TIESAS SPRIEDUMS (sestā palāta)
2024. gada 7. martā (*)
Lūgums sniegt prejudiciālu nolēmumu – Personas datu aizsardzība – Regula (ES) 2016/679 – 2., 4., 6., 10. un 86. pants – Tiesas rīcībā esošie dati par fiziskas personas kriminālsodāmību – Šādu datu mutiska izpaušana komercsabiedrībai saistībā ar tās rīkotu konkursu – Jēdziens “personas datu apstrāde” – Valsts tiesiskais regulējums, kas reglamentē piekļuvi minētajiem datiem – Sabiedrības tiesību piekļūt oficiāliem dokumentiem salāgošana ar personas datu aizsardzību
Lietā C‑740/22
par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Itä‑Suomen hovioikeus (Austrumsomijas apelācijas tiesa, Somija) iesniegusi ar 2022. gada 30. novembra lēmumu un kas Tiesā reģistrēts 2022. gada 2. decembrī, tiesvedībā
Endemol Shine Finland Oy
TIESA (sestā palāta)
šādā sastāvā: palātas priekšsēdētājs T. fon Danvics [T. von Danwitz] (referents), tiesneši P. Dž. Švīrebs [P. G. Xuereb] un I. Ziemele,
ģenerāladvokāte: T. Čapeta [T. Ćapeta],
sekretārs: A. Kalots Eskobars [A. Calot Escobar],
ņemot vērā rakstveida procesu,
ņemot vērā apsvērumus, ko snieguši:
– Somijas valdības vārdā – A. Laine un M. Pere, pārstāves,
– Portugāles valdības vārdā – P. Barros da Costa, M. J. Ramos un C. Vieira Guerra, pārstāves,
– Eiropas Komisijas vārdā – A. Bouchagiar, H. Kranenborg un I. Söderlund, pārstāvji,
ņemot vērā pēc ģenerāladvokātes uzklausīšanas pieņemto lēmumu izskatīt lietu bez ģenerāladvokāta secinājumiem,
pasludina šo spriedumu.
Spriedums
1 Lūgums sniegt prejudiciālu nolēmumu ir par Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; turpmāk tekstā – “VDAR”) 2. panta 1. punkta, 4. panta 2. punkta un 86. panta interpretāciju.
2 Šis lūgums ir iesniegts tiesvedībā par valsts tiesas atteikumu izpaust uzņēmumam Endemol Shine Finland Oy datus par kādas trešās personas kriminālsodāmību.
Atbilstošās tiesību normas
Savienības tiesības
3 VDAR 4., 10., 11., 15., 19. un 154. apsvērums ir formulēts šādi:
“(4) Personas datu apstrāde būtu jāveido tā, lai tā kalpotu cilvēkam. Tiesības uz personas datu aizsardzību nav absolūta prerogatīva; tās ir jāņem vērā saistībā ar to funkciju sabiedrībā un jālīdzsvaro ar citām pamattiesībām saskaņā ar proporcionalitātes principu. Šajā regulā ir ievērotas visas pamattiesības, brīvības un principi, kas atzīti [Eiropas Savienības Pamattiesību hartā (turpmāk tekstā – “Harta”)] un ietverti Līgumos, jo īpaši privātās un ģimenes dzīves [..] neaizskaramība, personas datu aizsardzība, domu, pārliecības un ticības brīvība, vārda un informācijas brīvība, darījumdarbības brīvība, tiesības uz efektīvu tiesību aizsardzību un taisnīgu tiesu [..]
[..]
(10) Lai nodrošinātu konsekventu un augsta līmeņa aizsardzību fiziskām personām un novērstu šķēršļus personu datu apritei [Eiropas] Savienībā, fiziskas personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs vajadzētu būt vienādam. Visā Savienībā būtu jānodrošina noteikumu par fiziskas personas pamattiesību un [pamatbrīvību] aizsardzību attiecībā uz personas datu apstrādi vienveidīga piemērošana. Attiecībā uz personas datu apstrādi, kuru veic, lai izpildītu juridisku pienākumu, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtas oficiālas pilnvaras, būtu jāļauj dalībvalstīm saglabāt vai ieviest valsts noteikumus, ar ko vēl vairāk precizē šīs regulas noteikumu piemērošanu. Saistībā ar vispārējiem un horizontāliem tiesību aktiem par datu aizsardzību, ar kuriem īsteno [Eiropas Parlamenta un Padomes] Direktīvu 95/46/EK [(1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV 1995, L 281, 1. lpp.)], dalībvalstīm ir vairāki uz konkrētām nozarēm attiecināmi tiesību akti jomās, kurās ir vajadzīgi precīzāki noteikumi. Šajā regulā dalībvalstīm ir arī paredzēta rīcības brīvība precizēt tās noteikumus, tostarp attiecībā uz īpašu kategoriju personas datu (“sensitīvu datu”) apstrādi. Šajā ziņā ar šo regulu neizslēdz dalībvalstu tiesību aktus, kuros nosaka konkrētu apstrādes situāciju apstākļus, tostarp precīzāk nosakot apstākļus, kādos personas datu apstrāde ir likumīga.
(11) Lai personas datu aizsardzība visā Savienībā būtu efektīva, nepieciešams stiprināt un sīki noteikt datu subjektu tiesības un to personu pienākumus, kas apstrādā personas datus un nosaka to apstrādi, kā arī nepieciešams piešķirt arī atbilstošas pilnvaras uzraudzīt un nodrošināt personas datu aizsardzības noteikumu ievērošanu un noteikt atbilstošas sankcijas par pārkāpumiem dalībvalstīs.
[..]
(15) Lai izvairītos no likuma apiešanas nopietna riska radīšanas, fizisku personu aizsardzībai vajadzētu būt tehnoloģiski neitrālai un tai nevajadzētu būt atkarīgai no izmantotajiem paņēmieniem. Fizisku personu aizsardzībai būtu jāattiecas gan uz personas datu apstrādi ar automatizētiem līdzekļiem, gan uz datu manuālu apstrādi, ja personas dati ir ietverti vai tos paredzēts ietvert kartotēkā. Šīs regulas darbības jomai nebūtu jāaptver datnes vai datņu kopumi, kā arī to ievadlapas, kuras nav sakārtotas atbilstoši konkrētiem kritērijiem.
[..]
(19) Fizisku personu aizsardzība attiecībā uz personas datu apstrādi, ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai lai sauktu pie atbildības par tiem, vai lai izpildītu kriminālsodus, tostarp pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, un šādu datu brīva aprite ir konkrēta Savienības tiesību akta priekšmets. Tāpēc šī regula nebūtu jāpiemēro apstrādes darbībām, kas veiktas minētajos nolūkos. Tomēr personas datu apstrāde, ko minētajos nolūkos saskaņā ar šo regulu veic publiskas iestādes, būtu jāreglamentē konkrētākā Savienības tiesību aktā, proti, Eiropas Parlamenta un Padomes Direktīvā (ES) 2016/680 [(2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI (OV 2016, L 119, 89. lpp.)]. Dalībvalstis kompetentajām iestādēm Direktīvas (ES) 2016/680 nozīmē var uzticēt uzdevumus, kas nav obligāti saistīti ar darbībām, ko veic nolūkā novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem vai nolūkā izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst, tādējādi šajos citos nolūkos veiktā personas datu apstrāde, ciktāl tā ietilpst Savienības tiesību aktu darbības jomā, ietilpst šīs regulas darbības jomā.
Attiecībā uz personas datu apstrādi, ko minētās kompetentās iestādes veic nolūkos, kas ir šīs regulas darbības jomā, dalībvalstīm būtu jāspēj uzturēt spēkā vai ieviest konkrētākus noteikumus, lai pielāgotu šīs regulas noteikumu piemērošanu. Šādos noteikumos var vēl precīzāk noteikt konkrētas prasības personas datu apstrādei, ko minētās kompetentās iestādes veic šajos citos nolūkos, ņemot vērā attiecīgās dalībvalsts konstitucionālo, organizatorisko un administratīvo struktūru. Ja personas datu apstrāde, ko veic privātas struktūras, ietilpst šīs regulas darbības jomā, šajā regulā būtu jāparedz dalībvalstīm iespēja īpašos gadījumos ar likumu ierobežot konkrētus pienākumus un tiesības, ja šāda ierobežošana demokrātiskā sabiedrībā ir nepieciešams un samērīgs pasākums, lai garantētu konkrētu svarīgu interešu aizsardzību, tostarp sabiedrisko drošību un noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu vai saukšanu pie atbildības par tiem, vai kriminālsodu izpildi, tostarp pasargāšanu no draudiem sabiedriskajai drošībai un to novēršanu. Tas ir svarīgi, piemēram, saistībā ar nelikumīgi iegūto līdzekļu legalizēšanas apkarošanu vai kriminālistikas laboratoriju darbībām.
[..]
(154) Šī regula atļauj ņemt vērā principu par publisku piekļuvi oficiāliem dokumentiem, piemērojot šo regulu. Publisku piekļuvi oficiāliem dokumentiem var uzskatīt par tādu, kas ir sabiedrības interesēs. Publiskas iestādes vai publiskas struktūras rīcībā esošajos dokumentos ietvertos personas datus minētajai iestādei vai struktūrai būtu jāspēj izpaust saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuri attiecas uz publisko iestādi vai publisko struktūru. Ar šādiem tiesību aktiem publiska piekļuve oficiāliem dokumentiem un publiskā sektora informācijas atkalizmantošana būtu jāsaskaņo ar tiesībām uz personas datu aizsardzību, un tāpēc tajos var paredzēt nepieciešamo saskaņošanu ar tiesībām uz personas datu aizsardzību, ievērojot šo regulu. Atsaucē uz publiskām iestādēm vai publiskām struktūrām minētajā kontekstā būtu jāiekļauj visas iestādes vai citas struktūras, uz kurām attiecas dalībvalstu tiesību akti par publisku piekļuvi dokumentiem. Eiropas Parlamenta un Padomes Direktīva 2003/98/EK [(2003. gada 17. novembris) par valsts sektora informācijas atkalizmantošanu (OV 2003, L 345, 90. lpp.)] nemaina un nekādā veidā neskar fizisku personu aizsardzības līmeni saistībā ar personas datu apstrādi saskaņā ar Savienības un dalībvalstu tiesību aktu noteikumiem, un jo īpaši tā neizmaina pienākumus un tiesības, kādi noteikti ar šo regulu. Jo īpaši minētā direktīva nebūtu jāpiemēro dokumentiem, kuriem piekļuve ir liegta vai ierobežota ar piekļuves režīmiem, kas tiek pamatoti ar personas datu aizsardzību, un dokumentu daļām, kurām var piekļūt saskaņā ar minētajiem režīmiem un kas satur personas datus, kuru atkalizmantošana tiesību aktos ir noteikta kā nesavienojama ar tiesību aktiem par fizisku personu aizsardzību saistībā ar personas datu apstrādi.”
4 VDAR 2. pants “Materiālā darbības joma” noteic:
“1. Šo regulu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.
2. Šo regulu nepiemēro personas datu apstrādei:
a) tādas darbības gaitā, kas neietilpst Savienības tiesību aktu darbības jomā;
b) ko īsteno dalībvalstis, veicot darbības, kas ir LES V sadaļas 2. nodaļas darbības jomā;
c) ko veic fiziska persona tikai personiska vai mājsaimnieciska pasākuma gaitā;
d) ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu.
3. Personas datu apstrādei Savienības iestādēs, struktūrās, birojos un aģentūrās piemēro [Eiropas Parlamenta un Padomes] Regulu (EK) Nr. 45/2001 [(2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (OV 2001, L 8, 1. lpp.)]. Regulu (EK) Nr. 45/2001 un citus Savienības tiesību aktus, ko piemēro šādai personas datu apstrādei, pielāgo šīs regulas principiem un noteikumiem saskaņā ar 98. pantu.
4. Šī regula neskar [Eiropas Parlamenta un Padomes] Direktīvas 2000/31/EK [(2000. gada 8. jūnijs) par dažiem informācijas sabiedrības pakalpojumu tiesiskiem aspektiem, jo īpaši elektronisko tirdzniecību, iekšējā tirgū (Direktīva par elektronisko tirdzniecību) (OV 2000, L 178, 1. lpp.)] piemērošanu, jo īpaši attiecībā uz minētās direktīvas 12.–15. panta noteikumiem par starpnieku pakalpojumu sniedzēju saistībām.”
5 VDAR 4. panta “Definīcijas” 1., 2., 6. un 7. punkts noteic:
“Šajā regulā:
1) “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;
2) “apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;
[..]
6) “kartotēka” ir jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;
7) “pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktiem, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesību aktos”.
6 Minētās regulas 5. pants “Personas datu apstrādes principi” ir formulēts šādi:
“1. Personas dati:
a) tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”);
b) tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā; [..] (“nolūka ierobežojumi”);
c) ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos (“datu minimizēšana”);
d) ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”);
e) tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā; [..] (“glabāšanas ierobežojums”);
f) tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”);
[..].”
7 Minētās regulas 6. panta “Apstrādes likumīgums” 1. un 3. punkts noteic:
“1. Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:
a) datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;
b) apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;
c) apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu;
d) apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses;
e) apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras;
f) apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns.
Pirmās daļas f) apakšpunktu nepiemēro apstrādei, ko veic publiskas iestādes, pildot savus uzdevumus.
2. Dalībvalstis var paturēt spēkā vai ieviest konkrētākus noteikumus, lai šīs regulas noteikumu piemērošanu pielāgotu attiecībā uz apstrādi, ko veic, lai ievērotu 1. punkta c) un e) apakšpunktu, nosakot precīzāk konkrētas prasības apstrādei un citus pasākumus, ar ko nodrošina likumīgu un godprātīgu apstrādi, tostarp citās konkrētās apstrādes situācijās, kas paredzētas IX nodaļā.
3. Šā panta 1. punkta c) un e) apakšpunktā minēto apstrādes pamatu nosaka ar:
a) Savienības tiesību aktiem; vai
b) dalībvalsts tiesību aktiem, kas piemērojami pārzinim.
Apstrādes nolūku nosaka minētajā juridiskajā pamatā vai – attiecībā uz 1. punkta e) apakšpunktā minēto apstrādi – tas ir vajadzīgs, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras. Minētajā juridiskajā pamatā var būt ietverti konkrēti noteikumi, lai pielāgotu šīs regulas noteikumu piemērošanu, cita starpā vispārēji nosacījumi, kas reglamentē pārziņa īstenotu apstrādes likumību; apstrādājamo datu veidi; attiecīgie datu subjekti; vienības, kurām personas dati var tikt izpausti, un mērķi, kādiem tie var tikt izpausti; apstrādes nolūka ierobežojumi; glabāšanas termiņi; un apstrādes darbības un apstrādes procedūras, tostarp pasākumi, lai nodrošinātu likumīgu un godprātīgu apstrādi, piemēram, citās konkrētās datu apstrādes situācijās, kas paredzētas IX nodaļā. Savienības vai dalībvalsts tiesību akti atbilst sabiedrības interešu mērķim un ir samērīgi ar izvirzīto leģitīmo mērķi.”
8 VDAR 10. pants “Personas datu par sodāmību un pārkāpumiem apstrāde” noteic:
“Personas datu apstrādi par sodāmību un pārkāpumiem vai ar tiem saistītiem drošības pasākumiem, pamatojoties uz 6. panta 1. punktu, veic tikai oficiālas iestādes kontrolē vai tad, ja apstrādi atļauj Savienības vai dalībvalsts tiesību akti, paredzot atbilstošas garantijas datu subjektu tiesībām un brīvībām. Jebkādu visaptverošu sodāmības reģistru uzglabā tikai oficiālas iestādes kontrolē.”
9 Šīs regulas 23. pants “Ierobežojumi” ir formulēts šādi:
“1. Saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami datu pārzinim vai apstrādātājam, ar leģislatīvu pasākumu var ierobežot to pienākumu un tiesību darbības jomu, kas paredzēti 12.–22. pantā un 34. pantā, kā arī 5. pantā, ciktāl tā noteikumi atbilst 12.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu:
[..]
f) tiesu neatkarības un tiesvedības aizsardzību;
[..].”
10 Minētās regulas 85. panta “Apstrāde un vārda un informācijas brīvība” 1. punkts noteic:
“Dalībvalstis ar tiesību aktiem saglabā līdzsvaru starp tiesībām uz personas datu aizsardzību saskaņā ar šo regulu un tiesībām uz vārda un informācijas brīvību, tostarp apstrādi žurnālistikas vajadzībām un akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām.”
11 VDAR 86. pants “Apstrāde un publiska piekļuve oficiāliem dokumentiem” noteic:
“Personas datus, kas iekļauti oficiālos dokumentos, kuri ir publiskas iestādes vai publiskas vai privātas struktūras rīcībā, lai veiktu kādu uzdevumu sabiedrības interesēs, šī iestāde vai struktūra drīkst atklāt saskaņā ar Savienības vai dalībvalsts tiesību aktiem, ko piemēro publiskai iestādei vai struktūrai, lai publisku piekļuvi oficiāliem dokumentiem saskaņotu ar tiesībām uz personas datu aizsardzību saskaņā ar šo regulu.”
Somijas tiesības
Personas datu aizsardzības likums (1050/ 2018)
12 Tietosuojalaki (1050/2018) (Personas datu aizsardzības likums (1050/2018)) 1. pants noteic:
“Šis likums precizē un papildina [VDAR] un tās īstenošanu valsts līmenī.”
13 Šā likuma 28. pants ir formulēts šādi:
“Tiesībām piekļūt publisko iestāžu uzturētajās personu kartotēkās esošajiem personas datiem un šo datu citādai izpaušanai ir piemērojamas tiesību normas par iestāžu darbības atklātību.”
Publisko iestāžu darbības atklātības likums (621/1999)
14 Laki viranomaisten toiminnan julkisuudesta (621/1999) (Publisko iestāžu darbības atklātības likums (621/1999)) 13. pants noteic:
“Pieprasījumam sniegt informāciju par oficiāla dokumenta saturu jābūt pietiekami konkretizētam, lai publiskā iestāde varētu noskaidrot, uz kuru dokumentu šis pieprasījums attiecas. Iestādei ar reģistrācijas žurnāla un citu sarakstu palīdzību jāpalīdz informācijas pieprasītājam identificēt dokumentu, kuram tas vēlas piekļūt. Informācijas pieprasītājam nav ne jāizpauž sava identitāte, ne jāpamato savs pieprasījums, ja vien tas nav vajadzīgs tālab, lai pārvaldes iestāde varētu īstenot tai piešķirto novērtējuma brīvību vai noskaidrot, vai šim pieprasītājam ir tiesības saņemt informāciju par attiecīgā dokumenta saturu.
Ja vien kādā speciālā normā nav noteikts citādi, informācijas pieprasītājam – lūdzot piekļuvi konfidenciālam dokumentam, publiskās iestādes uzturētai personu kartotēkai vai citam dokumentam, kuriem piekļuvi var dot tikai pakārtoti kādiem nosacījumiem – jānorāda informācijas izmantošanas mērķis un visi citi apstākļi, kas vajadzīgi, lai noskaidrotu informācijas izpaušanas nosacījumus, kā arī vajadzības gadījumā jānorāda, kādā veidā tiks nodrošināta informācijas aizsardzība.”
15 Šā likuma 16. pants noteic:
“Piekļuvi publiskas iestādes rīcībā esoša dokumenta saturam sniedz vai nu mutvārdos, vai ļaujot šo dokumentu publiskajā iestādē aplūkot, kopēt vai noklausīties, vai arī izsniedzot šā dokumenta kopiju vai izdruku. Piekļuve dokumenta publiskajam saturam tiek nodrošināta atbilstoši pieprasījumam, ja vien tas nesamērīgi netraucētu iestādes darbību lielā dokumentu skaita, dokumenta kopēšanas grūtību vai kāda cita tamlīdzīga iemesla dēļ.
[..]
Ja vien likumā nav īpaši noteikts citādi, personas datus, kas iegūti no publiskas iestādes uzturētas personu kartotēkas, var izpaust kā kopiju, izdruku vai elektroniskā formā, ja saņēmējam saskaņā ar personas datu aizsardzības noteikumiem ir tiesības glabāt un izmantot šos datus. Tomēr tiešā mārketinga, viedokļu vai tirgus izpētes nolūkos personas datus var izpaust tikai tad, ja tas īpaši paredzēts vai ja datu subjekts ir devis savu piekrišanu.
[..]”
Likums par vispārējās jurisdikcijas tiesās notiekošās tiesvedības atklātību (370/2007)
16 Laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007) (Likums par vispārējās jurisdikcijas tiesās notiekošās tiesvedības atklātību (370/2007)) 1. pants noteic:
“Ja vien šajā vai kādā citā likumā nav noteikts citādi, tiesvedība notiek atklāti un tās dokumenti ir publiski pieejami.”
Likums par personas datu apstrādi krimināllietās un saistībā ar nacionālās drošības sargāšanu (1054/2018)
17 Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018) (Likums par personas datu apstrādi krimināllietās un saistībā ar nacionālās drošības sargāšanu (1054/2018)) 1. panta pirmā daļa noteic, ka šis likums ir piemērojams personas datu apstrādei, ko kompetentās iestādes veic nolūkā tostarp izskatīt krimināllietu tiesā. Šā panta ceturtā daļa noteic, ka minētais likums ir piemērojams tikai tādai personas datu apstrādei pirmās daļas izpratnē, kura ir pilnībā vai daļēji automatizēta vai kuras ietvaros apstrādātie dati veido kartotēku vai tās daļu vai ir paredzēti, lai to veidotu.
18 Šā likuma 2. panta otrā daļa noteic:
“Tiesībām piekļūt publisko iestāžu uzturētajās personu kartotēkās esošajiem personas datiem un šo datu citādai izpaušanai ir piemērojamas tiesību normas par iestāžu darbības atklātību.”
Pamatlieta un prejudiciālie jautājumi
19 Prasītāja pamatlietā Endemol Shine Finland, vēlēdamās iegūt ziņas par kādas šīs komercsabiedrības rīkotā konkursā dalību ņemošas fiziskas personas sodāmību, lūdza Etelä‑Savon käräjäoikeus (Dienvidsavo pirmās instances tiesa, Somija) mutiski sniegt informāciju par to, vai šī persona iespējami ir vai agrāk bijusi notiesāta.
20 Šo prasītājas pamatlietā pieprasījumu Etelä‑Savon käräjäoikeus (Dienvidsavo pirmās instances tiesa) noraidīja, lai arī uzskatīja, ka šis pieprasījums attiecas uz publiskiem lēmumiem vai publisku informāciju Likuma par vispārējās jurisdikcijas tiesās notiekošās tiesvedības atklātību izpratnē. Minētā tiesa uzskatīja, ka prasītājas pamatlietā norādītais iemesls nav pamats Personas datu aizsardzības likuma 7. pantā paredzētajai datu par kriminālsodāmību vai noziedzīgiem nodarījumiem apstrādei. Tā kā arī meklēšana minētās tiesas informācijas sistēmās būtu personas datu apstrāde, pieprasītā informācija neesot izpaužama arīdzan mutiski.
21 Prasītāja pamatlietā par šo spriedumu iesniedza apelācijas sūdzību iesniedzējtiesā – Itä‑Suomen hovioikeus (Austrumsomijas apelācijas tiesa, Somija) –, apgalvodama, ka tās pieprasītās informācijas mutiska izpaušana neesot personas datu apstrāde VDAR 4. panta 2. punkta izpratnē.
22 Iesniedzējtiesa vēlas noskaidrot, vai VDAR 2. panta 1. punkts un 4. panta 2. punkts ir jāinterpretē tādējādi, ka mutiska informācijas sniegšana par to, vai kāda fiziska persona iespējami ir vai agrāk bijusi notiesāta, ir personas datu apstrāde šīs regulas izpratnē. Šajā ziņā minētā tiesa norāda, ka Somijas publisko iestāžu veiktā personas datu apstrāde ir reglamentēta Personas datu aizsardzības likumā. Tomēr uz šādu datu apstrādi parasti attiecināmie ierobežojumi neesot piemērojami ne tikai tādēļ, ka šo iestāžu rīcībā esošie dati ir publiski, bet arī minētā likuma 28. panta un Likuma par personas datu apstrādi krimināllietās un saistībā ar nacionālās drošības sargāšanu (1054/2018) 2. panta otrās daļas dēļ.
23 Lai personas datu aizsardzību salāgotu ar sabiedrības tiesībām piekļūt informācijai, Publisko iestāžu darbības atklātības likuma (621/1999) 16. pants noteic, ka no publiskas iestādes uzturētas personu kartotēkas iegūtu personas datu izpaušana veicama tikai kopijas, izdrukas vai elektroniskā formā. Tomēr, ņemot vērā, ka šis pants neesot piemērojams publisko iestāžu uzturētajās personu kartotēkās esošo personas datu mutiskai izpaušanai, esot jānoskaidro, kādā veidā nodrošināma šāda salāgošana un ņemami vērā svarīgie personas datu aizsardzības apsvērumi situācijā, kad šādi publisko iestāžu uzturētajās personu kartotēkās ietvertie dati tiek izpausti mutiski.
24 Šajos apstākļos Itä‑Suomen hovioikeus (Austrumsomijas apelācijas tiesa, Somija) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:
“1) Vai personas datu mutiska izpaušana ir uzskatāma par šo datu apstrādi [VDAR] 2. panta 1. punkta un 4. panta 2. punkta izpratnē?
2) Vai publiska piekļuve oficiāliem dokumentiem var tikt salāgota ar tiesībām uz personas datu aizsardzību saskaņā ar [VDAR] šīs regulas 86. panta izpratnē tādējādi, ka var neierobežoti saņemt tiesas uzturētā personas datu kartotēkā esošo informāciju par fiziskas personas kriminālsodāmību vai tās izdarītajiem noziedzīgajiem nodarījumiem, ja tiek lūgts šo informāciju tās pieprasītājam sniegt mutiski?
3) Vai atbilde uz otro jautājumu ir atkarīga no tā, vai pieprasītājs ir komercsabiedrība vai privātpersona?”
Par prejudiciālajiem jautājumiem
Par pirmo jautājumu
25 Ar pirmo jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR 2. panta 1. punkts un 4. panta 2. punkts ir jāinterpretē tādējādi, ka mutiska informācijas izpaušana par to, vai kāda fiziska persona iespējami ir vai agrāk bijusi notiesāta, ir uzskatāma par personas datu apstrādi šīs regulas 4. panta 2. punkta izpratnē, un – gadījumā, ja tā tas ir – vai šī apstrāde ietilpst minētās regulas materiālajā darbības jomā, kāda tā ir noteikta šīs regulas 2. panta 1. punktā.
26 Ievadam, pirmkārt, jāatgādina, ka, interpretējot šīs Savienības tiesību normas, jāņem vērā ne tikai to formulējums, bet arī konteksts un šīs normas ietverošā tiesiskā regulējuma mērķi (spriedums, 2023. gada 12. janvāris, Österreichische Post (Informācija par personas datu saņēmējiem), C‑154/21, EU:C:2023:3, 29. punkts).
27 Otrkārt, jāuzsver, ka pamatlietā netiek apstrīdēts, ka informācija, kuru prasītāja pamatlietā lūdz izpaust, ir personas dati VDAR 4. panta 1. punkta izpratnē.
28 Šīs regulas 4. panta 2. punktā jēdziens “apstrāde” ir definēts kā “jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem”.
29 Konkrēti no vārdkopas “jebkura [..] darbība” izriet, ka jēdzienu “apstrāde” Savienības likumdevējs ir vēlējies apveltīt ar plašu tvērumu, kā to apstiprina apstāklis, ka šajā normā minēto darbību uzskaitījums nav izsmeļošs, jo tajā lietots vārds “piemēram” (šajā nozīmē skat. spriedumus, 2022. gada 24. februāris, Valsts ieņēmumu dienests (Personas datu apstrāde nodokļu administrēšanas vajadzībām), C‑175/20, EU:C:2022:124, 35. punkts, un 2023. gada 22. jūnijs, Pankki S, C‑579/21, EU:C:2023:501, 46. punkts).
30 Šajā uzskaitījumā citastarp ietilpst datu izpaušana, nosūtot, izplatot un “citādi darot tos pieejamus”, ar vai bez automatizētiem līdzekļiem. Šajā ziņā VDAR 4. panta 2. punktā nav paredzēti nekādi nosacījumi attiecībā uz veidu, kādā veicama apstrāde “bez automatizētiem līdzekļiem”. Līdz ar to jēdziens “apstrāde” aptver arī mutisku izpaušanu.
31 Šādas jēdziena “apstrāde” interpretācijas pareizību apstiprina VDAR mērķis, kas izriet no tās 1. panta un 1. un 10. apsvēruma, proti, citastarp nodrošināt augsta līmeņa aizsardzību fizisko personu pamattiesībām un pamatbrīvībām, it īpaši viņu tiesībām uz privātās dzīves neaizskaramību saistībā ar personas datu apstrādi, kas nostiprinātas Eiropas Savienības Pamattiesību hartas 8. panta 1. punktā un LESD 16. panta 1. punktā (šajā nozīmē skat. spriedumu, 2023. gada 4. maijs, Bundesrepublik Deutschland (Tiesu elektroniskā pastkaste), C‑60/22, EU:C:2023:373, 64. punkts). Proti, iespēja apiet šīs regulas piemērošanu, izpaužot personas datus mutiski tā vietā, lai to darītu rakstiski, būtu acīmredzami nesaderīgi ar šo mērķi.
32 Šajos apstākļos VDAR 4. panta 2. punktā minētais jēdziens “apstrāde” noteikti aptver arī personas datu mutisku izpaušanu.
33 Tomēr vēl jānoskaidro, vai šāda apstrāde ietilpst VDAR materiālajā darbības jomā. Šīs regulas 2. panta, kurā noteikta šī darbības joma, 1. punkts noteic, ka minēto regulu piemēro apstrādei, “kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem”, kā arī “tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem”.
34 Šajā ziņā no šīs pēdējās minētās tiesību normas formulējuma, kā arī no VDAR 15. apsvēruma izriet, ka šī regula ir piemērojama gan personas datu automatizētai apstrādei, gan šādu datu manuālai apstrādei tādējādi, lai šajā regulā paredzētā aizsardzība personām, kuru dati tiek apstrādāti, netiktu padarīta atkarīga no izmantotajiem paņēmieniem un izvairītos no nopietniem šīs aizsardzības apiešanas riskiem. Tomēr no tiem arī izriet, ka minētā regula attiecas uz personas datu manuālu apstrādi tikai tad, ja apstrādātie personas dati “veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas” (pēc analoģijas skat. spriedumu, 2018. gada 10. jūlijs, Jehovan todistajat, C‑25/17, EU:C:2018:551, 53. punkts).
35 Tātad – ņemot vērā, ka mutiskā izpaušana pati par sevi ir bez automatizētiem līdzekļiem veikta apstrāde – lai minētā apstrāde ietilptu VDAR materiālajā darbības jomā, šādi apstrādātajiem datiem jābūt tādiem, kas “veido daļu” vai “ir paredzēti, lai veidotu daļu” no “kartotēkas”.
36 Savukārt jēdzienā “kartotēka” saskaņā ar VDAR 4. panta 6. punktu ietilpst “jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju”.
37 Šajā ziņā Tiesa ir jau nospriedusi, ka atbilstīgi šā sprieduma 34. punktā atgādinātajam mērķim šajā tiesību normā “kartotēkas” jēdziens ir definēts plaši, it īpaši aptverot “jebkuru” sakārtotu personas datu kopumu. Turklāt prasība, ka personas datu kopumam jābūt tādam, kas ir “strukturēts [..] saskaņā ar konkrētiem kritērijiem”, ir domāta vienīgi, lai ļautu viegli atrast datus par personu. Ja neskaita šo prasību, VDAR 4. panta 6. punktā nav noteikts ne tas, kādā veidā kartotēkai jābūt strukturētai, ne tas, kādā formā tai jābūt. It īpaši ne no šīs, ne no kādas citas šīs regulas tiesību normas neizriet, ka attiecīgajiem personas datiem būtu jābūt ietvertiem reģistros vai īpašos sarakstos, vai kādā citā meklēšanas sistēmā, lai varētu secināt, ka pastāv kartotēka šīs regulas izpratnē (pēc analoģijas skat. spriedumu, 2018. gada 10. jūlijs, Jehovan todistajat, C‑25/17, EU:C:2018:551, 56.–58. punkts).
38 Šajā gadījumā no lūguma sniegt prejudiciālu nolēmumu izriet, ka prasītājas pamatlietā pieprasītie dati ir ietverti “tiesas uzturētā personas datu kartotēkā”. Tādējādi šķiet, ka šie dati ir ietverti kartotēkā VDAR 4. panta 6. punkta izpratnē; taču tas gan vēl jāpārbauda iesniedzējtiesai, un šajā ziņā nav nozīmes tam, vai minētie dati ir ietverti elektroniskās datubāzēs vai arī fiziskos dosjē vai reģistros.
39 Šajos apstākļos uz pirmo jautājumu ir atbildams, ka VDAR 2. panta 1. punkts un 4. panta 2. punkts ir jāinterpretē tādējādi, ka mutiska informācijas izpaušana par to, vai kāda fiziska persona iespējami ir vai agrāk bijusi notiesāta, ir uzskatāma par personas datu apstrādi šīs regulas 4. panta 2. punkta izpratnē, kas ietilpst minētās regulas materiālajā darbības jomā, ja šī informācija ir ietverta vai tai jāatrodas kartotēkā.
Par otro un trešo jautājumu
40 Ar otro un trešo jautājumu, kuri jāizskata kopā, iesniedzējtiesa būtībā vaicā, vai VDAR tiesību normas, konkrēti tās 86. pants, ir jāinterpretē tādējādi, ka tām ir pretrunā, ka tiesas uzturētā kartotēkā ietvertie dati par fiziskas personas kriminālsodāmību var tikt mutiski izpausti ikvienai personai nolūkā nodrošināt sabiedrības piekļuvi oficiāliem dokumentiem, ja personai, kas lūdz tos izpaust, nav jāpamato konkrēta interese iegūt minētos datus, un vai atbilde uz šo jautājumu atšķiras atkarībā no tā, vai šī persona ir komercsabiedrība vai privātpersona.
41 Šis jautājums rodas tāpēc, ka pamatlietā aplūkotajos valsts tiesību aktos nav prasīts valsts tiesību normas par personas datu aizsardzību ievērot gadījumā, ja šādi dati tiek izpausti mutiski.
42 Šajā ziņā jāatgādina, ka saskaņā ar LESD 288. panta otro daļu regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs. Tādējādi, ņemot vērā regulās ietverto tiesību normu raksturu un to funkciju Savienības tiesību avotu sistēmā, regulu normas vispār ir nepastarpināti piemērojamas valstu tiesību sistēmās, un valsts iestādēm nav nepieciešams īstenot piemērošanas pasākumus (spriedumi, 2022. gada 16. jūnijs, Port de Bruxelles un Région de Bruxelles‑Capitale, C‑229/21, EU:C:2022:471, 47. punkts, kā arī 2023. gada 30. marts, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, 77. punkts).
43 Tāpēc valsts tiesai jāpiemēro VDAR prasības kopumā, pat ja piemērojamajās valsts tiesībās nav konkrētas tiesību normas, kas ļautu ņemt vērā attiecīgo datu subjektu intereses (šajā nozīmē skat. spriedumu, 2023. gada 2. marts, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, 44. un 59. punkts).
44 No iepriekš izklāstītajiem apsvērumiem izriet, ka situācijā, kad dati par fiziskas personas kriminālsodāmību ir ietverti vai tiem jāatrodas kartotēkā, šo datu mutiska izpaušana var notikt tikai tad, ja ir izpildīti VDAR noteiktie nosacījumi.
45 Šajā ziņā jāatgādina Tiesas pastāvīgās judikatūras atziņa, ka ikvienai personas datu apstrādei ir jābūt gan atbilstīgai datu apstrādes principiem, kas noteikti VDAR 5. pantā, gan – ņemot vērā it īpaši šā panta 1. punkta a) apakšpunktā paredzēto apstrādes likumīguma principu – jāatbilst vienam no šīs regulas 6. pantā uzskaitītajiem apstrādes likumīguma nosacījumiem (šajā nozīmē skat. spriedumus, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 96. punkts, kā arī 2023. gada 7. decembris, SCHUFA Holding u.c. (Kredītspējas vērtējums (Scoring)), C‑634/21, EU:C:2023:957, 67. punkts).
46 Konkrēti, uz pamatlietā aplūkojamo personas datu apstrādi, proti, datu par noziedzīgiem nodarījumiem mutisku izpaušanu sabiedrībai, var attiekties VDAR 6. panta 1. punkta e) apakšpunkts, saskaņā ar kuru apstrāde ir likumīga, ja un ciktāl tā ir “vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras” (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 99. punkts).
47 Turklāt konkrētāk attiecībā uz datiem par kriminālsodāmību un noziedzīgiem nodarījumiem jāteic, ka VDAR 10. pantā ir noteikti papildu ierobežojumi to apstrādei. Šī norma noteic, ka šo datu apstrādi “veic tikai oficiālas iestādes kontrolē” vai, ja to “atļauj Savienības vai dalībvalsts tiesību akti, paredzot atbilstošas garantijas datu subjektu tiesībām un brīvībām” (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 100. punkts).
48 Tiesa jau nospriedusi, ka nedz VDAR 6. panta 1. punkta e) apakšpunkts, nedz šīs regulas 10. pants vispārēji un absolūti neaizliedz, ka kādai publiskai iestādei varētu būt tiesības vai pat pienākums izpaust personas datus personām, kuras to pieprasa (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 103. punkts).
49 Tādējādi VDAR nav pretrunā tas, ka personas dati tiek izpausti sabiedrībai, ja šī izpaušana ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot oficiālās pilnvaras šīs regulas 6. panta 1. punkta e) apakšpunkta izpratnē. Tas tā ir pat tad, kad uz attiecīgajiem datiem attiecas VDAR 10. pants, ja vien tiesību normās, ar kurām ir atļauta šī izpaušana, ir paredzētas atbilstošas garantijas datu subjektu tiesībām un brīvībām (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 104. punkts).
50 Šajā gadījumā gan no lūguma sniegt prejudiciālu nolēmumu, gan no Somijas valdības iesniegtajiem rakstveida apsvērumiem izriet, ka valsts tiesību akti par publisko iestāžu darbības atklātību un vispārējās jurisdikcijas tiesās notiekošās tiesvedības atklātību ir vērsti uz to, lai izpildītu sabiedrības interesēs veicamu uzdevumu nodrošināt sabiedrības piekļuvi oficiāliem dokumentiem.
51 Šajos apstākļos iesniedzējtiesa vēlas sīkāk noskaidrot, vai pamatlietā aplūkotā personas datu apstrāde var tikt uzskatīta par likumīgu, ņemot vērā samērīguma principu, it īpaši samērošanu, kas jāveic starp VDAR 86. pantā paredzētajām sabiedrības tiesībām piekļūt oficiālajiem dokumentiem, no vienas puses, un Hartas 7. un 8. pantā nostiprinātajām pamattiesībām uz privātās dzīves neaizskaramību un personas datu aizsardzību, no otras puses.
52 Par šo pēdējo minēto aspektu jāatgādina VDAR 4. apsvērumā teiktais, ka pamattiesības uz privātās dzīves neaizskaramību un personas datu aizsardzību nav absolūtas prerogatīvas, bet gan ir ņemamas vērā saistībā ar to funkciju sabiedrībā un līdzsvarojamas ar citām pamattiesībām. Tādējādi var tikt noteikti ierobežojumi, ja atbilstoši Hartas 52. panta 1. punktam tie ir paredzēti tiesību aktos un tajos tiek respektēta pamattiesību būtība, kā arī samērīguma princips. Saskaņā ar šo pēdējo minēto principu ierobežojumus drīkst noteikt tikai tad, ja tie ir nepieciešami un patiešām atbilst vispārējo interešu mērķiem, ko atzinusi Savienība, vai vajadzībai aizsargāt citu personu tiesības un brīvības. Tie ir jāīsteno tikai, ciktāl tas ir noteikti nepieciešams, un attiecīgajā tiesiskajā regulējumā, kas paredz iejaukšanos, ir jānosaka skaidri un precīzi noteikumi, kas reglamentē attiecīgā pasākuma tvērumu un piemērošanu (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 105. punkts).
53 Tātad, lai noskaidrotu, vai personas datu par kriminālsodāmību publiska izpaušana, kāda tiek aplūkota pamatlietā, ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot piešķirtās oficiālās pilnvaras VDAR 6. panta 1. punkta e) apakšpunkta izpratnē, un vai tiesību aktos, ar kuriem atļauta šāda izpaušana, ir paredzētas atbilstošas garantijas datu subjektu tiesībām un brīvībām šīs regulas 10. panta izpratnē, konkrēti ir jāpārbauda, vai, ņemot vērā šīs izpaušanas dēļ radītās iejaukšanās pamattiesībās uz privātās dzīves neaizskaramību un personas datu aizsardzību smagumu, tā ir attaisnojama un tostarp samērīga, lai nodrošinātu īstenojamo mērķu sasniegšanu (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 106. punkts).
54 Attiecībā uz iejaukšanās šajās tiesībās smagumu Tiesa jau ir nospriedusi, ka datu par kriminālsodāmību un noziedzīgiem nodarījumiem vai ar tiem saistītiem drošības pasākumiem apstrāde šo datu īpašās sensitivitātes dēļ var būt īpaši smaga iejaukšanās Hartas 7. un 8. pantā garantētajās pamattiesībās uz privātās dzīves neaizskaramību un personas datu aizsardzību. Proti, tā kā šādi dati attiecas uz uzvedību, kas izraisa sabiedrības nosodījumu, piekļuves šādiem datiem piešķiršana var stigmatizēt datu subjektu un tādējādi radīt būtisku iejaukšanos tā privātajā vai profesionālajā dzīvē (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 74., 75. un 112. punkts).
55 Proti, lai gan iesniedzējtiesas norādītā sabiedrības piekļuve oficiāliem dokumentiem – kā izriet no VDAR 154. apsvēruma – ir uzskatāma par sabiedrības interesi, kas var leģitimizēt šādos dokumentos ietverto personas datu izpaušanu, šī piekļuve tomēr ir jāsalāgo ar pamattiesībām uz privātās dzīves neaizskaramību un personas datu aizsardzību, kā tas turklāt skaidri prasīts VDAR 86. pantā. Taču, ņemot vērā tostarp datu par kriminālsodāmību sensitīvo raksturu un to, cik smagu iejaukšanos datu subjektu pamattiesībās uz privātās dzīves neaizskaramību un personas datu aizsardzību izraisa šo datu izpaušana, jāuzskata, ka šīs tiesības prevalē pār sabiedrības interesi piekļūt oficiālajiem dokumentiem (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 120. punkts).
56 Šā paša iemesla dēļ VDAR 85. pantā paredzētās tiesības uz informācijas brīvību nevar tikt interpretētas tādējādi, ka tās attaisnotu to, ka ikvienai personai, kura to pieprasa, tiek izpausti personas dati par kriminālsodāmību (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 121. punkts).
57 Šajā ziņā nav nozīmes tam, vai persona, kas lūdz piekļuvi datiem par kriminālsodāmību, ir komercsabiedrība vai privātpersona un vai šādu datu izpaušana notiek rakstiski vai mutiski.
58 Ņemot vērā iepriekš izklāstītos apsvērumus, uz otro un trešo prejudiciālo jautājumu ir atbildams, ka VDAR tiesību normas, tostarp tās 6. panta 1. punkta e) apakšpunkts un 10. pants, ir jāinterpretē tādējādi, ka tām ir pretrunā, ka tiesas uzturētā kartotēkā ietvertie dati par fiziskas personas kriminālsodāmību var tikt mutiski izpausti ikvienai personai nolūkā nodrošināt sabiedrības piekļuvi oficiāliem dokumentiem, ja personai, kas lūdz tos izpaust, nav jāpamato konkrēta interese iegūt minētos datus, un šajā ziņā nav nozīmes tam, vai šī persona ir komercsabiedrība vai privātpersona.
Par tiesāšanās izdevumiem
59 Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.
Ar šādu pamatojumu Tiesa (sestā palāta) nospriež:
1) Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 2. panta 1. punkts un 4. panta 2. punkts
ir jāinterpretē tādējādi, ka
mutiska informācijas izpaušana par to, vai kāda fiziska persona iespējami ir vai agrāk bijusi notiesāta, ir uzskatāma par personas datu apstrādi šīs regulas 4. panta 2. punkta izpratnē, kas ietilpst minētās regulas materiālajā darbības jomā, ja šī informācija ir ietverta vai tai jāatrodas kartotēkā.
2) Regulas 2016/679 normas, tostarp tās 6. panta 1. punkta e) apakšpunkts un 10. pants,
ir jāinterpretē tādējādi, ka
tām ir pretrunā, ka tiesas uzturētā kartotēkā ietvertie dati par fiziskas personas kriminālsodāmību var tikt mutiski izpausti ikvienai personai nolūkā nodrošināt sabiedrības piekļuvi oficiāliem dokumentiem, ja personai, kas lūdz tos izpaust, nav jāpamato konkrēta interese iegūt minētos datus, un šajā ziņā nav nozīmes tam, vai šī persona ir komercsabiedrība vai privātpersona.
[Paraksti]