–

”SS” SIA, genom M. Ruķers,

–

Lettlands regering, inledningsvis genom K. Pommere, V. Soņeca och L. Juškeviča, därefter genom K. Pommere, samtliga i egenskap av ombud,

–

Belgiens regering, genom J.-C. Halleux och P. Cottin, båda i egenskap av ombud, biträdda av C. Molitor, avocat,

–

Greklands regering, genom E.-M. Mamouna och O. Patsopoulou, båda i egenskap av ombud,

–

Spaniens regering, inledningsvis genom J. Rodríguez de la Rúa Puig och S. Jiménez García, därefter genom J. Rodríguez de la Rúa Puig, båda i egenskap av ombud,

–

Europeiska kommissionen, inledningsvis genom H. Kranenborg, D. Nardi och I. Rubene, därefter genom H. Kranenborg och I. Rubene, samtliga i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2), särskilt dess artikel 5.1.

2

Begäran har framställts i ett mål mellan ”SS” SIA och Valsts ieņēmumu dienests (skattemyndigheten, Lettland) (nedan kallad den lettiska skattemyndigheten), angående en begäran om utlämnande av uppgifter som förekommer i annonser för försäljning av fordon som publicerats på SS webbplats.

3

Förordning 2016/679, som grundas på artikel 16 FEUF, ska enligt artikel 99.2 i denna förordning tillämpas från och med den 25 maj 2018.

4

Skälen 1, 4, 10, 19, 26, 31, 39, 41 och 50 i nämnda förordning har följande lydelse:

…

…

…

…

…

…

…

…

5

I artikel 2 i förordning nr 2016/679, med rubriken ”Materiellt tillämpningsområde”, föreskrivs följande:

”1.   Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.   Denna förordning ska inte tillämpas på behandling av personuppgifter som

…”

6

Artikel 4 i denna förordning, med rubriken ”Definitioner”, har följande lydelse:

”I denna förordning avses med

…

…

…”

7

I artikel 5 i nämnda förordning, ”Principer för behandling av personuppgifter”, anges följande:

”1.   Vid behandling av personuppgifter ska följande gälla:

2.   Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

8

I artikel 6 i samma förordning, med rubriken ”Laglig behandling av personuppgifter”, föreskrivs följande:

”1.   Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

2.   Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

3.   Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. … Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

4.   Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bland annat beakta följande:

9

Artikel 13.3 i förordning nr 2016/679 har följande lydelse:

”Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.”

10

I artikel 14 i denna förordning föreskrivs följande:

”1.   Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige förse den registrerade med följande information:

…

…

5.   Punkterna 1–4 ska inte tillämpas i följande fall och i den mån

…

…”

11

Artikel 23.1 e i nämnda förordning har följande lydelse:

”Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa

…

…”

12

I artikel 25.2 i förordning nr 2016/679 föreskrivs följande:

”Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.”

13

I skälen 10 och 11 i direktiv 2016/680 anges följande:

14

I artikel 3 i detta direktiv anges följande:

”I detta direktiv avses med

…

7. behörig myndighet

…”

15

Enligt artikel 15.6 i likums ”Par nodokļiem un nodevām” (lag om skatter och avgifter, Latvijas Vēstnesis, 1995, nr 26), i den lydelse som är tillämplig i det nationella målet (nedan kallad lagen om skatter och avgifter), är den som tillhandahåller tjänster för att publicera annonser på internet skyldig att på begäran av den lettiska skattemyndigheten tillhandahålla de uppgifter som vederbörande förfogar över om de skattskyldiga som har publicerat annonser med hjälp av dennes tjänster.

16

SS är ett lettiskt företag som tillhandahåller tjänster för att publicera annonser på internet.

17

Den 28 augusti 2018 framställde den lettiska skattemyndigheten, med stöd av artikel 15.6 i lagen om skatter och avgifter, en begäran om utlämnande av uppgifter till SS, varigenom företaget anmodades att återskapa och ge skattemyndigheten tillgång till uppgifter om chassinumren på fordon som utannonserats på företagets webbportal och till säljarnas telefonnummer. Företaget anmodades även att senast den 3 september 2018 lämna ut uppgifter om annonser som offentliggjorts under perioden 14 juli–31 augusti 2018 under rubriken ”Personbilar” på denna webbportal.

18

I begäran angavs att dessa uppgifter skulle innehålla en länk till annonsen, dess text, uppgifter om märke, modell, chassinummer och pris på det aktuella fordonet, samt säljarens telefonnummer, och att dessa uppgifter skulle översändas elektroniskt i ett format som möjliggjorde filtrering eller urval av data.

19

För det fall att det inte var möjligt att återskapa uppgifterna i annonserna på den aktuella webbportalen, uppmanades SS att ange skälet till detta och att senast den tredje dagen varje månad lämna relevanta uppgifter om annonser som publicerats under föregående månad.

20

SS ansåg att den lettiska skattemyndighetens begäran om utlämnande av uppgifter inte var förenlig med de principer om proportionalitet och uppgiftsminimering som stadfästs i förordning nr 2016/679, och gav därför in ett klagomål mot denna begäran till generaldirektören för den lettiska skattemyndigheten.

21

Genom beslut av den 30 oktober 2018 avslog skattemyndigheten klagomålet och uppgav bland annat att behandlingen av de personuppgifter som är aktuella i det nationella målet omfattades av den lettiska skattemyndighetens lagstadgade befogenheter.

22

SS väckte talan om ogiltigförklaring av detta beslut vid administratīvā rajona tiesa (Distriktsförvaltningsdomstolen, Lettland). I tillägg till de argument SS anfört inom ramen för sitt klagomål gjorde företaget gällande att skattemyndigheten, i sitt beslut, inte hade uppgett något särskilt ändamål för behandlingen av de begärda uppgifterna eller specificerat mängden av uppgifter som krävdes för denna behandling, i strid med artikel 5.1 i förordning nr 2016/679.

23

Administratīvā rajona tiesa (Distriktsförvaltningsdomstolen) ogillade överklagandet genom dom av den 21 maj 2019 och uppgav i huvudsak att den lettiska skattemyndigheten hade rätt att begära tillgång till uppgifter om varje enskild person och i obegränsad mängd, förutsatt att uppgifterna kunde anses vara relevanta för skatteuppbörden. Nämnda domstol fann vidare att bestämmelserna i förordning nr 2016/679 inte var tillämpliga på denna myndighet.

24

SS överklagade denna dom till den hänskjutande domstolen och gjorde gällande dels att den lettiska skattemyndigheten omfattades av bestämmelserna i förordning nr 2016/679, dels att skattemyndigheten åsidosatte proportionalitetsprincipen genom att varje månad och utan begränsning i tiden begära tillgång till en betydande mängd personuppgifter avseende ett obegränsat antal annonser, utan att närmare ange vilka skattskyldiga personer som kunde komma att föremål för skattekontroll.

25

Den hänskjutande domstolen har uppgett att i det nationella målet har det inte bestridits att verkställandet av den aktuella begäran om utlämnande av uppgifter har ett nära samband med behandling av personuppgifter, och inte heller att den lettiska skattemyndigheten har rätt att erhålla uppgifter som en tillhandahållare av tjänster för internetannonsering förfogar över och som är nödvändiga för att genomföra specifika skatteuppbördsåtgärder.

26

Tvisten vid den nationella domstolen avser mängden och arten av uppgifter som den lettiska skattemyndigheten kan begära, huruvida begäran avseende dessa uppgifter måste begränsas eller kan vara obegränsad, samt huruvida den skyldighet att lämna ut uppgifter som SS omfattas av ska begränsas i tiden.

27

Den hänskjutande domstolen anser i synnerhet att den måste avgöra huruvida omständigheterna i det nationella målet är sådana att behandlingen av personuppgifter sker på ett öppet sätt i förhållande till de registrerade, huruvida de uppgifter som begärts utlämnade samlas in för särskilda, uttryckligt angivna och berättigade ändamål, och huruvida behandlingen av personuppgifter endast sker i den mån denna behandling verkligen är nödvändig för att den lettiska skattemyndigheten ska kunna utföra sina uppgifter, i den mening som avses i artikel 5.1 i förordning nr 2016/679.

28

Följaktligen måste kriterier fastställas för att bedöma huruvida en begäran från den lettiska skattemyndighetens sida om utlämnande av uppgifter är förenlig med andemeningen i de grundläggande rättigheterna och friheterna, och huruvida den begäran om utlämnande som är aktuell i det nationella målet kan anses vara nödvändig och proportionerlig i ett demokratiskt samhälle för att säkerställa unionens viktiga mål och lettiska allmänna intressen på budget- och skatteområdet.

29

Mot denna bakgrund beslutade Administratīvā apgabaltiesa (Regionala förvaltningsdomstolen, Lettland) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

30

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida bestämmelserna i förordning nr 2016/679 ska tolkas så, att när skattemyndigheten i en medlemsstat samlar in uppgifter från en ekonomisk aktör, vilka innehåller en betydande mängd personuppgifter, måste myndigheten iaktta de krav som uppställs i denna förordning, i synnerhet kraven i förordningens artikel 5.1

31

För att besvara denna fråga ska det först undersökas huruvida en sådan begäran omfattas av det materiella tillämpningsområdet för förordning nr 2016/679, såsom detta definieras i artikel 2.1 i förordningen, och därefter huruvida en sådan begäran utgör en behandling av personuppgifter som enligt artikel 2.2 i förordningen undantas från detta tillämpningsområde.

32

Det ska inledningsvis noteras att enligt artikel 2.1 i förordning 2016/679 ska denna förordning tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

33

I artikel 4.1 i förordning nr 2016/679 preciseras att med ”personuppgifter” avses varje upplysning beträffande en identifierad eller identifierbar fysisk person, det vill säga en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. I skäl 26 i förordningen preciseras härvidlag att för att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel som rimligen kan komma att användas antingen av den personuppgiftsansvarige eller av en annan person för att direkt eller indirekt identifiera den fysiska personen.

34

I det nationella målet är det utrett att de uppgifter som den lettiska skattemyndigheten har begärt utlämnade utgör personuppgifter i den mening som avses i artikel 4.1 i förordning nr 2016/679.

35

Enligt artikel 4.2 i förordningen utgör insamling, läsning, utlämning genom överföring, samt tillhandahållande på annat sätt av personuppgifter ”behandling” i den mening som avses i förordningen. Det framgår av ordalydelsen i denna bestämmelse, bland annat av uttrycket ”tillhandahållande på annat sätt”, att unionslagstiftaren har haft för avsikt att ge begreppet ”behandling” en omfattande räckvidd. Denna tolkning stöds även av den omständigheten att uppräkningen av åtgärder i nämnda bestämmelse inte är uttömmande, vilket framgår av uttrycket ”såsom”.

36

I förevarande fall har den lettiska skattemyndigheten begärt att den berörda ekonomiska aktören ska återskapa och ge myndigheten tillgång till uppgifter om chassinumren på de fordon som utannonserats på aktörens webbportal, samt att denne ska tillhandahålla skattemyndigheten uppgifter om annonser som publicerats på denna portal.

37

En sådan begäran, varigenom skattemyndigheten i en medlemsstat begär att en ekonomisk aktör ska lämna ut och tillhandahålla personuppgifter som denne är skyldig att ställa till myndighetens förfogande enligt nationell rätt i denna medlemsstat, utgör ett förfarande för ”insamling” av dessa uppgifter, i den mening som avses i artikel 4.2 i förordning nr 2016/679.

38

Den ekonomiska aktörens utlämnande och tillhandahållande av dessa uppgifter till skattemyndigheten utgör dessutom en ”behandling” i den mening som avses i nämnda artikel 4.2.

39

Vidare ska det undersökas huruvida en åtgärd varigenom en medlemsstats skattemyndighet avser samla in personuppgifter beträffande vissa skattskyldiga från en ekonomisk aktör kan anses falla utanför tillämpningsområdet för förordning nr 2016/679 i enlighet med artikel 2.2 i denna förordning.

40

I detta avseende ska det inledningsvis erinras om att nyssnämnda bestämmelse innehåller undantag från förordningens tillämpningsområde, såsom detta definieras i artikel 2.1 i förordningen, och att dessa undantag ska tolkas restriktivt (dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 84).

41

I artikel 2.2 d i förordning 2016/679 föreskrivs i synnerhet att denna förordning inte är tillämplig på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

42

Såsom framgår av skäl 19 i förordningen motiveras detta undantag av den omständigheten att behandling av personuppgifter som sker för sådana ändamål och som utförs av de behöriga myndigheterna regleras av en mer specifik unionsrättsakt, nämligen direktiv 2016/680, som antogs samma dag som förordning 2016/679. I artikel 3.7 i direktiv 2016/680 anges vad som avses med ”behörig myndighet” och samma definition bör tillämpas analogt på artikel 2.2 d i förordning 2016/679 (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 69).

43

Det följer av skäl 10 i direktiv 2016/680 att begreppet ”behörig myndighet” ska kopplas till skyddet av personuppgifter inom områdena straffrättsligt samarbete och polissamarbete, med beaktande av de anpassningar som kan visa sig nödvändiga i detta avseende med hänsyn till dessa områdens särart. I skäl 11 i direktivet preciseras vidare att förordning 2016/679 är tillämplig på behandling av personuppgifter som utförs av en ”behörig myndighet” i den mening som avses i artikel 3.7 i nämnda direktiv, men för andra ändamål än de som avses i direktivet (dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 70)

44

När skattemyndigheten i en medlemsstat begär att en ekonomisk aktör ska lämna ut personuppgifter om vissa skattskyldiga i syfte att uppbära skatt och bekämpa skatteundandragande, kan skattemyndigheten inte anses agera såsom ”behörig myndighet” i den mening som avses i artikel 3 led 7 i direktiv 2016/680, och följaktligen kan en sådan begäran om utlämnande av uppgifter inte heller anses omfattas av undantaget i artikel 2.2 d i förordning nr 2016/679.

45

Även om det inte är uteslutet att de personuppgifter som är aktuella i det nationella målet kan användas i samband med straffrättsliga åtgärder som, vid överträdelser på skatteområdet, kan vidtas mot vissa berörda personer, tycks dessa uppgifter inte ha samlats in i det särskilda syftet att vidta sådana straffrättsliga åtgärder eller i samband med statens verksamhet inom det straffrättsliga området (se, för ett liknande resonemang, dom av den 27 september 2017, Puškár, C‑73/16, EU:C:2017:725, punkt 40).

46

När skattemyndigheten i en medlemsstat samlar in personuppgifter som förekommer i annonser för försäljning av fordon som publicerats på en ekonomisk aktörs webbplats omfattas denna verksamhet således av det materiella tillämpningsområdet för förordning nr 2016/679, och sådan insamling måste följaktligen vara förenlig med de principer om behandling av personuppgifter som stadfästs i artikel 5 i denna förordning.

47

Mot bakgrund av samtliga ovanstående överväganden ska den första frågan besvaras enligt följande. Bestämmelserna i förordning nr 2016/679 ska tolkas så, att när skattemyndigheten i en medlemsstat samlar in uppgifter från en ekonomisk aktör, vilka innehåller en betydande mängd personuppgifter, måste myndigheten iaktta de krav som uppställs i denna förordning, i synnerhet kraven i förordningens artikel 5.1.

48

Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida bestämmelserna i förordning nr 2016/679 ska tolkas så, att skattemyndigheten i en medlemsstat får avvika från bestämmelserna i artikel 5.1 i denna förordning, trots att den inte har någon sådan befogenhet enligt medlemsstatens nationella rätt.

49

Såsom framgår av skäl 10 i förordning 2016/679 ska det inledningsvis erinras om att denna förordning bland annat syftar till att säkerställa en hög skyddsnivå för fysiska personer inom unionen.

50

All behandling av personuppgifter ska i detta syfte vara förenlig med de principer som reglerar behandlingen av personuppgifter och de rättigheter som registrerade personer har enligt kapitel II respektive III i förordning 2016/679. All behandling av personuppgifter måste i synnerhet vara förenlig med de principer om behandling av personuppgifter som anges i artikel 5 i den förordningen (se, för ett liknande resonemang, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 208).

51

Enligt artikel 23 i förordning nr 2016/679 får unionen och medlemsstaterna emellertid införa ”lagstiftningsåtgärder” som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i bland annat artikel 5 i denna förordning, i den mån de införda bestämmelserna motsvarar de rättigheter och skyldigheter som föreskrivs i artiklarna 12–22 i förordningen, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, såsom viktiga ekonomiska eller finansiella intressen, däribland budget- eller skattefrågor.

52

Det framgår härvidlag av skäl 41 i förordning 2016/679 att hänvisningen i denna förordning till en ”lagstiftningsåtgärd” inte nödvändigtvis avser en lagstiftningsakt antagen av ett parlament.

53

Såsom anges i skäl 4 i förordning 2016/679 ska det emellertid erinras om att denna förordning respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd av personuppgifter.

54

Enligt artikel 52.1 första meningen i stadgan ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan, däribland rätten till respekt för privatlivet som garanteras i dess artikel 7, och rätten till skydd av personuppgifter som garanteras i dess artikel 8, vara föreskriven i lag, vilket särskilt innebär att räckvidden av begränsningen i utövandet av den aktuella rättigheten ska vara definierad i själva den rättsliga grund som tillåter denna begränsning (se, för ett liknande resonemang, dom av den 6 oktober 2020, Privacy International, C‑623/17, EU:C:2020:790, punkt 65 och där angiven rättspraxis).

55

I detta avseende har domstolen dessutom slagit fast att en lagstiftningsåtgärd som tillåter en sådan begränsning måste innehålla klara och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden samt ange minimikrav, så att de personer vars personuppgifter lämnas ut har tillräckliga garantier för att uppgifterna på ett effektivt sätt är skyddade mot riskerna för missbruk (se, för ett liknande resonemang, dom av den 2 mars 2021, Prokuratuur (Villkor för att ge tillgång till uppgifter avseende elektronisk kommunikation), C‑746/18, EU:C:2021:152, punkt 48 och där angiven rättspraxis).

56

Varje åtgärd som vidtas med stöd av artikel 23 i förordning 2016/679 måste följaktligen, såsom unionslagstiftaren för övrigt har understrukit i skäl 41 i förordningen, vara tydlig och precis, och dess tillämpning ska vara förutsägbar för enskilda rättssubjekt. Dessa måste i synnerhet kunna identifiera under vilka omständigheter och på vilka villkor räckvidden av de rättigheter som de tillerkänns genom förordningen kan begränsas.

57

Det följer av ovanstående överväganden att skattemyndigheten i en medlemsstat inte får avvika från bestämmelserna i artikel 5 i förordning nr 2016/679 när unionsrätten eller den nationella rätten inte innehåller någon rättslig grund härför, vars tillämpning är förutsebar för enskilda rättssubjekt och som föreskriver under vilka omständigheter och på vilka villkor räckvidden av de skyldigheter och rättigheter som föreskrivs i nämnda artikel 5 kan begränsas.

58

Den andra frågan ska således besvaras enligt följande. Bestämmelserna i förordning nr 2016/679 ska tolkas så, att skattemyndigheten i en medlemsstat inte får avvika från bestämmelserna i artikel 5.1 i denna förordning, såvida den inte har tillerkänts en sådan befogenhet med stöd av en lagstiftningsåtgärd i den mening som avses i artikel 23.1 i samma förordning.

59

Den hänskjutande domstolen har ställt den tredje till den nionde frågan, vilka ska prövas gemensamt, för att få klarhet i huruvida bestämmelserna i förordning nr 2016/679 ska tolkas så, att de utgör hinder mot att skattemyndigheten i en medlemsstat ålägger en leverantör av tjänster för publikation av annonser på internet en skyldighet att lämna ut uppgifter om samtliga skattskyldiga som har publicerat annonser under en av rubrikerna på leverantörens webbportal, under obestämd tid och utan att syftet med begäran om utlämnande av uppgifter preciseras.

60

Det ska inledningsvis noteras att i en sådan situation som den som är aktuell i det nationella målet kan två typer av behandling av personuppgifter äga rum. Såsom framgår av punkterna 37 och 38 ovan rör det sig om skattemyndighetens insamling av personuppgifter från den berörda tjänsteleverantören och, i samband härmed, tjänsteleverantörens utlämnande av uppgifterna genom överföring till skattemyndigheten.

61

Det följer av den rättspraxis som det hänvisats till i punkt 50 ovan att var och en av dessa behandlingar– med förbehåll för de undantag som medges i artikel 23 i förordning 2016/679 – ska vara förenliga med de principer om behandling av personuppgifter som anges i artikel 5 i denna förordning samt den registrerades rättigheter enligt artiklarna 12–22 i förordningen.

62

I förevarande fall vill den hänskjutande domstolen särskilt få klarhet i huruvida den omständigheten att de behandlingar som avses i punkt 60 ovan rör uppgifter i obegränsad mängd och under en obestämd tidsperiod, och att syftet med dessa behandlingar inte preciseras i begäran om utlämnande av uppgifter.

63

I detta avseende ska det för det första framhållas att i artikel 5.1 b i förordning 2016/679 föreskrivs att personuppgifter bland annat ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål.

64

Såsom framgår av skäl 39 i förordningen innebär kravet på att det ska finnas ett särskilt ändamål med behandlingen att detta ändamål ska ha bestämts vid den tidpunkt då personuppgifterna samlas in.

65

Vidare ska ändamålet med behandlingen vara uttryckligen angivet, vilket innebär att detta måste framgå klart.

66

Slutligen ska detta ändamål vara berättigat. Ändamålet måste följaktligen garantera en laglig behandling av personuppgifter i den mening som avses i artikel 6.1 i denna förordning.

67

De behandlingar som avses i punkt 60 ovan inleds genom att den lettiska skattemyndigheten framställer en begäran om utlämnande av personuppgifter till leverantören av tjänster för internetannonsering. I detta avseende framgår det att tjänsteleverantören enligt artikel 15.6 i lagen om skatter och avgifter är skyldig att efterkomma en sådan begäran.

68

Mot bakgrund av övervägandena i punkterna 64 och 65 ovan måste ändamålen med de aktuella behandlingarna framgå tydligt av begäran om utlämnande av uppgifter.

69

Den omständigheten att det ändamål som anges i begäran är nödvändigt för att utföra en uppgift av allmänt intresse eller utgör ett led i skattemyndighetens myndighetsutövning är tillräcklig – såsom framgår av artikel 6.1 första stycket och led e i förordning nr 2016/679, jämförd med artikel 6.3 andra stycket i samma förordning – för att dessa behandlingar även ska anses uppfylla det krav på lagenlighet som det erinrats om i punkt 66 ovan.

70

I detta hänseende ska det erinras om att uppbörd av skatt och bekämpning av skatteundandragande ska betraktas som uppgifter av allmänt intresse i den mening som avses i artikel 6.1 första stycket e i förordning 2016/679 (se, analogt, dom av den 27 september 2017, Puškár, C‑73/16, EU:C:2017:725, punkt 108).

71

Detta ger vid handen att i ett fall där utlämnandet av de aktuella personuppgifterna inte direkt grundar sig på den rättsliga bestämmelse som utgör stöd för utlämnandet, utan följer av en begäran från den behöriga myndigheten, måste det särskilda ändamålet med insamlingen av personuppgifterna – mot bakgrund av den aktuella uppgiften av allmänt intresse eller den aktuella myndighetsutövningen – framgå av denna begäran, så att den som begäran riktar sig till ska kunna försäkra sig om att överföringen av de aktuella personuppgifterna är laglig och för att de nationella domstolarna ska kunna kontrollera lagenligheten av personuppgiftsbehandlingen.

72

För det andra framgår det av artikel 5.1 c i förordning 2016/679 att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

73

I detta avseende ska det erinras om att det följer av fast rättspraxis att undantag från och begränsningar av principen om skydd för personuppgifter inte får gå utöver vad som är strikt nödvändigt (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 110 och där angiven rättspraxis).

74

Härav följer att den personuppgiftsansvarige, även när denne agerar inom ramen för sinn uppgift av allmänt intresse, inte generellt och utan åtskillnad kan samla in personuppgifter, och måste avstå från att samla in uppgifter som inte är absolut nödvändiga med hänsyn till ändamålet med behandlingen av dessa uppgifter.

75

I förevarande fall ska det påpekas att den lettiska skattemyndigheten, såsom framgår av punkterna 17–19 ovan, har begärt att den berörda ekonomiska aktören ska lämna ut uppgifter om annonser för försäljning av personbilar som publicerats på dennes webbplats mellan den 14 juli och den 31 augusti 2018 och, för det fall att det inte är möjligt att återskapa dessa uppgifter, att senast den tredje dagen i varje månad lämna ut uppgifter om annonser för försäljning av personbilar som publicerats på dennes webbplats under den föregående månaden, utan någon som helst begränsning i tiden.

76

Mot bakgrund av de överväganden som framförts i punkt 74 ovan ankommer det på den hänskjutande domstolen att pröva huruvida ändamålet med insamlingen av dessa uppgifter kan uppnås utan att den lettiska skattemyndigheten får tillgång till uppgifter om samtliga annonser för försäljning av personbilar som publicerats på den aktuella operatörens webbplats, och särskilt huruvida det vore möjligt för myndigheten att välja ut vissa annonser med hjälp av specifika kriterier.

77

Det ska i detta sammanhang understrykas att i enlighet med den ansvarsprincip som stadfästs i artikel 5.2 i förordning 2016/679 måste den personuppgiftsansvarige kunna visa att punkt 1 i denna artikel efterlevs.

78

I enlighet med artikel 25.2 i nämnda förordning ankommer det således på den lettiska skattemyndigheten att visa att den i möjligaste mån har försökt att minimera mängden personuppgifter som ska samlas in.

79

Angående den omständigheten att för det fall att den berörda ekonomiska aktören inte kan återskapa uppgifterna i de annonser som omfattas av den tidsperiod som anges i den lettiska skattemyndighetens begäran om utlämnande av uppgifter ska denna begäran förstås så, att den inte uppställer någon som helst begränsning i tiden, erinrar domstolen om att i enlighet med principen om uppgiftsminimering är den personuppgiftsansvarige även är skyldig att, mot bakgrund av ändamålet med den planerade behandlingen, begränsa perioden för insamling av de aktuella personuppgifterna till vad som är absolut nödvändigt.

80

Den period som insamlingen avser får således inte sträcka sig längre än vad som är absolut nödvändig för att uppnå det eftersträvade målet av allmänt intresse.

81

Såsom framgår av punkt 77 ovan är det den lettiska skattemyndigheten som har bevisbördan i detta avseende.

82

Den omständigheten att uppgifterna samlas in utan att den lettiska skattemyndigheten i själva begäran om utlämnande av uppgifter har fastställt en tidsgräns för denna behandling innebär emellertid inte i sig att behandlingsperioden sträcker sig längre än vad som är absolut nödvändigt för att uppnå det eftersträvade målet.

83

I detta sammanhang ska det dock erinras om att för att uppfylla det proportionalitetskrav som föreskrivs i artikel 5.1 c i förordning 2016/679 (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 98 och där angiven rättspraxis), måste de föreskrifter som ligger till grund för behandlingen innehålla tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden samt ange minimikrav, så att de personer vars personuppgifter lämnas ut ges tillräckliga garantier för att uppgifterna på ett effektivt sätt är skyddade mot riskerna för missbruk. Dessa föreskrifter måste även vara rättsligt bindande enligt nationell rätt och i synnerhet ange under vilka omständigheter och på vilka villkor en åtgärd för behandling av sådana uppgifter får vidtas, vilket säkerställer att ingreppet begränsas till vad som är strikt nödvändigt (dom av den 6 oktober 2020, Privacy International, C‑623/17, EU:C:2020:790, punkt 68 och där angiven rättspraxis).

84

Härav följer att den nationella lagstiftning som reglerar en sådan begäran om utlämnande av uppgifter som den som är aktuell i det nationella målet måste vara grundad på objektiva kriterier som gör det möjligt att fastställa under vilka omständigheter och på vilka villkor en leverantör av internettjänster är skyldig att lämna ut personuppgifter om sina användare (se, för ett liknande resonemang, dom av den 6 oktober 2020, Privacy International, C‑623/17, EU:C:2020:790, punkt 78 och där angiven rättspraxis).

85

Mot bakgrund av samtliga ovanstående överväganden ska den tredje till den nionde frågan besvaras enligt följande. Bestämmelserna i förordning nr 2016/679 ska tolkas så, att de inte utgör hinder mot att skattemyndigheten i en medlemsstat ålägger en leverantör av tjänster för publikation av annonser på internet en skyldighet att lämna ut uppgifter om skattskyldiga som har publicerat annonser under en av rubrikerna på leverantörens webbportal, förutsatt att tillgången till dessa uppgifter är nödvändig med hänsyn till det specifika ändamål som eftersträvas med insamlandet och att den period som insamlandet avser inte sträcker sig längre än vad som är absolut nödvändigt för att uppnå det eftersträvade målet av allmänt intresse.

86

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (femte avdelningen) följande: