
56. |
Tento výslovný dôraz na národnú bezpečnosť jasne poukazuje na to, čo mali autori Zmluvy o FEÚ (článok 16 ZFEÚ) a normotvorca EÚ [článok 2 ods. 2 písm. a) nariadenia GDPR] na mysli, keď formulovali príslušné časti uvedených právnych predpisov. |
57. |
Normotvorca EÚ spresnil na inom mieste, avšak stále v rámci oblasti ochrany údajov, že národná bezpečnosť sa má v tomto kontexte chápať ako „bezpečnosť štátu“ ( 31 ). |
58. |
V tejto súvislosti je potrebné vnímať článok 2 ods. 2 písm. a) nariadenia GDPR v kontexte článku 4 ods. 2 ZEÚ, z ktorého vyplýva, že Európska únia rešpektuje základné štátne funkcie členských štátov, ( 32 ) a v tejto súvislosti ako príklad uvádza, že „národná bezpečnosť ostáva vo výlučnej zodpovednosti každého členského štátu“. Článok 2 ods. 2 písm. a) nariadenia GDPR len opakuje túto ústavnú požiadavku spočívajúcu v zabezpečení predpokladov na fungovanie štátu. ( 33 ) |
59. |
Vzhľadom na uvedenú analýzu sa nedomnievam, že článok 2 ods. 2 písm. a) nariadenia GDPR stanovuje náročné kritérium, ktorého splnenie je predpokladom uplatnenia tohto nariadenia, ani si nemyslím, že by to bolo zámerom normotvorcu Únie. |
60. |
Napokon túto analýzu potvrdzuje aj krátky pohľad na zostávajúce tri výnimky z vecnej pôsobnosti nariadenia GDPR, ktoré sú uvedené v článku 2 ods. 2 písm. b) až d). Toto nariadenie sa teda neuplatňuje na spracúvanie osobných údajov členskými štátmi pri vykonávaní činností patriacich do pôsobnosti spoločnej zahraničnej a bezpečnostnej politiky EÚ, ( 34 ) ďalej na spracúvanie osobných údajov fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti, ( 35 ) a napokon ani na spracúvanie uvedených údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania. ( 36 ) |
61. |
Vylúčenie spoločnej zahraničnej a bezpečnostnej politiky, ktorá má prevažne medzivládnu povahu, je úplne logické. ( 37 ) Výhradne osobné a domáce činnosti fyzických osôb sú v každom prípade v zásade mimo pôsobnosti práva Únie, pretože nie sú predmetom úpravy primárneho ani sekundárneho práva. To isté v podstate platí v prípade predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií. Dôvodom existencie tejto poslednej výnimky je však skutočnosť, že Únia prijala osobitnú smernicu, ( 38 ) a to mimochodom v rovnaký deň, ako bolo prijaté nariadenia GDPR. Okrem toho z článku 23 ods. 1 písm. d) tohto nariadenia jasne vyplýva, že spracúvanie osobných údajov jednotlivcami s rovnakým cieľom spadá do jeho pôsobnosti. ( 39 ) |
62. |
Preto ak majú mať posledné dve výnimky akýkoľvek normatívny význam, nemôžu byť mimo pôsobnosti práva Únie v zmysle článku 2 ods. 2 písm. a) nariadenia GDPR. |
63. |
Napokon je potrebné poukázať na to, že neexistuje nijaký jasný dôkaz o tom, že by Súdny dvor zo zásady uplatnil v súvislosti s pôsobnosťou nariadenia GDPR podľa jeho článku 2 alebo s pôsobnosťou smernice 95/46 podľa jej článku 3 nejaké prísne kritérium. ( 40 ) Naopak Súdny dvor skôr zdôrazňuje, že „uplatniteľnosť smernice 95/46 nemôže závisieť od otázky, či konkrétne sporné situácie vo veciach samých mali postačujúce spojenie s výkonom základných slobôd zaručených Zmluvou“ ( 41 ). |
64. |
Túto predbežnú časť mojej analýzy možno uzavrieť v tom zmysle, že podľa správneho výkladu článku 2 ods. 2 písm. a) nariadenia GDPR sa toto nariadenie uplatňuje na spracúvanie osobných údajov v členských štátoch alebo členskými štátmi, ak k nemu nedochádza v oblasti, v ktorej Európska únia nemá právomoc. |
65. |
Z toho vyplýva, že nariadenie GDPR sa vzťahuje na prejednávanú vec a pri skúmaní platnosti vnútroštátneho práva ho vnútroštátny súd musí vziať do úvahy. |
B. O článku 86 nariadenia GDPR
66. |
V záujme úplnosti by som sa chcel stručne zamerať na ustanovenie článku 86 nariadenia GDPR v prejednávanej veci. |
67. |
V zmysle tohto článku osobné údaje v úradných dokumentoch, ktoré má v držbe orgán verejnej moci alebo verejnoprávny, alebo súkromnoprávny subjekt na účely splnenia úlohy realizovanej vo verejnom záujme, môže daný orgán alebo subjekt poskytnúť v súlade s právom Únie alebo právom členského štátu, ktorému orgán verejnej moci alebo verejnoprávny subjekt podlieha, s cieľom zosúladiť prístup verejnosti k úradným dokumentom s právom na ochranu osobných údajov podľa nariadenia GDPR. |
68. |
Toto ustanovenie len uznáva význam prístupu verejnosti k úradným dokumentom. Ako navyše správe uviedla Komisia, v tomto ustanovení sa nenachádza nijaké ďalšie usmernenie o tom, ako zosúladiť prístup verejnosti k úradným dokumentom a pravidlá o ochrane údajov. ( 42 ) Uvedené ustanovenie má skôr deklaratórnu povahu a pôsobí tak viac ako odôvodnenie než ako normatívne znenie právneho textu. ( 43 ) Preto sa domnievam, že „opisná norma“, ktorou je článok 86 nariadenia GDPR, nemá vplyv na nasledujúcu analýzu. |
C. Prvá otázka: Pokutové body z hľadiska článku 10 nariadenia GDPR
69. |
Svojou prvou otázkou sa vnútroštátny súd snaží zistiť, či sa má článok 10 nariadenia GDPR vykladať v tom zmysle, že zahŕňa spracúvanie informácií týkajúcich sa pokutových bodov uložených vodičom za dopravné priestupky v zmysle vnútroštátnej právnej úpravy. |
70. |
Podľa tohto ustanovenia sa spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky alebo súvisiacich bezpečnostných opatrení založených na článku 6 ods. 1 nariadenia GDPR ( 44 ) vykonáva len pod kontrolou orgánu verejnej moci. ( 45 ) Každý komplexný register uznania viny za trestné činy sa vedie iba pod kontrolou orgánu verejnej moci. |
71. |
Vzhľadom na to, že CSDD zrejme je orgánom verejnej moci, v zmysle „verejnoprávneho orgánu“, môže to vyvolať pochybnosť o relevantnosti prvej otázky, a tiež o tom, či nejde o hypotetickú otázku podľa judikatúry Súdneho dvora o prípustnosti. Chcel by som tieto pochybnosti rozptýliť tým, že prejednávaná vec sa týka tak sprístupnenia informácií o pokutových bodoch (zo strany CSDD), ako aj opakovaného použitia týchto údajov inými subjektmi. Ak sa prvá otázka týka týchto iných subjektov, je podľa mňa prípustná. |
1. Osobné údaje
72. |
Článok 4 ods. 1 nariadenia GDPR stanovuje, že „osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby. |
73. |
Je nepochybné, že informácie týkajúce sa pokutových bodov uložených vodičom za dopravné priestupky sú osobnými údajmi v zmysle článku 4 ods. 1 nariadenia GDPR. |
2. … týkajúcich sa uznania viny za trestné činy a priestupky alebo súvisiacich bezpečnostných opatrení
74. |
Pokiaľ ide o „priestupky“ uvedené v článku 10 nariadenia GDPR, je potrebné poukázať na to, že z niektorých jazykových verzií tohto ustanovenia úplne jasne nevyplýva, či sa uvedené ustanovenie týka iba trestných činov alebo či sa vzťahuje aj na správne delikty. Výklad anglickej jazykovej verzie, ktorý je najprirodzenejší a najviac intuitívny, poukazuje na to, že výraz „trestný“ je umiestnený pred pomyselnou zátvorkou a vzťahuje sa aj na výraz „činy“, aj na výraz „priestupky“. V tejto súvislosti niektoré jazykové verzie ( 46 ) nenechávajú nijaký priestor na pochybnosti: „priestupky“ v zmysle článku 10 nariadenia GDPR sa majú vykladať v tom zmysle, že majú „trestnoprávnu“ povahu. Iné jazykové verzie ( 47 ) sú menej jednoznačné a možno ich vykladať viac ako len jedným spôsobom. Lotyšská jazyková verzia (saistītiem drošības pasākumiem), o ktorej sa predpokladá, že ju vnútroštátny súd pozná najlepšie, tiež nie je jednoznačná. Nielenže sa v nej nespresňuje, či majú „priestupky“ (pārkāpumi) trestnoprávnu povahu, ale ani v súvislosti s „uznaním viny“ (sodāmība) nie je jasné, či ide o trestnoprávny kontext. ( 48 ) |
75. |
V tejto etape možno dospieť k istým záverom aj napriek tomu, že jednotlivé jazykové verzie sú rôznorodé. |
76. |
Všetky úradné jazyky Európskej únie predstavujú záväzné jazyky aktov, ktoré sú v nich vyhotovené, takže všetkým jazykovým zneniam aktu Únie sa v zásade musí priznať rovnaká hodnota. ( 49 ) Výklad ustanovenia práva Únie teda vyžaduje porovnanie rôznych jazykových verzií. ( 50 ) Okrem toho sa jednotlivé jazykové verzie ustanovenia práva Únie majú vykladať jednotne. ( 51 ) |
77. |
Za týchto okolností sa musí za správny považovať význam „presnejších“ jazykových verzií, a to najmä preto, že môže byť jedným zo spôsobov, ako vykladať menej presné jazykové verzie, v rámci ktorých existuje možnosť, že „priestupky“ sú vykladané v tom zmysle, že majú len „trestnoprávnu“ povahu. Preto môžem v tejto etape dospieť k záveru, že z komparatívneho výkladu rôznych jazykových verzií článku 10 nariadenia GDPR vyplýva, že výraz „trestný“ sa vzťahuje tak na „činy“, ako aj na „priestupky“ ( 52 ). |
78. |
Navyše navrhovaný výklad článku 10 nariadenia GDPR zachováva rozdiel vyplývajúci z predchodcu tohto ustanovenia, teda článku 8 ods. 5 smernice 95/46. Podľa tohto ustanovenia sa kontrola orgánu verejnej moci pri spracúvaní údajov týkajúcich sa rozsudkov v trestných veciach a trestných činov vyžadovala, ( 53 ) kým v prípade administratívnoprávnych sankcií existovala len možnosť takejto kontroly. ( 54 ) Ak by sa v zmysle článku 8 ods. 5 smernice 95/46 výraz „trestný čin“ vnímal tak, že sa vzťahuje aj na „správne delikty“, druhá časť tohto ustanovenia by bola zbytočná. |
79. |
Toto zistenie však stále nedáva odpoveď na otázku, čo presne znamená výraz „trestné činy“. |
80. |
Predovšetkým je potrebné sa opýtať, či tento výraz je autonómnym výrazom práva Únie, alebo je potrebné ponechať jeho výklad členským štátom. |
81. |
Podľa ustálenej judikatúry Súdneho dvora z požiadavky jednotného uplatňovania práva Únie, ako aj zo zásady rovnosti vyplýva, že znenie ustanovenia práva Únie, ktoré neobsahuje nijaký výslovný odkaz na právo členských štátov s cieľom určiť jeho zmysel a rozsah pôsobnosti, si v zásade vyžaduje v celej Európskej únii autonómny a jednotný výklad. ( 55 ) Pri takomto výklade ustanovenia práva Únie je potrebné zohľadniť jeho znenie, ciele, ako aj jeho legislatívny kontext, a tiež všetky ustanovenia práva Únie ako celku. Aj vývoj takého ustanovenia môže obsahovať relevantné prvky pre jeho výklad. ( 56 ) |
82. |
V tomto prípade je zjavné, že trestnoprávna úprava a pravidlá trestného konania patria v zásade do právomoci členských štátov. ( 57 ) Z toho vyplýva, že členské štáty určujú, čo predstavuje trestný čin. ( 58 ) |
83. |
Domnievam sa však, že ak normotvorca Únie zvolí právnu formu nariadenia, a nie smernice, má byť štandardom jednotný výklad ustanovení tohto nariadenia v celej Európskej únii, aby sa vo všetkých členských štátoch zabezpečila jeho všeobecná platnosť a priama uplatniteľnosť v súlade s článkom 288 druhým odsekom ZFEÚ. |
84. |
V rovnakom zmysle existujú indície, že normotvorca Únie nemal v úmysle odkazovať pri výklade pojmu „trestný čin“ na vnútroštátny právny poriadok alebo poriadky. Odôvodnenie 13 smernice 2016/680 ( 59 ) v tejto súvislosti uvádza, že trestný čin v zmysle tejto smernice by mal byť autonómnym pojmom práva Únie, ako ho vykladá Súdny dvor Európskej únie. V duchu zásady a maiore ad minus z toho vyvodzujem, že to platí aj pre nariadenie GDPR, ktoré, ako bolo uvedené vyššie, predstavuje vo svojej právnej forme nariadenia právny akt, ktorý má automaticky vyšší stupeň integrácie a centralizácie. |
85. |
Druhý problematický bod spočívajúci v otázke, či sa predmetné osobné údaje týkajú uznania viny za trestné činy a priestupky, alebo súvisiacich bezpečnostných opatrení v zmysle článku 10 nariadenia GDPR, je zložitejší. |
86. |
Súdny dvor už mal príležitosť rozhodovať o definícii „trestného činu“ v kontexte zásady ne bis in idem ( 60 ) zakotvenej v článku 50 Charty. ( 61 ) |
87. |
V tejto súvislosti vychádza z judikatúry Európskeho súdu pre ľudské práva, ( 62 ) v zmysle ktorej sú pri definícii „trestného konania“ relevantné tri kritériá: právna kvalifikácia porušenia vo vnútroštátnom práve, samotná povaha porušenia a povaha a stupeň prísnosti sankcie, ktorá hrozí dotknutej osobe. ( 63 ) |
88. |
Pokutové body, ako vyplývajú z dotknutého vnútroštátneho systému, podľa mňa nemožno kvalifikovať ako trestný čin v zmysle uvedenej judikatúry, pretože nespĺňajú spomínané kritériá. Predovšetkým nie sú veľmi prísne. ( 64 ) |
89. |
Napokon by som chcel poukázať na to, že z tejto analýzy vyplýva, že nie je potrebné preskúmať vzťah medzi článkom 10 nariadenia GDPR a ustanoveniami smernice 2016/680, pretože uvedená smernica sa v prejednávanej veci neuplatňuje. |
3. Navrhovaná odpoveď
90. |
Preto navrhujem na prvú prejudiciálnu otázku odpovedať v tom zmysle, že článok 10 nariadenia GDPR sa nevzťahuje na spracúvanie informácií o pokutových bodoch uložených vodičom za dopravné priestupky, ako to vyplýva z vnútroštátnej právnej úpravy, akou je článok 141 ods. 2 zákona o cestnej premávke. |
D. Druhá otázka: sprístupnenie pokutových bodov
91. |
Vo svoje druhej otázke sa vnútroštátny súd pýta, či ustanovenia nariadenia GDPR bránia členskému štátu, aby spracoval a sprístupnil informácie týkajúce sa pokutových bodov uložených vodičom za dopravné priestupky. |
92. |
Aj keď vnútroštátny súd ako príklad uvádza zásady integrity a dôvernosti uvedené v článku 5 ods. 1 písm. f) nariadenia GDPR ( 65 ), otázka je formulovaná široko, pretože odkazuje na ustanovenia nariadenia ako celku. ( 66 ) Analýza uvedená nižšie sa preto bude týkať aj iných ustanovení nariadenia GDPR, ako sú tie, ktoré spomenul vo svojej otázke vnútroštátny súd. |
93. |
Každé spracovanie osobných údajov musí byť v súlade po prvé so zásadami kvality údajov vymedzenými v článku 5 nariadenia GDPR a po druhé s jedným z kritérií zákonnosti spracúvania údajov uvedených v článku 6 predmetného nariadenia. ( 67 ) Zo znenia uvedených dvoch ustanovení možno vyvodiť, že prvé z nich má kumulatívnu povahu, ( 68 ) kým druhé alternatívnu. ( 69 ) |
94. |
Druhá otázka sa týka zásady kvality údajov. Vnútroštátny súd zrejme úplne oprávnene predpokladá, že CSDD údaje spracúva, pričom tento súd nespochybňuje zaznamenávanie pokutových bodov ako také, ale ich sprístupnenie na požiadanie. |
95. |
CSDD je nepochybne „prevádzkovateľom“ podľa článku 4 bodu 7 nariadenia GDPR, ktorý v zmysle článku 4 bodu 2 tohto nariadenia spracúva osobné údaje zaznamenaním pokutových bodov do štátneho registra motorových vozidiel. |
96. |
Stačí uviesť, že Súdny dvor už v súvislosti s verejným „registrom spoločností“ rozhodol, že zapisovaním a uchovávaním informácií v tomto registri a ich prípadným poskytnutím na požiadanie tretím osobám orgán zodpovedný za vedenie tohto registra „spracováva osobné údaje“, za ktorých spracovanie je zodpovedný ako „kontrolór“ v zmysle definícií smernice 95/46, ( 70 ) ktoré predchádzali definíciám vymedzeným v článku 4 bodoch 2 a 7 nariadenia GDPR. ( 71 ) |
1. O článku 5 ods. 1 písm. f) nariadenia GDPR: Integrita a dôvernosť
97. |
Uvedené skutočnosti vyvolávajú otázku, či boli dodržané zásady integrity a dôvernosti, ktoré sú zakotvené v článku 5 ods. 1 písm. f) nariadenia GDPR, teda v ustanovení, na ktoré sa vnútroštátny súd vo svojej otázke odvoláva. |
98. |
Podľa článku 5 ods. 1 písm. f) nariadenia GDPR musia byť osobné údaje spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení. |
99. |
Ako jasne vyplýva zo znenia tohto ustanovenia, týka sa bezpečnostných, technických a organizačných opatrení používaných v spojení so spracúvaním osobných údajov. ( 72 ) Ide tu o všeobecné formálne požiadavky, ktoré sa vzťahujú na bezpečnosť údajov. ( 73 ) |
100. |
Vnútroštátny súd však požaduje usmernenie, ktoré ide viac do podstaty a týka sa právnej možnosti takého spracúvania. Inými slovami a v prenesenom význame sa vnútroštátny súd skôr zaujíma o spracovanie osobných údajov ako také („či“), kým článok 5 ods. 1 písm. f) sa venuje spôsobu, ako prebieha toto spracovanie („ako“). Z toho vyplýva, že článok 5 ods. 1 písm. f) nariadenia GDPR nie je v prejednávanej veci relevantný. |
2. O článku 5 ods. 1 písm. a) nariadenia GDPR: zákonnosť, spravodlivosť a transparentnosť
101. |
Podľa článku 5 ods. 1 písm. a) nariadenia GDPR osobné údaje musia byť spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe. |
102. |
Je potrebné poukázať na to, že pojem „zákonnosť“ sa nachádza tak v článku 5 ods. 1 písm. a) nariadenia GDPR, ako aj v jeho článku 6. Prenášanie podrobných požiadaviek článku 6 do článku 5 tohto nariadenia by nedávalo z hľadiska legislatívnej techniky veľký zmysel, ak by aj článok 5 musel obsahovať kritériá článku 6 nariadenia GDPR. |
103. |
Zákonnosť v zmysle článku 5 ods. 1 písm. a) nariadenia GDPR by sa skôr mala vykladať z hľadiska odôvodenia 40 tohto nariadenia, ( 74 ) ktoré vyžaduje, aby bolo spracúvanie založené buď na súhlase, alebo na inom legitímnom základe stanovenom v právnych predpisoch. ( 75 ) |
104. |
Vzhľadom na uvedené (existencia právneho základu v zmysle vnútroštátneho práva) nevidím dôvod, pre ktorý by sa mala spochybňovať zákonnosť spracúvania v prejednávanej veci. ( 76 ) |
105. |
Preto súhlasím s tvrdením rakúskej vlády, ( 77 ) že táto zásada nie je vo vzťahu ku skutkovým okolnostiam prejednávanej veci relevantná. |
3. O článku 5 ods. 1 písm. b) nariadenia GDPR: obmedzenie účelu
106. |
Článok 5 ods. 1 písm. b) nariadenia GDPR stanovuje zásadu „obmedzenia účelu“ a uvádza sa v ňom, že osobné údaje musia byť získavané na konkrétne určené, výslovne uvedené a legitímne účely, a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi. ( 78 ) |
107. |
Podľa vnútroštátneho súdu sleduje dotknuté ustanovenie, teda § 141 ods. 2 zákona o cestnej premávke, cieľ bezpečnosti na cestách tým, že odhaľuje vodičov porušujúcich predpisy. Z tohto hľadiska sa sprístupňovanie pokutových bodov javí ako konkrétne určený, výslovne uvedený a legitímny účel. Navyše spracúvanie osobných údajov zrejme nie je s týmto účelom v rozpore. |
4. O článku 5 ods. 1 písm. c) nariadenia GDPR: minimalizácia údajov
108. |
Podľa článku 5 ods. 1 písm. c) nariadenia GDPR minimalizácia údajov vyžaduje, aby boli osobné údaje primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. V tejto súvislosti sa v odôvodnení 39 nariadenia GDPR uvádza, že osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami. |
109. |
Rovnako ako v prípade ostatných zásad zakotvených v článku 5 ods. 1 nariadenia GDPR vnímam aj túto zásadu v tom zmysle, že vychádza zo zásady proporcionality, ( 79 ) a preto si myslím, že je teraz vhodné preskúmať, či je dotknuté vnútroštátne právo primerané vzhľadom na cieľ, ktorý sleduje. |
110. |
Podľa ustálenej judikatúry je zásada proporcionality jednou zo všeobecných zásad práva Únie a vyžaduje, aby opatrenia stanovené v právnom akte Únie boli primerané na dosiahnutie cieľov sledovaných týmto aktom, a nešli nad rámec toho, čo je potrebné na ich dosiahnutie. ( 80 ) |
111. |
§ 141 ods. 2 zákona o cestnej premávke teda naozaj musí byť primeraný a potrebný na dosiahnutie svojho cieľa, ktorým je zvýšenie bezpečnosti na cestách. |
a) Primeranosť
112. |
Prvým uvádzaným cieľom dotknutej vnútroštátnej právnej úpravy je identifikácia vodičov motorových vozidiel, ktorí systematicky nerešpektujú pravidlá cestnej premávky. Identifikácia osôb, ktoré sa dopúšťajú dopravných priestupkov, zjavne nijako nezávisí od verejnej povahy (všeobecne prístupných) pokutových bodov, ktoré boli uložené páchateľovi priestupku. Presná identifikácia takýchto páchateľov a zachovávanie záznamov o pokutových bodoch, ktoré im boli uložené, aby mohli nasledovať primerané právne dôsledky a príslušné sankcie, je výhradne úlohou orgánu verejnej moci. |
113. |
Druhým cieľom ustanovenia vnútroštátneho práva, ktoré umožňuje sprístupnenie dotknutých osobných údajov, je podľa Saeima ovplyvnenie správania účastníkov cestnej premávky so zámerom odradiť prípadných páchateľov od ďalších dopravných priestupkov. V tomto prípade možno pripustiť, že ak môže ktokoľvek zistiť, kto porušuje dopravné predpisy, môže to mať istý odradzujúci účinok: mnohí vodiči by proti sprístupneniu takejto informácie širokej verejnosti namietali, aby nezískali označenie osôb, ktoré porušujú právne predpisy. |
114. |
Tento cieľ je jasne stanovený aj v § 431 zákona o cestnej premávke ako zámer sledovaný zavedením systému pokutových bodov. Je úplne jasné, že zverejnenie pokutových bodov môže do istej miery vytvoriť dodatočný odrádzajúci prvok. Dotknuté ustanovenie by tak v zásade bolo v súlade so sledovaným všeobecným záujmom, ktorým je zvýšenie bezpečnosti na cestách a zabránenie dopravným nehodám. |
115. |
Ak sú však predmetné osobné údaje sprístupnené len na žiadosť a za predpokladu, že žiadateľ poskytne osobné identifikačné číslo dotknutej osoby, vyvoláva to otázku, aké náročné je získať toto číslo. Čím ťažšie to je, tým menej odrádzajúci je režim sprístupnenia, pretože to, či sú údaje verejne dostupné, bude závisieť od iných, ťažko predvídateľných skutočností. |
116. |
Práve to je dôvod, pre ktorý mám o primeranosti predmetnej vnútroštátnej úpravy vážne pochybnosti. |
117. |
Úlohou vnútroštátneho súdu je pri zohľadnení všetkých okolností veci samej rozhodnúť, či § 141 ods. 2 zákona o cestnej premávke skutočne je primeraný na dosiahnutie legitímneho cieľa zvýšenia bezpečnosti na cestách. |
b) Nevyhnutnosť
118. |
Pokiaľ ide o otázku nevyhnutnosti, teda o požiadavku, aby dotknuté opatrenie nešlo nad rámec toho, čo je potrebné na dosiahnutie sledovaného cieľa, je situácia o niečo jasnejšia. |
119. |
Opäť je na vnútroštátnom súde, aby vzhľadom na všetky okolnosti veci rozhodol, či je dotknuté ustanovenie skutočne potrebné. Na základe dostupných informácií pritom nevidím dôvod, prečo by sa toto ustanovenie malo z akéhokoľvek pohľadu považovať za potrebné. |
120. |
Cieľ podpory bezpečnosti na cestách je síce dôležitý, musí sa však nájsť primeraná rovnováha medzi jednotlivými dotknutými záujmami, a preto je úlohou vnútroštátneho zákonodarcu, aby rozhodol, či zverejnenie predmetných osobných údajov ide nad rámec toho, čo je potrebné na dosiahnutie sledovaných legitímnych cieľov, pričom musí mať na zreteli najmä porušenie základných práv, ktoré takéto zverejnenie prináša. |
121. |
V návrhu na začatie prejudiciálneho konania sa nespomína, či Saeima pred prijatím dotknutého ustanovenia zvažoval iný spôsob dosiahnutia cieľa podpory bezpečnosti cestnej premávky, ktorý by menej zasahoval do práva jednotlivcov na ochranu údajov. Okrem toho musí zákonodarca preukázať, že výnimky z ochrany údajov a jej obmedzenia sú v prísnom súlade so stanovenými hranicami. Pred zverejnením určitého súboru údajov (alebo pred prijatím zákona vyžadujúceho ich zverejnenie) by sa malo uskutočniť dôkladné preskúmanie vplyvu na ochranu údajov, vrátane posúdenia možnosti opakovaného použitia a jeho možného dosahu. |
122. |
Existencia a presnosť takýchto informácií je pri rozhodovaní o tom, či ciele zvýšenia bezpečnosti cestnej premávky a zníženia počtu dopravných nehôd možno dosiahnuť opatreniami, ktoré v menšej miere zasahujú do práv dotknutých osôb a nenarušia tak ochranu osobných údajov vyplývajúcu z článku 8 Charty alebo takéto narušenie aspoň zmiernia. |
123. |
Zásah do súkromia spôsobený zverejnením údajov o priestupkoch a uložených sankciách je sám osobe veľmi vážny: širokej verejnosti sprístupňuje informácie o priestupkoch, ktorých sa dopustil jednotlivec. Okrem toho nemožno vylúčiť, že takéto spracúvanie údajov, ktoré je nevyhnutnou súčasťou zverejnenia dotknutých údajov, môže viesť ku stigmatizácii osoby, ktorá sa dopustila dopravného priestupku, a k ďalším negatívnym dôsledkom. Takéto „čierne listiny“ sa preto musia prísne regulovať. |
124. |
Na záver, ako uviedol Úrad na ochranu údajov, z preventívnej povahy dotknutého ustanovenia ani zo štatistík poukazujúcich na priaznivý trend, konkrétne na zníženie počtu dopravných nehôd, nevyplýva, že by toto zníženie súviselo so zavedením systému pokutových bodov ako takého, alebo so skutočnosťou, že informácie o zaznamenaných pokutových bodoch sú verejne dostupné. |
5. Navrhovaná odpoveď
125. |
Navrhuje preto Súdnemu dvoru, aby na druhú otázku odpovedal v tom zmysle, že článok 5 ods. 1 písm. c) nariadenia GDPR bráni vnútroštátnej právnej úprave, akou je § 141 ods. 2 zákona o cestnej premávke, ktorá umožňuje spracúvanie a sprístupnenie informácií o pokutových bodoch uložených vodičom za dopravné priestupky. |
E. Tretia otázka: opakované použitie osobných údajov
1. O smernici 2003/98
126. |
Ako je uvedené v článku 1 ods. 1 smernice 2003/98, táto smernica stanovuje minimálny súbor pravidiel a praktické prostriedky, ktorými sa riadi a uľahčuje ďalšie použitie existujúcich dokumentov nachádzajúcich sa v držbe subjektov verejného sektora členských štátov. |
127. |
Na účely prejednávanej veci možno predpokladať, že v zmysle uvedeného ustanovenia sa pokutové body v Lotyšsku zaznamenávajú v dokumentoch, ktoré má v držbe CSDD ako subjekt verejného sektora v zmysle uvedeného ustanovenia. |
128. |
Nenachádzame sa však v rámci pôsobnosti smernice 2003/98, keďže jej článok 1 ods. 2 písm. cc) uvádza, že sa neuplatňuje na dokumenty, ku ktorým nie je podľa prístupového režimu v členských štátoch prístup z dôvodov ochrany osobných údajov alebo je takýto prístup obmedzený. ( 81 ) Navyše podľa článku 1 ods. 4 smernice 2003/98 sa táto smernica nedotýka úrovne ochrany jednotlivcov z hľadiska spracovávania osobných údajov podľa ustanovení právnych predpisov Únie a členských štátov, ani ju nijakým spôsobom neovplyvňuje, pričom nemení najmä povinnosti a práva stanovené v nariadení GDPR. ( 82 ) |
129. |
Z týchto ustanovení vyplýva, že spracúvanie predmetných osobných údajov sa musí posúdiť z hľadiska pravidiel Únie týkajúcich sa ochrany údajov, konkrétne nariadenia GDPR, a nie z hľadiska smernice 2003/98. ( 83 ) |
2. O opakovanom použití
130. |
Ako správne uvádza vnútroštátny súd, ak možno informáciu o pokutových bodoch uložených vodičom za dopravné priestupky sprístupniť komukoľvek, vrátane subjektov činných v oblasti opakovaného použitia, nie je možné identifikovať účely ďalšieho spracúvania údajov alebo zhodnotiť, či sa osobné údaje nespracúvajú spôsobom, ktorý nie je s uvedenými účelmi v súlade. |
131. |
Vzhľadom na uvedené sa moja analýza druhej prejudiciálnej otázky v plnom rozsahu uplatňuje nielen mutatis mutandis, ale aj a fortiori: súkromné spoločnosti by mohli byť vystavené pokušeniu využiť osobné údaje na komerčné účely, teda na účely, ktoré nie sú v súlade s cieľom spracúvania údajov, ktorým je zvýšenie bezpečnosti na cestách. |
132. |
Navyše možnosť tretích strán spracúvať osobné údaje ide jasne nad rámec stanoveného cieľa, ako je vymedzený v článku 5 ods. 1 písm. b) nariadenia GDPR. |
3. Navrhovaná odpoveď
133. |
Preto navrhujem odpovedať na tretiu otázku v tom zmysle, že na vnútroštátnu právnu úpravu, akou je § 141 ods. 2 zákona o cestnej prevádzke, ktorá umožňuje spracúvanie a sprístupnenie informácií o pokutových bodoch uložených vodičom za dopravné priestupky, a to aj na účely opakovaného použitia, sa nevzťahujú ustanovenia smernice 2003/98. Okrem toho takejto právnej úprave bráni článok 5 ods. 1 písm. c) nariadenia GDPR. |
F. Štvrtá otázka
134. |
Svoju štvrtou otázkou chce vnútroštátny súd zistiť, či by v prípade, že by dotknutá vnútroštátna právna úprava bola v rozpore s právom Únie, mohlo byť prípustné uplatňovať sporné ustanovenie a zachovať jeho právne účinky až do nadobudnutia právoplatnosti konečného rozhodnutia, ktoré vyhlási Satversmes tiesa (Ústavný súd). |
135. |
Vnútroštátny súd preto žiada, aby právne účinky dotknutého ustanovenia mohli byť zachované až do jeho právoplatného rozhodnutia. |
136. |
Podľa ustálenej judikatúry Súdneho dvora výklad pravidla práva Únie, ktorý podá Súdny dvor pri výkone svojej právomoci, ktorú mu zveruje článok 267 ZFEÚ, objasňuje a spresňuje význam a dosah tohto pravidla tak, ako sa má alebo malo chápať a uplatňovať od dátumu, keď nadobudlo účinnosť. ( 84 ) Z toho vyplýva, že takto vykladané pravidlo súd môže a má uplatňovať na právne vzťahy vzniknuté a založené pred vyhlásením rozsudku rozhodujúceho o návrhu na výklad, pokiaľ sú okrem iného splnené podmienky umožňujúce predložiť príslušným súdom spor týkajúci sa uplatnenia uvedeného pravidla. ( 85 ) Súdny dvor môže iba úplne výnimočne prostredníctvom uplatnenia všeobecnej zásady právnej istoty, ktorá je vlastná právnemu poriadku Únie, pristúpiť k obmedzeniu možnosti akejkoľvek dotknutej osoby dovolávať sa ustanovenia, ktoré vyložil, aby sa spochybnili právne vzťahy, ktoré vznikli v dobrej viere. ( 86 ) |
137. |
V každom prípade len Súdny dvor môže určiť podmienky prípadného pozastavenia účinkov ( 87 ) a je na to dobrý dôvod: inak by vnútroštátny súd mohol oddialiť účinky tohto rozhodnutia a ovplyvniť tak jeho povahu erga omnes, ktorej hlavným cieľom je zabezpečiť jednotné uplatňovanie práva Únie a právnu istotu vo všetkých členských štátoch, a vytvoriť rovnaké podmienky pre členské štáty, občanov a hospodárske subjekty. V tejto súvislosti totiž nemožno pripustiť, aby pravidlá vnútroštátneho práva, hoci majú právnu silu ústavy alebo ústavného zákona, ohrozovali jednotu a účinnosť práva Únie. ( 88 ) |
138. |
Na rozhodnutie o takomto obmedzení je potrebné, aby boli splnené dve podstatné kritériá, a to konanie dotknutých osôb v dobrej viere a riziko vážnych ťažkostí. ( 89 ) |
139. |
Je potrebné dodať, že Súdny dvor zvolil takéto riešenie len výnimočne ( 90 ) a za veľmi špecifických okolností: keď existovalo riziko vážnych ekonomických dôsledkov, predovšetkým vzhľadom na veľký počet právnych vzťahov, ktoré vznikli v dobrej viere na základe právnej úpravy, ktorá sa oprávnene považovala za platnú, a keď sa zdalo, že jednotlivci a vnútroštátne orgány boli nabádaní k správaniu, ktoré nie je v súlade s právom Únie, z dôvodu vážnej a objektívnej neistoty týkajúcej sa dosahu ustanovení práva Únie, ku ktorej prípadne prispelo i správanie iných členských štátov alebo Únie. ( 91 ) |
140. |
V prejednávanej veci informácie v návrhu na začatie prejudiciálneho konania neumožňujú dospieť k záveru, že by bol ovplyvnený veľký počet právnych vzťahov, ktoré vznikli v dobrej viere na základe sporného ustanovenia, a teda že by bolo mimoriadne náročné zabezpečiť súlad ex tunc s rozhodnutím v prejudiciálnom konaní, ktorým by Súdny dvor vyhlásil toto ustanovenie za nezlučiteľné s právom Únie. |
141. |
V prejednávanej veci nie je vzhľadom na uvedené skutočnosti potrebné obmedziť časový účinok rozsudku Súdneho dvora. |
142. |
Preto navrhujem odpovedať na štvrtú otázku v tom zmysle, že sporné ustanovenie nie je možné uplatňovať a zachovať jeho právne účinky až do nadobudnutia právoplatnosti konečného rozhodnutia, ktoré vyhlási Satversmes tiesa (Ústavný súd). |
V. Návrh
143. |
Vzhľadom na už uvedené navrhujem, aby Súdny dvor odpovedal na otázky, ktoré mu položil Satversmes tiesa (Ústavný súd, Lotyšsko), takto:
|
( 1 ) Jazyk prednesu: angličtina.
( 2 ) Pozri týždenník Tribune z 8. novembra 1946.
( 3 ) Nariadenie Európskeho parlamentu a Rady z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1).
( 4 ) Pozri rozsudok z 12. novembra 1969 (29/69, EU:C:1969:57, bod 7).
( 5 ) A nepochybne prvej veci týkajúcej sa základných práv v právnom poriadku Únie.
( 6 ) Smernica Európskeho parlamentu a Rady zo 17. novembra 2003 o opakovanom použití informácií verejného sektora (Ú. v. EÚ L 345, 2003, s. 90; Mim. vyd. 13/032, s. 701), zmenená smernicou Európskeho parlamentu a Rady 2013/37/EÚ z 26. júna 2013 (Ú. v. EÚ L 175, 2013, s. 1).
( 7 ) Smernica Európskeho parlamentu a Rady z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355).
( 8 ) Bernský dohovor o ochrane literárnych a umeleckých diel revidovaný v Paríži 24. júla 1971 a doplnený 28. septembra 1979.
( 9 ) Dohoda TRIPS (Dohoda o obchodných aspektoch práv duševného vlastníctva) predstavuje prílohu 1C Dohody o založení Svetovej obchodnej organizácie (dohoda WTO), ktorá bola schválená v mene Európskeho spoločenstva, pokiaľ ide o záležitosti v rámci jeho kompetencie, rozhodnutím Rady 94/800/ES z 22. decembra 1994 (Ú. v. ES L 336, 1994, s. 1; Mim. vyd. 11/021, s. 80).
( 10 ) V zmenenom a doplnenom znení, ktoré nadobudlo účinnosť 10. mája 2018.
( 11 ) Ministru kabineta 2004. gada 21. jūnija noteikumi Nr.551 Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi (nariadenie vlády č. 551 z 21. júna 2004 o Pravidlách uplatňovania systému pokutových bodov).
( 12 ) Aj keď to pôsobí nečakane, formulácia „pôsobnosť práva Únie“ nachádzajúca sa v článku 2 ods. 2 písm. a) nariadenia GDPR nie je v kontexte tohto nariadenia vôbec jasná, pozri WOLFF, H. A. In: PECHSTEIN, M., NOWAK, C., HÄDE, U. (eds.): Frankfurter Kommentar zu EUV, GRC und AEUV. Tübingen: Mohr Siebeck, 2017, zv. 2, článok 16 AEUV, bod 19.
( 13 ) Konkrétne ide o spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.
( 14 ) Súdny dvor to v súvislosti s článkom 3 ods. 2 smernice 95/46 konštatoval opakovane, pozri rozsudok z 10. júla 2018Jehovan todistajat (C‑25/17, EU:C:2018:551, bod 37 a tam citovaná judikatúra). Pozri tiež SOBOTTA, C. In: GRABITZ, E., HILF, M., NETTESHEIM, M. (eds.): Das Recht der Europäischen Union. Munich: C.H. Beck, 71. EL., aktualizované v auguste 2020, článok 16 AEUV, bod 22, kde autor poukazuje na širokú vecnú pôsobnosť režimu EÚ v oblasti ochrany údajov.
( 15 ) V tejto súvislosti pozri aj HATJE, A. In: SCHWARZE, J., BECKER, U., HATJE, A., SCHOO, J. (eds.): EU‑Kommentar. 4. Aufl. Baden‑Baden: Nomos, 2019, článok 16, bod 10, a BRÜHANN, U. In: von der GROEBEN, H., SCHWARZE, J., HATJE A. (eds.): Europäisches Unionsrecht (Kommentar). 7. Aufl. Baden‑Baden: Nomos, 2015, zv. 1, článok 16 AEUV, bod 130.
( 16 ) O „všeobecne uplatniteľných ustanoveniach“.
( 17 ) V súvislosti so smernicou 95/46 pozri napríklad rozsudky z 13. mája 2014, Google Spain a Google (C‑131/12, EU:C:2014:317, bod 66), a z 10. júla 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, bod 35).
( 18 ) Pôvodný zmysel režimu ochrany údajov v EÚ, ktorý súvisí s vnútorným trhom, pretrváva aj naďalej popri ochrane údajov ako samostatnej oblasti. Ako vyplýva z názvu nariadenia GDPR a z definície v jeho článku 1, predmet úpravy tohto nariadenia a jeho cieľ majú dvojakú povahu: stanoviť pravidlá týkajúce sa ochrany fyzických osôb v súvislosti so spracúvaním osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov. Okrem toho odôvodnenie 13 nariadenia GDPR stanovuje, že sa má zabrániť rozdielom, ktoré sú prekážkou voľného pohybu osobných údajov v rámci vnútorného trhu, a že riadne fungovanie vnútorného trhu si vyžaduje, aby voľný pohyb osobných údajov v rámci Únie nebol obmedzený ani zakázaný z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov.
( 19 ) Kurzívou zvýraznil generálny advokát.
( 20 ) Toto ustanovenie definuje oblasť pôsobnosti Charty.
( 21 ) Kurzívou zvýraznil generálny advokát.
( 22 ) Pozri napríklad ZERDICK, T. In: EHMANN, E., SELMAYR, M. (eds.): Datenschutz‑Grundverordnung, Kommentar. 2. Aufl. Munich: C.H. Beck, 2018, článok 2, bod 5.
( 23 ) Ide o judikatúru, ktorá sa opakuje od rozsudku z 26. februára 2013, Åkerberg Fransson (C‑617/10, EU:C:2013:105, bod 21). Pozri tiež rozsudky z 21. decembra 2016, AGET Iraklis (C‑201/15, EU:C:2016:972, bod 62); z 21. mája 2019, Komisia/Maďarsko (Právo na užívanie poľnohospodárskych pozemkov) (C‑235/17, EU:C:2019:432, bod 63), a z 24. septembra 2020, NK (Podnikové dôchodky riadiacich pracovníkov) (C‑223/19, EU:C:2020:753, bod 78).
( 24 ) Znenie článku 2 ods. 2 písm. a) nariadenia GDPR je podľa mňa neurčité. V zmysle ustálenej judikatúry Súdneho dvora treba na účely výkladu ustanovenia práva Únie zohľadniť nielen jeho znenie, ale aj jeho kontext a ciele sledované právnou úpravou, ktorej je súčasťou, a najmä vývoj tejto právnej úpravy, pozri napríklad rozsudok zo 17. apríla 2018Egenberger (C‑414/16, EU:C:2018:257, bod 44 a tam citovaná judikatúra).
( 25 ) Pozri v tomto zmysle aj LUBASZ, D. In: LUBASZ, D. (ed.): Ochrona danych osobowych. Varšava: Wolters Kluwer, 2020, bod 92.
( 26 ) A predtým to platilo aj o článku 114 ZFEÚ.
( 27 ) Pozri článok 10 nariadenia GDPR.
( 28 ) Najmä ak vezmeme do úvahy, že národné identifikačné číslo sa zvyčajne dáva pri príležitosti úradného zaznamenania narodenia, čo je otázka, ktorá sa zvyčajne nespája s právomocou EÚ.
( 29 ) Pozri vyhlásenie č. 20 pripojené k záverečnému aktu medzivládnej konferencie, ktorá prijala Lisabonskú zmluvu podpísanú 13. decembra 2007.
( 30 ) Vzhľadom na článok 94 ods. 2 nariadenia GDPR sa odkazy na smernicu 95/46 majú vnímať ako odkazy na nariadenie GDPR.
( 31 ) Pozri článok 15 ods. 1 smernice Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúcej sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 2002, s. 37; Mim. vyd. 13/029, s. 514). V súvislosti s týmto ustanovením pozri rozsudok z 29. januára 2008, Promusicae (C‑275/06, EU:C:2008:54, bod 49).
( 32 ) Najmä zabezpečovanie územnej celistvosti štátu, udržiavanie verejného poriadku a zabezpečovanie národnej bezpečnosti.
( 33 ) V súvislosti s týmto výrazom pozri FRANZIUS, C. In: PECHSTEIN, M., NOWAK, C., HÄDE U. (eds.): Frankfurter Kommentar zu EUV, GRC und AEUV. Tübingen: Mohr Siebeck, 2017, zv. 1, článok 4 ZEÚ, bod 50: „Staatsfunktionengarantie“.
( 34 ) Pozri článok 2 ods. 2 písm. b) nariadenia GDPR.
( 35 ) Pozri článok 2 ods. 2 písm. c) nariadenia GDPR.
( 36 ) Pozri článok 2 ods. 2 písm. d) nariadenia GDPR.
( 37 ) Okrem toho článok 39 ZEÚ obsahuje osobitný právny základ na účel spracúvania osobných údajov členskými štátmi, keď konajú v rámci spoločnej zahraničnej a bezpečnostnej politiky. V rámci Lisabonskej zmluvy sa tak v tomto ohľade zachoval rozdielny prístup na základe „pilierov“, pozri LYNSKEY, O.: The Foundations of EU Data Protection Law. Oxford: OUP, 2015, s. 18.
( 38 ) Pozri smernicu Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 2016, s. 89).
( 39 ) Okrem toho pozri rozsudok zo 6. októbra 2020, La Quadrature du Net a i. (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 102).
( 40 ) Jedným z príkladov je vec, v ktorej Súdny dvor aktívne neskúmal, či charitatívne alebo cirkevné aktivity spadajú do pôsobnosti práva Únie (pozri rozsudok zo 6. novembra 2003, Lindqvist,C‑101/01, EU:C:2003:596, bod 48).
( 41 ) Pozri rozsudok z 20. mája 2003, Österreichischer Rundfunk a i. (C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294, bod 42).
( 42 ) V právnej vede pozri aj KRANENBORG, H. In: KUNER, C., BYGRAVE, L. A., DOCKSEY, C. (eds.): The EU General Data Protection Regulation (GDPR). Oxford: OUP, 2020, článok 86, A., s. 1214. Pozri tiež PAULY, D. A. In: PAAL, B. P., PAULY, D. A.: Datenschutz‑Grundverordnung, Bundesdatenschutzgesetz. Munich: C.H. Beck, 2018, článok 86 DS‑GVO, bod 9.
( 43 ) V tejto súvislosti pozri aj KRANENBORG, H.: c. d., článok 86, C.1., s. 1217, vrátane poznámky pod čiarou 14. Rovnaký autor správne poukazuje na skutočnosť, že v pôvodnom návrhu Komisie sa tejto otázke venovalo iba odôvodnenie, a nebola predmetom nijakého ustanovenia.
( 44 ) Z tohto ustanovenia vyplýva, že ak dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely, spracúvanie je v rozsahu tohto súhlasu zákonné.
( 45 ) Alebo ak je spracúvanie povolené právom Únie, alebo právom členského štátu poskytujúcim primerané záruky ochrany práv a slobôd dotknutých osôb.
( 46 ) Ide napríklad o španielsku jazykovú verziu (condenas e infracciones penales), nemeckú jazykovú verziu (strafrechtliche Verurteilungen und Straftaten), taliansku jazykovú verziu (condanne penali e … reati), litovskú jazykovú verziu (apkaltinamuosius nuosprendžius ir nusikalstamas veikas), maltskú jazykovú verziu (kundanni kriminali u reati) a holandskú jazykovú verziu (strafrechtelijke veroordelingen en strafbare feiten).
( 47 ) Napríklad francúzska jazyková verzia (condamnations pénales et… infractions), poľská jazyková verzia (wyroków skazujących oraz naruszeń prawa), portugalská jazyková verzia (condenações penais e infrações) a rumunská jazyková verzia (condamnări penale și infracțiuni).
( 48 ) Z výhradne jazykového výkladu totiž môže vyplývať, že aj „uznanie viny“ by teoreticky mohlo mať administratívnoprávnu povahu.
( 49 ) Ako príklad pozri rozsudok z 25. júna 2020, A a i. (Veterné elektrárne v obciach Aalter a Nevele) (C‑24/19, EU:C:2020:503, bod 39 a tam citovaná judikatúra).
( 50 ) Pozri rozsudok zo 6. októbra 1982, Cilfit a i. (283/81, EU:C:1982:335, bod 18).
( 51 ) Ako príklad pozri rozsudky z 30. mája 2013, Genil 48 a Comercial Hostelera de Grandes Vinos (C‑604/11, EU:C:2013:344, bod 38 a tam citovaná judikatúra), a zo 6. septembra 2012, Parlament/Rada (C‑490/10, EU:C:2012:525, bod 68).
( 52 ) V tomto zmysle pozri aj KAWECKI, M., BARTA, P. In: LITWIŃSKI, P. (ed.): Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz. Varšava: C.H. Beck, 2018, článok 10, bod 3.
( 53 ) „Spracovanie údajov týkajúcich sa trestných činov, registra trestov alebo bezpečnostných opatrení možno vykonávať iba pod kontrolou oficiálneho úradu…“. Kurzívou zvýraznil generálny advokát.
( 54 ) „Členské štáty môžu zabezpečiť, aby údaje, ktoré sa týkajú administratívnych sankcií alebo rozhodnutí v civilných prípadoch, boli tiež spracovávané pod kontrolou úradnej moci.“ Kurzívou zvýraznil generálny advokát.
( 55 ) Ako príklad pozri rozsudok z 1. októbra 2019, Planet49 (C‑673/17, EU:C:2019:801, bod 47 a tam citovaná judikatúra.)
( 56 ) Tamže.
( 57 ) Pozri rozsudok zo 17. septembra 2020, JZ (Trest odňatia slobody v prípade zákazu vstupu) (C‑806/18, EU:C:2020:724, bod 26 a tam citovaná judikatúra).
( 58 ) Pozri tiež v tomto zmysle GEORGIEVA, L.: The EU General Data Protection Regulation (GDPR). C. d., článok 10, C.1., s. 388, a SCHIFF, A.: Datenschutz‑Grundverordnung, Kommentar. C.d., článok 10, bod 4.
( 59 ) Uvedená smernica bola mimochodom prijatá v rovnaký deň ako nariadenie GDPR.
( 60 ) Právo nebyť stíhaný alebo potrestaný v trestnom konaní dvakrát za ten istý trestný čin.
( 61 ) Pozri tiež poučné návrhy, ktoré predniesla generálna advokátka Kokott vo veci Bonda (C‑489/10, EU:C:2011:845, bod 32 a nasl.).
( 62 ) Pozri rozsudok Európskeho súdu pre ľudské práva z 8. júna 1976, Engel a i. v. Holandsko (CE:ECHR:1976:0608JUD000510071, body 80 až 82), a z 10. februára 2009, Sergej Zolotuchin v. Rusko (CE:ECHR:2009:0210JUD001493903, body 52 a 53).
( 63 ) Pozri rozsudok z 5. júna 2012, Bonda (C‑489/10, EU:C:2012:319, bod 37).
( 64 ) Keďže v prejednávanej veci ide o pokutové body, ktoré, ako bolo uvedené, nie sú prísnym postihom, je potrebné uviesť, že toto zistenie preto nespochybňuje ani rozsudok Súdneho dvora zo 14. novembra 2013, Baláž (C‑60/12, EU:C:2013:733), v ktorom išlo o širšiu a všeobecnejšiu problematiku „príslušnosti predovšetkým v trestných veciach“ v súvislosti s dopravnými priestupkami všeobecne, a nie iba v súvislosti s pokutovými bodmi, v kontexte rámcového rozhodnutia Rady 2005/214/SVV z 24. februára 2005 o uplatňovaní zásady vzájomného uznávania na peňažné sankcie (Ú. v. EÚ L 76, 2005, s. 16).
( 65 ) Tento článok sa, ako bude uvedené ďalej, aj tak neuplatňuje.
( 66 ) V tejto súvislosti je legitímna otázka, či sú splnené požiadavky článku 94 písm. c) Rokovacieho poriadku Súdneho dvora, ak by to tak však nebolo, otázka by bola neprípustná.
( 67 ) Pozri rozsudok zo 16. januára 2019, Deutsche Post (C‑496/17, EU:C:2019:26, bod 57 a tam citovaná judikatúra).
( 68 ) Článok 5 nariadenia GDPR je formulovaný kogentne („musia“), pričom rôzne zásady v ňom uvedené sú prepojené bodkočiarkami vo význame spojky „a“, a nie „alebo“.
( 69 ) V článku 6 nariadenia GDPR sa uvádza „aspoň jedna z… podmienok“.
( 70 ) Pozri rozsudok z 9. marca 2017, Manni (C‑398/15, EU:C:2017:197, bod 35).
( 71 ) Článok 2 písm. b) a d) smernice 95/46.
( 72 ) Táto zásada sa ďalej rozvíja v kapitole IV oddiele 2 nariadenia GDPR (články 32 až 34).
( 73 ) V tejto súvislosti pozri aj PÖTTERS, S. In: GOLA, P. (ed.): Datenschutz‑Grundverordnung VO (EU) 2016/679, Kommentar. 2. Aufl. Munich: C.H. Beck, 2018, článok 5, bod 29.
( 74 ) V tomto odôvodnení sa uvádza, že na to, aby bolo spracúvanie zákonné, by sa mali osobné údaje spracúvať na základe súhlasu dotknutej osoby alebo na nejakom inom legitímnom základe, ktorý je stanovený v právnych predpisoch, a to buď v nariadení GDPR, alebo v iných právnych predpisoch Únie, alebo v práve členského štátu, ako je to uvedené v tomto nariadení, vrátane nevyhnutnosti plnenia zákonných povinností, ktoré má prevádzkovateľ, alebo nevyhnutnosti plnenia zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo s cieľom podniknúť kroky na požiadanie dotknutej osoby pred uzavretím zmluvy.
( 75 ) V tejto súvislosti pozri aj HERBST, T. In: BUCHNER, J., KÜHLING, B. (eds.): Datenschutz‑Grundverordnung/BDSG, Kommentar. 2. Aufl. Munich: C.H. Beck, 2018, článok 5 DS‑GVO, bod 11, a PÖTTERS, S.: c. d., článok 5, bod 6. V súvislosti so všeobecnejším pochopením zákonnosti ako požiadavky súladu so všetkými ustanoveniami nariadenia, pozri LUBASZ, D. In: LUBASZ, D. (ed.): Ochrona danych osobowych. Varšava: Wolters Kluwer, 2020, bod 186.
( 76 ) Aj keby bolo potrebné overiť splnenie požiadaviek článku 6 nariadenia GDPR v rámci článku 5 tohto nariadenia, považoval by som predmetné spracúvanie za zákonné v zmysle článku 6 ods. 1 písm. c) nariadenia GDPR ako spracúvanie, ktoré je nevyhnutné na splnenie právnej povinnosti prevádzkovateľa, keďže CSDD sprístupnením pokutových bodov verejnosti plní svoju povinnosť v zmysle vnútroštátneho práva.
( 77 ) Pokiaľ ide v tejto súvislosti o odkaz rakúskej vlády na rozsudok Bundesverfassungsgericht (Spolkový ústavný súd, Nemecko) z 27. februára 2008 [1 BvR 370/07 a 1 BvR 595/07 (ECLI:DE:BVerfG:2008:rs20080227.1bvr037007), BVerfGE 120, 274 a nasl., s. 314, prístupný na: http://www.bverfg.de/e/rs20080227_1bvr037007en.html], nie som si úplne istý jeho relevantnosťou, pretože tento rozsudok sa týka hmotnoprávneho základného práva, kým článok 5 ods. 1 písm. f) nariadenia GDPR sa týka formálnych náležitostí, ako bolo uvedené v predchádzajúcich bodoch vyššie.
( 78 ) Toto ustanovenie ďalej uvádza, že ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely sa v súlade s článkom 89 ods. 1 nariadenia GDPR nepovažuje za nezlučiteľné s pôvodnými účelmi.
( 79 ) Pozri v tejto súvislosti LUBASZ, D. In: LUBASZ D. (ed.): Ochrona danych osobowych. Varšava: Wolters Kluwer, 2020, bod 202.
( 80 ) Pozri napríklad rozsudok z 9. novembra 2010, Volker und Markus Schecke a Eifert (C‑92/09 a C‑93/09, EU:C:2010:662, bod 74 a tam citovaná judikatúra).
( 81 ) Toto ustanovenie bolo do smernice 2003/38 doplnené v roku 2013, pozri článok 1 ods. 1 písm. a) bod iii) smernice Európskeho parlamentu a Rady 2013/37/EÚ z 26. júna 2013, ktorou sa mení smernica 2003/98/ES o opakovanom použití informácií verejného sektora (Ú. v. EÚ L 175, 2013, s. 1 až 8).
( 82 ) Článok 1 ods. 4 smernice 2003/98 v tejto súvislosti odkazuje na smernicu 95/46.
( 83 ) Pokiaľ ide o smernicu Európskeho parlamentu a Rady (EÚ) 2019/1024 z 20. júna 2019 o otvorených dátach a opakovanom použití informácií verejného sektora (Ú. v. EÚ L 172, 2019, s. 56), ktorou sa v článku 19 ruší smernica 2003/98 s účinnosťou od 17. júla 2021, pozri článok 1 ods. 2 písm. f) smernice 2019/1024.
( 84 ) To sa bežne označuje za účinok ex tunc rozhodnutí v prejudiciálnom konaní podľa článku 267 ZFEÚ.
( 85 ) Pozri napríklad rozsudky z 29. septembra 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, bod 44), a z 28. októbra 2020, Bundesrepublik Deutschland (Stanovenie sadzieb mýta za použitie diaľnic) (C‑321/19, EU:C:2020:866, bod 54).
( 86 ) Pozri napríklad rozsudky z 29. septembra 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, bod 45), a z 28. októbra 2020, Bundesrepublik Deutschland (Stanovenie sadzieb mýta za použitie diaľnic) (C‑321/19, EU:C:2020:866, bod 55).
( 87 ) Pozri rozsudky z 8. septembra 2010, Winner Wetten (C‑409/06, EU:C:2010:503, bod 67), a z 19. novembra 2009, Filipiak (C‑314/08, EU:C:2009:719, bod 84). Pozri tiež rozsudok zo 6. marca 2007, Meilicke a i. (C‑292/04, EU:C:2007:132, bod 36 a tam citovaná judikatúra).
( 88 ) Pozri rozsudky zo 17. decembra 1970, Internationale Handelsgesellschaft (11/70, EU:C:1970:114, bod 3), a z 8. septembra 2010, Winner Wetten (C‑409/06, EU:C:2010:503, bod 61).
( 89 ) Pozri napríklad rozsudky z 29. septembra 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, bod 45), a z 28. októbra 2020, Bundesrepublik Deutschland (Stanovenie sadzieb mýta za použitie diaľnic) (C‑321/19, EU:C:2020:866, bod 55).
( 90 ) Pozri aj LENAERTS, K., MASELIS, I., GUTMAN, K.: EU Procedural Law. Oxford: Oxford University Press, 2014, bod 6.34, s. 247.
( 91 ) Pozri napríklad rozsudok zo 16. septembra 2020, Romenergo a Aris Capital (C‑339/19, EU:C:2020:709, bod 49 a tam citovaná judikatúra).