Voorlopige editie
ARREST VAN HET HOF (Zesde kamer)
7 maart 2024 (*)
„Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikelen 2, 4, 6, 10 en 86 – Gegevens betreffende strafrechtelijke veroordelingen van een natuurlijke persoon die in het bezit zijn van een rechterlijke instantie – Mondelinge verstrekking van dergelijke gegevens aan een handelsvennootschap in verband met een door haar georganiseerde selectie – Begrip ‚verwerking van persoonsgegevens’ – Nationale regelgeving voor toegang tot deze gegevens – Afweging tussen het recht van toegang van het publiek tot officiële documenten en de bescherming van persoonsgegevens”
In zaak C-740/22,
betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door de Itä-Suomen hovioikeus (rechter in tweede aanleg Oost-Finland, Finland) bij beslissing van 30 november 2022, ingekomen bij het Hof op 2 december 2022, in de procedure
Endemol Shine Finland Oy
wijst
HET HOF (Zesde kamer),
samengesteld als volgt: T. von Danwitz (rapporteur), kamerpresident, P. G. Xuereb en I. Ziemele, rechters,
advocaat-generaal: T. Ćapeta,
griffier: A. Calot Escobar,
gezien de stukken,
gelet op de opmerkingen van:
– de Finse regering, vertegenwoordigd door A. Laine en M. Pere als gemachtigden,
– de Portugese regering, vertegenwoordigd door P. Barros da Costa, J. Ramos en C. Vieira Guerra als gemachtigden,
– de Europese Commissie, vertegenwoordigd door A. Bouchagiar, H. Kranenborg en I. Söderlund als gemachtigden,
gelet op de beslissing, de advocaat-generaal gehoord, om de zaak zonder conclusie te berechten,
het navolgende
Arrest
1 Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 2, lid 1, artikel 4, punt 2, en artikel 86 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2, en PB 2021, L 74, blz. 35; hierna: „AVG”).
2 Dit verzoek werd ingediend in het kader van een procedure betreffende de weigering van een nationale rechter om gegevens betreffende strafrechtelijke veroordelingen van een derde aan Endemol Shine Finland Oy te verstrekken.
Toepasselijke bepalingen
Unierecht
3 De overwegingen 4, 10, 11, 15, 19 en 154 AVG luiden als volgt:
„(4) De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen. Deze verordening eerbiedigt alle grondrechten alsook de vrijheden en beginselen die zijn erkend in het [Handvest van de grondrechten van de Europese Unie (hierna: ‚Handvest’)] zoals dat in de Verdragen is verankerd, met name de eerbiediging van het privéleven en het familie- en gezinsleven, [...] de bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, [...].
[...]
(10) Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. Met het oog op de verwerking van persoonsgegevens voor het vervullen van een wettelijke verplichting, voor het vervullen van een taak van algemeen belang of bij de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, moet de lidstaten worden toegestaan nationale bepalingen te handhaven of in te voeren ter nadere precisering van de wijze waarop de regels van deze verordening moeten worden toegepast. In samenhang met de algemene en horizontale wetgeving inzake gegevensbescherming ter uitvoering van richtlijn 95/46/EG [van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 1)] beschikken de lidstaten over verscheidene sectorgebonden wetten op gebieden waar behoefte is aan meer specifieke bepalingen. Deze verordening biedt de lidstaten ook ruimte om eigen regels voor de toepassing vast te stellen, onder meer wat de verwerking van bijzondere persoonsgegevenscategorieën (‚gevoelige gegevens’) betreft. In zoverre staat deze verordening niet in de weg aan lidstatelijk recht waarin specifieke situaties op het gebied van gegevensverwerking nader worden omschreven, meer bepaald door nauwkeuriger te bepalen in welke gevallen verwerking van persoonsgegevens rechtmatig geschiedt.
(11) Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist de versterking en nadere omschrijving van de rechten van betrokkenen en van de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen, alsmede gelijkwaardige bevoegdheden op het gebied van toezicht en handhaving van de regels inzake gegevensbescherming en vergelijkbare sancties voor overtredingen in de lidstaten.
[...]
(15) Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technologieën. De bescherming van natuurlijke personen dient te gelden bij zowel geautomatiseerde verwerking van persoonsgegevens als handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand. Dossiers of een verzameling dossiers en de omslagen ervan, die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze richtlijn vallen.
[...]
(19) De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, en het vrije verkeer van die gegevens wordt geregeld in een specifieke rechtshandeling van de Unie. Deze verordening mag derhalve niet van toepassing zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Persoonsgegevens die door overheidsinstanties in het kader van deze verordening worden verwerkt moeten echter, wanneer ze voor die doeleinden worden gebruikt, vallen onder een meer specifieke rechtshandeling van de Unie, namelijk richtlijn (EU) 2016/680 van het Europees Parlement en de Raad [van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van kaderbesluit 2008/977/JBZ van de Raad (PB 2016, L 119, blz. 89)]. De lidstaten kunnen bevoegde autoriteiten in de zin van richtlijn (EU) 2016/680 taken opdragen die niet noodzakelijk worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden binnen het toepassingsgebied van deze verordening valt, voor zover zij binnen het toepassingsgebied van de Uniewetgeving valt.
Aangaande de verwerking van persoonsgegevens door die bevoegde instanties voor doeleinden die binnen het toepassingsgebied van deze verordening vallen, moeten de lidstaten meer specifieke bepalingen kunnen handhaven of invoeren om de toepassing van de regels van deze verordening aan te passen. In die bepalingen kunnen meer bepaald specifieke voorschriften voor de verwerking van persoonsgegevens door die bevoegde instanties voor de genoemde andere doeleinden worden vastgesteld, rekening houdend met de grondwettelijke, organisatorische en bestuurlijke structuur van de lidstaat in kwestie. Wanneer de verwerking van persoonsgegevens door privaatrechtelijke organen onder de onderhavige verordening valt, moet deze verordening voorzien in de mogelijkheid dat de lidstaten onder specifieke voorwaarden bij wet vastgestelde verplichtingen en rechten beperken, indien een dergelijke beperking in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter bescherming van specifieke belangen van betekenis, waaronder de openbare veiligheid en de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Dit is bijvoorbeeld van belang in het kader van de bestrijding van witwassen of de werkzaamheden van forensische laboratoria.
[...]
(154) Deze verordening biedt de mogelijkheid om bij de toepassing daarvan rekening te houden met het beginsel [van] recht van toegang van het publiek tot officiële documenten. De toegang van het publiek tot officiële documenten kan als een algemeen belang worden beschouwd. Persoonsgegevens in documenten die in het bezit zijn van een overheidsinstantie of overheidsorgaan, moeten door die instantie of dat orgaan kunnen worden vrijgegeven, indien in het Unierecht of het lidstatelijke recht dat op de overheidsinstantie of het overheidsorgaan van toepassing is, in de vrijgave van die gegevens wordt voorzien. Die wetgeving moet de toegang van het publiek tot officiële documenten en het hergebruik van overheidsinformatie verzoenen met het recht op bescherming van persoonsgegevens, en mag derhalve voorzien in de noodzakelijke afstemming op het recht op de bescherming van persoonsgegevens krachtens deze verordening. De verwijzing naar overheidsinstanties en -organen in die context moet alle autoriteiten en andere organen die onder het lidstatelijke recht inzake de toegang van het publiek tot documenten vallen, omvatten. Richtlijn 2003/98/EG van het Europees Parlement en de Raad [van 17 november 2003 inzake het hergebruik van overheidsinformatie (PB 2003, L 345, blz. 90)] doet geen afbreuk aan en heeft geen gevolgen voor het niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens uit hoofde van het Unierecht en het lidstatelijke recht, en houdt met name geen wijziging in van de in deze verordening vastgestelde verplichtingen en rechten. Meer bepaald mag die richtlijn niet gelden voor documenten die krachtens de toegangsregelingen niet of in beperkte mate mogen worden ingezien omwille van de bescherming van persoonsgegevens, en voor delen van documenten die krachtens die regelingen mogen worden ingezien, maar die persoonsgegevens bevatten waarvan het hergebruik bij wet onverenigbaar is verklaard met het recht inzake bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.”
4 Artikel 2 („Materieel toepassingsgebied”) AVG bepaalt:
„1. Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
2. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:
a) in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen;
b) door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, VEU vallen;
c) door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit;
d) door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.
3. Op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie is verordening (EG) nr. 45/2001 [van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB 2001, L 8, blz. 1)] van toepassing. Verordening (EG) nr. 45/2001 en andere rechtshandelingen van de Unie die van toepassing zijn op een dergelijke verwerking van persoonsgegevens worden overeenkomstig artikel 98 aan de beginselen en regels van de onderhavige verordening aangepast.
4. Deze verordening laat de toepassing van richtlijn 2000/31/EG [van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt (‚richtlijn inzake elektronische handel’) (PB 2000, L 178, blz. 1)] en met name van de regels in de artikelen 12 tot en met 15 van die richtlijn betreffende de aansprakelijkheid van als tussenpersoon optredende dienstverleners onverlet.”
5 Artikel 4 („Definities”) AVG bepaalt in de punten 1, 2, 6 en 7:
„Voor de toepassing van deze verordening wordt verstaan onder:
1) ‚persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‚de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
2) ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
[...]
6) ‚bestand’: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;
7) ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen”.
6 Artikel 5 („Beginselen inzake verwerking van persoonsgegevens”) van deze verordening luidt als volgt:
„1. Persoonsgegevens moeten:
a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (‚rechtmatigheid, behoorlijkheid en transparantie’);
b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; [...] (‚doelbinding’);
c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (‚minimale gegevensverwerking’);
d) juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (‚juistheid’);
e) worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; [...] (‚opslagbeperking’);
f) door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (‚integriteit en vertrouwelijkheid’).
[...]”
7 Artikel 6 („Rechtmatigheid van de verwerking”) van die verordening bepaalt in de leden 1 tot en met 3:
„1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.
2. De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.
3. De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:
a) Unierecht; of
b) lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.
Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.”
8 Artikel 10 AVG, met als opschrift „Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten”, bepaalt het volgende:
„Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid.”
9 Artikel 23 van die verordening, getiteld „Beperkingen”, luidt als volgt:
„1. De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede artikel 5 voor zover de bepalingen van dat artikel overeenkomen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met 22, kan door middel van een Unierechtelijke of lidstaatrechtelijke wetgevingsmaatregel die op de verwerkingsverantwoordelijke of de verwerker van toepassing is worden beperkt, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:
[...]
f) de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
[...]”
10 Artikel 85 AVG heeft als opschrift „Verwerking en vrijheid van meningsuiting en van informatie” en bepaalt in lid 1:
„De lidstaten brengen het recht op bescherming van persoonsgegevens overeenkomstig deze verordening wettelijk in overeenstemming met het recht op vrijheid van meningsuiting en van informatie, daaronder begrepen de verwerking voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen.”
11 Artikel 86 („Verwerking en recht van toegang van het publiek tot officiële documenten”) AVG luidt:
„Persoonsgegevens in officiële documenten die voor de uitvoering van een taak van algemeen belang in het bezit zijn van een overheidsinstantie, een overheidsorgaan of een particulier orgaan, mogen door de instantie of het orgaan in kwestie worden bekendgemaakt in overeenstemming met het Unierecht of het lidstatelijke recht dat op de overheidsinstantie of het orgaan van toepassing is, teneinde het recht van toegang van het publiek tot officiële documenten in overeenstemming te brengen met het recht op bescherming van persoonsgegevens uit hoofde van deze verordening.”
Fins recht
Wet betreffende de bescherming van persoonsgegevens (1050/2018)
12 De tietosuojalaki (1050/2018) [wet betreffende de bescherming van persoonsgegevens (1050/2018)] bepaalt in § 1:
„Door deze wet worden [de AVG] en de uitvoering ervan op nationaal niveau gepreciseerd en aangevuld.”
13 § 28 van deze wet luidt als volgt:
„De bepalingen betreffende de openbaarheid van handelingen van overheidsinstanties zijn van toepassing op het recht van toegang tot en andere vormen van mededeling van persoonsgegevens uit bestanden over personen die in het bezit zijn van overheidsinstanties.”
Wet betreffende de openbaarheid van handelingen van overheidsinstanties (621/1999)
14 De laki viranomaisten toiminnan julkisuudesta (621/1999) [wet betreffende de openbaarheid van handelingen van overheidsinstanties (621/1999)] bepaalt in § 13:
„Een verzoek tot het verstrekken van informatie aangaande de inhoud van een officieel document moet zo nauwkeurig zijn dat het de overheidsinstantie duidelijk is op welk document het verzoek betrekking heeft. De aanvrager moet worden geholpen door middel van een register en gidsen bij het identificeren van het document waartoe hij toegang wil krijgen. De aanvrager behoeft noch zijn identiteit bekend te maken, noch zijn verzoek te motiveren, tenzij dat noodzakelijk is voor de uitoefening van een aan de overheidsinstantie toegekende beoordelingsbevoegdheid of om deze instantie in staat te stellen te bepalen of de aanvrager recht heeft op toegang tot de inhoud van het document in kwestie.
Behoudens andersluidende bepaling moet de aanvrager bij een verzoek om toegang tot een vertrouwelijk document, tot een bestand over personen in het bezit van een overheidsinstantie of tot een ander document waartoe alleen onder bepaalde voorwaarden toegang kan worden verleend, het doel van het gebruik van de informatie opgeven en de overige omstandigheden meedelen die nodig zijn om te bepalen onder welke voorwaarden deze informatie kan worden verstrekt, alsmede, in voorkomend geval, aangeven hoe de bescherming van deze informatie moet worden georganiseerd.”
15 § 16 van deze wet luidt als volgt:
„Toegang tot de inhoud van een document dat in het bezit is van een overheidsinstantie wordt mondeling verleend of door het bij de overheidsinstantie beschikbaar te stellen voor raadpleging, afschrift of beluistering, of door een kopie of afdruk van het document te verstrekken. Toegang tot de openbare inhoud van een document wordt verleend in overeenstemming met het verzoek, tenzij dit de administratieve activiteit onevenredig zou belemmeren vanwege het grote aantal documenten, de complexiteit om een document te kopiëren of om enige andere vergelijkbare reden.
[...]
Behoudens andersluidende wettelijke bepaling mogen persoonsgegevens uit een bestand over personen dat door een overheidsinstantie wordt bijgehouden, worden meegedeeld in de vorm van een kopie of afdruk of in elektronische vorm wanneer de ontvanger volgens de bepalingen betreffende de bescherming van persoonsgegevens het recht heeft om deze gegevens te bewaren en te gebruiken. Persoonsgegevens mogen echter alleen worden doorgegeven voor doeleinden zoals direct marketing en opinie- of marktonderzoek als daarin specifiek is voorzien of als de betrokken persoon hiervoor toestemming heeft gegeven.
[...]”
Wet betreffende de openbaarheid van procedures voor de gewone rechterlijke instanties (370/2007)
16 § 1 van de laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007) [wet betreffende de openbaarheid van procedures voor de gewone rechterlijke instanties (370/2007)] bepaalt:
„Gerechtelijke procedures en processtukken zijn openbaar, indien in deze wet of een andere wet niet anders is bepaald.”
Wet betreffende de verwerking van persoonsgegevens in strafzaken en in verband met het handhaven van de nationale veiligheid (1054/2018)
17 § 1 van de laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018) [wet betreffende de verwerking van persoonsgegevens in strafzaken en in verband met het handhaven van de nationale veiligheid (1054/2018)] bepaalt in de eerste alinea dat deze wet van toepassing is op de verwerking van persoonsgegevens door bevoegde overheidsinstanties wanneer het met name gaat om een strafzaak voor een rechterlijke instantie. Overeenkomstig de vierde alinea wordt die wet enkel toegepast op een verwerking van persoonsgegevens in de zin van de eerste alinea die geheel of voor een deel geautomatiseerd geschiedt of waarbij de te verwerken gegevens een bestand of een deel daarvan vormen of daartoe bestemd zijn.
18 § 2, tweede alinea, van die wet luidt als volgt:
„De bepalingen betreffende de openbaarheid van handelingen van overheidsinstanties zijn van toepassing op het recht van toegang tot en andere vormen van mededeling van persoonsgegevens uit bestanden over personen die in het bezit zijn van overheidsinstanties.”
Hoofdgeding en prejudiciële vragen
19 Endemol Shine Finland, verzoekster in het hoofdgeding, heeft de Etelä-Savon käräjäoikeus (rechter in eerste aanleg van Zuid-Savo, Finland) mondeling verzocht om informatie over mogelijkerwijs aanhangige of afgesloten strafzaken tegen een natuurlijke persoon die deelneemt aan een door deze vennootschap georganiseerde selectie, teneinde de strafrechtelijke antecedenten van deze persoon na te gaan.
20 De Etelä-Savon käräjäoikeus heeft het verzoek van verzoekster in het hoofdgeding afgewezen, hoewel hij van oordeel was dat dit verzoek betrekking had op openbare beslissingen of informatie in de zin van de wet betreffende de openbaarheid van procedures voor de gewone rechterlijke instanties. Volgens deze rechter vormde de door verzoekster in het hoofdgeding aangevoerde grond geen grond in verband met de behandeling van strafrechtelijke veroordelingen of strafbare feiten als bedoeld in § 7 van de wet betreffende de bescherming van persoonsgegevens. Ook een opzoeking in de informatiesystemen van die rechterlijke instantie zou een verwerking van persoonsgegevens hebben gevormd, en daarom kon de opgevraagde informatie ook niet mondeling worden verstrekt.
21 Verzoekster in het hoofdgeding heeft tegen dit vonnis hoger beroep ingesteld bij de Itä-Suomen hovioikeus (rechter in tweede aanleg Oost-Finland, Finland), de verwijzende rechter. Zij heeft daarbij aangevoerd dat de mondelinge verstrekking van de door haar gevraagde informatie geen verwerking van persoonsgegevens in de zin van artikel 4, punt 2, AVG vormt.
22 De verwijzende rechter wenst te vernemen of artikel 2, lid 1, en artikel 4, punt 2, AVG aldus moeten worden uitgelegd dat het mondeling verstrekken van informatie aangaande mogelijkerwijs aanhangige of afgesloten strafzaken betreffende een natuurlijke persoon een verwerking van persoonsgegevens vormt in de zin van deze verordening. In dit verband merkt deze rechter op dat de verwerking van persoonsgegevens door de Finse overheidsinstanties wordt beheerst door de wet betreffende de bescherming van persoonsgegevens. De beperkingen die normaliter aan de verwerking van dergelijke gegevens zijn verbonden, zijn echter niet van toepassing wegens het publieke karakter van de gegevens die in het bezit zijn van deze instanties, maar ook wegens § 28 van deze wet en § 2, tweede alinea, van de wet betreffende de verwerking van persoonsgegevens in strafzaken en in verband met het handhaven van de nationale veiligheid (1054/2018).
23 Om de bescherming van persoonsgegevens te verzoenen met het recht van het publiek op toegang tot informatie, beperkt § 16 van de wet betreffende de openbaarheid van handelingen van overheidsinstanties (621/1999) de verstrekking van persoonsgegevens uit een bestand over personen dat door een overheidsinstantie wordt bijgehouden, wanneer die verstrekking in de vorm van een kopie of afdruk of in elektronische vorm geschiedt. Aangezien deze bepaling echter niet van toepassing is op de mondelinge verstrekking van persoonsgegevens die zijn opgenomen in bestanden over personen die door overheidsinstanties worden bijgehouden, rijst de vraag hoe een dergelijke verzoening kan worden verzekerd en op welke wijze rekening kan worden gehouden met belangrijke overwegingen in verband met de bescherming van persoonsgegevens wanneer dergelijke gegevens die zijn opgenomen in bestanden over personen van overheidsinstanties, mondeling worden verstrekt.
24 In deze omstandigheden heeft de Itä-Suomen hovioikeus de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:
„1) Vormt het mondeling verstrekken van persoonsgegevens een verwerking van persoonsgegevens in de zin van artikel 2, lid 1, en artikel 4, punt 2, AVG?
2) Kan het recht van toegang van het publiek tot officiële documenten in overeenstemming worden gebracht met het recht op bescherming van persoonsgegevens uit hoofde van de AVG, zoals bedoeld in artikel 86 van deze verordening, door te bepalen dat informatie uit een door een rechterlijke instantie bijgehouden bestand met persoonsgegevens betreffende strafrechtelijke veroordelingen van een natuurlijke persoon of door hem begane strafbare feiten zonder beperking beschikbaar moet worden gesteld wanneer wordt verzocht die informatie mondeling aan de aanvrager te verstrekken?
3) Is het voor het antwoord op de tweede vraag van belang of de aanvrager een vennootschap dan wel een particulier is?”
Beantwoording van de prejudiciële vragen
Eerste vraag
25 Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen of artikel 2, lid 1, en artikel 4, punt 2, AVG aldus moeten worden uitgelegd dat het mondeling verstrekken van informatie over mogelijkerwijs aanhangige of afgesloten strafzaken tegen een natuurlijke persoon een verwerking van persoonsgegevens in de zin van artikel 4, punt 2, van deze verordening vormt en, zo ja, of die verwerking valt binnen de materiële werkingssfeer van die verordening, zoals omschreven in artikel 2, lid 1, ervan.
26 Vooraf dient ten eerste eraan te worden herinnerd dat bij de uitlegging van deze Unierechtelijke bepalingen niet alleen rekening moet worden gehouden met de bewoordingen ervan, maar ook met de context en de doelstellingen van de regeling waarvan zij deel uitmaken [arrest van 12 januari 2023, Österreichische Post (Informatie over de ontvangers van persoonsgegevens), C‑154/21, EU:C:2023:3, punt 29].
27 Ten tweede moet worden benadrukt dat in het hoofdgeding niet wordt betwist dat de informatie waarvan verzoekster in het hoofdgeding om verstrekking verzoekt, persoonsgegevens in de zin van artikel 4, punt 1, AVG zijn.
28 Artikel 4, punt 2, van deze verordening definieert het begrip „verwerking” als „een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés”.
29 Uit de woorden „een bewerking” blijkt met name dat de Uniewetgever aan het begrip „verwerking” een ruime strekking heeft willen geven. Deze uitlegging vindt steun in het feit dat de in die bepaling opgesomde bewerkingen niet exhaustief zijn, wat tot uitdrukking komt in het woord „zoals” [zie in die zin arresten van 24 februari 2022, Valsts ieņēmumu dienests (Verwerking van persoonsgegevens voor fiscale doeleinden), C-175/20, EU:C:2022:124, punt 35, en 22 juni 2023, Pankki S, C-579/21, EU:C:2023:501, punt 46].
30 Deze opsomming heeft onder meer betrekking op het verstrekken door middel van doorzending, verspreiden en „op andere wijze ter beschikking stellen”, welke bewerkingen al dan niet geautomatiseerd kunnen zijn. In dit verband stelt artikel 4, punt 2, AVG geen enkele voorwaarde met betrekking tot de vorm van de „niet-geautomatiseerde” verwerking. Het begrip „verwerking” omvat dus ook mondelinge verstrekking.
31 Deze uitlegging van het begrip „verwerking” wordt bevestigd door het doel van de AVG, dat er met name in bestaat, zoals blijkt uit artikel 1 en de overwegingen 1 en 10 ervan, een hoog niveau van bescherming van de fundamentele vrijheden en de grondrechten van natuurlijke personen te waarborgen, in het bijzonder van hun recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens, dat is neergelegd in artikel 8, lid 1, van het Handvest en in artikel 16, lid 1, VWEU [zie in die zin arrest van 4 mei 2023, Bundesrepublik Deutschland (Gerechtelijke elektronische postbus), C-60/22, EU:C:2023:373, punt 64]. De mogelijkheid om de toepassing van deze verordening te omzeilen door persoonsgegevens mondeling in plaats van schriftelijk te verstrekken, zou duidelijk onverenigbaar zijn met deze doelstelling.
32 Derhalve omvat het begrip „verwerking” als bedoeld in artikel 4, punt 2, AVG noodzakelijkerwijs de mondelinge verstrekking van persoonsgegevens.
33 De vraag blijft echter of een dergelijke verwerking binnen de materiële werkingssfeer van de AVG valt. Artikel 2 AVG, waarin die werkingssfeer wordt afgebakend, bepaalt in lid 1 dat deze verordening van toepassing is op „de geheel of gedeeltelijk geautomatiseerde” verwerking alsmede op de „[niet-geautomatiseerde] verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen”.
34 Zoals blijkt uit de bewoordingen van laatstgenoemde bepaling en overweging 15 AVG, is deze verordening van toepassing op zowel de geautomatiseerde verwerking van persoonsgegevens als de handmatige verwerking van dergelijke gegevens, teneinde de bescherming die zij verleent aan de personen wier gegevens worden verwerkt, niet te laten afhangen van de gebruikte technologieën en een ernstig risico op omzeiling van deze bescherming te voorkomen. Daaruit blijkt echter ook dat die verordening slechts op de handmatige verwerking van persoonsgegevens van toepassing is indien de verwerkte gegevens „in een bestand zijn opgenomen of [...] bestemd zijn om daarin te worden opgenomen” (zie naar analogie arrest van 10 juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, punt 53).
35 Aangezien mondelinge verstrekking als zodanig een niet-geautomatiseerde verwerking is, moeten de gegevens die worden verwerkt dus in een „bestand” zijn „opgenomen” of „bestemd zijn om daarin te worden opgenomen”, wil die verwerking binnen de materiële werkingssfeer van de AVG vallen.
36 Volgens artikel 4, punt 6, AVG ziet het begrip „bestand” op „elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid”.
37 In dit verband heeft het Hof reeds geoordeeld dat, om het in punt 34 van het onderhavige arrest in herinnering gebrachte doel te bereiken, deze bepaling een ruime omschrijving geeft van het begrip „bestand” in de zin van „elk” gestructureerd geheel van persoonsgegevens. Bovendien beoogt het vereiste dat het geheel van persoonsgegevens moet zijn „gestructureerd volgens specifieke criteria”, uitsluitend ervoor te zorgen dat de persoonsgegevens gemakkelijk kunnen worden teruggevonden. Behalve dit vereiste bevat artikel 4, punt 6, AVG geen enkele bepaling over de wijze waarop een bestand moet worden gestructureerd, en over de vorm die een dergelijk bestand moet hebben. In het bijzonder blijkt uit deze bepaling noch uit enige andere bepaling van deze verordening dat de betrokken persoonsgegevens moeten zijn opgenomen op steekkaarten, op specifieke lijsten of in een ander ordeningssysteem om tot de slotsom te kunnen komen dat er sprake is van een bestand in de zin van die verordening (zie naar analogie arrest van 10 juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, punten 56-58).
38 In casu blijkt uit het verzoek om een prejudiciële beslissing dat de door verzoekster in het hoofdgeding gevraagde gegevens zijn opgenomen in „een bestand met persoonsgegevens dat door een rechterlijke instantie wordt bijgehouden”. Deze gegevens lijken dus te zijn opgenomen in een bestand in de zin van artikel 4, punt 6, AVG, hetgeen de verwijzende rechter evenwel dient na te gaan, zonder dat het van belang is of die gegevens zijn opgenomen in elektronische databanken dan wel in fysieke dossiers of registers.
39 In die omstandigheden dient op de eerste vraag te worden geantwoord dat artikel 2, lid 1, en artikel 4, punt 2, AVG aldus moeten worden uitgelegd dat het mondeling verstrekken van informatie over mogelijkerwijs aanhangige of afgesloten strafzaken tegen een natuurlijke persoon een verwerking van persoonsgegevens in de zin van artikel 4, punt 2, van deze verordening vormt die binnen de materiële werkingssfeer van deze verordening valt voor zover deze informatie in een bestand is opgenomen of bestemd is om daarin te worden opgenomen.
Tweede en derde vraag
40 Met de tweede en de derde vraag, die samen moeten worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of de bepalingen van de AVG, met name artikel 86 ervan, aldus moeten worden uitgelegd dat zij eraan in de weg staan dat gegevens betreffende strafrechtelijke veroordelingen van een natuurlijke persoon die zijn opgenomen in een bestand dat door een rechterlijke instantie wordt bijgehouden, mondeling aan eenieder kunnen worden verstrekt teneinde de toegang van het publiek tot officiële documenten te waarborgen, zonder dat de persoon die om verstrekking verzoekt hoeft aan te tonen dat hij een specifiek belang heeft bij het verkrijgen van die gegevens, en of het antwoord op die vraag verschilt naargelang laatstgenoemde persoon een handelsvennootschap dan wel een particulier is.
41 Deze vraag vloeit voort uit de in het hoofdgeding aan de orde zijnde nationale regeling, voor zover deze niet vereist dat de nationale bepalingen inzake de bescherming van persoonsgegevens worden nageleefd wanneer deze gegevens mondeling worden verstrekt.
42 In dit verband dient eraan te worden herinnerd dat een verordening volgens artikel 288, tweede alinea, VWEU verbindend is in al haar onderdelen en rechtstreeks toepasselijk is in elke lidstaat. Wegens de aard en de functie ervan in het bronnenstelsel van het Unierecht hebben de bepalingen van verordeningen derhalve in het algemeen rechtstreekse werking in de nationale rechtsorden zonder dat de nationale autoriteiten uitvoeringsmaatregelen hoeven vast te stellen (arresten van 16 juni 2022, Haven van Brussel en Brussels Hoofdstedelijk Gewest, C-229/21, EU:C:2022:471, punt 47, en 30 maart 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C-34/21, EU:C:2023:270, punt 77).
43 Een nationale rechter is dus verplicht om de vereisten van de AVG in zijn geheel toe te passen, zelfs als het toepasselijke nationale recht geen specifieke bepaling bevat die het mogelijk maakt om rekening te houden met de belangen van de persoon van wie de persoonsgegevens in het geding zijn (zie in die zin arrest van 2 maart 2023, Norra Stockholm Bygg, C-268/21, EU:C:2023:145, punten 44 en 59).
44 Uit de voorgaande overwegingen volgt dat mondelinge verstrekking van gegevens betreffende strafrechtelijke veroordelingen van een natuurlijke persoon slechts kan plaatsvinden wanneer aan de voorwaarden van de AVG is voldaan, voor zover deze gegevens in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen.
45 In dit verband is het van belang erop te wijzen dat volgens vaste rechtspraak van het Hof elke verwerking van persoonsgegevens in overeenstemming moet zijn met de in artikel 5 AVG verankerde beginselen inzake gegevensverwerking en, in het bijzonder gelet op het in lid 1, onder a), van dat artikel neergelegde beginsel dat de verwerking rechtmatig is, moet beantwoorden aan een van de in artikel 6 van die verordening genoemde voorwaarden inzake de rechtmatigheid van de verwerking [zie in die zin arresten van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C-439/19, EU:C:2021:504, punt 96, en 7 december 2023, SCHUFA Holding (Scoring), C-634/21, EU:C:2023:957, punt 67].
46 In het bijzonder kan de verwerking van persoonsgegevens die in het hoofdgeding aan de orde is – te weten de mondelinge verstrekking van gegevens inzake strafbare feiten aan het publiek – binnen de werkingssfeer van artikel 6, lid 1, onder e), AVG, vallen, waarin is bepaald dat de verwerking rechtmatig is indien en voor zover zij „noodzakelijk [is] voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen” [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C-439/19, EU:C:2021:504, punt 99].
47 Wat meer specifiek gegevens inzake strafrechtelijke veroordelingen en strafbare feiten betreft, onderwerpt artikel 10 AVG de verwerking ervan aan bijkomende beperkingen. Derhalve mogen deze gegevens overeenkomstig die bepaling „alleen worden verwerkt onder toezicht van de overheid”, tenzij de verwerking „is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden” [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C-439/19, EU:C:2021:504, punt 100].
48 Het Hof heeft reeds geoordeeld dat noch artikel 6, lid 1, onder e), AVG noch artikel 10 van deze verordening er op algemene en absolute wijze aan in de weg staat dat een overheidsinstantie gemachtigd of zelfs verplicht is om persoonsgegevens te verstrekken aan personen die erom verzoeken [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C-439/19, EU:C:2021:504, punt 103].
49 De AVG staat er dus niet aan in de weg dat persoonsgegevens openbaar worden gemaakt wanneer dit noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag in de zin van artikel 6, lid 1, onder e), van deze verordening. Dit geldt zelfs wanneer artikel 10 van deze verordening van toepassing is op de gegevens in kwestie, mits de wettelijke regeling op grond waarvan die openbaarmaking is toegestaan, passende waarborgen voor de rechten en vrijheden van de betrokkenen biedt [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C-439/19, EU:C:2021:504, punt 104].
50 In casu blijkt uit de verwijzingsbeslissing en uit de door de Finse regering ingediende schriftelijke opmerkingen dat de nationale wettelijke regeling betreffende de openbaarheid van handelingen van overheidsinstanties en die betreffende de openbaarheid van procedures voor de gewone rechterlijke instanties beogen de taak van algemeen belang te vervullen die erin bestaat de toegang van het publiek tot officiële documenten te waarborgen.
51 In die omstandigheden wenst de verwijzende rechter meer in het bijzonder te vernemen of de in het hoofdgeding aan de orde zijnde verwerking van persoonsgegevens als rechtmatig kan worden beschouwd in het licht van het evenredigheidsbeginsel, met name gelet op de afweging die moet worden gemaakt tussen enerzijds het in artikel 86 AVG bedoelde recht van toegang van het publiek tot officiële documenten en anderzijds de in de artikelen 7 en 8 van het Handvest verankerde grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens.
52 In dit laatste opzicht zij eraan herinnerd dat het grondrecht op eerbiediging van het privéleven en het grondrecht op bescherming van persoonsgegevens geen absolute gelding hebben, zoals staat te lezen in overweging 4 AVG, maar moeten worden beschouwd in relatie tot hun functie in de samenleving en moeten worden afgewogen tegen andere grondrechten. Beperkingen zijn dan ook mogelijk, mits zij overeenkomstig artikel 52, lid 1, van het Handvest bij wet worden gesteld alsook de wezenlijke inhoud van de grondrechten en het evenredigheidsbeginsel eerbiedigen. Op grond van dit beginsel kunnen slechts beperkingen worden gesteld indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen die voortvloeien uit de bescherming van de rechten en vrijheden van anderen. Zij moeten binnen de grenzen van het strikt noodzakelijke blijven en de regeling die inbreuk maakt op de betreffende grondrechten, moet duidelijke en nauwkeurige regels bevatten over de draagwijdte en de toepassing van de maatregel in kwestie [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C-439/19, EU:C:2021:504, punt 105].
53 Om vast te stellen of de openbaarmaking van persoonsgegevens betreffende strafrechtelijke veroordelingen noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag in de zin van artikel 6, lid 1, onder e), AVG, en of de wettelijke regeling op grond waarvan die openbaarmaking is toegestaan, passende waarborgen voor de rechten en vrijheden van de betrokkenen biedt in de zin van artikel 10 van deze verordening, moet bijgevolg in het bijzonder worden nagegaan of de openbaarmaking van die gegevens – gelet op de ernst van de inbreuk die aldus wordt gemaakt op het grondrecht op eerbiediging van het privéleven en het grondrecht op bescherming van persoonsgegevens – gerechtvaardigd lijkt en met name evenredig is aan de verwezenlijking van de nagestreefde doelstellingen [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C-439/19, EU:C:2021:504, punt 106].
54 Wat de ernst van de inbreuk op deze rechten betreft, heeft het Hof al geoordeeld dat de verwerking van gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen wegens de bijzondere gevoeligheid van deze gegevens in zeer ernstige mate inbreuk kan maken op de door de artikelen 7 en 8 van het Handvest verankerde grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens. Wanneer dergelijke gegevens betrekking hebben op gedragingen die aanleiding geven tot maatschappelijke afkeuring, kan het feit dat toegang wordt verleend tot die gegevens de betrokkene immers stigmatiseren en aldus op ernstige wijze inbreuk maken op zijn privé- of beroepsleven [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C-439/19, EU:C:2021:504, punten 74, 75 en 112].
55 De toegang van het publiek tot officiële documenten, waarnaar de verwijzende rechter verwijst, vormt blijkens overweging 154 AVG weliswaar een algemeen belang dat kan rechtvaardigen dat de in die documenten vervatte persoonsgegevens worden verstrekt, maar die toegang moet niettemin worden verzoend met het grondrecht op eerbiediging van het privéleven en het grondrecht op bescherming van persoonsgegevens, zoals artikel 86 AVG overigens uitdrukkelijk vereist. Met name gelet op de gevoeligheid van gegevens betreffende strafrechtelijke veroordelingen en de ernst van de inbreuk die de openbaarmaking van die gegevens maakt op het grondrecht op eerbiediging van het privéleven en het grondrecht op bescherming van persoonsgegevens van de betrokken personen, moet worden geoordeeld dat deze rechten prevaleren boven het belang dat het publiek heeft bij toegang tot officiële documenten [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C-439/19, EU:C:2021:504, punt 120].
56 Het in artikel 85 AVG bedoelde recht op vrijheid van informatie kan om dezelfde reden niet aldus worden uitgelegd dat het een rechtvaardiging vormt om persoonsgegevens betreffende strafrechtelijke veroordelingen te verstrekken aan eenieder die erom verzoekt [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C-439/19, EU:C:2021:504, punt 121].
57 In dit verband is het irrelevant of de persoon die om toegang tot gegevens betreffende strafrechtelijke veroordelingen verzoekt, een handelsvennootschap dan wel een particulier is, en of dergelijke gegevens schriftelijk of mondeling worden verstrekt.
58 Gelet op een en ander dient op de tweede en de derde prejudiciële vraag te worden geantwoord dat de bepalingen van de AVG, met name artikel 6, lid 1, onder e), en artikel 10 ervan, aldus moeten worden uitgelegd dat zij eraan in de weg staan dat gegevens betreffende strafrechtelijke veroordelingen van een natuurlijke persoon die zijn opgenomen in een bestand dat door een rechterlijke instantie wordt bijgehouden, mondeling aan eenieder kunnen worden verstrekt teneinde de toegang van het publiek tot officiële documenten te waarborgen, zonder dat de persoon die om verstrekking verzoekt hoeft aan te tonen dat hij een specifiek belang heeft bij het verkrijgen van die gegevens, waarbij het in dit verband irrelevant is of laatstgenoemde persoon een handelsvennootschap dan wel een particulier is.
Kosten
59 Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.
Het Hof (Zesde kamer) verklaart voor recht:
1) Artikel 2, lid 1, en artikel 4, punt 2, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)
moeten aldus worden uitgelegd dat
het mondeling verstrekken van informatie over mogelijkerwijs aanhangige of afgesloten strafzaken tegen een natuurlijke persoon een verwerking van persoonsgegevens in de zin van artikel 4, punt 2, van deze verordening vormt die binnen de materiële werkingssfeer van deze verordening valt voor zover deze informatie in een bestand is opgenomen of bestemd is om daarin te worden opgenomen.
2) De bepalingen van verordening 2016/679, met name artikel 6, lid 1, onder e), en artikel 10 ervan,
moeten aldus worden uitgelegd dat
zij eraan in de weg staan dat gegevens betreffende strafrechtelijke veroordelingen van een natuurlijke persoon die zijn opgenomen in een bestand dat door een rechterlijke instantie wordt bijgehouden, mondeling aan eenieder kunnen worden verstrekt teneinde de toegang van het publiek tot officiële documenten te waarborgen, zonder dat de persoon die om verstrekking verzoekt hoeft aan te tonen dat hij een specifiek belang heeft bij het verkrijgen van die gegevens, waarbij het in dit verband irrelevant is of laatstgenoemde persoon een handelsvennootschap dan wel een particulier is.
ondertekeningen