Laikina versija
GENERALINIO ADVOKATO
MACIEJ SZPUNAR IŠVADA,
pateikta 2024 m. liepos 11 d.(1)
Byla C‑394/23
Asociacija Mousse
prieš
Commission nationale de l’informatique et des libertés (CNIL),
SNCF Connect
(Conseil d’État (Prancūzija) pateiktas prašymas priimti prejudicinį sprendimą)
„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 6 straipsnio 1 dalis – Duomenų tvarkymo teisėtumo principas – 5 straipsnio 1 dalies c punktas – Duomenų kiekio mažinimo principas – Kreipinys – Transporto paslaugos pirkimas internetu – 21 straipsnis – Teisė nesutikti“
I. Įvadas
1. Reglamentu (ES) 2016/679(2) (toliau – BDAR) siekiama užtikrinti aukšto lygio fizinių asmenų apsaugą tvarkant jų asmens duomenis. Šiuo tikslu juo reikalaujama, kad tvarkydami asmens duomenis duomenų valdytojai laikytųsi įvairių principų, įskaitant „duomenų kiekio mažinimo“ ir duomenų tvarkymo teisėtumo principus.
2. Šie du principai yra esminiai šioje byloje, kurioje nagrinėjamas asociacijos ir nacionalinės priežiūros institucijos ginčas dėl transporto bendrovės atliekamo jos klientų asmens duomenų tvarkymo, siekiant nurodyto tikslo juos naudoti komerciniuose pranešimuose, todėl Teisingumo Teismas turi galimybę tiksliau apibrėžti jų taikymo sritį.
II. Teisinis pagrindas
A. Sąjungos teisė
3. BDAR 4, 10, 39, 40, 44, 47, 69 ir 75 konstatuojamosiose dalyse nurodyta:
„(4) asmens duomenys turėtų būti tvarkomi taip, kad tai pasitarnautų žmonijai. Teisė į asmens duomenų apsaugą nėra absoliuti; ji turi būti vertinama atsižvelgiant į jos visuomeninę paskirtį ir derėti su kitomis pagrindinėmis teisėmis, remiantis proporcingumo principu. Šiuo reglamentu paisoma visų [Europos Sąjungos pagrindinių teisių] [c]hartijoje [toliau – Chartija] pripažintų ir Sutartyse įtvirtintų pagrindinių teisių ir laisvių bei principų, visų pirma teisės į privatų ir šeimos gyvenimą, būsto neliečiamybę ir komunikacijos slaptumą, teisės į asmens duomenų apsaugą, minties, sąžinės ir religijos laisvės, saviraiškos ir informacijos laisvės, laisvės užsiimti verslu, teisės į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą ir kultūrų, religijų ir kalbų įvairovės;
<...>
(10) siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas. <...>
<...>
(39) <...> Asmens duomenys turėtų būti tinkami, susiję su tikslais, kuriais jie tvarkomi, ir riboti pagal tai, kiek jų yra būtina turėti atsižvelgiant į tikslus, kuriais jie tvarkomi. <...> Asmens duomenys turėtų būti tvarkomi tik tuo atveju, jei duomenų tvarkymo tikslo pagrįstai nebuvo galima pasiekti kitomis priemonėmis. <...>
(40) kad duomenų tvarkymas būtų teisėtas, asmens duomenys turėtų būti tvarkomi gavus atitinkamo duomenų subjekto sutikimą arba remiantis kitu teisėtu teisiniu pagrindu, nustatytu šiame reglamente arba – kai šiame reglamente nurodoma – kitame Sąjungos teisės akte ar valstybės narės teisėje, įskaitant būtinybę, kad duomenų valdytojas vykdytų jam tenkančią teisinę prievolę, arba būtinybę vykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis priemonių duomenų subjekto prašymu prieš sudarant sutartį;
<...>
(44) duomenų tvarkymas turėtų būti laikomas teisėtu, kai jis būtinas siekiant vykdyti sutartį arba ketinant ją sudaryti;
<...>
(47) teisėti duomenų valdytojo, įskaitant duomenų valdytoją, kuriam gali būti atskleisti asmens duomenys, arba trečiosios šalies interesai gali būti teisiniu duomenų tvarkymo pagrindu, jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni, atsižvelgiant į pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu. Toks teisėtas interesas galėtų būti, pavyzdžiui, kai egzistuoja susijęs ir atitinkamas santykis tarp duomenų subjekto ir duomenų valdytojo, pavyzdžiui, kai duomenų subjektas yra duomenų valdytojo klientas arba dirba duomenų valdytojo tarnyboje <...>. Bet kuriuo atveju reikėtų atidžiai įvertinti, ar esama teisėto intereso, be kita ko, siekiant nustatyti, ar duomenų subjektas gali tuo metu, kai renkami asmens duomenys, arba asmens duomenų rinkimo kontekste tikėtis, kad duomenys gali būti tvarkomi tuo tikslu. <...> Asmens duomenų tvarkymas tik tiek, kiek tai yra būtina sukčiavimo prevencijos tikslais, yra ir [atitinkamo duomenų valdytojo teisėtas interesas]. Asmens duomenų tvarkymas tiesioginės rinkodaros tikslais gali būti vertinamas kaip atliekamas vadovaujantis teisėtu interesu;
<...>
(69) kai asmens duomenys galėtų būti teisėtai tvarkomi, kadangi duomenis tvarkyti būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, arba vadovaujantis duomenų valdytojo arba trečiosios šalies teisėtais interesais, duomenų subjektas vis tiek turėtų turėti teisę nesutikti su bet kokių su jo konkrečiu atveju susijusių asmens duomenų tvarkymu. Pareiga įrodyti, kad įtikinamas teisėtas duomenų valdytojo interesas yra viršesnis už duomenų subjekto interesus arba pagrindines teises ir laisves, turėtų tekti duomenų valdytojui;
<...>
(75) Įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms gali kilti dėl tokio asmens duomenų tvarkymo, kurio metu galėtų būti padarytas kūno sužalojimas, materialinė ar nematerialinė žala, visų pirma kai dėl tvarkymo gali kilti diskriminacija <...>“.
4. Pagal BDAR 2 straipsnio 1 dalį šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti jai sudaryti, tvarkymui ne automatizuotomis priemonėmis.
5. BDAR 4 straipsnyje „Apibrėžtys“ nustatyta:
„Šiame reglamente:
1) asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti <...>;
2) duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas <...>;
<...>
7) duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; <...>
<...>
11) duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;
<...>“
6. BDAR 5 straipsnyje „Su asmens duomenų tvarkymu susiję principai“ numatyta:
„1. Asmens duomenys turi būti:
a) duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
<...>
c) adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
d) tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);
<...>“
7. Minėto reglamento 6 straipsnio „Tvarkymo teisėtumas“ 1 dalyje nustatyta:
„Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:
a) duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;
b) tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
c) tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė <...>;
d) tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;
e) tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
f) tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.
<...>“
8. BDAR 13 straipsnyje „Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto“, nustatyta:
„1. Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją:
<...>
d) kai duomenų tvarkymas atliekamas pagal 6 straipsnio 1 dalies f punktą, teisėtus duomenų valdytojo arba trečiosios šalies interesus;
<...>“
9. BDAR 21 straipsnio „Teisė nesutikti“ 1 dalyje numatyta:
„Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą remiantis tomis nuostatomis. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.“
10. BDAR 25 straipsnio „Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga“ 2 dalyje numatyta:
„Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. <...>“
B. Prancūzijos teisė
11. Loi no 78-17 relative à l’informatique, aux fichiers et aux libertés, du 6 janvier 1978 (1978 m. sausio 6 d. Įstatymas Nr. 78-17 dėl informatikos, rinkmenų ir laisvių)(3) 8 straipsnyje nustatyta:
„Nacionalinė informatikos ir laisvių komisija, toliau [CNIL] yra nepriklausoma administracinė institucija.
Ji yra nacionalinė priežiūros institucija, kaip tai suprantama pagal [BDAR] ir jo taikymo tikslu. Ji atlieka šias užduotis:
<...>
2. Užtikrina, kad asmens duomenys būtų tvarkomi laikantis šio įstatymo nuostatų ir kitų su asmens duomenų apsauga susijusių nuostatų, įtvirtintų įstatymuose ir kituose teisės aktuose, Europos Sąjungos teisėje ir Prancūzijos tarptautiniuose įsipareigojimuose.
Šiuo tikslu:
<...>
d) Ji nagrinėja pretenzijas, peticijas ir skundus, kuriuos pateikė duomenų subjektas arba įstaiga, organizacija ar asociacija, ir tinkamu mastu tiria skundo dalyką, taip pat per pagrįstą laikotarpį informuoja skundo pateikėją apie skundo tyrimo pažangą ir rezultatus, visų pirma, tais atvejais, kai būtina tęsti tyrimą arba derinti veiksmus su kita priežiūros institucija; <...>“
III. Faktinės aplinkybės, procesas Teisingumo Teisme ir prejudiciniai klausimai
12. SNCF Connect yra bendrovė, kuri savo interneto svetainėje ir taikomosiose programose prekiauja geležinkelių transporto bilietais, pavyzdžiui, traukinio bilietais, abonementais ir nuolaidų kortelėmis. Pirkdami šiuos bilietus šios bendrovės klientai privalo nurodyti jiems naudotiną kreipinį, pažymėdami mandagumo kreipinį „ponas“ arba „ponia“.
13. Manydama, kad sąlygos, kuriomis perkant transporto bilietus buvo renkami ir registruojami klientų mandagumo kreipiniai, neatitinka BDAR reikalavimų, pareiškėja pagrindinėje byloje – asociacija Mousse (toliau – Mousse) – pateikė Commission nationale de l’informatique et des libertés (Nacionalinė informatikos ir laisvių komisija, CNIL) skundą dėl bendrovės SNCF Connect. Grįsdama šį reikalavimą Mousse nurodė, kad atitinkamų duomenų rinkimas neatitinka šio reglamento 5 straipsnio 1 dalies a punkte įtvirtinto teisėtumo principo, nes nėra pagrįstas nė vienu iš šio reglamento 6 straipsnio 1 dalyje numatytų pagrindų. Be to, tokiu duomenų rinkimu pažeidžiami šio reglamento 5 straipsnio 1 dalies c ir d punktuose nustatyti duomenų kiekio mažinimo ir tikslumo principai, taip pat, be kita ko, iš šio reglamento 13 straipsnio kylančios pareigos užtikrinti skaidrumą ir teikti informaciją. Šiomis aplinkybėmis Mousse teigė, kad SNCF Connect neturėtų rinkti šių duomenų arba bent jau turėtų pasiūlyti savo klientams papildomų pasirinkimo galimybių, kaip antai nuorodas „neutrali“ arba „kita“.
14. 2021 m. kovo 23 d. sprendimu CNIL baigė nagrinėti jai pateiktą skundą ir laikėsi nuomonės, kad veiksmai, kuriais kaltinama bendrovė SNCF Connect, nelaikytini atitinkamų BDAR nuostatų pažeidimu. CNIL nustatė, kad pagal šio reglamento 6 straipsnio 1 dalies b punktą duomenų tvarkymas buvo teisėtas, nes jis buvo būtinas transporto paslaugų teikimo sutarčiai vykdyti. Be to, CNIL pažymėjo, kad, atsižvelgiant į jo tikslus, toks duomenų tvarkymas atitinka duomenų kiekio mažinimo principą, nes kreipimasis į klientus naudojant mandagumo kreipinius atitinka civilinių, verslo ir administracinių ryšių papročius.
15. 2021 m. gegužės 21 d. Mousse pateikė Conseil d'État (Valstybės taryba, Prancūzija) skundą dėl 2021 m. kovo 23 d. CNIL sprendimo panaikinimo. Savo skunde Mousse, be kita ko, teigia, kad reikalavimas perkant internetu pasirinkti nuorodą „ponas“ arba „ponia“ neatitinka atitinkamai BDAR 5 straipsnio 1 dalies a ir c punktuose įtvirtintų teisėtumo ir duomenų kiekio mažinimo principų, nes ši nuoroda nėra būtina sutarčiai įvykdyti ar SNCF Connect teisėtiems interesams užtikrinti. To, kad kreipiniai „ponas“ ir „ponia“ vartojami verslo korespondencijoje, nepakanka, kad būtų būtina rinkti šiuos duomenis. Galiausiai tokiu reikalavimu pažeidžiama teisė keliauti, nenurodant savo mandagumo kreipinio, teisė į privatų gyvenimą ir laisvė nevaržomai apibrėžti savo lyties išraišką. Be kita ko, šalių, kuriose leidžiama tokia civilinė būklė kaip „neutrali lytis“, piliečių atveju šis kreipinys neatitiktų tikrovės, todėl galėtų prieštarauti šio reglamento 5 straipsnio 1 dalies d punkte nustatytam tikslumo principui bei pažeisti jų judėjimo laisvę, garantuojamą pagal Sąjungos teisę.
16. CNIL padarė išvadą, kad šis ieškinys turėtų būti atmestas, ir nurodė, kad su mandagumo kreipiniu susijusių duomenų tvarkymas taip pat galėtų būti laikomas „būtinu“ SNCF Connect siekiamų teisėtų interesų tikslais, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies f punktą, ir kad duomenų subjektai gali – priklausomai nuo konkrečios jų padėties – pasinaudoti šio reglamento 21 straipsniu garantuojama teise nesutikti.
17. Prašymą priimti prejudicinį sprendimą pateikęs teismas pirmiausia siekia išsiaiškinti, ar norint įvertinti, ar duomenų rinkimas yra adekvatus, tinkamas ir tik toks, kokio reikia, ir ar būtina juos tvarkyti, galima atsižvelgti į plačiai paplitusius papročius civilinių, verslo ir administracinių ryšių srityje, kad duomenų, susijusių su klientų civiline būkle, rinkimas, apimantis tik nuorodas „ponas“ arba „ponia“, galėtų būti pripažintas „teisėtu ir atitinkančiu“ duomenų kiekio mažinimo principą. Kita vertus, šis teismas kelia klausimą, ar vertinant būtinybę rinkti ir tvarkyti klientų mandagumo kreipinių duomenis ir kai kuriems iš jų laikantis nuomonės, kad jiems netaikytinas nė vienas iš dviejų mandagumo kreipinių, reikia atsižvelgti į tai, kad šie klientai, pateikę šiuos duomenis duomenų valdytojui norėdami pasinaudoti siūloma paslauga, galėtų įgyvendinti savo teisę nesutikti su tokių duomenų naudojimu dėl su jų konkrečiu atveju susijusių priežasčių, kaip tai suprantama pagal BDAR 21 straipsnį.
18. Šiomis aplinkybėmis Conseil d’État nusprendė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:
„1. Ar vertinant, ar asmens duomenų rinkimas yra adekvatus, tinkamas ir tik toks, kokio reikia, kaip tai suprantama pagal BDAR 5 straipsnio 1 dalies c punktą, taip pat būtinybę juos tvarkyti, kaip tai suprantama pagal [šio reglamento] 6 straipsnio 1 dalies b ir f punktus, galima atsižvelgti į plačiai paplitusius papročius civilinių, verslo ir administracinių ryšių srityje, todėl duomenų apie klientų mandagumo kreipinius rinkimas, apimantis tik nuorodas „ponas“ arba „ponia“, galėtų būti laikomas būtinu ir neprieštaraujančiu duomenų kiekio mažinimo principui?
2) Ar vertinant privalomo klientų mandagumo kreipinių duomenų rinkimo ir tvarkymo poreikį ir atsižvelgiant į tai, kad kai kurie klientai mano, jog jiems netaikytinas nė vienas iš dviejų mandagumo kreipinių ir kad šių duomenų rinkimas jų atveju nėra aktualus, reikia atsižvelgti į tai, kad, pateikę šiuos duomenis duomenų valdytojui ir norėdami pasinaudoti siūloma paslauga, jie galėtų pasinaudoti teise nesutikti su tokių duomenų naudojimu ir saugojimu dėl su savo konkrečiu atveju susijusių priežasčių pagal BDAR 21 straipsnį?“
19. Mousse, SNCF Connect, Prancūzijos vyriausybė ir Europos Komisija pateikė rašytines pastabas. Tos pačios šalys, dalyvavo 2024 m. balandžio 29 d. vykusiame teismo posėdyje.
IV. Analizė
A. Dėl pirmojo prejudicinio klausimo
20. Pirmuoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 5 straipsnio 1 dalies c punktas ir 6 straipsnio 1 dalies b ir f punktai turi būti aiškinami taip, kad asmens duomenų, susijusių su transporto įmonės klientų mandagumo kreipiniais, tvarkymas turi būti laikomas būtinu sutarčiai ar ikisutartinėms priemonėms įgyvendinti arba duomenų valdytojo ar trečiosios šalies teisėtų interesų labui, kai tokiu duomenų tvarkymu siekiama įgalinti siųsti suasmenintus komercinius pranešimus, užtikrinant, kad būtų laikomasi plačiai paplitusių verslo ryšių papročių.
21. Šiuo klausimu noriu pateikti dvi preliminarias pastabas.
22. Pirma, atkreipiu dėmesį į tai, kad šalys sutinka ir kad nėra abejonių, jog duomenys, susiję su transporto įmonės klientų mandagumo kreipiniais, yra asmens duomenys, kaip tai suprantama pagal BDAR 4 straipsnio 1 dalį, ir kad be to, jų rinkimas ir registravimas, kurį atlieka SNCF Connect, turi būti laikomas duomenų tvarkymu, kaip tai suprantama pagal šio reglamento 4 straipsnio 2 dalį, todėl jie turi būti nagrinėjami atsižvelgiant į minėto reglamento nuostatas.
23. Antra, SNCF Connect ir Prancūzijos vyriausybė nurodo, kad neigiamas atsakymas į pirmąjį prejudicinį klausimą lemtų BDAR taikymą su juo nesusijusiomis aplinkybėmis, nes priimdamas šį reglamentą teisės aktų leidėjas neketino reguliuoti ryšių palaikymo papročių arba lyties klausimo. Nors ir sutinku su generaliniu advokatu M. Bobek, kad duomenų apsaugos teisės aktai kartais taikomi „stebinančiomis aplinkybėmis“(4), vis dėlto man atrodo, kad ši situacija nėra viena iš tokių. Aplinkybė, kad nagrinėjamas klausimas dėl civilinės tapatybės duomenų ir kad tokiu būdu atsispindi nacionalinėse teisinėse sistemose vykstančios diskusijos dėl lyties dvilypumo, negali užgožti fakto, kad nagrinėjamoje byloje ginčijamas transporto bendrovės atliekamas automatinis jos klientų asmens duomenų tvarkymas, kuris ne tik objektyviai patenka į BDAR taikymo sritį, bet ir yra duomenų tvarkymo operacija, kurią Sąjungos teisės aktų leidėjas siekė reglamentuoti(5).
24. Taigi pirmojo prejudicinio klausimo analizę pradėsiu nuo bendrų pastabų dėl duomenų tvarkymo teisėtumo sąlygos, kuri duomenų valdytojams taikoma pagal BDAR, ir tik po to nustatysiu, ar, atsižvelgiant į išdėstytus principus, ši sąlyga turi būti laikoma įvykdyta, kai tvarkomi duomenys, susiję su transporto įmonės klientų mandagumo kreipiniais, siekiant su šiais klientais bendrauti paisant plačiai paplitusių verslo ryšių papročių.
1. Dėl asmens duomenų tvarkymo teisėtumo
25. BDAR 5 straipsnyje numatyti įvairūs su asmens duomenų tvarkymu susiję principai. Visų pirma šioje nuostatoje nurodyta, kad tokie duomenys turi būti „tvarkomi teisėtu <...> būdu“(6) ir turi būti „adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi“(7). Kitaip tariant, bet koks duomenų tvarkymas turi atitikti, be kita ko, teisėtumo ir duomenų kiekio mažinimo principus.
26. BDAR 6 straipsnyje tiksliau įvardyta duomenų tvarkymo teisėtumo principo taikymo sritis. Kadangi pagal šio reglamento 6 straipsnio 1 dalį ja leidžiama apriboti teisę į asmens duomenų apsaugą(8), ji atitinka Chartijos 52 straipsnio 1 dalyje nustatytas sąlygas: nagrinėjamas apribojimas yra numatytas įstatyme ir nekeičia šios teisės esmės. Be to, šis apribojimas yra būtinas ir atitinka Sąjungos pripažintą bendrojo intereso tikslą arba reikalingas kitų asmenų teisėms ir laisvėms apsaugoti(9).
27. Taigi teisės aktų leidėjas numatė šešis pagrindus, kuriais remiantis duomenų tvarkymas yra teisėtas, nustatydamas bendrojo intereso tikslus ir teises bei laisves, kurias reikia apsaugoti ir kuriomis galima pateisinti teisės į asmens duomenų apsaugą apribojimą. Taigi BDAR 6 straipsnio 1 dalies pirmoje pastraipoje numatytas „išsamus ir baigtinis atvejų, kai asmens duomenų tvarkymas gali būti laikomas teisėtu, sąrašas“(10).
28. BDAR 6 straipsnio 1 dalyje nenustatyta griežta pagrindų, kuriais remiantis duomenų tvarkymas turi būti laikomas teisėtu, hierarchija(11). Taigi Teisingumo Teismas savo jurisprudencijoje patikslino jų tarpusavio ryšius.
29. Pirma, jis priminė, kad pagal BDAR 6 straipsnio 1 dalies a punktą „asmens duomenų tvarkymas yra teisėtas, jeigu ir tiek, kiek duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu arba keliais konkrečiais tikslais“. Teisingumo Teismas pridūrė, kad „[n]esant tokio sutikimo <...>, toks duomenų tvarkymas vis dėlto yra pateisinamas, jeigu atitinka vieną iš šio reglamento 6 straipsnio 1 dalies <...> b–f punktuose nurodytų būtinumo reikalavimų“(12). Be to, jis nusprendė, kad „[aptariami] pagrindai, kiek jie leidžia teisėtai tvarkyti asmens duomenis, nesant duomenų subjekto sutikimo, turi būti aiškinami siaurai“(13). Taigi minėto reglamento 6 straipsnio 1 dalyje numatyti asmens duomenų tvarkymo pagrindai yra lygiaverčiai ir nė vienas iš jų neturi būti laikomas papildomu kito atžvilgiu.
30. Antra, Teisingumo Teismas patikslino, kad BDAR 6 straipsnio 1 dalyje numatyti pagrindai nėra kumuliatyvūs. Taigi jis nurodė, kad „kai galima konstatuoti, kad asmens duomenų tvarkymas yra būtinas dėl vieno iš BDAR 6 straipsnio 1 dalies <...> b–f punktuose numatytų pagrindų, nereikia nustatyti, ar toks tvarkymas taip pat susijęs su kitu iš šių pagrindų“(14). Kitaip tariant, kaip jau nurodžiau(15), asmens duomenų tvarkymas yra teisėtas, jeigu jis pateisinamas vieninteliu pagrindu, ir nė vienas motyvas negali būti laikomas papildomu.
31. Vis dėlto BDAR 6 straipsnio 1 dalyje išsamiai aprašytas teisėtumo principas negali būti analizuojamas atskirai. Teisingumo Teismas savo sprendimuose nuolat nurodo, kad ši sąlyga „turi būti nagrinėjama atsižvelgiant į vadinamąjį „duomenų kiekio mažinimo“ principą, įtvirtintą [šio reglamento] 5 straipsnio 1 dalies c punkte“(16). Pagal Teisingumo Teismo jurisprudenciją ir kaip jau pabrėžiau(17), šiuo principu išreiškiamas proporcingumo principas(18), pagal kurį reikalaujama, kad Sąjungos aktu įgyvendintos priemonės būtų tinkamos siekiamam tikslui įvykdyti ir neviršytų to, kas būtina jam pasiekti(19).
32. Kitaip tariant, pagal duomenų kiekio mažinimo principą reikia patikrinti, ar tvarkomi duomenys yra tinkami tikslui, kuriuo jie tvarkomi, pasiekti – remiantis BDAR 6 straipsnio 1 dalyje nurodytais pagrindais – ir ar duomenys tvarkomi tik tuo atveju, jei duomenų tvarkymo tikslo negalima pagrįstai pasiekti kitomis priemonėmis. Taip tvarkomų duomenų apimtis tiek kiekybiniu, tiek turinio požiūriu nėra platesnė už būtiną tam tikslui pasiekti(20).
33. Šiuo klausimu pateiksiu papildomą pastabą. Pažymiu, kad Teisingumo Teismas duomenų kiekio mažinimo principą kartu su duomenų tvarkymo teisėtumo principu aiškino tik tais atvejais, kai nagrinėtas duomenų tvarkymas buvo grindžiamas vienu iš BDAR 6 straipsnio 1 dalies b–f punktuose nurodytų pagrindų. Kitaip tariant, Teisingumo Teismas aiškiai nenurodė, ar duomenų kiekio mažinimo principą ketinama taikyti ir tais atvejais, kai duomenų subjektas sutiko, kad jo asmens duomenys būtų tvarkomi. Tiesa, galima pritarti požiūriui, kad jei asmuo su tuo sutinka, duomenų valdytojas gali tvarkyti bet kokius duomenis ir pagal duomenų kiekio mažinimo principą nekiltų kliūčių tai daryti.
34. Vis dėlto man atrodo, kad toks aiškinimas nesuderinamas nei su BDAR tikslu užtikrinti aukšto lygio fizinių asmenų apsaugą tvarkant jų asmens duomenis, nei su nagrinėjamų nuostatų formuluote.
35. Atkreipiu dėmesį, kad BDAR 6 straipsnio 1 dalies a punkte nurodyta, jog duomenų tvarkymas yra teisėtas tik tuo atveju, kai duomenų subjektas „davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais“(21). Šiuo klausimu pažymiu, jog sutikimu laikomas „bet koks laisva valia duotas, konkretus ir nedviprasmiškas <...> valios išreiškimas“(22). Kitaip sakant, negali būti bendro sutikimo, kad būtų tvarkomi visi duomenys. Be to, duomenų subjektas turi būti informuojamas apie tikslą, dėl kurio duodamas sutikimas tvarkyti duomenis. Šio reglamento 5 straipsnio 1 dalies c punkte numatoma, kad tvarkomi duomenys turi būti „adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi“(23). Šiomis sąlygomis duomenų kiekio mažinimo principas, mano nuomone, taikytinas net tuo atveju, kai šie duomenys tvarkomi duomenų subjektui sutikus, ir yra pagrindas patikrinti, kad nagrinėjami duomenys būtų tik tokie, kurių reikia konkrečiam tvarkymo tikslui pasiekti.
36. Būtent atsižvelgiant į šiuos argumentus reikia SNCF Connect atliekamą jos klientų mandagumo kreipinių tvarkymą nagrinėti pagal BDAR 6 straipsnio 1 dalies b ir f punktus, atkreipiant dėmesį į tai, kad prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo tik šiuos du tvarkymo tikslus.
2. Dėl BDAR 6 straipsnio 1 dalies b punkto: tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį
37. BDAR 6 straipsnio 1 dalies b punkte numatyta, kad asmens duomenų tvarkymas yra teisėtas, jeigu jis būtinas „siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį“.
38. Šios nuostatos aprėptį Teisingumo Teismas tiksliau įvardijo Sprendime Meta Platforms ir kt.. Jis nusprendė, jog „[t]am, kad asmens duomenų tvarkymas būtų laikomas būtinu sutarčiai įvykdyti, kaip tai suprantama pagal šią nuostatą, jis turi būti objektyviai būtinas siekiant tikslo, kuris yra duomenų subjektui skirtos sutartinės paslaugos sudedamoji dalis. Taigi duomenų valdytojas turi galėti įrodyti, kodėl pagrindinis sutarties tikslas negalėtų būti pasiektas be atitinkamo duomenų tvarkymo“(24).
39. Šalys susitarė pagrindinį sutarties tikslą apibrėžti kaip transporto bilieto įsigijimą ir, in fine, klientų vežimą geležinkeliais. Todėl svarbu patikrinti, pirma, ar kliento mandagumo kreipinių duomenys tvarkomi siekiant tikslo, kuris yra neatskiriama transporto paslaugos dalis, ir, antra, ar toks tvarkymas yra objektyviai būtinas šiam tikslui pasiekti.
a) Tvarkymo tikslo nustatymas
40. SNCF Connect ir Prancūzijos vyriausybė teigia, kad vežimo sutarties vykdymas apima bendravimą su klientu tiek užsakant aptariamą kelionę, tiek jos metu ir po jos, ir lemia tai, kad reikia žinoti šio kliento mandagumo kreipinį, kad su juo būtų galima suasmeninti bendravimą, ir paisant plačiai paplitusių verslo ryšių papročių.
41. SNCF Connect priduria, kad vykdant vežimo sutartį svarbu žinoti duomenų subjekto lytį, kad būtų galima pritaikyti paslaugą tam tikrais atvejais, pavyzdžiui, teikiant pagalbą judėjimo negalią turintiems asmenims arba suteikiant galimybę patekti į tik moterims skirtus naktinių traukinių vagonus. Šiuo klausimu pažymiu, kad toks tikslas nėra griežtai pirmojo prejudicinio klausimo, kaip suformulavo prašymą priimti prejudicinį sprendimą pateikęs teismas, objektas, kuriame aiškiai remiamasi plačiai paplitusių verslo ryšių papročių paisymu. Vis dėlto kadangi nacionalinis teismas Teisingumo Teismui pateikė bendresnį klausimą dėl mandagumo kreipinių duomenų rinkimo, atsižvelgiant į duomenų kiekio mažinimo ir tvarkymo teisėtumo principus, išnagrinėsiu ir šį argumentą.
42. Kalbant apie bendravimo su klientu tikslą, laikausi nuomonės, kad jis turėtų būti laikomas neatskiriama vežimo sutarties dalimi. Iš tikrųjų tokia sutartimi susitariama dėl bilieto tiekimo, taigi reikia ir užmegzti kontaktą su klientu, kad būtų galima jį jam persiųsti. Man atrodo, kad poreikis bendrauti su klientu išlieka ir transportavimo metu, visų pirma siekiant jį įspėti apie bet kokį įvykį, turintį įtakos jo kelionei, ir po vežimo, visų pirma tuo atveju, kai su klientų aptarnavimo tarnybomis keičiamasi informacija apie šią kelionę.
43. Šiuo klausimu turiu pažymėti, kad Prancūzijos vyriausybės suformuluotas argumentas, jog duomenų tvarkymo tikslas yra ne tik bendravimas su klientu, bet ir, konkrečiau kalbant, bendravimas su klientu paisant plačiai paplitusių verslo ryšių papročių, turi būti atmestas. Pirma, man neatrodo, kad taip apibrėžtas tikslas yra sudedamoji transporto paslaugos dalis: niekas nerodo, kad jis negalėtų būti įgyvendintas nepaisant plačiai paplitusių verslo ryšių papročių. Antra, šis argumentas grindžiamas ciklišku samprotavimu. Taip apibrėžtas duomenų tvarkymo tikslas – bendrauti pagal plačiai paplitusius verslo ryšių papročius – iš tikrųjų painiojamas su priemonėmis, naudojamomis šiam tikslui pasiekti – plačiai paplitusių verslo ryšių papročių naudojimu.
44. Kalbant apie transporto paslaugos pritaikymą konkretiems atvejams, kaip antai tiems, kuriuos nurodė SNCF Connect, mano nuomone, lygiai taip pat sunku paneigti, kad tai yra neatsiejama šios paslaugos dalis, nes ja siekiama būtent užtikrinti jos teikimą.
45. Vis dėlto, net jei aptariamo duomenų tvarkymo tikslai, mano nuomone, iš tiesų yra neatsiejami nuo transporto paslaugos teikimo ir gali būti priimtini pagal BDAR 6 straipsnio 1 dalies b punktą, vis tiek asmens duomenų tvarkymas turi būti būtinas nurodytam tikslui pasiekti, nes be šio tvarkymo negalėtų būti pasiektas pagrindinis sutarties tikslas ir nėra kitų praktiškai įgyvendinamų ir mažiau trukdančių sprendinių tam pačiam tikslui pasiekti.
46. Vis dėlto manau, kad mandagumo kreipinių duomenų tvarkymas viršija tai, kas būtina tinkamam sutarties vykdymui užtikrinti.
b) Tvarkymo reikalingumas nustatytiems tikslams pasiekti
47. Pirmiausia, kalbant apie ryšių palaikymo tikslą, tinkamas vežimo sutarties vykdymas negali priklausyti nuo to, ar transporto įmonė, bendraudama su savo klientais, vartoja mandagumo kreipinius, nepaisant to, kad duomenų valdytojas ketina suasmeninti bendravimą su savo klientais. Transporto įmonė gali nesunkiai asmeniškai bendrauti su savo klientais nenaudodama jų mandagumo kreipinių.
48. Be to, nors SNCF Connect per bylos nagrinėjimą pabrėžė, kad reikia išsaugoti prekės ženklo įvaizdį naudojant komerciniuose pranešimuose įprastas formuluotes, šį rezultatą lygiai taip pat galima pasiekti ir kitomis formuluotėmis, kuriomis parodomas dėmesys klientui ir kurios nepriklauso nuo mandagumo kreipinio.
49. Taip yra juo labiau dėl to, kad, kaip teigia Mousse (tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas) SNCF Connect praktikoje sistemingai nenaudoja plačiai paplitusių verslo ryšių papročių, pagal kuriuos reikėtų žinoti klientų kreipinius, bet naudoja kitas bendresnes formuluotes, pavyzdžiui, „Ačiū, geros kelionės“ arba „Laba diena“. Man atrodo, kad sistemingas klientų mandagumo kreipinių nenaudojimas SNCF Connect komunikacijoje aiškiai rodo ne tik tai, kad šių duomenų tvarkymas nėra būtinas nagrinėjamai sutarčiai vykdyti, bet ir tai, kad, atsižvelgiant į duomenų kiekio mažinimo principą, tvarkoma daugiau duomenų, nei būtina.
50. Taip pat atkreipiu dėmesį į tai, kad SNCF Connect, paklausta šiuo klausimu per posėdį, sutiko, kad sąmoningas kitokio nei tikrasis duomenų subjekto mandagumo kreipinio nurodymas neturi jokio poveikio transporto paslaugos teikimui. Tokiomis aplinkybėmis tenka konstatuoti, kad pagrindinis sutarties tikslas visada gali būti pasiektas netvarkant nagrinėjamų duomenų.
51. Antra, kiek tai susiję su tikslu pritaikyti transporto paslaugą, dar kartą reiškiu nuomonę, kad mandagumo kreipinių duomenų tvarkymas viršija tai, kas būtina, kad būtų galima jį atlikti. Visų pirma, man atrodo, kad asmens duomenys, tinkami tokiam pritaikymui atlikti, yra ne mandagumo kreipinių duomenys, kurie, Prancūzijos vyriausybės nuomone, nėra asmenų civilinės būklės elementas, o duomenys, susiję su klientų lytimi, kuri nurodoma asmenų civilinės būklės dokumentuose. Be to, tą patį tikslą būtų galima pasiekti renkant ir tvarkant šiuos duomenis ne užsakant visus bilietus, o tik konkrečiais atvejais, kai to reikia, pavyzdžiui, užsakant bilietą kelionei moterims skirtame naktinio traukinio vagone arba prašant pagalbos riboto judumo asmeniui.
52. Šiomis aplinkybėmis manau, kad BDAR 6 straipsnio 1 dalies b punktas ir jo 5 straipsnio 1 dalies c punktas turi būti aiškinami taip, kad sistemingas mandagumo kreipinių duomenų tvarkymas negali būti laikomas būtinu sutarčiai, kurios šalis yra duomenų subjektas, vykdyti arba ikisutartinėms priemonėms, kurių imtasi duomenų subjekto prašymu, vykdyti, kai tokiu mandagumo kreipinių duomenų tvarkymu siekiama įgalinti suasmeninti komercinius pranešimus užtikrinant, kad būtų laikomasi plačiai paplitusių verslo ryšių papročių, arba užtikrinti, kad transporto paslauga būtų pritaikyta atsižvelgiant į duomenų subjekto lytį.
3. Dėl BDAR 6 straipsnio 1 dalies f punkto: tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų
53. BDAR 6 straipsnio 1 dalies f punkte nustatyta, kad duomenų tvarkymas yra teisėtas tuo atveju, jeigu „tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas“.
54. Pagal Teisingumo Teismo suformuotą jurisprudenciją iš šios nuostatos matyti, kad tam, kad joje nagrinėjamas asmens duomenų tvarkymas būtų teisėtas, turi būti tenkinamos trys kumuliacinės sąlygos. Pirma, duomenų valdytojas arba trečioji šalis turi siekti teisėto intereso. Antra, asmens duomenis tvarkyti būtina siekiant įgyvendinti nustatytą teisėtą interesą. Trečia, duomenų subjekto interesai ar pagrindinės teisės ir laisvės neturi būti viršesni už duomenų valdytojo ar trečiosios šalies teisėtą interesą(25).
55. Vertindamas pirmąją sąlygą, susijusią su teisėto intereso siekimu, Teisingumo Teismas Sprendime Meta Platforms ir kt. pažymėjo, kad „pagal BDAR 13 straipsnio 1 dalies d punktą duomenų valdytojas, rinkdamas duomenų subjekto asmens duomenis iš šio asmens, turi nurodyti jam teisėtus interesus, kurių siekiama, kai toks tvarkymas grindžiamas šio reglamento 6 straipsnio 1 dalies <...> f punktu“(26). Taigi Teisingumo Teismas nusprendė, kad pastaroji nuostata turi būti aiškinama taip: duomenų tvarkymas „gali būti laikomas būtinu siekiant teisėtų duomenų valdytojo ar trečiosios šalies interesų, kaip tai suprantama pagal šią nuostatą, tik su sąlyga, kad minėtas operatorius naudotojams, iš kurių duomenys buvo surinkti, nurodė jų tvarkymu siekiamą teisėtą interesą“(27).
56. Kitaip tariant, nesilaikant BDAR 13 straipsnio 1 dalies d punkte nustatyto reikalavimo pateikti informaciją, asmens duomenų tvarkymas tampa neteisėtas.
57. Mano atrodo, kad, kaip nurodo Komisija ir jei tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas, SNCF Connect šios pareigos neįvykdė.
58. Kaip pabrėžia Komisija, SNCF Connect savo vadinamojoje konfidencialumo chartijoje, kurią galima rasti jos interneto svetainėje, kaip mandagumo kreipinių duomenų tvarkymo teisinį pagrindą nurodo „teisėtą interesą“. Šiuo klausimu norėčiau pateikti du argumentus. Pirma, vien teisėto intereso paminėjimas tiksliai nenurodant, koks yra tas teisėtas interesas, negali atitikti BDAR 13 straipsnio 1 dalies d punkte išdėstyto reikalavimo pateikti informaciją, pagal kurią reikalaujama, kad duomenų valdytojas nurodytų, kokio teisėto intereso siekia. Antra ir bet kuriuo atveju, bendras teisėto intereso paminėjimas „konfidencialumo chartijoje“, kurią, žinoma, galima rasti duomenų valdytojo interneto svetainėje, bet kurios klientas turi savanoriškai ieškoti, irgi neatitinka šio reglamento 13 straipsnio 1 dalies d punkto. Pagal šią nuostatą reikalaujama, kad duomenų subjektas būtų informuotas apie teisėtą interesą, kurio siekiama tuo metu, kai duomenys renkami, o tai, mano nuomone, reiškia, kad tokia informacija klientui turi būti tiesiogiai pateikiama tuo metu, kai jis pateikia savo duomenis.
59. Be to, per posėdį paklausta apie reikalavimą pateikti informaciją, SNCF Connect negalėjo nurodyti, kad apie teisėtą interesą, kurio siekiama tvarkant mandagumo kreipinių duomenis, jos klientai buvo iš tikrųjų informuoti renkant mandagumo kreipinių duomenis.
60. Vadinasi, BDAR 6 straipsnio 1 dalies f punkto pirmoji sąlyga, susijusi su teisėto intereso buvimu, aiškinama atsižvelgiant į šio reglamento 13 straipsnio 1 dalies d punkte numatytą pareigą pateikti informaciją apie šį interesą, netenkinama. Taigi mandagumo kreipinių duomenų tvarkymas tokioje situacijoje negali būti laikomas teisėtu, kaip tai suprantama pagal šią nuostatą, ir nereikia nagrinėti, ar tenkinamos kitos dvi šio reglamento 6 straipsnio 1 dalies f punkte nustatytos sąlygos.
a) Išvada dėl BDAR 6 straipsnio 1 dalies f punkto aiškinimo
61. Iš to, kas išdėstyta, mano nuomone, matyti, kad BDAR 6 straipsnio 1 dalies f punktas ir 5 straipsnio 1 dalies c punktas turi būti aiškinami taip, kad transporto bendrovės klientų mandagumo kreipinių duomenų tvarkymas negali būti laikomas būtinu siekiant duomenų valdytojo ar trečiojo asmens teisėtų interesų, kaip tai suprantama pagal šią nuostatą, nes ši įmonė nenurodė vartotojams, iš kurių šie duomenys buvo surinkti, teisėto intereso, kurio siekia juos tvarkydama.
b) Kitos pastabos
62. Siekdamas išsamumo ir tuo atveju, jei Teisingumo Teismas prieitų prie išvados, kad apie nagrinėjamą teisėtą interesą buvo pranešta pagal BDAR 13 straipsnio 1 dalies d punktą, vis dėlto pratęsiu sąlygų, kurios turi būti tenkinamos, kad asmens duomenų tvarkymas būtų laikomas teisėtu remiantis šio reglamento 6 straipsnio 1 dalies f punktu, analizę.
63. Pirma, dėl sąlygos, susijusios su teisėto intereso buvimu, SNCF Connect ir Prancūzijos vyriausybė teigia, jog siekiamas teisėtas interesas yra bendravimas su klientu.
64. Atkreipiu dėmesį, kad Teisingumo Teismas dėl sąvokos „teisėtas interesas“ nusprendė: „turint omenyje, kad ši sąvoka nėra apibrėžta BDAR, pabrėžtina <...>, kad teisėtais iš principo gali būti laikomi įvairūs interesai“(28).
65. Šiuo klausimu primenu, kad SNCF Connect yra bendrovė, internetu parduodanti geležinkelių transporto bilietus. Kaip jau minėjau(29), teikiant šią paslaugą reikia susisiekti su klientu, bent jau siekiant išsiųsti jam bilietą. Todėl man atrodo, kad tikslas bendrauti su klientu gali būti šios įmonės teisėtas interesas, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies f punktą, todėl pirmąją sąlygą, susijusią su tokio teisėto intereso buvimu, mano nuomone, reikėtų laikyti įvykdyta.
66. Antra, man atrodo, kad sąlyga, susijusi su asmens duomenų tvarkymo būtinumu siekiant teisėto intereso, nėra įvykdyta. Kaip įrodžiau nagrinėdamas BDAR 6 straipsnio 1 dalies b punktą, mandagumo kreipinių duomenų tvarkymas viršija tai, kas būtina siekiant tikslo bendrauti su klientu, nes toks bendravimas gali vykti nenaudojant šių duomenų(30).
67. Trečia, galiausiai pažymėsiu, kad Teisingumo Teismas jau yra nusprendęs: sąlyga, kad duomenų subjekto, kuriam taikoma duomenų apsauga, interesai arba laisvės ir pagrindinės teisės neturi būti viršesni už teisėtą duomenų valdytojo ar trečiosios šalies interesą, reiškia, kad „reikia palyginti atitinkamas priešingas teises ir interesus, kurie iš esmės priklauso nuo konkrečių konkretaus atvejo aplinkybių, taigi prašymą priimti prejudicinį sprendimą pateikęs teismas turi palyginti atitinkamas teises ir interesus, atsižvelgdamas į tokias specifines aplinkybes“(31). Vis dėlto pateiksiu tam tikras pastabas, kuriomis vadovausiuosi atlikdamas šį vertinimą.
68. Teisingumo Teismas yra nusprendęs, kad „lyginant nagrinėjamas priešingas teises ir interesus, t. y. duomenų valdytojo ir duomenų subjekto interesus, reikia atsižvelgti, be kita ko, į pagrįstus duomenų subjekto lūkesčius, nagrinėjamo duomenų tvarkymo apimtį ir jo poveikį šiam duomenų subjektui“(32).
69. Be to, kaip matyti iš BDAR 47 konstatuojamosios dalies, „reikėtų atidžiai įvertinti, ar esama teisėto intereso, be kita ko, siekiant nustatyti, ar duomenų subjektas gali tuo metu, kai renkami asmens duomenys, arba asmens duomenų rinkimo kontekste tikėtis, kad duomenys gali būti tvarkomi tuo tikslu“.
70. Šiuo klausimu galiu pasakyti, kad nesuprantu, kiek transporto įmonės klientas galėjo pagrįstai tikėtis, kad įmonė jo mandagumo kreipinių duomenis tvarkys siekdama su juo susisiekti dėl bilieto įsigijimo.
71. Bet kuriuo atveju nemanau, kad vien pagrįstų lūkesčių buvimo pakanka užtikrinti, kad duomenų valdytojo teisėtas interesas yra viršesnis už duomenų subjekto interesus ar pagrindines teises ir laisves. Nors toks aspektas neabejotinai svarbus atliekant svertinį vertinimą, jis vis dėlto negali sistemingai lemti išvados, kad duomenų valdytojo teisėtas interesas yra svarbesnis, ypač kai nagrinėjamu asmens duomenų tvarkymu gali būti pažeista pagal Chartiją užtikrinama duomenų subjekto pagrindinė teisė ar laisvė.
72. Kaip tvirtina Mousse, man atrodo, kad taip yra nagrinėjamu atveju. Ši asociacija nurodo, kad dėl mandagumo kreipinių duomenų tvarkymo kyla diskriminacijos dėl lyties pavojus, visų pirma translyčiams asmenims arba asmenims, turintiems neutralią lytį pripažįstančios valstybės pilietybę.
73. Šiomis aplinkybėmis ir turėdamas omenyje, jog prašymą priimti prejudicinį sprendimą pateikęs teismas tai patikrins, manau, kad teisėtas interesas bendrauti su klientu negali būti viršesnis už duomenų subjekto interesus ar pagrindines teises ir laisves.
B. Dėl antrojo prejudicinio klausimo
74. Antruoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs nacionalinis teismas iš esmės siekia išsiaiškinti, ar BDAR 6 straipsnio 1 dalies f punktas turi būti aiškinamas taip, kad vertinant būtinybę tvarkyti asmens duomenis, kaip tai suprantama pagal šią nuostatą, reikia atsižvelgti į šio reglamento 21 straipsnio 1 dalyje numatytą duomenų subjekto teisę nesutikti.
75. BDAR 21 straipsnio 1 dalyje numatyta, kad duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą remiantis tomis nuostatomis. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.
76. Iš suformuotos jurisprudencijos matyti, kad aiškinant Sąjungos teisės nuostatą reikia atsižvelgti ne tik į jos formuluotę, bet ir į kontekstą bei teisės akto, kuriame ji įtvirtinta, tikslus(33).
77. Dėl BDAR 21 straipsnio 1 dalies formuluotės pažymiu, kad Sąjungos teisės aktų leidėjas pabrėžia, jog teisė nesutikti yra susijusi su asmens duomenų tvarkymu, be kita ko, grindžiamu šio reglamento 6 straipsnio 1 dalies f punktu. Kitaip tariant, kaip tvirtina Mousse ir Komisija, teisė nesutikti suponuoja teisėtą duomenų tvarkymą, be kita ko, grindžiamą teisėtu duomenų valdytojo interesu. Taigi šia teise galima pasinaudoti tik tada, kai teisėtas duomenų tvarkymas jau įvyko, siekiant jį sustabdyti.
78. Laikausi nuomonės, kad tai patvirtina BDAR 21 straipsnio 1 dalies antras sakinys, kuriame numatyta, kad jeigu duomenų subjektas išreiškia nesutikimą pagal šią nuostatą, duomenų valdytojas nebetvarko nagrinėjamų duomenų(34). Mano požiūriu, tokia formuluotė aiškiai reiškia, kad nagrinėjamų duomenų tvarkymas yra teisėtas pagal šio reglamento 6 straipsnio 1 dalies f punkte nustatytas sąlygas, tačiau išreiškus nesutikimą šie duomenys nebegali būti taip tvarkomi.
79. Kitaip tariant, BDAR 21 straipsnio 1 dalis turėtų būti taikoma tik tada, kai nustatoma, jog duomenys tvarkyti teisėtai.
80. Taigi iš BDAR 21 straipsnio 1 dalies sąlygų matyti, kad teisės nesutikti buvimas niekaip nesusijęs su tokio duomenų tvarkymo būtinumo vertinimu pagal šio reglamento 6 straipsnio 1 dalies f punktą, nes įgyvendinant šio reglamento 21 straipsnio 1 dalį daroma prielaida, kad šio reglamento 6 straipsnio 1 dalies f punkto sąlygos jau yra įvykdytos.
81. Tokį pažodinį BDAR 21 straipsnio 1 dalies aiškinimą patvirtina ir jos analizė atsižvelgiant į šio reglamento kontekstą bei tikslus.
82. Dėl šios nuostatos kontekstinio aiškinimo norėčiau priminti, kad pagrindai, kuriais gali būti grindžiamas asmens duomenų tvarkymas, yra nustatyti BDAR 6 straipsnyje, kuriame minimas teisėtumo principas, kuris yra šio reglamento II skyriuje, skirtame su duomenų tvarkymu susijusiems principams. Minėto reglamento 21 straipsnis yra jo III skyriuje, skirtame duomenų subjekto teisėms. Be to, kaip jau pažymėjau, pagal suformuotą jurisprudenciją to paties reglamento 6 straipsnyje išdėstyti pagrindai yra išsamūs(35). Tokiomis aplinkybėmis abi nagrinėjamos nuostatos atlieka dvi skirtingas funkcijas ir negalima manyti, kad nagrinėjant duomenų tvarkymo, kuris reglamentuojamas tik šio reglamento 6 straipsniu, teisėtumą galima atsižvelgti į BDAR 21 straipsnį.
83. Kalbant apie teleologinį BDAR 6 straipsnio 1 dalies f punkto ir 21 straipsnio aiškinimą, atsižvelgti į teisės nesutikti egzistavimą vertinant duomenų tvarkymo operacijos teisėtumą pagal šio reglamento 6 straipsnį reikštų pripažinti, kad duomenų tvarkymas yra teisėtas vien dėl galimybės, kad duomenų subjektas vėliau gali nesutikti su šiuo duomenų tvarkymu. Vadinasi, tai lemtų, kad teisėto duomenų tvarkymo pagrindai būtų išplėsti už šio reglamento 6 straipsnyje numatytų atvejų ribų ir duomenų subjektų apsaugos lygis taptų priklausomas nuo jų uolumo reiškiant nepritarimą jų asmens duomenų tvarkymui, be kurio toks tvarkymas galėtų būti laikomas teisėtu. Taigi man atrodo, kad toks aiškinimas gali pakenkti tikslui užtikrinti aukštą fizinių asmenų apsaugos lygį tvarkant jų asmens duomenis.
84. Taigi manau, kad į antrąjį prejudicinį klausimą reikia atsakyti, jog BDAR 6 straipsnio 1 dalies f punktas turi būti aiškinamas taip, kad pagal jį draudžiama, siekiant įvertinti būtinybę tvarkyti asmens duomenis, kaip tai suprantama pagal šią nuostatą, atsižvelgti į galimą duomenų subjekto teisę nesutikti, numatytą šio reglamento 21 straipsnio 1 dalyje.
V. Išvada
85. Remdamasis tuo, kas išdėstyta, siūlau taip atsakyti į Conseil d’État (Prancūzija) pateiktus prejudicinius klausimus:
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 6 straipsnio 1 dalies b punktas ir 5 straipsnio 1 dalies c punktas
turi būti aiškinami taip:
sistemingas mandagumo kreipinių duomenų tvarkymas negali būti laikomas būtinu sutarčiai, kurios šalis yra duomenų subjektas, arba ikisutartinėms priemonėms, kurių imtasi duomenų subjekto prašymu, įgyvendinti, kai tokiu tvarkymu siekiama įgalinti suasmeninti komercinius pranešimus užtikrinant, kad būtų laikomasi plačiai paplitusių verslo ryšių papročių, arba užtikrinti, kad transporto paslauga būtų pritaikyta atsižvelgiant į duomenų subjekto lytį.
Reglamento 2016/679 6 straipsnio 1 dalies f punktas ir 5 straipsnio 1 dalies c punktas
turi būti aiškinami taip:
transporto įmonės klientų mandagumo kreipinių duomenų tvarkymas negali būti laikomas būtinu siekiant duomenų valdytojo ar trečiosios šalies teisėtų interesų, kaip apibrėžta šioje nuostatoje, nes ši įmonė nenurodė vartotojams, iš kurių duomenys buvo surinkti, teisėto intereso, kurio siekia juos tvarkydama.
Reglamento 2016/679 6 straipsnio 1 dalies f punktas
turi būti aiškinamas taip:
pagal jį draudžiama, kad vertinant būtinybę tvarkyti asmens duomenis, kaip tai suprantama pagal šią nuostatą, būtų atsižvelgiama į galimą duomenų subjekto teisę nesutikti, numatytą šio reglamento 21 straipsnio 1 dalyje.