–

Lettlands regering, inledningsvis genom V. Soņeca och K. Pommere, därefter genom K. Pommere, båda i egenskap av ombud,

–

Nederländernas regering, genom M.K. Bulterman och M. Noort, båda i egenskap av ombud,

–

Österrikes regering, genom J. Schmoll och G. Kunnert, båda i egenskap av ombud,

–

Portugals regering, genom L. Inez Fernandes, P. Barros da Costa, A.C. Guerra och I. Oliveira, samtliga i egenskap av ombud,

–

Sveriges regering, genom C. Meyer-Seitz, H. Shev, H. Eklinder, R. Shahsavan Eriksson, A. Runeskjöld, M. Salborn Hodgson, O. Simonsson och J. Lundberg, samtliga i egenskap av ombud,

–

Europeiska kommissionen, genom D. Nardi, H. Kranenborg och I. Rubene, samtliga i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av artiklarna 5, 6 och 10 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen) och i artikel 1.2 cc i Europaparlamentets och rådets direktiv 2003/98/EG av den 17 november 2003 om vidareutnyttjande av information från den offentliga sektorn (EUT L 345, 2003, s. 90), i dess lydelse enligt Europaparlamentets och rådets direktiv 2013/37/EU av den 26 juni 2013 (EUT L 175, 2013, s. 1) (nedan kallat direktiv 2003/98), samt av principen om unionsrättens företräde och rättssäkerhetsprincipen.

2

Begäran har framställts i ett förfarande som anhängiggjorts av B angående lagenligheten av en nationell lagstiftning som ger allmänheten tillgång till personuppgifter om prickning vid överträdelser av trafikregler.

3

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31) upphävdes, med verkan från den 25 maj 2018, genom dataskyddsförordningen. Artikel 3 i direktivet, med rubriken ”Tillämpningsområde”, hade följande lydelse:

”1.   Detta direktiv gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.   Detta direktiv gäller inte för sådan behandling av personuppgifter

…”

4

Skälen 1, 4, 10, 16, 19, 39, 50 och 154 i dataskyddsförordningen lyder enligt följande:

…

…

…

…

…

…

…

5

I artikel 1 i denna förordning, med rubriken ”Syfte”, anges följande:

”1.   I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter.

2.   Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

3.   Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.”

6

I förordningens artikel 2, som har rubriken ”Materiellt tillämpningsområde”, föreskrivs följande i punkterna 1 och 2:

”1.   Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.   Denna förordning ska inte tillämpas på behandling av personuppgifter som

7

Artikel 4 i förordningen, med rubriken ”Definitioner”, har följande lydelse:

”I denna förordning avses med

…

…”

8

I artikel 5 i dataskyddsförordningen, med rubriken ”Principer för behandling av personuppgifter”, föreskrivs följande:

”1.   Vid behandling av personuppgifter ska följande gälla:

2.   Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

9

Artikel 6 i förordningen har rubriken ”Laglig behandling av personuppgifter”. I artikelns punkt 1 anges följande:

”Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.”

10

Förordningens artikel 10 har rubriken ”Behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott”. Där anges följande:

”Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.”

11

Artikel 51 i samma förordning har rubriken ”Tillsynsmyndighet”. I punkt 1 i den artikeln föreskrivs följande:

”Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen (nedan kallad tillsynsmyndighet).”

12

Artikel 85 i dataskyddsförordningen har rubriken ”Behandling och yttrande- och informationsfriheten” och innehåller i punkt 1 följande bestämmelse:

”Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.”

13

I artikel 86 i förordningen, med rubriken ”Behandling och allmänhetens tillgång till allmänna handlingar”, föreskrivs följande:

”Personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning.”

14

Artikel 87 i förordningen, med rubriken ”Behandling av nationella identifikationsnummer”, har följande lydelse:

”Medlemsstaterna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt denna förordning.”

15

I artikel 94 i samma förordning föreskrivs följande:

”1.   Direktiv [95/46] ska upphöra att gälla med verkan från och med den 25 maj 2018.

2.   Hänvisningar till det upphävda direktivet ska anses som hänvisningar till denna förordning. …”

16

I skälen 10, 11 och 13 i direktiv 2016/680 anges följande:

…

17

Artikel 3 i direktivet har följande lydelse:

”I detta direktiv avses med

…

7.   behörig myndighet:

…”

18

I skäl 21 i direktiv 2003/98 anges följande:

”Detta direktiv bör genomföras och tillämpas i full överensstämmelse med principerna för skyddet av personuppgifter i enlighet med [direktiv 95/46].”

19

I artikel 1 i direktiv 2003/98, med rubriken ”Syfte och räckvidd”, föreskrivs följande:

”1.   I detta direktiv fastställs en minimiuppsättning regler för vidareutnyttjande av handlingar som finns hos offentliga myndigheter i medlemsstaterna samt för hur detta vidareutnyttjande skall underlättas i praktiken.

2.   Detta direktiv skall inte tillämpas på

…

…

3.   Detta direktiv bygger på och påverkar inte tillämpningen av medlemsstaternas bestämmelser om tillgång.

4.   Tillämpningen av detta direktiv skall inte på något sätt påverka skyddsnivån för enskilda personer med avseende på behandling av personuppgifter enligt bestämmelserna i unionslagstiftningen och nationell lagstiftning, och i synnerhet ändras inte genom detta direktiv de skyldigheter och rättigheter som anges i direktiv [95/46].

…”

20

I artikel 96 i Latvijas Republikas Satversme (Republiken Lettlands författning) (nedan kallad den lettiska författningen) föreskrivs följande:

”Var och en har rätt till respekt för sitt privatliv, sin bostad och sina kommunikationer.”

21

Enligt artikel 1.5 i Informācijas atklātības likums (lagen om informationsfrihet) av den 29 oktober 1998 (Latvijas Vēstnesis, 1998, nr 334/335) innebär vidareutnyttjande att information som är tillgänglig för allmänheten och som sparas samt har upprättats av en myndighet, används för andra kommersiella eller icke-kommersiella ändamål än det ursprungliga ändamålet med dess upprättande, om utnyttjandet utförs av en enskild och inte utgör myndighetsutövning.

22

Information som är tillgänglig för allmänheten är enligt artikel 4 i denna lag sådan information som inte ingår i kategorin information som inte är allmänt tillgänglig.

23

I artikel 5.1 i denna lag föreskrivs att information inte är allmänt tillgänglig när informationen är avsedd för en begränsad grupp av personer och syftar till att dessa personer ska kunna fullgöra sina uppdrag eller skyldigheter i tjänsten och när röjande eller förlust av informationen, på grund av dess art och innehåll, hindrar eller kan hindra en myndighets verksamhet, eller skadar eller kan skada intressen som åtnjuter skydd enligt lag. I artikel 5.2 anges att information ska betraktas som inte allmänt tillgänglig bland annat när detta föreskrivs i lag, och i punkt 6 preciseras att information som redan har offentliggjorts inte kan betraktas som information som inte är allmänt tillgänglig.

24

Enligt artikel 10.3 i samma lag får information som är tillgänglig för allmänheten lämnas ut på begäran, varvid den som begär ut informationen inte behöver ange något särskilt skäl för sitt intresse av att få tillgång till uppgifterna, och en person inte får nekas tillgång till den begärda informationen med motiveringen att vederbörande inte berörs av den.

25

Artikel 141 i Ceļu satiksmes likums (vägtrafiklagen) av den 1 oktober 1997 (Latvijas Vēstnesis, 1997, nr 274/276) i den lydelse som är tillämplig i det nationella målet (nedan kallad vägtrafiklagen) har rubriken ”Tillgång till information som har sparats i det nationella fordons- och förarregistret …”. I punkt 2 anges följande:

”Information om … en persons rätt att framföra fordon, ekonomiska påföljder som påförts för överträdelser av trafikreglerna och som inte har betalats inom den lagstadgade fristen, samt övrig information i det nationella fordons- och förarregistret … utgör information som är tillgänglig för allmänheten.”

26

I artikel 431 i vägtrafiklagen, med rubriken ”System med prickning”, föreskrivs följande i punkt 1:

”För att påverka fordonsförarnas beteende, och förmå dem att framföra fordonen på ett säkert sätt och att följa trafikreglerna, samt för att så långt som möjligt minska riskerna för personers liv, hälsa och egendom, ska förvaltningsrättsliga överträdelser som begås av fordonsförare föras in i belastningsregistret och information om prickning föras in i det nationella fordons-och förarregistret.”

27

Enligt punkterna 1 och 4 i Ministru kabineta noteikumi Nr. 551 ”Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi” (ministerrådets dekret nr 551 om genomförande av systemet med prickning) av den 21 juni 2004 (Latvijas Vēstnesis, 2004, nr 102) ska information om prickning av fordonsförare för förvaltningsrättsliga överträdelser av trafikregler registreras den dag då fristen för att överklaga beslutet om administrativ sanktion löper ut.

28

Enligt punkt 7 i dekretet raderas informationen om prickningen när regelöverträdelserna har preskriberats.

29

Det framgår av punkt 12 i dekretet att olika åtgärder vidtas mot förarna, beroende på antalet prickar. Det kan röra sig om varningar, en skyldighet att genomgå utbildning eller avlägga prov beträffande trafiksäkerhet och körförbud under en bestämd period.

30

Såsom framgår av artikel 32.1 i Satversmes tiesas likums (lagen om författningsdomstolen) av den 5 juni 1996 (Latvijas Vēstnesis, 1996, nr 103) vinner en dom från Latvijas Republikas Satversmes tiesa (Författningsdomstolen, Lettland) laga kraft, och blir verkställbar, direkt vid avkunnandet. Enligt artikel 32.3 i denna lag ska en bestämmelse som Latvijas Republikas Satversmes tiesa (Författningsdomstolen) har förklarat strida mot en överordnad rättsregel anses vara ogiltig från och med den dag då författningsdomstolens dom offentliggörs, såvida den domstolen inte beslutar annorlunda.

31

B är en fysisk person som prickats för en eller flera överträdelser av trafikregler. I enlighet med vägtrafiklagen och dekret nr 551 av den 21 juni 2004 förde Ceļu satiksmes drošības direkcija (styrelsen för säkerhet i vägtrafiken, Lettland) (nedan kallad trafiksäkerhetsstyrelsen) in information om prickningen i det nationella fordons- och förarregistret.

32

Informationen om prickningen var tillgänglig för allmänheten och enligt B lämnades den dessutom ut till flera olika ekonomiska aktörer för vidareutnyttjande. B väckte talan vid Latvijas Republikas Satversmes tiesa (Författningsdomstolen) och yrkade att rätten skulle fastställa huruvida artikel 141.2 i vägtrafiklagen var förenlig med den grundläggande rätt till respekt för privatlivet som stadgas i artikel 96 i den lettiska författningen.

33

Latvijas Republikas Saeima (Republiken Lettlands parlament) (nedan kallat det lettiska parlamentet) deltog i rättegången i egenskap av det organ som antagit vägtrafiklagen. Dessutom hördes trafiksäkerhetsstyrelsen – som behandlar information om prickning vid överträdelser av trafikregler – liksom Datu valsts inspekcija (dataskyddsmyndigheten), som är Lettlands tillsynsmyndighet i den mening som avses i artikel 51 dataskyddsförordningen, och flera andra myndigheter och personer.

34

Det lettiska parlamentet bekräftade i målet om överklagandet vid den nationella domstolen att enligt artikel 141.2 i vägtrafiklagen har var och en möjlighet att få ut information om prickningen av en annan person, antingen genom att vända sig direkt till trafiksäkerhetsstyrelsen, eller genom att använda sig av någon av de tjänster som tillhandahålls av kommersiella återanvändare.

35

Parlamentet underströk att bestämmelsen är rättsenlig, eftersom den rättfärdigas av målet att förbättra trafiksäkerheten. Detta allmänintresse gör det påkallat att öppet identifiera de fordonsförare som bryter mot trafikreglerna – särskilt när detta sker systematiskt och medvetet – och att medelst denna öppenhet avskräcka fordonsförare från att bryta mot trafikreglerna.

36

Enligt vad parlamentet gjorde gällande är nämnda bestämmelse för övrigt motiverad av den rätt att få tillgång till information som är stadfäst i den lettiska författningen.

37

Det lettiska parlamentet preciserade att det rent praktiskt går till så att information från det nationella fordons- och förarregistret lämnas ut på villkor att den som begär ut informationen anger identifikationsnumret för den förare som begäran avser. Detta villkor för erhållande av information förklaras av att det nationella identifikationsnumret, till skillnad från personens namn som kan vara identiskt med andra personers namn, är en unik identitetsbeteckning.

38

Trafiksäkerhetsstyrelsen framhöll att artikel 141.2 i vägtrafiklagen inte innehåller några som helst begränsningar av vare sig allmänhetens tillgång till information om prickning eller vidareutnyttjandet av denna information. Trafiksäkerhetsstyrelsen underströk att de avtal som den ingår med kommersiella återanvändare inte handlar om någon juridisk överföring av dessa uppgifter och att återanvändarna måste gå i god för att den information som de lämnar vidare till sina kunder inte går utöver den information som kan erhållas från trafiksäkerhetsstyrelsen. Dessutom intygar förvärvaren genom dessa avtal att denne kommer att använda den mottagna informationen för de syften som angetts i avtalet och i enlighet med gällande bestämmelser.

39

Datu valsts inspekcija (dataskyddsmyndigheten) gav uttryck för osäkerhet i frågan huruvida artikel 141.2 i vägtrafiklagen är förenlig med artikel 96 i den lettiska författningen, där rätten till respekt för privatlivet stadfästs. Enligt dataskyddsmyndighetens uppfattning är det inte klart fastställt vilket syftet är med den behandling som utförs med stöd av den i det nationella målet aktuella bestämmelsen, och inte heller hur omfattande denna behandling är, vilket innebär att det inte kan uteslutas att behandlingen är olämplig eller oproportionerlig. Även om statistiken över trafikolyckor i Lettland visserligen visar att antalet olyckor har minskat, så är det för den skull nämligen inte fastställt att systemet med prickning vid överträdelser av trafikregler och allmänhetens tillgång till information från det systemet har bidragit till denna gynnsamma utveckling.

40

Latvijas Republikas Satversmes tiesa (Författningsdomstolen) har till att börja med noterat att överklagandet rör artikel 141.2 i vägtrafiklagen endast i den del som den artikeln innebär att den information om prickning vid överträdelser av trafikregler som har lagts in i det nationella fordons- och förarregistret är tillgängliga för allmänheten.

41

Vidare har den konstaterat att informationen om prickning utgör personuppgifter och att det vid bedömningen av rätten till respekt för privatlivet enligt artikel 96 i den lettiska författningen är nödvändigt att beakta dataskyddsförordningen och mer allmänt artikel 16 FEUF och artikel 8 i stadgan.

42

När det gäller syftena med den lettiska vägtrafiklagstiftningen har nämnda domstol angett att det bland annat är i syfte att främja trafiksäkerheten som förarnas regelöverträdelser, vilka betecknas som förvaltningsrättsliga överträdelser i Lettland, förs in i belastningsregistret och informationen om prickning förs in i det nationella fordons- och förarregistret.

43

Vad särskilt gäller det nationella fordons- och förarregistret har den angett att detta register gör det möjligt att ta reda på hur många överträdelser av trafikreglerna som en viss person har gjort sig skyldig till och att genomföra åtgärder anpassade till antalet överträdelser. Syftet med den prickning som redovisas i detta register är således att förbättra trafiksäkerheten genom att göra det möjligt att, för det första, skilja mellan å ena sidan de fordonsförare som systematiskt och medvetet bryter mot trafikreglerna och å andra sidan de som gör sig skyldiga till sådana överträdelser endast vid enstaka tillfällen. För det andra kan ett sådant system även ha en förebyggande inverkan på vägtrafikanternas beteende genom att ge dem incitament att följa trafikreglerna.

44

Författningsdomstolen har påpekat att artikel 141.2 i vägtrafiklagen ger var och en rätt att från trafiksäkerhetsstyrelsen begära och erhålla information från det nationella fordons- och förarregistret om prickningen av fordonsförare. Nämnda domstol har härvid bekräftat att det rent praktiskt går till så att informationen lämnas ut till den person som begär den om denne har angett den berörda förarens nationella identifikationsnummer.

45

Därefter har Latvijas Republikas Satversmes tiesa (Författningsdomstolen) preciserat att eftersom information om prickning vid överträdelser av trafikregler klassificeras som information som är tillgänglig för allmänheten, omfattas den av lagen om informationsfrihet och får därför vidareutnyttjas för andra – kommersiella eller icke-kommersiella – ändamål än det ursprungliga ändamålet med dess upprättande.

46

För att kunna tolka och tillämpa artikel 96 i den lettiska författningen i överensstämmelse med unionsrätten önskar nämnda domstol, för det första, få klarhet i huruvida information om prickning utgör sådan information som avses i artikel 10 i dataskyddsförordningen, det vill säga ”personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott”. Om så är fallet skulle artikel 141.2 i vägtrafiklagen kunna anses strida mot kravet i nämnda artikel 10, enligt vilken behandlingen av de uppgifter som avses där endast får utföras ”under kontroll av en myndighet” eller på villkor att det föreligger ”lämpliga skyddsåtgärder för de registrerades rättigheter och friheter”.

47

Nämnda domstol har påpekat att artikel 8.5 i direktiv 95/46, enligt vilken varje medlemsstat själv fick bestämma huruvida de särskilda reglerna för uppgifter om lagöverträdelser och domar inom straffrättsområdet skulle utsträckas till att även omfatta uppgifter om förvaltningsrättsliga lagöverträdelser och sanktioner, genomfördes i Lettland, från och med den 1 september 2007, på ett sådant sätt att personuppgifter om förvaltningsrättsliga lagöverträdelser – precis som uppgifter om lagöverträdelser och domar inom straffrättsområdet – endast fick behandlas av de personer och i de situationer som föreskrevs i lag.

48

Därutöver har den påpekat att enligt skäl 4 i dataskyddsförordningen ska bedömningen av innebörden av artikel 10 i samma förordning göras med hänsyn till de grundläggande rättigheternas funktion i samhället. Den anser att målsättningen att undvika att en tidigare dom får en orimligt negativ inverkan på en persons privat- och yrkesliv i detta sammanhang kan gälla såväl vid straffrättsliga som vid förvaltningsrättsliga lagöverträdelser. Man ska härvid ta hänsyn till vad Europadomstolen har slagit fast i sin rättspraxis beträffande likställandet av vissa förvaltningsrättsliga ärenden med straffrättsliga förfaranden.

49

Latvijas Republikas Satversmes tiesa (Författningsdomstolen) har för det andra ställt frågor om innebörden av artikel 5 i dataskyddsförordningen. Bland annat önskar den få klarhet i huruvida den lettiska lagstiftaren har iakttagit skyldigheten enligt artikel 5.1 f i dataskyddsförordningen att behandla personuppgifter med ”integritet och konfidentialitet”. Den har påpekat att artikel 141.2 i vägtrafiklagen, som genom att den ger tillgång till information om prickning gör det möjligt att få reda på huruvida en viss person har befunnits skyldig till en överträdelse av trafikreglerna, inte åtföljs av några särskilda åtgärder som garanterar säkerheten för de berörda uppgifterna.

50

För det tredje önskar den domstolen få klarhet i huruvida direktiv 2003/98 är relevant för bedömningen av huruvida artikel 141.2 i vägtrafiklagen är förenlig med rätten till respekt för privatlivet. Det framgår nämligen av detta direktiv att det endast är tillåtet med vidareutnyttjande av personuppgifter om det är förenligt med nämnda rättighet.

51

Mot bakgrund av att EU-domstolen i sin praxis har slagit fast att den tolkning av unionsrätten som den tillhandahåller genom sina förhandsavgöranden har allmängiltig verkan (erga omnes) från och med en viss tidpunkt i det förflutna (ex tunc) undrar Latvijas Republikas Satversmes tiesa (Författningsdomstolen), för det fjärde, huruvida den, för det fall artikel 141.2 i vägtrafiklagen är oförenlig med artikel 96 i den lettiska författningen jämförd med dataskyddsförordningen och stadgan, ändå får låta verkningarna av nämnda artikel 141.2 bestå till dess att dom meddelas, med hänsyn till det stora antal rättsförhållanden som det rör sig om.

52

Latvijas Republikas Satversmes tiesa (Författningsdomstolen) har förklarat att enligt lettisk rätt ska en rättsakt som den förklarar vara författningsstridig anses vara ogiltig från och med den dag då författningsdomstolens dom meddelas, såvida den domstolen inte beslutar annorlunda. Den har förklarat att den i detta avseende ankommer på den att göra en avvägning mellan å ena sidan rättssäkerhetsprincipen och å andra sidan de berörda parternas grundläggande rättigheter.

53

Mot denna bakgrund beslutade Latvijas Republikas Satversmes tiesa (Författningsdomstolen) att vilandeförklara målet och ställa följande tolkningsfrågor till EU-domstolen:

54

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 10 i dataskyddsförordningen ska tolkas så, att den är tillämplig på behandling av personuppgifter avseende prickning av förare vid överträdelser av trafikregler som består i att dessa uppgifter görs tillgängliga för allmänheten.

55

I artikel 10 i dataskyddsförordningen anges att behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades fri- och rättigheter fastställs.

56

Inledningsvis ska det således prövas huruvida den information om prickning som lämnas till utomstående med stöd av den i målet aktuella lagstiftningen utgör ”personuppgifter” i den mening som avses i artikel 4.1 i dataskyddsförordningen, och huruvida nämnda utlämnande utgör en sådan ”behandling” av sådana uppgifter, i den mening som avses i artikel 4.2 i förordningen, som ingår i förordningens materiella tillämpningsområde enligt definitionen i artikel 2.

57

I detta avseende konstaterar EU-domstolen för det första att det framgår av beslutet om hänskjutande att det i lettisk lagstiftning föreskrivs att förare som har brutit mot trafikregler och som har påförts penningsanktioner eller sanktioner av annat slag ska prickas. Ett offentligt organ, trafiksäkerhetsstyrelsen, för in informationen om prickningen i det nationella fordons- och förarregistret den dag då fristen för att överklaga sanktionsbeslutet löper ut.

58

Det framgår även av nämnda beslut att överträdelser av trafikreglerna och sanktionerna för dessa i Lettland ingår i förvaltningsrätten och att syftet med prickningen inte är att påföra ytterligare sanktioner utan att skapa en ökad medvetenhet hos de berörda förarna och förmå dem att välja en säkrare körstil. Den person som har fått ett visst antal prickar kan åläggas körförbud under en bestämd tid.

59

Det framgår även av detta beslut att den lagstiftning som är i fråga i målet vid den nationella domstolen innehåller en skyldighet för trafiksäkerhetsstyrelsen att lämna ut information om prickning av förare till den som begär tillgång till dessa uppgifter. Det enda som trafiksäkerhetsstyrelsen kräver för att göra detta är att den som begär ut informationen identifierar den förare som begäran avser genom att ange dennes nationella identifikationsnummer.

60

EU-domstolen konstaterar sålunda att informationen om prickning, som avser en identifierad fysisk person, utgör ”personuppgifter” i den mening som avses i artikel 4.1 i dataskyddsförordningen och att trafiksäkerhetsstyrelsens utlämnande av dessa till utomstående utgör en ”behandling” i den mening som avses i artikel 4.2 i dataskyddsförordningen.

61

För det andra ska det konstateras att utlämnandet av denna information omfattas av den mycket vida definitionen av dataskyddsförordningens materiella tillämpningsområde i artikel 2.1, och att detta inte är en av de behandlingar av personuppgifter som är undantagna från dataskyddsförordningens tillämpningsområde enligt artikel 2.2 a och d.

62

I artikel 2.2 a i dataskyddsförordningen föreskrivs nämligen att denna förordning inte ska tillämpas på sådan behandling av personuppgifter som ”utgör ett led i en verksamhet som inte omfattas av unionsrätten”. Detta undantag från dataskyddsförordningens tillämplighet ska, i likhet med övriga undantag i artikel 2.2, ges en restriktiv tolkning (se, för ett liknande resonemang, dom av den 9 juli 2020, Land Hessen, C‑272/19, EU:C:2020:535, punkt 68, och dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 84).

63

Artikel 2.2 a i förordningen ska i detta avseende läsas tillsammans med artikel 2.2 b och skäl 16, där det anges att förordningen inte är tillämplig på behandling av personuppgifter ”på områden som inte omfattas av unionsrätten, såsom verksamhet rörande nationell säkerhet” och ”inom ramen för unionens gemensamma utrikes- och säkerhetspolitik”.

64

Härav följer att artikel 2.2 a och b i dataskyddsförordningen delvis bygger vidare på artikel 3.2 första strecksatsen i direktiv 95/46. Följaktligen kan artikel 2.2 a och b i dataskyddsförordningen inte tolkas så, att de bestämmelserna har en vidare innebörd än det undantag som följer av artikel 3.2 första strecksatsen i direktiv 95/46, som redan föreskrev att man från direktivets tillämpningsområde bland annat skulle undanta behandling av personuppgifter inom ramen för ”en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i [EU‑fördraget, i dess lydelse före Lissabon-fördraget] och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet …”.

65

Såsom EU-domstolen vid upprepade tillfällen har slagit fast är det endast behandling av personuppgifter som utförs som ett led i en verksamhet som endast kan bedrivas av staten eller statliga myndigheter och som uttryckligen nämns i artikel 3.2, eller en verksamhet som kan placeras i samma kategori, som inte omfattas av direktivets tillämpningsområde (se, för ett liknande resonemang, dom av den 6 november 2003, Lindqvist, C‑101/01, EU:C:2003:596, punkterna 42–44, dom av den 27 september 2017, Puškár, C‑73/16, EU:C:2017:725, punkterna 36 och 37 och dom av den 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 38).

66

Av detta följer att artikel 2.2 a i dataskyddsförordningen, jämförd med skäl 16 i förordningen, ska anses ha som enda syfte att från förordningens tillämpningsområde undanta behandling av personuppgifter som statliga myndigheter utför som ett led i en verksamhet som syftar till att upprätthålla nationell säkerhet eller en verksamhet som kan placeras i samma kategori. Det innebär att enbart den omständigheten att en verksamhet endast kan bedrivas av staten eller av en offentlig myndighet inte räcker för att detta undantag automatiskt ska vara tillämpligt på en sådan verksamhet (se, för ett liknande resonemang, dom av den 9 juli 2020, Land Hessen, C‑272/19, EU:C:2020:535, punkt 70).

67

Verksamhet som syftar till att upprätthålla den nationella säkerheten i den mening som avses i artikel 2.2 a i dataskyddsförordningen omfattar bland annat, såsom även generaladvokaten har påpekat i punkterna 57 och 58 i sitt förslag till avgörande, verksamhet som syftar till att skydda statens grundfunktioner och samhällets grundläggande intressen.

68

Verksamhet som rör trafiksäkerhet bedrivs inte i ett sådant syfte och kan följaktligen inte placeras i kategorin verksamhet som syftar till att upprätthålla nationell säkerhet enligt i artikel 2.2 a i dataskyddsförordningen.

69

Vidare anges det i artikel 2.2 d i dataskyddsförordningen att denna förordning inte är tillämplig på behandling av personuppgifter som ”behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten”. Såsom framgår av skäl 19 i förordningen motiveras detta undantag av den omständigheten att behandling av personuppgifter som sker för sådana ändamål och som utförs av de behöriga myndigheterna regleras av en mer specifik unionsrättsakt, nämligen direktiv 2016/680, vilket antogs samma dag som dataskyddsförordningen. I artikel 3.7 i nämnda direktiv anges vad som avses med ”behörig myndighet” och samma definition bör tillämpas analogt på artikel 2.2 d.

70

Det framgår av skäl 10 i direktiv 2016/680 att begreppet ”behörig myndighet” ska kopplas till skyddet av personuppgifter inom områdena straffrättsligt samarbete och polissamarbete, med beaktande av de anpassningar som kan visa sig nödvändiga i detta avseende med hänsyn till dessa områdens särart. I skäl 11 i direktivet preciseras vidare att dataskyddsförordningen är tillämplig på behandling av personuppgifter som utförs av en ”behörig myndighet” i den mening som avses i artikel 3.7 i nämnda direktiv, men för andra ändamål än de som avses i direktivet.

71

Mot bakgrund av vad som framkommit i målet vid EU-domstolen framgår det inte att trafiksäkerhetsstyrelsen vid utövandet av den verksamhet som är aktuell i det nationella målet – det vill säga att, i trafiksäkerhetssyfte, till allmänheten lämna ut personuppgifter avseende prickning – är att betrakta som en ”behörig myndighet” i den mening som avses i artikel 3.7 i direktiv 2016/680, och att sådan verksamhet därmed kan omfattas av undantaget i artikel 2.2 d i dataskyddsförordningen.

72

Följaktligen måste trafiksäkerhetsstyrelsens utlämnande av personuppgifter avseende prickning av förare vid överträdelser av trafikregler anses ingå i dataskyddsförordningens tillämpningsområde.

73

För att avgöra huruvida artikel 10 i dataskyddsförordningen är tillämplig på ett sådant utlämnande av uppgifter behöver det fastställas om de utlämnade uppgifterna utgör personuppgifter ”som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder” i den mening som avses i den bestämmelsen, som endast får behandlas ”under kontroll av en myndighet”, förutom om behandlingen ”är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs”.

74

Domstolen erinrar om att syftet med artikel 10 är att säkerställa ett utökat skydd mot sådan behandling som, på grund av att uppgifterna i fråga är särskilt känsliga, kan utgöra ett särskilt allvarligt ingrepp i den grundläggande rätten till respekt för privatlivet och skydd för personuppgifter enligt artiklarna 7 och 8 i stadgan (se, för ett liknande resonemang, dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter), C‑136/17, EU:C:2019:773, punkt 44).

75

Eftersom de uppgifter som det hänvisas till i artikel 10 i dataskyddsförordningen avser beteenden som samhället tar avstånd från, kan ett beviljande av tillgång till sådana uppgifter nämligen stigmatisera den berörda personen och därmed utgöra ett allvarligt ingrepp i hans eller hennes privatliv eller yrkesliv.

76

Det är riktigt att de lettiska myndigheternas beslut om beivrande av överträdelser av trafikregler, såsom den lettiska regeringen har framhållit i sina svar på domstolens frågor, sparas i belastningsregistret – som allmänheten endast har tillgång till i begränsad utsträckning – och inte i fordons- och förarregistret som artikel 141.2 i vägtrafiklagen ger fri tillgång till. Trafiksäkerhetsstyrelsens utlämnande av personuppgifter avseende prickning från det sistnämnda registret gör emellertid, såsom den hänskjutande domstolen har påpekat, att allmänheten får kännedom om huruvida en viss person har brutit mot trafikreglerna och, om så är fallet, kan sluta sig till hur pass allvarliga och frekventa överträdelserna har varit. Att tillämpa ett sådant system med utlämnande av information om prickning är således detsamma som att ge tillgång till personuppgifter avseende överträdelser av trafikregler.

77

När det gäller frågan om huruvida det rör sig om behandling av personuppgifter avseende ”lagöverträdelser som innefattar brott”, i den mening som avses i artikel 10 i dataskyddsförordningen, när allmänheten ges tillgång till sådan information, ska det för det första påpekas att detta begrepp uteslutande avser brott. Det framgår bland annat av förberedelsearbetet inför antagandet av dataskyddsförordningen. Europaparlamentets förslag att låta ”administrativa sanktioner” uttryckligen ingå i denna bestämmelse (EUT C 378, 2017, s. 430) antogs nämligen inte. Denna omständighet är särskilt anmärkningsvärd med tanke på att den bestämmelse som föregick artikel 10 i dataskyddsförordningen, det vill säga artikel 8.5 i direktiv 95/46, som i första stycket hänvisade till ”lagöverträdelser” och ”brottmålsdomar”, i andra stycket gav medlemsstaterna möjlighet att ”föreskriva att uppgifter som rör administrativa sanktioner … också skall behandlas under kontroll av en myndighet”. Vid en läsning av hela artikel 8.5 framgår det således tydligt att begreppet ”lagöverträdelse” endast avsåg brott.

78

Mot denna bakgrund måste det anses att unionslagstiftaren, genom att avsiktligt avstå från att ta med adjektivet ”administrativ” i artikel 10 i dataskyddsförordningen, avsåg att låta det utökade skydd som föreskrivs i denna bestämmelse vara begränsat till det straffrättsliga området.

79

Denna tolkning stöds, såsom generaladvokaten har påpekat i punkterna 74–77 i sitt förslag till avgörande, av den omständigheten att det i flera språkversioner av artikel 10 i dataskyddsförordningen uttryckligen hänvisas till ”brott”. Så är till exempel fallet på tyska (Straftaten), spanska (infracciones penales), italienska (reati), litauiska (nusikalstamas veikas), maltesiska (reati) och nederländska (strafbare feiten).

80

För det andra är den omständigheten att överträdelser av trafikregler kvalificeras som förvaltningsrättsliga i Lettland inte avgörande för bedömningen av huruvida dessa omfattas av artikel 10 i dataskyddsförordningen.

81

Det ska i detta avseende erinras om att ordalydelsen i en unionsbestämmelse som inte innehåller någon uttrycklig hänvisning till medlemsstaternas rättsordningar för fastställandet av bestämmelsens innebörd och tillämpningsområde, i regel ska ges en självständig och enhetlig tolkning inom hela Europeiska unionen (dom av den 19 september 2000, Linster, C‑287/98, EU:C:2000:468, punkt 43, och dom av den 1 oktober 2019, Planet49, C‑673/17, EU:C:2019:801, punkt 47).

82

I förevarande fall ska det först och främst påpekas att dataskyddsförordningen inte innehåller någon hänvisning till de nationella rättsordningarna vad gäller innebörden av de uttryck som förekommer i artikel 10 i förordningen, bland annat ”lagöverträdelser som innefattar brott” och ”fällande domar i brottmål”.

83

Vidare framgår det av skäl 10 i dataskyddsförordningen att avsikten med denna förordning är att bidra till att skapa ett område med frihet, säkerhet och rättvisa genom att säkerställa en konsekvent och hög skyddsnivå för fysiska personer med avseende på behandling av personuppgifter, vilket förutsätter att skyddsnivån är likvärdig och enhetlig i alla medlemsstater. Det skulle strida mot ett detta syfte om det utökade skydd som föreskrivs i denna bestämmelse endast omfattade behandling av personuppgifter avseende prickning vid överträdelser av trafikregler i vissa medlemsstater och inte i andra, enbart av det skälet att sådana överträdelser inte kvalificeras som brott i de sistnämnda medlemsstaterna.

84

Slutligen stöds detta konstaterande, såsom generaladvokaten har påpekat i punkt 84 i sitt förslag till avgörande, av skäl 13 i direktiv 2016/680, där det anges att ”[e]tt brott i den mening som avses i detta direktiv bör utgöra ett självständigt begrepp i unionsrätten enligt Europeiska unionens domstols … tolkning”.

85

Härav följer att begreppet ”brott”, vilket är avgörande för att fastställa huruvida artikel 10 i dataskyddsförordningen är tillämplig på personuppgifter avseende överträdelser av trafikregler såsom de som är aktuella i det nationella målet ska ges en självständig och enhetlig tolkning inom hela unionen, med beaktande av det mål som eftersträvas med denna bestämmelse och det sammanhang i vilket den förekommer, varvid det inte ska tillmätas avgörande betydelse hur dessa överträdelser kvalificeras i den berörda medlemsstaten, då denna kvalificering kan variera från ett land till ett annat (se, för ett liknande resonemang, dom av den 14 november 2013, Baláž, C‑60/12, EU:C:2013:733, punkterna 26 och 35).

86

För det tredje ska det prövas huruvida överträdelser av trafikregler, såsom de som leder till att införande i fordons- och förarregistret av sådan information om prickning som enligt den omtvistade bestämmelsen ska lämnas ut till utomstående, utgör ”brott” i den mening som avses i artikel 10 i dataskyddsförordningen.

87

Enligt domstolens praxis finns det tre kriterier som är relevanta vid bedömningen av huruvida en överträdelse är av straffrättslig karaktär. Det första kriteriet är den rättsliga kvalificeringen av överträdelsen i nationell rätt, det andra kriteriet är överträdelsens art och det tredje kriteriet är strängheten i den sanktion som den berörde kan åläggas (se, för ett liknande resonemang, dom av den 5 juni 2012, Bonda, C‑489/10, EU:C:2012:319, punkt 37, dom av den 20 mars 2018, Garlsson Real Estate m.fl., C‑537/16, EU:C:2018:193, punkt 28, och dom av den 2 februari 2021, Consob, C‑481/19, EU:C:2021:84, punkt 42).

88

Även när det gäller överträdelser som inte kvalificeras som ”straffrättsliga” i nationell rätt, kan en sådan karaktär emellertid följa av överträdelsens art i sig och av strängheten i den sanktion som den kan föranleda (se, för ett liknande resonemang, dom av den 20 mars 2018, Garlsson Real Estate m.fl., C‑537/16, EU:C:2018:193, punkterna 28 och 32).

89

När det gäller kriteriet avseende överträdelsens art, innebär det en undersökning av huruvida den aktuella sanktionen bland annat har ett repressivt syfte: att sanktionen även har ett förebyggande syfte betyder inte i sig att den inte kan kvalificeras som en straffrättslig sanktion. Straffrättsliga sanktioner är nämligen till sin natur sådana att de syftar till att både bekämpa och förebygga olagliga handlingar. Däremot är en åtgärd som inskränker sig till att kompensera för den skada som vållats genom överträdelsen i fråga inte av straffrättslig karaktär (se, för ett liknande resonemang, dom av den 5 juni 2012, Bonda, C‑489/10, EU:C:2012:319, punkt 39, och dom av den 20 mars 2018, Garlsson Real Estate m.fl., C‑537/16, EU:C:2018:193, punkt 33). Det är ostridigt att prickningen av den som bryter mot trafikregler, precis som de penningsanktioner och andra sanktioner som detta kan leda till, inte enbart har till syfte att kompensera för den skada som dessa överträdelser eventuellt har vållat, utan att de även har ett repressivt syfte.

90

När det gäller kriteriet avseende strängheten i de sanktioner som överträdelserna kan leda till ska det först och främst framhållas att prickning endast sker för de överträdelser av trafikreglerna som är av en viss allvarlighetsgrad och att sådana överträdelser följaktligen kan leda till sanktioner av en viss stränghetsgrad. Vidare är prickning i allmänhet något som tillkommer utöver den sanktion som den som har brutit mot trafikreglerna påförs, vilket för övrigt är fallet enligt den lagstiftning som är aktuell i det nationella målet, såsom det har framhållits ovan i punkt 58. Slutligen ska det konstateras att själva kumuleringen av prickar får rättsliga följder. Det kan röra sig om en skyldighet att avlägga en examen, eller till och med ett körförbud.

91

Denna bedömning bekräftas av rättspraxis från Europeiska domstolen för de mänskliga rättigheterna, enligt vilken överträdelser av trafikregler – trots att de tenderar att avkriminaliseras i vissa stater – i allmänhet ska betraktas som straffrättsliga, med hänsyn till sanktionernas såväl preventiva som repressiva syfte samt strängheten i de sanktioner som kan påföras (se, för ett liknande resonemang, Europadomstolen, 21 februari 1984, Öztürk mot Tyskland, CE:ECHR:1984:0221JUD 000854479, §§ 49–53, 29 juni 2007, O’Halloran och Francis mot Förenade kungariket, CE:ECHR:2007:0629JUD 001580902, §§ 33–36, och 4 oktober 2016, Rivard mot Schweiz, CE:ECHR:2016:1004JUD 002156312, §§ 23 och 24).

92

Att kvalificera sådana överträdelser av trafikregler som kan leda till prickning som ”brott” i den mening som avses i artikel 10 i dataskyddsförordningen rimmar även väl med denna bestämmelses syfte. Ett utlämnande till allmänheten av personuppgifter avseende överträdelser av trafikregler, inklusive information om prickning för sådana överträdelser, kan nämligen – med hänsyn till att sådana överträdelser försämrar vägsäkerheten – leda till avståndstagande från samhällets sida och medföra en stigmatisering av den berörda personen, framför allt när det framgår av prickningen att överträdelserna har varit av en viss allvarlighetsgrad eller en viss frekvens.

93

Härav följer att överträdelser av trafikregler som kan leda till prickning omfattas av begreppet ”lagöverträdelser som innefattar brott” i artikel 10 i dataskyddsförordningen.

94

Med hänsyn till det ovan anförda ska den första frågan besvaras enligt följande. Artikel 10 i dataskyddsförordningen ska tolkas så, att den är tillämplig på behandling av personuppgifter avseende prickning av förare vid överträdelser av trafikregler.

95

Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida bestämmelserna i dataskyddsförordningen ska tolkas så, att de utgör hinder för en nationell lagstiftning enligt vilken det offentliga organ som ansvarar för registret med information om prickning av förare vid överträdelser av trafikregler, är skyldigt att lämna ut dessa uppgifter till den som begär det, utan att den som begär ut informationen behöver visa att vederbörande har ett särskilt intresse av att få tillgång till dessa uppgifter.

96

EU-domstolen erinrar om att all behandling av personuppgifter dels måste överensstämma med de principer om uppgiftsbehandling som anges i artikel 5 i dataskyddsförordningen, dels måste svara mot någon av de i artikel 6 uppräknade principer som gör att behandlingen kan tillåtas (se, för ett liknande resonemang, dom av den 16 januari 2019, Deutsche Post, C‑496/17, EU:C:2019:26, punkt 57 och där angiven rättspraxis).

97

När det gäller principerna för behandling av personuppgifter är det riktigt att den hänskjutande domstolen specifikt har hänvisat till principerna om ”integritet” och ”konfidentialitet” i artikel 5.1 f i dataskyddsförordningen. Det framgår emellertid av den hänskjutande domstolens frågeställningar att den önskar få klarhet i huruvida den behandling av de personuppgifter som är aktuell i det nationella målet kan anses vara tillåten rent allmänt med beaktande av förordningens samtliga bestämmelser, och bland annat med beaktande av proportionalitetsprincipen.

98

Härav följer att det i svaret till den hänskjutande domstolen även ska tas hänsyn till de andra principerna i artikel 5.1 i förordningen, bland annat principen om ”uppgiftsminimering” i led c i denna bestämmelse. Denna princip innebär att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas, och den är ett uttryck för den ovan nämnda proportionalitetsprincipen (se, för ett liknande resonemang, dom av den 11 december 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, punkt 48).

99

Vad gäller principerna för behandlingens laglighet, innehåller artikel 6 i dataskyddsförordningen en uttömmande och begränsande uppräkning av de fall där behandling av personuppgifter kan anses vara tillåten. Således måste en behandling för att kunna betraktas som laglig vara hänförlig till något av de fall som anges i artikel 6 (se, för ett liknande resonemang, dom av den 11 december 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, punkterna 37 och 38). Den behandling av personuppgifter som är i fråga i det nationella målet, det vill säga trafiksäkerhetsstyrelsens utlämnande till allmänheten av information om prickning av förare vid överträdelser av trafikregler, kan hänföras till artikel 6.1 e i dataskyddsförordningen. Där anges att behandlingen är laglig om, och den utsträckning, den är ”är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning”.

100

Dessutom gäller att eftersom personuppgifter avseende prickning av förare vid överträdelser av trafikregler omfattas av artikel 10 i dataskyddsförordningen, såsom konstaterats ovan i punkt 94, så är behandlingen av dem föremål för de ytterligare restriktioner som föreskrivs i denna bestämmelse. Således får, enligt denna bestämmelse, behandling av dessa uppgifter ”endast … utföras under kontroll av en myndighet”, förutom om den är ”tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs”. I bestämmelsen preciseras dessutom att ”[e]tt fullständigt register över fällande domar i brottmål … endast [får] föras under kontroll av en myndighet”.

101

I det aktuella fallet har den behandling av de personuppgifter som är i fråga i det nationella målet, det vill säga utlämnandet till allmänheten av information om prickning av förare vid överträdelser av trafikregler, utförts av ett offentligt organ, trafiksäkerhetsstyrelsen, som är den personuppgiftsansvarige i den mening som avses i artikel 4.7 i dataskyddsförordningen (se, analogt, dom av den 9 mars 2017, Manni, C‑398/15, EU:C:2017:197, punkt 35). Det framgår emellertid även att när uppgifterna väl har lämnats ut till de personer som begärt dem, så kommer dessa personer, efter att ha tagit del av dem, att vid behov spara dem eller sprida dem vidare. Eftersom dessa efterföljande behandlingar av uppgifterna inte längre utförs ”under kontroll” av trafiksäkerhetsstyrelsen eller någon annan myndighet krävs det att ”lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs” i den nationella rätt som tillåter trafiksäkerhetsstyrelsen att lämna ut dessa uppgifter.

102

Bedömningen av huruvida en sådan nationell lagstiftning som den i det nationella målet är förenlig med förordningen ska således göras mot bakgrund av såväl de allmänna laglighetsvillkoren, särskilt de i artiklarna 5.1 c och 6.1 e i dataskyddsförordningen, som de särskilda restriktionerna i förordningens artikel 10.

103

Det ska konstateras att ingen av dessa bestämmelser innehåller något allmänt och ovillkorligt förbud mot att en myndighet, med stöd av nationell lagstiftning, ges behörighet, eller till och med en skyldighet, att lämna ut personuppgifter till den som framställer en begäran därom.

104

Även om det enligt artikel 5.1 c i dataskyddsförordningen krävs att behandling av personuppgifter sker i enlighet med principen om ”uppgiftsminimering” framgår det nämligen tydligt av bestämmelsens ordalydelse att den inte syftar till att införa ett sådant allmänt och absolut förbud och, framför allt, att den inte utgör hinder för att personuppgifter lämnas ut till allmänheten när detta är nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning i den mening som avses i artikel 6.1 e i förordningen. Samma sak gäller även när de aktuella uppgifterna omfattas av artikel 10 i dataskyddsförordningen under förutsättning att lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs i den lagstiftning som tillåter att uppgifterna lämnas ut (se, för ett liknande resonemang, dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter), C‑136/17, EU:C:2019:773, punkt 73).

105

Det ska i detta sammanhang erinras om att de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter inte utgör några absoluta rättigheter, utan ska förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter. Begränsningar får således göras, förutsatt att de, i enlighet med vad som anges i artikel 52.1 i stadgan, är föreskrivna i lag och förenliga med det väsentliga innehållet i de grundläggande rättigheterna och proportionalitetsprincipen. Enligt den sistnämnda principen får begränsningar endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller av behovet av skydd för andra människors rättigheter och friheter. Begränsningarna får inte gå utöver vad som är strikt nödvändigt, och den lagstiftning som innebär ett ingrepp måste innehålla tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden (se, för ett liknande resonemang, dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkterna 172–176).

106

För att fastställa huruvida ett utlämnande till allmänheten av personuppgifter avseende prickning, såsom det i det nationella målet, är nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, i den mening som avses i artikel 6.1 e i dataskyddsförordningen, och huruvida den lagstiftning som tillåter utlämnandet innehåller lämpliga skyddsåtgärder för de registrerades rättigheter och friheter, i den mening som avses i artikel 10 i dataskyddsförordningen, ska det följaktligen särskilt prövas om ingreppet i de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter – med beaktande av hur allvarligt ingreppet är – kan anses vara motiverat, och framför allt proportionerligt, med hänsyn till förverkligandet av de eftersträvade målen.

107

I det förevarande fallet har det lettiska parlamentet, i sitt yttrande till den hänskjutande domstolen, och den lettiska regeringen, i sitt yttrande till EU‑domstolen, gjort gällande att trafiksäkerhetsstyrelsen, genom att lämna ut personuppgifter avseende prickning av förare vid överträdelser av trafikregler till den som begär det, utför sin uppgift – av allmänt intresse – att förbättra trafiksäkerheten, bland annat för att i detta sammanhang göra det möjligt att identifiera de fordonsförare som systematiskt bryter mot trafikreglerna, och att påverka vägtrafikanternas beteende genom att ge dem incitament att följa dessa regler.

108

Det ska i detta hänseende erinras om att förbättrad trafiksäkerhet är ett mål av allmänintresse som erkänns av unionen (se, för ett liknande resonemang, dom av den 23 april 2015, Aykul, C‑260/13, EU:C:2015:257, punkt 69 och där angiven rättspraxis). Medlemsstaterna har således fog för att kvalificera trafiksäkerheten som en ”uppgift av allmänt intresse” i den mening som avses i artikel 6.1 e i dataskyddsförordningen.

109

För att uppfylla de villkor som uppställs i den sistnämnda bestämmelsen krävs det emellertid att utlämnandet från trafiksäkerhetsstyrelsens register av personuppgifter avseende prickning av förare vid överträdelser av trafikregler faktiskt uppfyller det mål av allmänintresse som består i att förbättra trafiksäkerheten, utan att gå utöver vad som är nödvändigt för att uppnå detta mål.

110

Såsom understryks i skäl 39 i dataskyddsförordningen är detta krav på nödvändighet inte uppfyllt när det eftersträvade målet av allmänintresse rimligen kan uppnås på ett lika effektivt sätt genom andra medel som i mindre utsträckning inskränker de registrerades grundläggande rättigheter, särskilt rätten till respekt för privatlivet och rätten till skydd för personuppgifter enligt artiklarna 7 och 8 i stadgan, och undantag från och inskränkningar av principen om skydd för personuppgifter får inte gå utöver vad som är strikt nödvändigt (se, för ett liknande resonemang, dom av den 11 december 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, punkterna 46 och 47).

111

Det framgår av medlemsstaternas praxis att var och en av dem förfogar över många olika handlingsmöjligheter, bland annat möjligheten att beivra överträdelser av trafikregler på ett avskräckande sätt, exempelvis genom att belägga de berörda förarna med körförbud, varvid ett åsidosättande av ett sådant förbud i sin tur kan leda till effektiva påföljder, utan att allmänheten behöver informeras om att sådana åtgärder har vidtagits. Det framgår även av denna praxis att det dessutom finns många förebyggande åtgärder som kan vidtas, vilket kan avse allt från informationskampanjer för att skapa en kollektiv medvetenhet, till individuella åtgärder för att tvinga en förare att genomgå utbildning och avlägga prov, utan att allmänheten behöver informeras om att sådana individuella åtgärder har vidtagits. Det framgår inte av handlingarna i målet vid EU-domstolen att den lettiska lagstiftaren skulle ha undersökt och privilegierat möjligheten att vidta sådana åtgärder i stället för att anta den lagstiftning som är i fråga i det nationella målet.

112

Såsom har påpekats i punkt 92 i förevarande dom kan ett utlämnande till allmänheten av personuppgifter avseende överträdelser av trafikregler, inklusive information om prickning av förare när dessa bryter mot nämnda regler, dessutom utgöra ett allvarligt ingrepp i de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter, eftersom det kan leda till avståndstagande från samhällets sida och medföra en stigmatisering av den berörda personen.

113

Med beaktande dels av hur känsliga de aktuella uppgifterna är och hur allvarligt ingreppet i de berörda personernas grundläggande rättigheter avseende respekt för privatlivet och skydd för personuppgifter är, dels av att det med hänsyn till konstaterandena ovan i punkt 111 inte framgår att syftet att förbättra trafiksäkerheten inte rimligen kan uppnås lika effektivt med mindre ingripande medel, finner domstolen det inte vara styrkt att det för att uppnå detta syfte är nödvändigt med ett sådant system med utlämnande av personuppgifter avseende prickning vid överträdelser av trafikregler som det nu aktuella (se, analogt, dom av den 9 november 2010, Volker und Markus Schecke och Eifert, C‑92/09 och C‑93/09, EU:C:2010:662, punkt 86).

114

Även om det kan vara motiverat att skilja mellan å ena sidan förare som systematiskt och medvetet bryter mot trafikreglerna och å andra sidan de som gör sig skyldiga till sådana överträdelser endast vid enstaka tillfällen, kan det således inte anses att det för att förbättra trafiksäkerheten för den skull är påkallat att den första kategorin av förare identifieras av allmänheten eller att allmänheten får ta del av sådan information, vilket innebär att det till och med kan ifrågasättas huruvida man genom den lagstiftning som är i fråga i det nationella målet kan uppnå det första av de syften som det hänvisas till ovan i punkt 107.

115

För övrigt framgår det av handlingarna i målet vid EU-domstolen att det inte bara är de uppgifter som rör prickningen av de förare som systematiskt och medvetet bryter mot trafikreglerna som trafiksäkerhetsstyrelsen lämnar ut till allmänheten, utan att myndigheten också lämnar ut de uppgifter som avser prickningen av de förare som gör sig skyldiga till sådana överträdelser endast vid enstaka tillfällen. Genom att föreskriva att allmänheten ska ha en generell åtkomst till information om prickning går den lagstiftning som är i fråga i det nationella målet således, under alla omständigheter, utöver vad som är nödvändigt för att uppnå syftet att motverka systematiskt och medvetet åsidosättande av trafikreglerna.

116

Vad gäller det andra av de syften som eftersträvas med den i det nationella målet aktuella lagstiftningen, som det erinras om ovan i punkt 107, framgår det av handlingarna i målet att även om man har kunnat notera en nedåtgående tendens i antalet trafikolyckor i Lettland, så saknas stöd för slutsatsen att denna tendens hänger samman mer med själva utlämnandet av informationen om prickning än med systemet med prickning i sig.

117

Slutsatsen ovan i punkt 113 påverkas inte av att trafiksäkerhetsstyrelsen i praktiken ställer som villkor för utlämnande av de aktuella personuppgifterna att sökanden anger det nationella identifikationsnumret för den förare som denne önskar inhämta upplysningar om.

118

Även om det antas att det, såsom den lettiska regeringen har anfört, förhåller sig så, att de offentliga folkbokföringsmyndigheternas utlämnande av nationella identifikationsnummer är underkastat strikta krav och således uppfyller villkoren i artikel 87 i dataskyddsförordningen, kvarstår nämligen det faktum att den lagstiftning som är aktuell i det nationella målet, såsom den tillämpas av trafiksäkerhetsstyrelsen, gör att alla som känner till en viss förares nationella identifikationsnummer, utan något annat villkor, kan erhålla personuppgifter om prickningen av denne förare. Ett sådant system med utlämnande av information kan leda till att dessa uppgifter lämnas ut till personer som söker skaffa sig upplysningar om prickningen av en viss person av skäl som inte har något att göra med målet av allmänintresse att förbättra trafiksäkerheten.

119

Slutsatsen ovan i punkt 113 påverkas inte heller av den omständigheten att det nationella fordons- och förarregistret utgör en allmän handling i den mening som avses i artikel 86 i dataskyddsförordningen.

120

EU-domstolen finner nämligen att även om allmänhetens tillgång till allmänna handlingar, såsom framgår av skäl 154 i förordningen, utgör ett allmänt intresse som kan motivera att personuppgifter som förekommer i sådana handlingar lämnas ut, måste man dock se till att allmänhetens tillgång till allmänna handlingar är förenlig med de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter, vilket för övrigt är ett uttryckligt krav enligt artikel 86. Med beaktande bland annat av hur känsliga uppgifterna om prickning vid överträdelser av trafikregler är, och av allvarlighetsgraden i det ingrepp i de berörda personernas grundläggande rättigheter avseende respekt för privatlivet och skydd för personuppgifter som utlämnandet av dessa uppgifter innebär, måste dessa rättigheter anses väga tyngre än allmänhetens intresse av att få tillgång till allmänna handlingar, bland annat till det nationella fordons- och förarregistret.

121

Av samma skäl kan rätten till informationsfrihet enligt artikel 85 i dataskyddsförordningen inte tolkas så att den motiverar att personuppgifter avseende prickning vid överträdelser av trafikregler lämnas ut till var och en som begär ut sådana uppgifter.

122

Med hänsyn till det ovan anförda ska den andra tolkningsfrågan besvaras enligt följande. Bestämmelserna i dataskyddsförordningen, särskilt artiklarna 5.1, 6.1 e och 10, ska tolkas så, att de utgör hinder för en nationell lagstiftning enligt vilken det offentliga organ som ansvarar för registret med information om prickning av förare vid överträdelser av trafikregler, är skyldigt att göra dessa uppgifter tillgängliga för allmänheten, utan att den som begär att få tillgång till informationen behöver visa att vederbörande har ett särskilt intresse av att erhålla dessa uppgifter.

123

Den hänskjutande domstolen har ställt den tredje frågan för att få klarhet i huruvida bestämmelserna i dataskyddsförordningen, särskilt artiklarna 5.1 b och 10 i dataskyddsförordningen, samt artikel 1.2 cc i direktiv 2003/98, ska tolkas så, att de utgör hinder för en nationell lagstiftning som tillåter det offentliga organ som ansvarar för det register som innehåller information om prickning av förare vid överträdelser av trafikregler att överföra dessa uppgifter till ekonomiska aktörer för vidareutnyttjande.

124

Bakgrunden till denna tolkningsfråga är, såsom den hänskjutande domstolen har framhållit, att trafiksäkerhetsstyrelsen ingår avtal med ekonomiska aktörer om att myndigheten ska överföra sådana personuppgifter avseende prickning som sparas i det nationella fordons- och förarregistret till de ekonomiska aktörerna, vilket bland annat får den konsekvensen att var och en som önskar upplysningar om eventuell prickning av en viss förare kan vända sig inte bara till trafiksäkerhetsstyrelsen, utan även till dessa ekonomiska aktörer för att få ut uppgifterna.

125

Det framgår av svaret på den andra tolkningsfrågan att bestämmelserna i dataskyddsförordningen, särskilt artiklarna 5.1, 6.1 e och 10, ska tolkas så, att de utgör hinder för en nationell lagstiftning enligt vilken det offentliga organ som ansvarar för registret med information om prickning av förare vid överträdelser av trafikregler, är skyldigt att göra dessa uppgifter tillgängliga för allmänheten, utan att den som begär att få tillgång till informationen behöver visa att vederbörande har ett särskilt intresse av att erhålla dessa uppgifter.

126

Samma bestämmelser ska av samma skäl som angetts i svaret på den andra frågan tolkas så, att de även utgör hinder för en nationell lagstiftning som tillåter att ett offentligt organ lämnar uppgifter av detta slag till ekonomiska aktörer för att dessa ska kunna vidareutnyttja uppgifterna och lämna ut dem till allmänheten.

127

Vad slutligen gäller artikel 1.2 cc i direktiv 2003/98, som den tredje frågan också handlar om, ska det precis som generaladvokaten har påpekat i punkterna 128 och 129 i sitt förslag till avgörande, konstateras att denna bestämmelse inte är relevant för att fastställa huruvida de unionsrättsliga reglerna om skydd av personuppgifter utgör hinder för en sådan lagstiftning som den som är aktuell i det nationella målet.

128

Oavsett om personuppgifter avseende prickning av förare vid överträdelser av trafikregler ska anses ingå i tillämpningsområdet för direktiv 2003/98 eller inte, så ska innebörden av skyddet av dessa uppgifter i vilket fall som helst fastställas på grundval av dataskyddsförordningen. Detta följer dels av skäl 154 i förordningen, dels av skäl 21 och artikel 1.4 i direktivet jämförda med artikel 94.2 i förordningen. I nämnda artikel 1.4 anges i huvudsak att tillämpningen av direktivet inte på något sätt ska påverka skyddsnivån för enskilda personer med avseende på behandling av personuppgifter enligt unionsrätten och att direktivet i synnerhet inte ändrar de skyldigheter och rättigheter som anges dataskyddsförordningen.

129

Med hänsyn till det ovan anförda ska den tredje tolkningsfrågan besvaras enligt följande. Bestämmelserna i dataskyddsförordningen, särskilt artiklarna 5.1, 6.1 e och 10, ska tolkas så, att de utgör hinder för en nationell lagstiftning som tillåter det offentliga organ som ansvarar för det register som innehåller information om prickning av förare vid överträdelser av trafikregler att överföra dessa uppgifter till ekonomiska aktörer för vidareutnyttjande.

130

Den hänskjutande domstolen har ställt den fjärde frågan för att få klarhet i huruvida principen om unionsrättens företräde ska tolkas så, att den utgör hinder för att en författningsdomstol i en medlemsstat, som har att pröva ett mål där invändningar har riktats mot en nationell lagstiftning vilken, i ljuset av ett förhandsavgörande från EU-domstolen, visar sig vara oförenlig med unionsrätten, med tillämpning av rättssäkerhetsprincipen beslutar att verkningarna av denna lagstiftning ska bestå till dess att författningsdomstolen slutligt avgör målet.

131

Såsom framgår av beslutet om hänskjutande har denna fråga ställts på grund av det stora antal rättsförhållanden som berörs av den nationella lagstiftning som är aktuell i det nationella målet och den omständigheten att den hänskjutande domstolen, enligt artikel 32.3 i lagen om Författningsdomstolen och rättspraxis på området, har möjlighet att, vid fullgörandet sin uppgift att säkerställa en jämvikt mellan rättssäkerhetsprincipen och de berörda personernas grundläggande rättigheter, begränsa den retroaktiva verkan av sina domar för att undvika att domarna medför allvarliga kränkningar av andra människors rättigheter.

132

Det ska erinras om att den tolkning som EU-domstolen gör av de unionsrättsliga bestämmelserna vid utövandet av sin behörighet enligt artikel 267 FEUF klargör och preciserar innebörden och räckvidden av dessa bestämmelser, såsom de borde ha tolkats och tillämpats från och med sitt ikraftträdande. Det är endast i undantagsfall som EU-domstolen, med tillämpning av den allmänna rättssäkerhetsprincip som ingår i unionens rättsordning, kan se sig föranledd att begränsa berörda personers möjlighet att åberopa en av domstolen tolkad bestämmelse i syfte att ifrågasätta rättsförhållanden som har tillkommit i god tro. För att en sådan begränsning ska kunna komma i fråga ska två väsentliga villkor vara uppfyllda, nämligen att de aktuella rättssubjekten handlat i god tro och att det föreligger en risk för allvarliga störningar (dom av den 6 mars 2007, Meilicke, C‑292/04, EU:C:2007:132, punkterna 34 och 35, dom av den 22 januari 2015, Balazs, C‑401/13 och C‑432/13, EU:C:2015:26, punkterna 49 och 50, och dom av den 29 september 2015, Gmina Wrocław, C‑276/14, EU:C:2015:635, punkterna 44 och 45).

133

Enligt EU-domstolens fasta praxis kan en sådan begränsning endast tillåtas i den dom varigenom den begärda tolkningen meddelas. Rättsverkningarna i tiden av den begärda tolkningen som domstolen gör av en unionsrättslig bestämmelse kan nämligen med nödvändighet endast fastställas vid ett enda tillfälle. Principen att en begränsning endast kan tillåtas i den dom varigenom den begärda tolkningen meddelas säkerställer att medlemsstaterna och de enskilda behandlas lika i förhållande till unionsrätten, och därigenom uppfylls de krav som följer av rättssäkerhetsprincipen (dom av den 6 mars 2007, Meilicke, C‑292/04, EU:C:2007:132, punkterna 36 och 37; se, för ett liknande resonemang, dom av den 23 oktober 2012, Nelson m.fl., C‑581/10 och C‑629/10, EU:C:2012:657, punkt 91, och dom av den 7 november 2018, O’Brien, C‑432/17, EU:C:2018:879, punkt 34).

134

Det betyder att verkningarna i tiden av ett avgörande som meddelats av EU‑domstolen i ett mål om förhandsavgörande inte kan vara beroende av tidpunkten för den dom genom vilken den hänskjutande domstolen slutligt avgör det nationella målet, eller ens av den hänskjutande domstolens bedömning av behovet av att upprätthålla rättsverkningarna av den aktuella nationella lagstiftningen.

135

Enligt principen om unionsrättens företräde får nationella bestämmelser nämligen inte, ens om de har grundlagsstatus, undergräva unionsrättens enhetlighet och effektivitet (se, för ett liknande resonemang, dom av den 26 februari 2013, Melloni, C‑399/11, EU:C:2013:107, punkt 59 och dom av den 29 juli 2019, Pelham m.fl., C‑476/17, EU:C:2019:624, punkt 78). Även om det antas att tvingande rättssäkerhetshänsyn undantagsvis skulle kunna leda till att det företräde som en direkt tillämplig regel i unionsrätten har i förhållande till nationell rätt som strider mot denna skjuts upp, är det endast EU-domstolen som kan besluta om villkoren för ett sådant uppskjutande (se, för ett liknande resonemang, dom av den 8 september 2010, Winner Wetten, C‑409/06, EU:C:2010:503, punkterna 61 och 67).

136

Eftersom det i förevarande fall inte har visats att det föreligger en risk för allvarliga störningar till följd av EU-domstolens tolkning i förevarande dom, saknas det anledning att begränsa domens rättsverkningar i tiden. De kriterier som anges ovan i punkt 132 är nämligen kumulativa.

137

Med hänsyn till det ovan anförda ska den fjärde tolkningsfrågan besvaras enligt följande. Principen om unionsrättens företräde ska tolkas så, att den utgör hinder för att en författningsdomstol i en medlemsstat, som har att pröva ett mål där invändningar har riktats mot en nationell lagstiftning vilken, i ljuset av ett förhandsavgörande från EU-domstolen, visar sig vara oförenlig med unionsrätten, med tillämpning av rättssäkerhetsprincipen beslutar att verkningarna av denna lagstiftning ska bestå till dess att författningsdomstolen slutligt avgör målet.

138

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (stora avdelningen) följande: