ROZSUDEK SOUDNÍHO DVORA (šestého senátu)
7. března 2024(*)
„Řízení o předběžné otázce – Ochrana osobních údajů – Nařízení (EU) 2016/679 – Články 2, 4, 6, 10 a 86 – Údaje v držení soudu týkající se odsouzení fyzické osoby v trestních věcech – Ústní sdělení takových údajů obchodní společnosti z důvodu výběrového řízení pořádaného touto společností – Pojem ‚zpracování osobních údajů‘ – Vnitrostátní předpisy upravující přístup k uvedeným údajům – Soulad mezi přístupem veřejnosti k úředním dokumentům a právem na ochranu osobních údajů“
Ve věci C‑740/22,
jejímž předmětem je žádost o rozhodnutí o předběžné otázce podaná na základě článku 267 SFEU rozhodnutím Itä-Suomen hovioikeus (Odvolací soud pro východní Finsko, Finsko) ze dne 30. listopadu 2022, došlým Soudnímu dvoru dne 2. prosince 2022, v řízení
Endemol Shine Finland Oy
SOUDNÍ DVŮR (šestý senát),
ve složení: T. von Danwitz (zpravodaj), předseda senátu, P. G. Xuereb a I. Ziemele, soudci,
generální advokátka: T. Ćapeta,
za soudní kancelář: A. Calot Escobar, vedoucí,
s přihlédnutím k písemné části řízení,
s ohledem na vyjádření, která předložili:
– za finskou vládu: A. Laine a M. Pere, jako zmocněnkyně,
– za portugalskou vládu: P. Barros da Costa, M. J. Ramos a C. Vieira Guerra, jako zmocněnkyně,
– za Evropskou komisi: A. Bouchagiar, H. Kranenborg a I. Söderlund, jako zmocněnci,
s přihlédnutím k rozhodnutí, přijatému po vyslechnutí generální advokátky, rozhodnout věc bez stanoviska,
vydává tento
Rozsudek
1 Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 2 odst. 1, čl. 4 bodu 2 a článku 86 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1; oprava Úř. věst. 2018, L 127, s. 2, a oprava Úř. věst. 2021, L 74, s. 35, dále jen „GDPR“).
2 Tato žádost byla předložena v rámci řízení, jehož předmětem je odmítnutí vnitrostátního soudu poskytnout společnosti Endemol Shine Finland Oy údaje o odsouzeních v trestních věcech týkající se třetí osoby.
Právní rámec
Unijní právo
3 Body 4, 10, 11, 15, 19 a 154 odůvodnění GDPR zní následovně:
„(4) Zpracování osobních údajů by mělo sloužit lidem. Právo na ochranu osobních údajů není právem absolutním; musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy. Toto nařízení ctí všechna základní práva a dodržuje svobody a zásady uznávané Listinou [základních práv a svobod Evropské unie (dále jen ‚Listina‘)], jak jsou zakotveny ve Smlouvách, zejména respektování soukromého a rodinného života […], ochranu osobních údajů, svobodu myšlení, svědomí a náboženského vyznání, svobodu projevu a informací, svobodu podnikání, právo na účinnou právní ochranu a spravedlivý proces […]
[…]
(10) S cílem zajistit soudržnou a vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů v rámci [Evropské] [u]nie by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech. V celé Unii je třeba zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů. Pokud jde o zpracování osobních údajů z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, měly by mít členské státy možnost zachovat či zavést vnitrostátní předpisy za účelem dále konkretizovat uplatňování pravidel tohoto nařízení. Ve spojení s obecnými a horizontálními právními předpisy o ochraně údajů provádějícími směrnici [Evropského parlamentu a Rady] 95/46/ES [ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 1; Zvl. vyd. 13/15, s. 355)] existuje v členských státech několik právních předpisů specifických pro určitá odvětví v oblastech, ve kterých je třeba přijmout konkrétnější ustanovení. Toto nařízení rovněž poskytuje členským státům určitý prostor ke stanovení vlastních pravidel, včetně pravidel pro zpracování zvláštních kategorií osobních údajů (‚citlivé osobní údaje‘). V tomto rozsahu nařízení nevylučuje, aby právo členského státu stanovilo okolnosti konkrétních situací, při nichž dochází ke zpracování, včetně přesnějšího určení podmínek, za nichž je zpracování osobních údajů zákonné.
(11) Účinná ochrana osobních údajů v celé Unii vyžaduje nejen posílení a podrobné vymezení práv subjektů údajů a povinností těch, kdo osobní údaje zpracovávají a o jejich zpracování rozhodují, ale také rovnocenné pravomoci pro monitorování a zajišťování souladu s pravidly ochrany osobních údajů a rovnocenné sankce za jejich porušování v členských státech.
[…]
(15) S cílem zabránit vzniku vážného rizika obcházení by ochrana fyzických osob měla být technologicky neutrální a nezávislá na použitých technologiích. Ochrana fyzických osob by se měla vztahovat jak na automatizované zpracování osobních údajů, tak na manuální zpracování, pokud jsou tyto údaje uloženy v evidenci nebo do ní mají být vloženy. Záznamy nebo soubory záznamů ani jejich titulní strany, které nejsou uspořádány podle určených hledisek, by do oblasti působnosti tohoto nařízení spadat neměly.
[…]
(19) Ochrana fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem předcházení trestným činům nebo jejich vyšetřování, odhalování či stíhání nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení a volný pohyb těchto údajů jsou upraveny zvláštním právním aktem Unie. Proto by se toto nařízení nemělo uplatňovat na činnosti zpracování za těmito účely. Na osobní údaje zpracovávané orgány veřejné moci podle tohoto nařízení, pokud jsou používány za těmito účely, by se však měl vztahovat konkrétnější právní akt Unie, totiž směrnice Evropského parlamentu a Rady (EU) 2016/680 [ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. 2016, L 119, s. 89)]. Členské státy mohou pověřit příslušné orgány ve smyslu směrnice (EU) 2016/680 i úkoly, které nemusí být nutně prováděny za účelem předcházení trestným činům a jejich vyšetřování, odhalování či stíhání nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, tak aby zpracování osobních údajů pro tyto jiné účely v rozsahu, v němž náleží do působnosti práva Unie, spadalo do oblasti působnosti tohoto nařízení.
Pokud jde o zpracování osobních údajů těmito příslušnými orgány pro účely spadající do oblasti působnosti tohoto nařízení, měly by mít členské státy možnost ponechat v platnosti nebo zavést konkrétnější ustanovení, aby používání pravidel tohoto nařízení přizpůsobily. Tato ustanovení mohou přesněji určit konkrétní požadavky na zpracování osobních údajů těmito příslušnými orgány pro uvedené jiné účely, s přihlédnutím k ústavní, organizační a správní struktuře daného členského státu. Pokud zpracování osobních údajů soukromými subjekty spadá do oblasti působnosti tohoto nařízení, mělo by toto nařízení členským státům umožnit, aby za určitých podmínek zákonem omezily některé povinnosti a práva, jestliže takové omezení představuje nezbytné a přiměřené opatření v demokratické společnosti na ochranu konkrétních důležitých zájmů, včetně veřejné bezpečnosti a předcházení trestným činům a jejich vyšetřování, odhalování či stíhání nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. To je relevantní například v rámci boje proti praní peněz nebo činností forenzních laboratoří.
[…]
(154) Toto nařízení umožňuje, aby při jeho provádění byla zohledněna zásada přístupu veřejnosti k úředním dokumentům. Lze mít za to, že přístup veřejnosti k úředním dokumentům je ve veřejném zájmu. Orgán veřejné moci nebo veřejný subjekt by měl mít možnost zpřístupnit veřejnosti osobní údaje v dokumentech, které jsou v jeho držení, pokud je toto zpřístupnění stanoveno právem Unie nebo členského státu, které se na tento orgán nebo subjekt vztahuje. Tyto právní předpisy by měly zajišťovat soulad přístupu veřejnosti k úředním dokumentům a opakovaného použití informací veřejného sektoru s právem na ochranu osobních údajů, a mohou proto stanovit nezbytné zajištění souladu s právem na ochranu osobních údajů podle tohoto nařízení. Odkaz na orgány veřejné moci a veřejné subjekty by v tomto kontextu měl zahrnovat všechny orgány nebo jiné subjekty, na něž se vztahuje právo členského státu v oblasti přístupu veřejnosti k dokumentům. Směrnice Evropského parlamentu a Rady 2003/98/ES [ze dne 17. listopadu 2003 o opakovaném použití informací veřejného sektoru (Úř. věst. 2003, L 345, s. 90; Zvl. vyd. 13/32, s. 701)] ponechává nedotčenu a nijak neovlivňuje úroveň ochrany fyzických osob v souvislosti se zpracováním osobních údajů podle práva Unie a členských států, a zejména nemění povinnosti a práva podle tohoto nařízení. Uvedená směrnice by se zejména neměla vztahovat na dokumenty, k nimž je vyloučen nebo omezen přístup na základě režimů přístupu z důvodu ochrany osobních údajů, a na části dokumentů přístupné podle těchto režimů, které obsahují osobní údaje, jejichž opakované použití bylo právně vymezeno jako jednání v rozporu s právními předpisy na ochranu fyzických osob v souvislosti se zpracováním osobních údajů.“
4 Článek 2 GDPR, nadepsaný „Věcná působnost“, stanoví:
„1. Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.
2. Toto nařízení se nevztahuje na zpracování osobních údajů prováděné:
a) při výkonu činností, které nespadají do oblasti působnosti práva Unie;
b) členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;
c) fyzickou osobou v průběhu výlučně osobních či domácích činností;
d) příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.
3. Na zpracování osobních údajů orgány, institucemi a jinými subjekty Unie se vztahuje nařízení [Evropského parlamentu a Rady] (ES) č. 45/2001 [ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. 2001, L 8, s. 1; Zvl. vyd. 13/26, s. 102)]. Nařízení (ES) č. 45/2001 a další právní akty Unie týkající se takového zpracování osobních údajů jsou uzpůsobeny zásadám a pravidlům tohoto nařízení podle článku 98.
4. Tímto nařízením není dotčeno uplatňování směrnice [Evropského parlamentu a Rady] 2000/31/ES [ze dne 8. června 2000 o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu (směrnice o elektronickém obchodu) (Úř. věst. 2000, L 178, s. 1; Zvl. vyd. 13/25, s. 399)], zejména pokud jde o pravidla týkající se odpovědnosti poskytovatelů zprostředkovatelských služeb uvedená v článcích 12 až 15 uvedené směrnice.“
5 Článek 4 GDPR, nadepsaný „Definice“, v bodech 1, 2, 6 a 7 stanoví:
„Pro účely tohoto nařízení se rozumí:
1) ‚osobními údaji‘ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen ‚subjekt údajů‘); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
2) ‚zpracováním‘ jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
[…]
6) ‚evidencí‘ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;
7) ‚správcem‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.“
6 Článek 5 tohoto nařízení, nadepsaný „Zásady zpracování osobních údajů“, stanoví:
„1. Osobní údaje musí být:
a) ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem (‚zákonnost, korektnost a transparentnost‘);
b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; […] (‚účelové omezení‘)
c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány (‚minimalizace údajů‘);
d) přesné a v případě potřeby průběžně aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny (‚přesnost‘);
e) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; […] (‚omezení uložení‘);
f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením (‚integrita a důvěrnost‘);
[…]“
7 Článek 6 uvedeného nařízení, nadepsaný „Zákonnost zpracování“, v odstavcích 1 až 3 stanoví:
„1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo za účelem přijetí opatření na žádost subjektu údajů před uzavřením smlouvy;
c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.
2. Členské státy mohou zachovat nebo zavést konkrétnější ustanovení, aby přizpůsobily používání pravidel tohoto nařízení ohledně zpracování ke splnění odst. 1 písm. c) a e) tím, že přesněji určí konkrétní požadavky na zpracování a jiná opatření k zajištění zákonného a spravedlivého zpracování, a to i u jiných zvláštních situací, při nichž dochází ke zpracování, jak stanoví kapitola IX.
3. Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:
a) právem Unie nebo
b) právem členského státu, které se na správce vztahuje.
Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Tento právní základ může obsahovat konkrétní ustanovení pro přizpůsobení uplatňování pravidel tohoto nařízení, včetně obecných podmínek, kterými se řídí zákonnost zpracování správcem, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje poskytnout, a účelu tohoto poskytování, účelového omezení, doby uložení a jednotlivých operací zpracování a postupů zpracování, jakož i dalších opatření k zajištění zákonného a spravedlivého zpracování, jako jsou opatření pro jiné zvláštní situace, při nichž dochází ke zpracování, než stanoví kapitola IX. Právo Unie nebo členského státu musí splňovat cíl veřejného zájmu a musí být přiměřené sledovanému legitimnímu cíli.“
8 Článek 10 GDPR, nadepsaný „Zpracování osobních údajů týkajících se odsouzení v trestních věcech a trestných činů“, stanoví:
„Zpracování osobních údajů týkajících se odsouzení v trestních věcech a trestných činů či souvisejících bezpečnostních opatření na základě čl. 6 odst. 1 se může provádět pouze pod dozorem orgánu veřejné moci, nebo pokud je povoleno právem Unie nebo členského státu poskytujícím vhodné záruky, pokud jde o práva a svobody subjektů údajů. Jakýkoli souhrnný rejstřík trestů může být veden pouze pod dozorem orgánu veřejné moci.“
9 Článek 23 tohoto nařízení, nadepsaný „Omezení“, zní takto:
„1. Právo Unie nebo členského státu, které se na správce nebo zpracovatele vztahuje, může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v článcích 12 až 22 a v článku 34, jakož i v článku 5, v rozsahu, v jakém ustanovení tohoto článku odpovídají právům a povinnostem stanoveným v článcích 12 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:
[…]
f) ochranu nezávislosti soudnictví a soudních řízení;
[…]“
10 Článek 85 uvedeného nařízení, nadepsaný „Zpracování a svoboda projevu a informací“, v odstavci 1 stanoví:
„Členské státy uvedou prostřednictvím právních předpisů právo na ochranu osobních údajů podle tohoto nařízení do souladu s právem na svobodu projevu a informací, včetně zpracování pro novinářské účely a pro účely akademického, uměleckého či literárního projevu.“
11 Článek 86 GDPR, nadepsaný „Zpracování a přístup veřejnosti k úředním dokumentům“, stanoví:
„Osobní údaje v úředních dokumentech, které jsou v držení orgánu veřejné moci či veřejného nebo soukromého subjektu za účelem plnění úkolu ve veřejném zájmu, může tento orgán či subjekt zpřístupnit v souladu s právem Unie nebo členského státu, kterému podléhá, aby tak zajistil soulad mezi přístupem veřejnosti k úředním dokumentům a právem na ochranu osobních údajů podle tohoto nařízení.“
Finské právo
Zákon o ochraně osobních údajů (1050/2018)
12 Tietosuojalaki (1050/2018) [zákon o ochraně osobních údajů (1050/2018)] v § 1 stanoví:
„Tento zákon zpřesňuje a doplňuje [GDPR] a jeho provádění na vnitrostátní úrovni.“
13 Ustanovení § 28 tohoto zákona zní:
„Právo na přístup do evidence osob vedené orgánem veřejné moci a jiné poskytování osobních údajů z takové evidence se řídí pravidly o přístupu veřejnosti k informacím o činnosti orgánů veřejné moci.“
Zákon o přístupu veřejnosti k informacím o činnosti orgánů veřejné moci (621/1999)
14 Laki viranomaisten toiminnan julkisuudesta (621/1999) [zákon o přístupu veřejnosti k informacím o činnosti orgánů veřejné moci (621/1999)] v § 13 stanoví:
„Žádost o poskytnutí informací o obsahu úředního dokumentu musí být dostatečně konkrétní, aby orgán veřejné moci mohl určit, kterého dokumentu se žádost týká. Orgán veřejné moci poskytne osobě, která žádá o informace, pomoc při identifikaci dokumentu, z něhož požaduje informace, a to prostřednictvím rejstříku a jiných soupisů. Osoba, která žádá o informace, nemusí sdělit svou totožnost ani svou žádost odůvodnit, ledaže je to nezbytné pro výkon diskreční pravomoci dotyčného orgánu nebo za účelem vyjasnění otázky, zda má osoba žádající o informace právo znát obsah daného dokumentu.
Při žádosti o přístup k dokumentu podléhajícímu utajení, z evidence osob vedené orgánem veřejné moci nebo z jiného dokumentu, který může být zpřístupněn pouze za určitých podmínek, musí osoba žádající o informace, není-li stanoveno jinak, uvést účel použití informací a další informace nezbytné pro stanovení podmínek pro poskytnutí těchto informací a v případě nutnosti uvést, jak bude zajištěna ochrana těchto informací.“
15 V ustanovení § 16 tohoto zákona se uvádí:
„Přístup k obsahu dokumentu, který má v držení orgán veřejné moci, se poskytne ústně nebo tak, že je dokument poskytnut k nahlédnutí, opisu nebo poslechu, nebo tak, že je poskytnuta jeho kopie nebo výtisk. Informace o veřejném obsahu dokumentu se poskytují na základě žádosti, není-li s tím z důvodu velkého počtu dokumentů nebo obtížnosti kopírování nebo z jiného srovnatelného důvodu spojena nepřiměřená zátěž pro výkon úřední činnosti.
[…]
Nestanoví-li zákon jinak, lze osobní údaje z evidence osob vedené orgánem veřejné moci poskytnout v podobě kopie či výtisku nebo v elektronické podobě, pokud má příjemce podle platných pravidel pro ochranu osobních údajů právo tyto údaje ukládat a používat. Osobní údaje však mohou být poskytnuty pro účely přímého marketingu a průzkumů veřejného mínění nebo trhu pouze tehdy, je-li to výslovně stanoveno, nebo pokud k tomu subjekt údajů dal svůj souhlas.
[…]“
Zákon o veřejnosti řízení před obecnými soudy (370/2007)
16 Ustanovení § 1 laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007) [zákon o veřejnosti řízení před obecnými soudy (370/2007)] stanoví:
„Nestanoví-li tento nebo jiný zákon jinak, jsou řízení a procesní písemnosti veřejné.“
Zákon o zpracování osobních údajů v trestních věcech a v souvislosti s ochranou národní bezpečnosti (1054/2018)
17 Ustanovení § 1 laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018) [zákon o zpracování osobních údajů v trestních věcech a v souvislosti s ochranou národní bezpečnosti (1054/2018)] v prvním pododstavci stanoví, že se tento zákon vztahuje na zpracování osobních údajů prováděné příslušnými orgány, jedná-li se zejména o zpracování trestní věci před soudem. Podle čtvrtého pododstavce se uvedený zákon vztahuje pouze na zpracování osobních údajů ve smyslu prvního pododstavce, které je zcela nebo částečně automatizované, nebo pokud zpracovávané údaje tvoří nebo mají tvořit evidenci nebo její část.
18 Podle § 2 druhého pododstavec tohoto zákona platí, že:
„Právo na přístup do evidence osob vedené orgánem veřejné moci a jiné poskytování osobních údajů z takové evidence se řídí pravidly o přístupu veřejnosti k informacím o činnosti orgánů veřejné moci.“
Spor v původním řízení a předběžné otázky
19 Společnost Endemol Shine Finland, žalobkyně v původním řízení, požádala ústně Etelä-Savon käräjäoikeus (Soud prvního stupně pro Jižní Savo, Finsko) o informace o případných stávajících nebo předchozích odsouzeních v trestních věcech fyzické osoby, která se účastnila výběrového řízení organizovaného touto společností, a to za účelem zjištění trestní minulosti této osoby.
20 Etelä-Savon käräjäoikeus (Soud prvního stupně pro Jižní Savo) žádost žalobkyně v původním řízení zamítl, ačkoli uvedl, že se týká veřejných rozhodnutí nebo informací ve smyslu zákona o veřejnosti řízení před obecnými soudy. Podle uvedeného soudu nebyl důvod uplatněný žalobkyní v původním řízení důvodem pro zpracování údajů o odsouzeních v trestních věcech nebo trestných činů podle § 7 zákona o ochraně osobních údajů. Samotné vyhledávání v informačních systémech daného soudu by totiž rovněž představovalo zpracování osobních údajů, a proto nemohly být požadované informace poskytnuty ani ústně.
21 Žalobkyně v původním řízení podala proti tomuto rozsudku odvolání k Itä-Suomen hovioikeus (Odvolací soud pro východní Finsko, Finsko), který je předkládajícím soudem, přičemž tvrdila, že ústní sdělení informací, které požaduje, nepředstavuje zpracování osobních údajů ve smyslu čl. 4 bodu 2 GDPR.
22 Předkládající soud si klade otázku, zda čl. 2 odst. 1 a čl. 4 bod 2 GDPR musí být vykládány v tom smyslu, že ústní sdělení informací o případných stávajících nebo předchozích odsouzeních fyzické osoby v trestních věcech představuje zpracování osobních údajů ve smyslu tohoto nařízení. V tomto ohledu daný soud uvádí, že zpracování osobních údajů prováděné finskými veřejnými orgány se řídí zákonem o ochraně osobních údajů. Omezení obvykle spojená se zpracováním takových údajů se však neuplatní z důvodu veřejné povahy údajů v držení těchto orgánů, ale rovněž z důvodu § 28 tohoto zákona a § 2 druhého pododstavce zákona o zpracování osobních údajů v trestních věcech a v souvislosti s ochranou národní bezpečnosti (1054/2018).
23 Za účelem uvedení ochrany osobních údajů do souladu s právem na přístup veřejnosti k informacím omezuje § 16 zákona o přístupu veřejnosti k informacím o činnosti orgánů veřejné moci (621/1999) poskytování osobních údajů, které pocházejí z evidence osob vedené orgánem veřejné moci, v podobě kopie či výtisku nebo v elektronické podobě. Nicméně vzhledem k tomu, že se toto ustanovení nevztahuje na ústní sdělování osobních údajů zařazených v evidenci osob vedené orgány veřejné moci, je třeba zvážit, jak zajistit takový soulad a jak zohlednit důležité aspekty týkající se ochrany osobních údajů, jsou-li takové údaje zanesené do evidence osob, vedené orgány veřejné moci, sdělovány ústně.
24 Za těchto podmínek se Itä-Suomen hovioikeus (Odvolací soud pro východní Finsko) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:
„1) Představuje ústní sdělení osobních údajů jejich zpracování ve smyslu čl. 2 odst. 1 a čl. 4 bodu 2 [GDPR]?
2) Lze přístup veřejnosti k úředním dokumentům uvést do souladu s právem na ochranu osobních údajů [podle GDPR] ve smyslu článku 86 [tohoto] nařízení tím, že z evidence osobních údajů vedené soudem lze bez omezení získat informace o odsouzeních v trestních věcech nebo trestných činech fyzické osoby, pokud je učiněna žádost, aby tyto informace byly žadateli sděleny ústně?
3) Je pro odpověď na druhou otázku relevantní, zda je žadatelem společnost, nebo soukromá osoba?“
K předběžným otázkám
K první otázce
25 Podstatou první otázky předkládajícího soudu je, zda musí být čl. 2 odst. 1 a čl. 4 bod 2 GDPR vykládány v tom smyslu, že ústní sdělení informací o případných stávajících nebo předchozích odsouzeních fyzické osoby v trestních věcech představuje zpracování osobních údajů ve smyslu čl. 4 bodu 2 tohoto nařízení, a pokud ano, zda toto zpracování spadá do věcné působnosti uvedeného nařízení, jak je vymezena v jeho čl. 2 odst. 1.
26 Úvodem je třeba připomenout, že pro výklad těchto ustanovení unijního práva je třeba vzít v úvahu nejen jejich znění, ale i kontext, do něhož jsou zasazena, jakož i cíle, které sleduje právní předpis, jehož jsou součástí [rozsudek ze dne 12. ledna 2023, Österreichische Post (Informace o příjemcích osobních údajů), C‑154/21, EU:C:2023:3, bod 29].
27 Dále je třeba zdůraznit, že ve sporu v původním řízení je nesporné, že informace, jejichž poskytnutí žalobkyně v původním řízení požaduje, představují osobní údaje ve smyslu čl. 4 bodu 1 GDPR.
28 Článek 4 bod 2 tohoto nařízení definuje pojem „zpracování“ jako „jak[ou]koliv operac[i] nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů“.
29 Z výrazu „jakákoliv operace“ zejména vyplývá, že unijní normotvůrce měl v úmyslu koncipovat pojem „zpracování“ široce, což potvrzuje demonstrativní povaha operací vyjmenovaných v uvedeném ustanovení, která je vyjádřena výrazem „jako je“ [v tomto smyslu viz rozsudky ze dne 24. února 2022, Valsts ieņēmumu dienests (Zpracování osobních údajů pro daňové účely), C‑175/20, EU:C:2022:124, bod 35, a ze dne 22. června 2023, Pankki S, C‑579/21, EU:C:2023:501, bod 46].
30 Tento výčet zahrnuje mimo jiné zpřístupnění přenosem, šíření a „jakékoliv jiné zpřístupnění“, přičemž tyto operace mohou být automatizované nebo neautomatizované. V tomto ohledu čl. 4 bod 2 GDPR nestanoví žádnou podmínku, pokud jde o formu „neautomatizovaného“ zpracování. Pojem „zpracování“ tedy zahrnuje ústní sdělení.
31 Tento výklad pojmu „zpracování“ je podpořen cílem GDPR, kterým je, jak vyplývá z článku 1 a bodů 1 a 10 odůvodnění tohoto nařízení, zejména zajistit vysokou úroveň ochrany základních práv a svobod fyzických osob, především jejich práva na soukromí v souvislosti se zpracováním osobních údajů, zakotveného v čl. 8 odst. 1 Listiny a v čl. 16 odst. 1 SFEU [v tomto smyslu viz rozsudek ze dne 4. května 2023, Bundesrepublik Deutschland (Elektronická soudní schránka), C‑60/22, EU:C:2023:373, bod 64]. Možnost obejít uplatnění tohoto nařízení tím, že osobní údaje budou sděleny ústně namísto toho, aby tak bylo učiněno písemně, by totiž bylo zjevně neslučitelné s tímto cílem.
32 Za těchto podmínek pojem „zpracování“ uvedený v čl. 4 bodě 2 GDPR nutně zahrnuje ústní sdělení osobních údajů.
33 Vyvstává však ještě otázka, zda takové zpracování spadá do věcné působnosti GDPR. Článek 2 tohoto nařízení, který vymezuje oblast působnosti, v odstavci 1 stanoví, že se uvedené nařízení vztahuje na „zcela nebo částečně automatizované zpracování“, jakož i na „neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny“.
34 V tomto ohledu ze znění posledně uvedeného ustanovení, jakož i z bodu 15 odůvodnění GDPR vyplývá, že se toto nařízení vztahuje jak na automatizované, tak na manuální zpracování osobních údajů, aby ochrana, kterou přiznává osobám, jejichž údaje jsou zpracovávány, nebyla závislá na použitých technikách a aby se zabránilo riziku obcházení této ochrany. Plyne z nich ovšem i to, že na manuální zpracování osobních údajů se uvedené nařízení vztahuje jen tehdy, jsou-li zpracovávané údaje „obsaženy v evidenci nebo do ní mají být zařazeny“ (obdobně viz rozsudek ze dne 10. července 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 53).
35 Vzhledem k tomu, že ústní sdělení představuje jako takové neautomatizované zpracování, musí být tedy údaje, které jsou předmětem tohoto zpracování, „obsaženy“ v „evidenci“ nebo „do ní mají být zařazeny“, aby uvedené zpracování spadalo do věcné působnosti GDPR.
36 Pokud jde o pojem „evidence“, čl. 4 bod 6 GDPR stanoví, že zahrnuje „jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska“.
37 V tomto ohledu Soudní již rozhodl, že v souladu s cílem připomenutým v bodě 34 tohoto rozsudku vymezuje toto ustanovení pojem „evidence“ široce zejména tím, že jej vztahuje na „jakýkoliv“ strukturovaný soubor osobních údajů. Mimoto účelem požadavku, aby soubor osobních údajů byl „[strukturovaný] podle zvláštních kritérií“, je pouze umožnit snadnou dohledatelnost údajů o osobách. Vedle tohoto požadavku čl. 4 bod 6 GDPR nestanoví ani to, jakým způsobem má být evidence uspořádána, ani jakou má mít podobu. Konkrétně z tohoto ani z žádného jiného ustanovení tohoto nařízení nevyplývá, že by dotčené osobní údaje měly být zařazeny do specifické kartotéky nebo seznamu nebo do jiného systému sloužícího k vyhledávání, aby bylo možné konstatovat existenci evidence ve smyslu uvedeného nařízení (obdobně viz rozsudek ze dne 10. července 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, body 56 až 58).
38 V projednávané věci ze žádosti o rozhodnutí o předběžné otázce vyplývá, že údaje požadované žalobkyní v původním řízení jsou zařazeny do „evidence osobních údajů vedené soudem“. Tyto údaje jsou tudíž patrně obsaženy v evidenci ve smyslu čl. 4 bodu 6 GDPR, což však musí ověřit předkládající soud, aniž je důležité vědět, zda jsou uvedené údaje obsaženy v elektronických databázích nebo ve fyzických spisech nebo rejstřících.
39 Za těchto podmínek je třeba na první otázku odpovědět tak, že čl. 2 odst. 1 a čl. 4 bod 2 GDPR musí být vykládány v tom smyslu, že ústní sdělení informací o případných stávajících nebo předchozích odsouzeních fyzické osoby v trestních věcech představuje zpracování osobních údajů ve smyslu čl. 4 bodu 2 tohoto nařízení, které spadá do věcné působnosti uvedeného nařízení, pokud jsou tyto informace obsaženy v evidenci nebo do ní mají být zařazeny.
K druhé a třetí otázce
40 Podstatou druhé a třetí otázky předkládajícího soudu, které je třeba posoudit společně, je, zda ustanovení GDPR, zejména jeho článek 86, musí být vykládána v tom smyslu, že brání tomu, aby údaje o odsouzeních fyzické osoby v trestních věcech, které jsou obsaženy v evidenci vedené soudem, mohly být ústně sděleny každému za účelem zajištění přístupu veřejnosti k úředním dokumentům, aniž by osoba žádající o takové sdělení musela prokázat zvláštní zájem na získání uvedených údajů, a zda se odpověď na tuto otázku liší podle toho, zda je tato osoba obchodní společností nebo jednotlivcem.
41 Tato otázka pramení z vnitrostátní právní úpravy dotčené ve věci v původním řízení, která nevyžaduje dodržování vnitrostátních pravidel o ochraně osobních údajů, jsou-li takové údaje sdělovány ústně.
42 V tomto ohledu je třeba připomenout, že podle čl. 288 druhého pododstavce SFEU je nařízení závazné v celém rozsahu a přímo použitelné ve všech členských státech. Ustanovení nařízení tak mají z důvodu své samotné povahy a funkce v systému pramenů unijního práva obecně ve vnitrostátních právních řádech bezprostřední účinek, aniž je nutné, aby vnitrostátní orgány přijaly prováděcí opatření (rozsudky ze dne 16. června 2022, Port de Bruxelles a Région de Bruxelles-Capitale, C‑229/21, EU:C:2022:471, bod 47, jakož i ze dne 30. března 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, bod 77).
43 Vnitrostátní soud je tak povinen uplatnit požadavky GDPR jako celku, i když v použitelném vnitrostátním právu neexistuje zvláštní ustanovení, které by umožňovalo zohlednit zájmy osoby, o jejíž osobní údaje se jedná (v tomto smyslu viz rozsudek ze dne 2. března 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, body 44 a 59).
44 Z výše uvedených úvah vyplývá, že k ústnímu sdělení údajů o odsouzeních fyzické osoby v trestních věcech může dojít pouze tehdy, jsou-li splněny podmínky stanovené GDPR, pokud jsou tyto údaje obsaženy v evidenci nebo do ní mají být zařazeny.
45 V tomto ohledu je třeba připomenout, že podle ustálené judikatury Soudního dvora musí být každé zpracování osobních údajů v souladu se zásadami zpracování údajů, které jsou stanoveny v článku 5 GDPR, a zvláště s ohledem na zásadu zákonnosti zpracování, která je stanovena v tomto čl. 5 odst. 1 písm. a), musí splňovat jednu z podmínek zákonnosti zpracování, které jsou uvedeny v článku 6 tohoto nařízení [v tomto smyslu viz rozsudky ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 96, jakož i ze dne 7. prosince 2023, SCHUFA Holding a další (Scoring), C‑634/21, EU:C:2023:957, bod 67].
46 Konkrétně zpracování osobních údajů dotčené ve věci v původním řízení, a sice ústní sdělení údajů týkajících se trestných činů veřejnosti, může spadat pod čl. 6 odst. 1 písm. e) GDPR, podle kterého je zpracování zákonné, pokud je v odpovídajícím rozsahu „nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce“ [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 99].
47 Dále, pokud jde konkrétně o údaje týkající se odsouzení v trestních věcech a trestných činů, podléhá jejich zpracování dalším omezením podle článku 10 GDPR. Podle tohoto ustanovení platí, že zpracování těchto údajů „se může provádět pouze pod dozorem orgánu veřejné moci“, ledaže „je povoleno právem Unie nebo členského státu poskytujícímu vhodné záruky, pokud jde o práva a svobody subjektů údajů“ [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 100].
48 Soudní dvůr již rozhodl, že ani čl. 6 odst. 1 písm. e) GDPR, ani článek 10 tohoto nařízení obecně a absolutně nezakazují, aby byl orgán veřejné moci oprávněn, či dokonce povinen zpřístupnit osobní údaje osobám, které o to požádají [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 103].
49 GDPR tedy nebrání tomu, aby osobní údaje byly veřejnosti zpřístupněny, je-li toto zpřístupnění nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci ve smyslu čl. 6 odst. 1 písm. e) tohoto nařízení. To platí i v případě, že se na dotčené údaje vztahuje článek 10 GDPR, pokud právní předpisy, které toto zpřístupňování povolují, poskytují vhodné záruky, pokud jde o práva a svobody subjektů údajů [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 104].
50 V projednávané věci z předkládacího rozhodnutí, jakož i z písemných vyjádření předložených finskou vládou vyplývá, že cílem vnitrostátní právní úpravy týkající se veřejné povahy činnosti orgánů veřejné moci a řízení před obecnými soudy je plnění úkolu prováděného ve veřejném zájmu, kterým je zajištění přístupu veřejnosti k úředním dokumentům.
51 Za těchto podmínek se předkládající soud snaží konkrétně zjistit, zda lze zpracování osobních údajů dotčené ve věci v původním řízení považovat za zákonné s ohledem na zásadu proporcionality, zejména s ohledem na vyvážení, které je třeba provést mezi právem veřejnosti na přístup k úředním dokumentům podle článku 86 GDPR na straně jedné a základními právy na respektování soukromého života a na ochranu osobních údajů zakotvených v článcích 7 a 8 Listiny na straně druhé.
52 V souvislosti s tímto je třeba připomenout, že základní práva na respektování soukromého života a na ochranu osobních údajů nejsou absolutními výsadami, jak uvádí bod 4 odůvodnění GDPR, ale musí být nahlížena v souvislosti s jejich funkcí ve společnosti a musí být v rovnováze s ostatními základními právy. Základní práva lze omezit, pokud je omezení v souladu s čl. 52 odst. 1 Listiny stanoveno zákonem a respektuje podstatu těchto práv a zásadu proporcionality. Podle posledně uvedené zásady mohou být omezení zavedena pouze tehdy, když jsou nezbytná a skutečně odpovídají cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod druhého. Musí být činěna v mezích toho, co je nezbytně nutné, a právní úprava, která s sebou přináší dotčený zásah, musí stanovit jasná a přesná pravidla pro rozsah a použití předmětného opatření [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 105].
53 Má-li být určeno, zda je takové zpřístupňování osobních údajů týkajících odsouzení v trestních věcech veřejnosti nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci ve smyslu čl. 6 odst. 1 písm. e) GDPR a zda právní úprava umožňující takové zpřístupňování poskytuje vhodné záruky, pokud jde o práva a svobody subjektů údajů, ve smyslu článku 10 tohoto nařízení, je třeba ověřit zejména to, zda se s ohledem na závažnost zásahu do základních práv na respektování soukromého života a na ochranu osobních údajů způsobeného uvedeným zpřístupněním jeví tento zásah jako odůvodněný a zejména přiměřený ve vztahu k dosažení sledovaných cílů [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 106].
54 Pokud jde o závažnost zásahu do těchto práv, Soudní dvůr již rozhodl, že zpracování údajů týkajících se odsouzení v trestních věcech a trestných činů či souvisejících bezpečnostních opatření může z důvodu zvláštní citlivosti těchto údajů představovat zvlášť závažný zásah do základních práv na respektování soukromého života a ochranu osobních údajů zaručených články 7 a 8 Listiny. Vzhledem totiž k tomu, že se takové údaje týkají jednání, která společnost neschvaluje, může poskytnutí přístupu k nim subjekt údajů stigmatizovat, a představovat tak závažný zásah do jeho soukromého či profesního života. [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, body 74, 75 a 112].
55 Ačkoliv totiž přístup veřejnosti k úředním dokumentům, na který odkazuje předkládající soud, představuje – jak vyplývá z bodu 154 odůvodnění GDPR – veřejný zájem, který může odůvodnit zpřístupnění osobních údajů obsažených v takových dokumentech, tento přístup musí být v souladu se základními právy na respektování soukromého života a na ochranu osobních údajů, jak ostatně výslovně článek 86 GDPR. Především s ohledem na citlivost údajů týkajících se odsouzení v trestních věcech a závažnost zásahu do základních práv na respektování soukromého života a na ochranu osobních údajů subjektů údajů, k němuž zpřístupnění těchto údajů vede, je přitom třeba konstatovat, že tato práva mají před zájmem veřejnosti na přístupu k úředním dokumentům přednost [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 120].
56 Z téhož důvodu nelze vykládat právo na svobodu informací zakotvené v článku 85 GDPR v tom smyslu, že odůvodňuje zpřístupnění osobních údajů týkajících odsouzení v trestních věcech každému, kdo o ně požádá [v tomto smyslu viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 121].
57 V tomto ohledu nezáleží na tom, zda je osoba žádající o přístup k údajům týkajícím se odsouzení v trestních věcech obchodní společností nebo jednotlivcem, nebo zda ke sdělení takových údajů dochází písemně nebo ústně.
58 S ohledem na výše uvedené úvahy je třeba na druhou a třetí předběžnou otázku odpovědět tak, že ustanovení GDPR, zejména čl. 6 odst. 1 písm. e) a článek 10 tohoto nařízení, musí být vykládána v tom smyslu, že brání tomu, aby údaje týkající se odsouzení fyzické osoby v trestních věcech, které jsou obsaženy v evidenci vedené soudem, mohly být ústně sděleny každému za účelem zajištění přístupu veřejnosti k úředním dokumentům, aniž by osoba žádající o takové sdělení musela prokázat zvláštní zájem na získání uvedených údajů, přičemž okolnost, že tato osoba je obchodní společností nebo jednotlivcem, je v tomto ohledu irelevantní.
K nákladům řízení
59 Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.
Z těchto důvodů Soudní dvůr (šestý senát) rozhodl takto:
1) Článek 2 odst. 1 a čl. 4 bod 2 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
musí být vykládány v tom smyslu, že
ústní sdělení informací o případných stávajících nebo předchozích odsouzeních fyzické osoby v trestních věcech představuje zpracování osobních údajů ve smyslu čl. 4 bodu 2 tohoto nařízení, které spadá do věcné působnosti uvedeného nařízení, pokud jsou tyto informace obsaženy v evidenci nebo do ní mají být zařazeny.
2) Ustanovení nařízení 2016/679, zejména čl. 6 odst. 1 písm. e) a článek 10 tohoto nařízení,
musí být vykládána v tom smyslu, že
brání tomu, aby údaje týkající se odsouzení fyzické osoby v trestních věcech, které jsou obsaženy v evidenci vedené soudem, mohly být ústně sděleny každému za účelem zajištění přístupu veřejnosti k úředním dokumentům, aniž by osoba žádající o takové sdělení musela prokázat zvláštní zájem na získání uvedených údajů, přičemž okolnost, že je tato osoba obchodní společností nebo jednotlivcem, je v tomto ohledu irelevantní.
Podpisy