1.

Voznik taksija je ustavil vozilo ob robu ceste v Rigi. Ko je mimo pripeljal avtobus družbe Rīgas satiksme (v nadaljevanju: nasprotna stranka), je potnik v taksiju naenkrat odprl vrata. Prišlo je do trčenja, v katerem je nastala škoda na avtobusu. Družba Rīgas satiksme je od policije (v nadaljevanju: pritožnica) zahtevala, naj razkrije istovetnost potnika. Želela ga je pred sodiščem, pristojnim za civilne zadeve, tožiti za škodo, nastalo na avtobusu. Policija je družbi Rīgas satiksme posredovala le potnikovo ime. Ni pa ji hotela posredovati njegove matične številke in naslova.

2.

Ob tem dejanskem stanju predložitveno sodišče sprašuje, ali je s členom 7(f) Direktive 95/46/ES (v nadaljevanju: Direktiva) ( 2 ) naložena obveznost razkritja vseh osebnih podatkov, potrebnih za začetek civilnega postopka proti osebi, ki je domnevno odgovorna za prekršek. Poleg tega ga zanima, ali bi bil odgovor na vprašanje drugačen, če bi bila ta oseba mladoletna.

3.

Člen 7 določa, da „[ima vsakdo] pravico do spoštovanja svojega zasebnega in družinskega življenja, stanovanja ter komunikacij“.

4.

V členu 8 je določeno:

5.

Člen 16(1) PDEU določa, da „[ima vsakdo] pravico do varstva osebnih podatkov, ki se nanašajo nanj“.

6.

Člen 2 določa številne opredelitve pojmov za namene Direktive.

[…]

[…]“

7.

Člen 5 v poglavju II, naslovljenem „Splošna pravila o zakonitosti obdelave osebnih podatkov“, določa, da „[d]ržave članice v mejah določb tega poglavja natančneje določijo pogoje, pod katerimi je obdelava osebnih podatkov zakonita.

8.

Člen 6(1) določa: „Države članice določijo, da morajo biti osebni podatki:

[…]

[…].“

9.

Člen 7 določa: „Države članice določijo, da se lahko osebni podatki obdelujejo samo, če:

10.

S členom 8 je načeloma prepovedana obdelava posebnih vrst podatkov, kot so osebni podatki, ki kažejo na rasni ali etnični izvor, politična mnenja, verska ali filozofska prepričanja. Vendar je določena vrsta izjem.

11.

Med drugim se v skladu s členom 8(2)(e) prepoved ne uporabi, če „[je] obdelava […] potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov“.

12.

Člen 8(5) določa:

„[…] Države članice lahko določijo, da se podatki v zvezi z upravnimi kaznimi ali sodbami v civilnih zadevah lahko tudi obdelujejo pod nadzorom uradnega organa“.

13.

V skladu s členom 8(7) „[d]ržave članice določijo pogoje, pod katerimi se lahko obdela nacionalna identifikacijska številka ali kateri koli drug identifikator splošne uporabe“.

14.

Na podlagi člena 14 „[d]ržave članice priznavajo posamezniku, na katerega se osebni podatki nanašajo, pravico:

[…]“

15.

Direktiva je bila nedavno razveljavljena z Uredbo (EU) št. 2016/679. ( 3 ) Ta je začela veljati 24. maja 2016. Vendar se bo nova uredba uporabljala šele od 25. maja 2018.

16.

Člen 7 Fizisko personu datu aizsardzības likums (zakon o varstvu osebnih podatkov) je oblikovan podobno kot člen 7 Direktive. V njem je določeno, da je obdelava osebnih podatkov, če ni v zakonu določeno drugače, dovoljena, le če je izpolnjen vsaj eden od naslednjih pogojev:

17.

Decembra 2012 se je v Rigi zgodila prometna nezgoda. Voznik taksija je svoje vozilo ustavil ob robu ceste. Ko je mimo taksija pripeljal avtobus družbe Rīgas satiksme, je potnik v taksiju odprl vrata, ki so oplazila in poškodovala avtobus. Zaradi nezgode je bil uveden postopek o prekršku. Sestavljeno je bilo poročilo, v katerem je bilo ugotovljeno, da je bil storjen prekršek.

18.

Družba Rīgas satiksme je najprej zahtevala odškodnino od zavarovalnice, pri kateri je imel lastnik taksija zavarovano civilno odgovornost, saj je menila, da je za nezgodo odgovoren taksist. Vendar je zavarovalnica družbi Rīgas satiksme sporočila, da odškodnine ne bo izplačala, ker za nezgodo ni odgovoren taksist, ampak potnik, proti kateremu lahko družba Rīgas satiksme sproži civilni postopek.

19.

Družba Rīgas satiksme se je obrnila na Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvaldes Satiksmes administratīvo pārkāpumu izskatīšanas birojs (urad za prometne prekrške pri varnostni policiji regije Riga, v nadaljevanju: policija). Zaprosila je za podatke o osebi, ki ji je bila zaradi nezgode izrečena sankcija v postopku o prekršku. Natančneje, zaprosila je za ime, priimek, številko osebnega dokumenta in naslov stalnega prebivališča potnika v taksiju ter kopije dokumentov, iz katerih izhajajo izjave taksista in potnika o okoliščinah nezgode. Družba Rīgas satiksme je policiji zagotovila, da se bodo zaprošeni podatki uporabili samo za potrebe civilnopravnega postopka, ki bo sprožen zoper to osebo.

20.

Policija je le delno ugodila zahtevi družbe Rīgas satiksme. Posredovala ji je le ime in priimek potnika v taksiju. Ni ji hotela posredovati številke osebnega dokumenta in naslova stalnega prebivališča te osebe. Prav tako družbi Rīgas satiksme ni posredovala izjav oseb, udeleženih v nezgodi.

21.

Policija je v odločbi navedla, da je mogoče dokumente iz spisa v postopku o prekršku, v katerem so izrečene sankcije, posredovati samo strankam tega postopka. Družba Rīgas satiksme ni bila taka stranka. Poleg tega, kar zadeva številko osebnega dokumenta in naslov stalnega prebivališča, Datu valsts inspekcija (latvijska agencija za varstvo podatkov) prepoveduje posredovanje takih podatkov, ki se nanašajo na posameznike.

22.

V skladu s členom 261) Latvijas Administratīvo pārkāpumu kodekss (latvijski zakonik o prekrških) je mogoče osebi v prekrškovnem postopku, v katerem so izrečene sankcije, na izrecno zahtevo priznati položaj oškodovanca. Družba Rīgas satiksme v zadevnem prekrškovnem postopku ni izkoristila pravice zahtevati položaj oškodovanca.

23.

Družba Rīgas satiksme je sprožila upravni spor zoper odločbo policije v delu, v katerem je bilo z njo zavrnjeno razkritje številke osebnega dokumenta in naslova stalnega prebivališča potnika v taksiju.

24.

Administratīvā rajona tiesa (prvostopenjsko upravno sodišče) je s sodbo z dne 16. maja 2014 ugodilo tožbi podjetja Rīgas satiksme. Policiji je naložilo, naj posreduje podatke, zahtevane v prošnji, in sicer številko osebnega dokumenta in naslov stalnega prebivališča potnika v taksiju.

25.

Policija se je zoper to sodbo pritožila pri Augstākā tiesa (vrhovno sodišče, Latvija), ki je v tej zadevi predložitveno sodišče. Predložitveno sodišče je najprej zaprosilo za mnenje latvijsko agencijo za varstvo podatkov. Ta je navedla, da se v tej konkretni zadevi podatki ne smejo posredovati na podlagi člena 7(6) zakona o varstvu osebnih podatkov, ker so fizične in pravne osebe, ki jim policija lahko posreduje podatke o zadevi, določene z zakonikom o prekrških. Tako se lahko osebni podatki v zvezi s prekrškovnim postopkom, v katerem so izrečene sankcije, razkrijejo le v skladu z odstavki od 3 do 5 tega člena. Poleg tega s členom 7 tega zakona upravljavec podatkov (v tem primeru policija) ni zavezan k obdelavi podatkov: ta mu je zgolj dovoljena.

26.

Latvijska agencija za varstvo podatkov je tudi navedla, da lahko družba Rīgas satiksme podatke pridobi na drug način: bodisi s podajo obrazložene zahteve na Iedzīvotāju reģistra likums (register prebivalstva) ali, na podlagi členov 98, 99 in 100 Civilprocesa likums (latvijski zakon o civilnem postopku), s prošnjo sodiščem za pridobitev dokazov. Zadevno sodišče lahko nato policiji naloži razkritje osebnih podatkov, ki jih družba Rīgas satiksme potrebuje za začetek civilnega postopka proti zadevni osebi.

27.

Predložitveno sodišče dvomi o alternativnih možnostih za pridobitev osebnih podatkov, na katere se sklicuje latvijska agencija za varstvo podatkov. Če se na register prebivalstva naslovi prošnja zgolj z navedbo imena potnika v taksiju, je mogoče, da ima zadevno ime več ljudi. Tako je mogoče zadevno osebo identificirati le z dodatnimi podatki, kakršni so ti, ki so zahtevani v tej zadevi (številka osebnega dokumenta in naslov stalnega prebivališča). Poleg tega je latvijska agencija za varstvo podatkov navedla določbe zakona o civilnem postopku glede pridobitve dokazov. V skladu s členom 128 zakona o civilnem postopku je treba ob vložitvi tožbe navesti ime, priimek in (če je znana) številko osebnega dokumenta tožene stranke ter naslov njenega stalnega prebivališča in dodaten naslov, naveden v registru prebivalstva, ali ob njunem neobstoju naslov za vročanje. Tako bi morala tožeča stranka vedeti vsaj za prebivališče tožene stranke.

28.

Po navedbah predložitvenega sodišča tako alternativne možnosti za pridobitev potrebnih osebnih podatkov niso jasne ali uporabne. Zato bo morda družba Rīgas satiksme za zasledovanje svojih zakonitih interesov morala pridobiti zahtevane osebne podatke od policije.

29.

Predložitveno sodišče tudi dvomi o razlagi pojma „potrebna“ iz člena 7(f) in meni, da je ta razlaga odločilna za izid tega postopka.

30.

Augstākās tiesas Administratīvo lietu (vrhovno sodišče (upravni oddelek), Latvija) je zato prekinilo odločanje in Sodišču v predhodno odločanje predložilo to vprašanje:

„Ali je treba izraz ,je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva […] tretja stranka ali stranke, ki so jim osebni podatki posredovani‘ iz člena 7(f) Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov razlagati tako, da mora nacionalna policija družbi Rīgas satiksme razkriti osebne podatke, za katere je ta zaprosila in ki so potrebni za vložitev civilne tožbe? Ali na odgovor na to vprašanje vpliva, da je bil, kot izhaja iz dokumentov v spisu, potnik v taksiju, katerega podatke želi pridobiti družba Rīgas satiksme, v času nezgode mladoleten?“

31.

Pisna stališča so predložile družba Rīgas satiksme, Komisija ter češka, španska, latvijska, avstrijska in portugalska vlada. Komisija in latvijska vlada sta na obravnavi 24. novembra 2016 podali ustne navedbe.

32.

Predložitveno sodišče v bistvu sprašuje, ali na podlagi Direktive obstaja dolžnost upravljavca za razkritje podatkov, ki bi omogočali identifikacijo osebe, ki je domnevno odgovorna za prekršek, tako da bi lahko družba Rīgas satiksme začela civilni postopek.

33.

Moj kratek odgovor na to konkretno vprašanje predložitvenega sodišča je „ne“. Z Direktivo ni vzpostavljena taka obveznost. Z njo je zgolj dana možnost (v smislu odobritve ali dovoljenja) za to, če je izpolnjena vrsta pogojev. Možnost nekega ravnanja na podlagi pravne ureditve pa je nekaj drugega kot obveznost tega ravnanja.

34.

Vendar se glede na dejansko stanje obravnavane zadeve problematika tu ne končna. Vsaj delno – namreč v zvezi s podatki, ki so bili dejansko posredovani – je Sodišče tudi naprošeno, naj določi pogoje za uporabo člena 7(f) Direktive ter vrsto in obseg osebnih podatkov, ki jih lahko ob uporabi te določbe pridobi tisti, ki zahteva podatke.

35.

Zato so ti sklepni predlogi razčlenjeni tako: prvič, pojasnim, zakaj po mojem mnenju iz Direktive ne izhaja obveznost razkritja s strani subjekta, ki ima podatke (del A). Drugič, da bi predložitvenemu sodišče v obravnavani zadevi podal popoln in uporaben odgovor, določim pogoje uporabe člena 7(f) Direktive in obseg osebnih podatkov, ki jih je mogoče razkriti, če so izpolnjeni pogoji (del B).

36.

Predložitveno sodišče sprašuje, ali morajo biti osebni podatki razkriti zaradi uvedbe civilnega postopka na podlagi člena 7(f) Direktive. Drugače povedano, predložitveno sodišče sprašuje, ali je s samo Direktivo naložena dolžnost razkritja teh osebnih podatkov.

37.

Menim, da iz same Direktive ni mogoče izpeljati take obveznosti. To je nedvoumno razvidno iz besedila in sistema ter tudi namena Direktive.

38.

Če začnem s sistemom in logiko Direktive, je standardno pravilo, na katerem temelji Direktiva, da se osebni podatki načeloma ne bi smeli obdelovati, tako da se zagotovi visoka raven varstva pravice do zasebnosti. ( 4 ) Obdelava osebnih podatkov po svoji naravi ostaja nekaj relativno izjemnega.

39.

Člen 7 je umeščen v ta sistem. V tem členu je določen seznam izjem od standardnega pravila, pri čemer je obdelava zakonita pod nekaterimi strogo oblikovanimi pogoji. Tako so kategorije iz člena 7 izjeme od splošnega pravila.

40.

Ob upoštevanju navedenega je z besedilom člena 7 jasno potrjeno, da je treba naštete kategorije šteti zgolj za možnost ali omogočanje obdelave osebnih podatkov, in ne za obveznost, če dejansko stanje spada v eno od pravnih izjem. V skladu s to določbo „[d]ržave članice določijo, da se lahko osebni podatki obdelujejo samo, če […]“. ( 5 ) Ta dikcija, ki je uporabljena tudi v drugih jezikovnih različicah, ( 6 ) jasno kaže, da so izjeme iz člena 7 resnično izjeme. Ni jih mogoče razlagati kot obveznost obdelave podatkov.

41.

Dejstvo, da imajo vsaj nekatere izjeme iz člena 7 neposredni učinek, ( 7 ) ne spremeni prejšnjega sklepa. Same po sebi ne ustvarjajo pravice do pridobitve podatkov za tiste, ki zanje prosijo, prav tako pa ne ustvarjajo s tem povezane obveznosti za tiste, ki podatke imajo, da jih razkrijejo. Člen 7 tako določa splošna pravila, da lahko obdelovalec podatkov določi, kdaj, ali, kako in v kolikšni meri sme obdelovati osebne podatke, ki jih je pridobil.

42.

Nazadnje, splošni namen Direktive je zagotoviti skupne EU omejitve ali meje pri obdelavi osebnih podatkov. Konkretne posamične podlage in razloge za obdelavo bo nato tipično mogoče najti v nacionalnem pravu ali v drugih pravnih instrumentih Unije. Drugače povedano, z Direktivo so vzpostavljene meje obdelave podatkov, ne pa pobude zanjo.

43.

Tako besedilo, sistem, logika in namen Direktive povsem jasno kažejo, da člena 7(f) Direktive ni mogoče razlagati tako, da sam po sebi določa obveznost razkritja osebnih podatkov.

44.

V širšem sistemskem in subsidiarnem smislu je mogoče dodati tudi, da podobna struktura nikakor ni neobičajna na drugih področjih prava Unije, na katerih so instrumenti sekundarnega prava Unije neposredno ali posredno povezani z osebnimi podatki.

45.

Na primer, Direktiva 2002/58/ES o zasebnosti in elektronskih komunikacijah, ( 8 ) s katero je dopolnjena Direktiva 95/46 na področju elektronskih komunikacij, prav tako ne vsebuje obveznosti razkritja. Sodišče je v sodbi Promusicae jasno potrdilo, da prva ne preprečuje državam članicam – prav tako pa jih ne zavezuje – da določijo obveznost razkritja osebnih podatkov v okviru civilnega sodnega postopka. ( 9 ) Zato se morajo države članice same odločiti. Ne gre za nujno posledico prava Unije.

46.

Podobno je Sodišče razsodilo, da z drugimi direktivami, ( 10 ) ki se nanašajo na osebne podatke, a so pretežno namenjene zagotovitvi učinkovitega varstva intelektualne lastnine v informacijski družbi, ( 11 ) prav tako ni bilo zahtevano, da države članice določijo obveznost posredovanja osebnih podatkov za zagotovitev učinkovitega varstva avtorske pravice v okviru civilnega sodnega postopka. ( 12 )

47.

Kot je navedlo predložitveno sodišče, je nasprotna stranka dejansko prejela nekatere osebne podatke: ime in priimek zadevne osebe. Preostanek njene zahteve je bil zavrnjen. To se je domnevno zgodilo na podlagi nacionalnega prava.

48.

Zato – in ob upoštevanju dejansko razkritih osebnih podatkov – je upoštevno vprašanje, ali je bilo to razkritje v skladu s členom 7 Direktive.

49.

Vendar je treba jasno poudariti, da se naslednji del teh sklepnih predlogov nanaša na možnost za razkritje osebnih podatkov ob dejanskem stanju, kot je to iz postopka v glavni stvari, če je z nacionalnim pravom dana pravna podlaga za tako razkritje. Drugače povedano, kakšne meje so s pravom Unije določene za razkritje osebnih podatkov v takem položaju? Če bi bilo z nacionalnim pravom določeno razkritje osebnih podatkov v podobnem položaju, ali bi bilo tako razkritje v skladu s členom 7(f) Direktive?

50.

Menim, da je v položaju, kot je ta v postopku v glavni stvari, popolnoma v skladu s členom 7(f), da se osebni podatki posredujejo v obsegu in stopnji, ki bi oškodovancu omogočala začetek civilnega postopka.

51.

Zato bom v tem delu, prvič, obravnaval ustrezno pravno podlago za obdelavo osebnih podatkov v Direktivi ob podobnem dejanskem stanju. Drugič, predlagal bom pogoje za uporabo člena 7(f) Direktive. Tretjič, ocenil bom obravnavano zadevo ob upoštevanju teh pogojev.

52.

Predhodno vprašanje, ki je bilo obravnavano tako v pisnih stališčih kot v okviru ustnih navedb, je, kateri pododstavek člena 7 Direktive bi se moral uporabiti ob dejanskem stanju, kot je to iz postopka v glavni stvari.

53.

Večina strank in intervenientk se je oprla na člen 7(f), na katerega se je sklicevalo predložitveno sodišče. Avstrijska vlada pa je v pisnih stališčih trdila, da člen 7(f) Direktive ni pravilna pravna podlaga, in to niti za namen sprožitve civilnega postopka. To velja zato, ker je v njem domnevno določena preveč splošna in nenatančna podlaga za obdelavo podatkov. Zato z njim ne more biti upravičen tak poseg v pravico do varstva podatkov.

54.

Komisija se je pisnih stališčih osredotočila na člen 7(f). V okviru ustnih navedb pa je zavzela še stališče, da bi lahko obdelava podatkov, kot je ta iz postopka v glavni stvari, spadala tudi pod člen 7, točka (c) ali (e), Direktive.

55.

Člen 7 Direktive določa drugačne pravne podlage za zakonito obdelavo podatkov, tako da razlikuje šest možnosti. Da bi se podatki lahko obdelovali, morajo spadati v vsaj eno kategorijo iz člena 7. Vendar je jasno, da se obseg in namen teh določb razlikujeta.

56.

V širšem abstraktnem smislu člen 7 vsebuje tri vrste izjem, pri katerih je obdelava osebnih podatkov zakonita: prvič, če je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev (člen 7(a)); drugič, če se v določeni meri predpostavljajo zakoniti interesi upravljavca ali tretjih strank (člen 7, od (b) do (e)); in tretjič, če so nasprotujoči si zakoniti interesi ne le izkazani, ampak prevladajo nad interesi ali pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki (člen 7(f)).

57.

Tako je obseg člena 7(f) resnično širši od obsega člena 7, točki (c) ali (e). Prvi ni vezan na konkretne pravne ali dejanske okoliščine, ampak je oblikovan precej splošno. Vendar je njegova uporaba strožja, saj je pogojena z dejanskim obstojem zakonitih interesov upravljavca ali tretje stranke, ki prevladajo nad interesi posameznika, na katerega se nanašajo osebni podatki, kar s členom 7, točki (c) ali (e), ni zahtevano.

58.

Toda če tu zanemarim akademske razprave, je smiselno poudariti dvoje. Prvič, izjeme iz člena 7 se medsebojno ne izključujejo. Tako je mogoče, da se ob nekem dejanskem stanju uporabita dve ali celo vse tri. ( 13 ) Drugič, kljub nekoliko različnim dikcijam je praktična razlika v uporabi minimalna, če obstaja jasno izražen in verodostojen zakoniti interes.

59.

Ob upoštevanju teh opozoril, a ob sledenju navedbam nacionalnega sodišča – ki je v celoti seznanjeno z dejanskim stanjem v zadevi in nacionalnim pravom, kot je predstavljeno v vprašanju, in ki se sklicuje na člen 7(f) Direktive kot izjemo, ki se uporabi – menim, da bi moralo Sodišče nadaljevati na tej podlagi.

60.

Člen 7(f) vsebuje dva kumulativna pogoja. Za zakonito obdelavo osebnih podatkov morata biti izpolnjena oba: prvič, obdelava osebnih podatkov mora biti potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja stranka ali stranke, ki so jim osebni podatki posredovan. Drugič, nad takimi interesi ne smejo prevladati temeljne pravice in svoboščine posameznika, na katerega se osebni podatki nanašajo. ( 14 )

61.

Drugi pogoj je namenjen tehtanju prisotnih interesov. Prvi je mogoče v didaktične namene dejansko razdeliti v dva podpogoja: zakoniti interes na eni strani in potrebnost obdelave, torej vrsta sorazmernosti, na drugi.

62.

Tako morajo biti za namene člena 7(f) prisotni trije elementi: obstoj zakonitega interesa, ki upravičuje obdelavo (a); prevlada tega interesa nad pravicami in interesi posameznika, na katerega se osebni podatki nanašajo (tehtanje interesov) (b); in potrebnost obdelave za uresničitev zakonitih interesov (c).

63.

Prvič, pogoj za obdelavo na podlagi člena 7(f) Direktive je obstoj zakonitega interesa upravljavca podatkov ali tretje stranke.

64.

V Direktivi ni podana opredelitev zakonitih interesov. ( 15 ) Tako mora – pod nadzorom nacionalnih sodišč – upravljavec ali obdelovalec podatkov ugotoviti, ali obstaja zakonit cilj, s katerim je mogoče upravičiti poseg v zasebno življenje.

65.

Sodišče je že razsodilo, da so preglednost ( 16 ) ali varovanje premoženja, zdravja in družinskega življenja ( 17 ) zakoniti interesi. Pojem zakonitih interesov je dovolj raztegljiv, da se vanj vključijo druge vrste razlogov. Po mojem mnenju je mogoče interes tretje stranke za pridobitev osebnih podatkov osebe, ki je povzročila škodo na njenem premoženju, da bi lahko proti tej osebi vložila odškodninsko tožbo, nedvomno opredeliti kot zakonit interes.

66.

Drugi pogoj se nanaša na tehtanje med dvema vrstama nasprotujočih si interesov, namreč interesov in pravic posameznika, na katerega se nanašajo podatki, ( 18 ) in interesov upravljavca ali tretjih strank. Zahteva po tehtanju je jasno razvidna iz člena 7(f) in iz zakonodajne zgodovine Direktive. Besedilo slednjega – člena 7(f) – zahteva, da je treba tehtati zakonite interese posameznika, na katerega se nanašajo podatki, in zakonite interese upravljavca ali tretje stranke. Z zakonodajno zgodovino je potrjeno, da je bilo tehtanje interesov v nekoliko drugačni obliki predvideno že v prvotnem predlogu Komisije ( 19 ) in tudi v njenem spremenjenem predlogu po prvem branju v Evropskem parlamentu. ( 20 )

67.

Sodišče je razsodilo, da uporaba člena 7(f) zahteva tehtanje med zadevnimi nasprotujočimi si pravicami in interesi. Upoštevati je treba pomembnost pravic posameznika, na katerega se nanašajo podatki, iz členov 7 in 8 Listine. ( 21 ) Tako tehtanje mora biti opravljeno za vsak primer posebej. ( 22 )

68.

Tehtanje je ključ za pravilno uporabo člena 7(f). To opravilo je tisto, zaradi česar se člen 7(f) popolnoma razlikuje od preostalih določb člena 7. Vedno je odvisno od okoliščin posameznega primera. Zato je Sodišče poudarilo, da države članice za nekatere vrste osebnih podatkov ne morejo dokončno določiti izida tehtanja nasprotujočih si pravic in interesov, ne da bi se omogočil drugačen izid zaradi posebnih okoliščin konkretnega primera. ( 23 )

69.

Da bi se to tehtanje lahko tvorno opravilo, je treba upoštevati zlasti naravo in občutljivost zahtevanih podatkov, stopnjo njihove javne dostopnosti ( 24 ) in težo storjenega prekrška. Eden od možnih elementov, ki ga je treba upoštevati pri tehtanju, upošteven v obravnavani zadevi, je starost posameznika, na katerega se nanašajo podatki.

70.

V zvezi s potrebnostjo ali – na nek način, temeljno sorazmernostjo – je Sodišče presodilo, da morajo biti v splošnem odstopanja in omejitve varstva osebnih podatkov strogo omejeni na tisto, kar je nujno. ( 25 ) Zato narava in obseg podatkov, ki se smejo obdelati, ne sme presegati tega, kar je potrebno za namen zadevnih zakonitih interesov.

71.

Preučitev sorazmernosti je presoja odnosa med cilji in izbranimi sredstvi. Izbrana sredstva ne smejo presegati tega, kar je nujno. Vendar ta logika deluje tudi v nasprotni smeri: sredstva morajo biti primerna za dosego zastavljenega cilja.

72.

V praksi ima upravljavec podatkov, ki se sooča s presojo potrebnosti, dve možnosti. Ali se vzdrži razkritja kakršnih koli informacij ali pa mora, če se odloči za obdelavo teh informacij, posredovati vse potrebne informacije za to, da se zadovolji zadevni zakoniti interes. ( 26 )

73.

Prvič, s členom 6(1)(c) in uvodno izjavo 28 Direktive je zahtevano, da morajo biti osebni podatki primerni, ustrezni in ne pretirani glede na namene, za katere se zbirajo, kar velja tudi, če se naprej obdelujejo. ( 27 ) Tako je iz teh določb razvidno, da morajo biti razkriti podatki tudi primerni in ustrezni za dosego zakonitih interesov.

74.

Drugič, samoumevno je, da je potreben razumen pristop glede tega, kateri podatki se bodo dejansko obdelovali. Tistim, ki zahtevajo podatke, je namreč treba dati uporabne in ustrezne informacije, ki so potrebne in zadostne, da lahko sami zadovoljijo lastne zakonite interese, ne da bi morali posredovati zahtevo drugemu organu, ki morda prav tako razpolaga s temi informacijami.

75.

Če se izrazim s prispodobo, uporaba merila potrebnosti ne bi smela voditi do tega, da bi se zadovoljitev zakonitega interesa spremenila v kafkovski lov za zakladom, ki močno spominja na epizodo televizijske nanizanke Fort Boyard, v kateri udeležence pošiljajo iz ene sobe v drugo, da zbirajo posamične namige in na koncu ugotovijo, kam morajo iti.

76.

Nazadnje, ponoviti je treba, da je natančen obseg podatkov, ki jih je treba razkriti, stvar nacionalnega prava. Res bi sicer lahko bilo z nacionalnim pravom določeno le delno razkritje, ki samo po sebi ne bi bilo zadostno. Kaj takega je v resnici možno. Dejstvo, da se zdi nacionalna zakonodaja praktično le malo smiselna, še ne pomeni, da avtomatično ni združljiva s pravom Unije, če ta zakonodaja ostaja v okviru regulatornega okvira, ki ostaja v pristojnosti držav članic. Tu predlagam le, da člen 7(f) Direktive ne nasprotuje popolnemu razkritju informacij, ki so potrebne za učinkovito zasledovanje zakonitega cilja neke osebe, če so izpolnjeni drugi pogoji.

77.

Potem ko sem predstavil splošni okvir analize, se bom zdaj posvetil obravnavani zadevi, z opozorilom, da mora seveda na koncu odločitev sprejeti nacionalno sodišče, ki natančno pozna dejansko stanje in nacionalno pravo.

78.

Družba Rīgas Satiksme je od policije zahtevala, naj ji posreduje naslov stalnega prebivališča potnika v taksiju in številko osebnega dokumenta, da bi lahko začela civilni odškodninski postopek zaradi škode, ki jo je utrpela.

79.

Prvič, kot pravilno trdijo češka, španska in portugalska vlada, je vložitev pravnega zahtevka, kot v postopku v glavni stvari, zakonit interes v smislu člena 7(f).

80.

To je potrjeno tudi s členom 8(2)(e) Direktive, v katerem je urejena možna obdelava nekaterih občutljivih podatkov, „kadar se obdelava nanaša na podatke, ki […] [so potrebni] za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov“. Če je mogoče z izvajanjem pravnega zahtevka upravičiti obdelavo občutljivih podatkov na podlagi člena 8, ne razumem, zakaj tega ne bi bilo mogoče a fortiori šteti kot zakoniti interes, ki upravičuje obdelavo neobčutljivih podatkov iz člena 7(f). Ta razlaga izhaja tudi iz pragmatičnega pristopa k Direktivi ob upoštevanju drugih instrumentov sekundarnega prava (omenjenih zgoraj), s katerimi se skuša uravnotežiti zasebnost in učinkovito sodno varstvo. ( 28 )

81.

Drugič, pri tehtanju interesov na splošno ne vidim nobenega razloga, zakaj bi morali interesi varstva temeljnih pravic posameznika, na katerega se nanašajo podatki, prevladati nad konkretnim zakonitim ciljem oškodovanca za sprožitev civilnega postopka. Morda je zvezi s tem smiselno dodati, da nasprotna stranka prosi v bistvu le za možnost, da začne sodni postopek pred civilnim sodiščem. Razkritje samo po sebi zato ne bi pomenilo takojšnje spremembe pravnega položaja posameznika, na katerega se nanašajo podatki.

82.

Vendar, kot je pravilno navedla portugalska vlada, bi bilo treba prav na tej stopnji tehtanja posebej upoštevati starost posameznika, na katerega se nanašajo podatki.

83.

Dejansko predložitveno sodišče sprašuje, koliko je upoštevno dejstvo, da je bil potnik v taksiju ob nezgodi mladoleten. Po mojem mnenju to, ob upoštevanju posebnih okoliščin te zadeve, ni relevantno.

84.

Načeloma je dejstvo, da je posameznik, na katerega se nanašajo podatki, mladoletnik, dejavnik, ki bi ga bilo dejansko treba upoštevati pri tehtanju interesov. Vendar bi morali biti posebni preudarki, zahtevani zaradi mladoletnikov, in okrepljeno varstvo mladoletnikov prepoznavno povezani z vrsto zadevne obdelave podatkov. Če se ne ugotovi natančno, kako bi razkritje v tej konkretni zadevi lahko na primer ogrozilo fizični ali psihični razvoj otroka, ne razumem, zakaj bi moralo dejstvo, da je škodo povzročil mladoletnik, dejansko voditi k imuniteti pred civilno odgovornostjo.

85.

Nazadnje, če bi tehtanje interesov vodilo do ugotovitve, da interesi posameznika, na katerega se nanašajo podatki, ne prevladajo nad interesi osebe, ki zahteva razkritje osebnih podatkov, se postavi končno vprašanje: vprašanje potrebnosti in obsega informacij, ki se razkrijejo.

86.

Tudi tu je predložitveno sodišče tisto, ki mora ugotoviti pravno podlago v nacionalnem pravu, s katero je utemeljeno tako razkritje. Ko se taka podlaga ugotovi, po mojem mnenju merilo „potrebnosti“ iz člena 7(f) Direktive zagotovo ne nasprotuje temu, da se v celoti razkrijejo vse informacije, potrebne za začetek civilnega postopka na podlagi latvijskega prava.

87.

Latvijska vlada je trdila, da varstvo temeljne pravice do zasebnosti na podlagi ustaljene sodne prakse zahteva, da se odstopanja od varstva osebnih podatkov in njegove omejitve strogo omejijo na tisto, kar je nujno. Čeprav je navedla, da so bili na voljo alternativni načini za pridobitev nadaljnjih podatkov, je priznala, da ime in priimek verjetno nista dovolj za uveljavljanje pravnega zahtevka, in je zato presojo posredovala nacionalnemu sodišču.

88.

Navesti je treba, da je s členom 8(7) državam članicam dana možnost, da se odločijo, ali bodo razkrile identifikacijske številke. Države članice zato niso dolžne obdelovati identifikacijskih številk, če to ni absolutno potrebno za začetek civilnega postopka.

89.

Ne glede na njihovo točno naravo pa je pomembno imetništvo vseh upoštevnih podatkov, ki so nujni za vložitev pravnega zahtevka. Če je na podlagi nacionalnega prava dovolj naslov, se tako ne bi smelo razkriti nobene dodatne informacije.

90.

Nacionalno sodišče mora ugotoviti količino osebnih podatkov, ki so potrebni, da bo lahko družba Rīgas satiksme učinkovito vložila tožbo ( 29 ) na podlagi latvijskega prava. Sam bi rad le poudaril, kot je bilo že navedeno zgoraj v točkah 74 in 75 teh sklepnih predlogov, da za uporabo člena 7(f) ni upoštevno, ali obstajajo alternative glede pridobitve potrebnih osebnih podatkov. Družba Rīgas satiksme bi morala imeti možnost pridobiti potrebne informacije od tistega upravljavca, na katerega je naslovila zahtevo.

91.

To je nekoliko nenavadna zadeva. Predložitveno sodišče v bistvu sprašuje, ali je mogoče izjemo, ki omogoča obdelavo osebnih podatkov, razlagati kot obveznost upravljavca podatkov za razkritje istovetnosti osebe, ki je povzročila prometno nezgodo. Zdi se, da je pravi razlog za postavljeno vprašanje to, da so poti do pridobitve takih informacij na nacionalni ravni v imenu varstva podatkov zapletene, če ne že popolnoma onemogočene.

92.

Nepoznavalcu, ki bi s strani opazoval zadevne dogodke, bi se morda porodilo nedolžno vprašanje: ali bi res morala biti izdaja posamične zahteve za istovetnost osebe, ki je poškodovala lastnino tega posameznika in ki jo ta posameznik želi tožiti za odškodnino, zadeva, v kateri morajo policijski uslužbenci opraviti večstopenjsko tehtanje interesov in sorazmernosti, čemur sledita dolgotrajno pravdanje in mnenje nacionalnega organa za varstvo podatkov?

93.

Obravnavana zadeva je še en primer, ( 30 ) v katerem zakoni o varstvu podatkov posegajo in se uporabljajo v precej presenetljivih okoliščinah. Njena posledica je – pa ne le za nepoznavalca s strani – nekakšno intelektualno nelagodje kar zadeva razumnost uporabe in delovanja pravil o varstvu podatkov. To priložnost bom izkoristil za nekaj sklepnih pripomb v tem smislu.

94.

Nedvomno je v digitalni dobi varstvo podatkov ključnega pomena. Sodišče je bilo v ospredju dogajanja s sodno prakso na tem področju, ( 31 ) in prav je tako.

95.

Vendar navedene zadeve resnično odražajo glavno skrb varstva osebnih podatkov, zaradi katerega je bilo sploh uvedeno, in ki jo je treba odločno braniti: obsežna obdelava osebnih podatkov z mehanskimi, digitalnimi sredstvi, v vseh pojavnih oblikah, kot so zbiranje, upravljanje in uporaba velikih podatkovnih nizov, posredovanje podatkovnih nizov v nezakonite namene, združevanje in pridobivanje metapodatkov in tako dalje.

96.

Kot na vseh drugih pravnih področjih morajo biti pravila za izvajanje neke dejavnosti dovolj prožna, da zaobjamejo vse možne pojavne oblike. Vendar lahko to vodi do nevarnosti, da se bodo ta pravila razlagala in uporabljala preveč široko. Na koncu se bodo lahko uporabila tudi za primer, v katerem je povezava s prvotnim namenom nekoliko nejasna in vprašljiva. Nazadnje lahko preširoka uporaba in določen „absolutizem pri uporabi“ vodita tudi do razvrednotenja prvotne zamisli, ki je bila sama po sebi zelo pomembna in legitimna.

97.

Na splošno je Sodišče v sodbi Promusicae vztrajalo, da je treba direktive o varstvu osebnih podatkov razlagati tako, da se omogoči zagotovitev pravilnega ravnovesja med različnimi temeljnimi pravicami, varovanimi s pravnim redom Unije. ( 32 )

98.

K temu bi bilo morda mogoče dodati tudi določeno načelo razumne presoje (rule of reason), ki bi ga bilo treba uporabiti v fazi tehtanja. Pomenilo bi, da se ne pozabi na prvotni in primarni (nikakor ne edini, zgolj primarni) namen zakonodaje:reguliranje obsežne obdelave z mehanskimi, avtomatiziranimi sredstvi, ter uporaba in prenos s tem pridobljenih informacij. Precej bolj sproščen pristop pa je po mojem skromnem mnenju potreben v položajih, ko oseba prosi za posamično informacijo, ki se nanaša na konkretno osebo v konkretno opredeljenem odnosu, ko obstaja jasen in popolnoma zakonit namen, ki izhaja iz običajne uporabe prava.

99.

Skratka, samoumevnost ni pravni vir. Zagotovo pa bi morala voditi razlago prava. Zelo žalostno bi bilo, če bi se varstvo osebnih podatkov prelevilo v obstrukcijo z osebnimi podatki.

100.

Glede na navedeno Sodišču predlagam, naj na vprašanje, ki ga je postavilo Augstākā tiesa, Administratīvo lietu departaments (vrhovno sodišče, upravni oddelek, Latvija), odgovori:

Člena 7(f) Direktive 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ni mogoče razlagati tako, da je z njim vzpostavljena obveznost upravljavca, da razkrije osebne podatke, ki jih zahteva tretja stranka zaradi uvedbe civilnega postopka.

Vendar člen 7(f) ne nasprotuje takemu razkritju, če je z nacionalnim pravom predvideno razkritje osebnih podatkov v okoliščinah, kakršne so te iz postopka v glavni stvari. Dejstvo, da je bil ob nezgodi posameznik, na katerega se nanašajo osebni podatki, mladoleten, v tem pogledu ni upoštevno.