CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2021:504

WYROK TRYBUNAŁU (wielka izba)

z dnia 22 czerwca 2021 r.(*)

Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuły 5, 6 i 10 – Ustawodawstwo krajowe przewidujące publiczny dostęp do danych osobowych dotyczących punktów karnych za wykroczenia drogowe – Legalność – Pojęcie „danych osobowych dotyczących wyroków skazujących i naruszeń prawa” – Ujawnienie w celu poprawy bezpieczeństwa na drogach – Prawo publicznego dostępu do dokumentów urzędowych – Wolność informacji – Pogodzenie z prawami podstawowymi do poszanowania życia prywatnego i ochrony danych osobowych – Ponowne wykorzystywanie danych – Artykuł 267 TFUE – Skutki w czasie orzeczenia prejudycjalnego – Przysługująca sądowi konstytucyjnemu państwa członkowskiego możliwość utrzymania w mocy skutków prawnych ustawodawstwa krajowego niezgodnego z prawem Unii – Zasady pierwszeństwa prawa Unii i pewności prawa

W sprawie C‑439/19

mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Latvijas Republikas Satversmes tiesa (trybunał konstytucyjny, Łotwa) postanowieniem z dnia 4 czerwca 2019 r., które wpłynęło do Trybunału w dniu 11 czerwca 2019 r., w postępowaniu wszczętym przez

przy udziale:

Latvijas Republikas Saeima,

TRYBUNAŁ (wielka izba),

w składzie: K. Lenaerts, prezes, R. Silva de Lapuerta, wiceprezes, J.C. Bonichot, A. Arabadjiev, E. Regan, M. Ilešič (sprawozdawca) i N. Piçarra, prezesi izb, E. Juhász, M. Safjan, D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe, C. Lycourgos i P.G. Xuereb, sędziowie,

rzecznik generalny: M. Szpunar,

sekretarz: A. Calot Escobar,

uwzględniając pisemny etap postępowania,

rozważywszy uwagi, które przedstawili:

– w imieniu rządu łotewskiego – początkowo V. Soņeca i K. Pommere, a następnie K. Pommere, w charakterze pełnomocników,

– w imieniu rządu niderlandzkiego – K. Bulterman i M. Noort, w charakterze pełnomocników,

– w imieniu rządu austriackiego – J. Schmoll i G. Kunnert, w charakterze pełnomocników,

– w imieniu rządu portugalskiego – L. Inez Fernandes, P. Barros da Costa, A.C. Guerra i I. Oliveira, w charakterze pełnomocników,

– w imieniu rządu szwedzkiego – C. Meyer‑Seitz, H. Shev, H. Eklinder, R. Shahsavan Eriksson, A. Runeskjöld, M. Salborn Hodgson, O. Simonsson i J. Lundberg, w charakterze pełnomocników,

– w imieniu Komisji Europejskiej – D. Nardi, H. Kranenborg i I. Rubene, w charakterze pełnomocników,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 17 grudnia 2020 r.,

wydaje następujący

Wyrok

1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 5, 6 i 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”), art. 1 ust. 2 lit. cc) dyrektywy Parlamentu Europejskiego i Rady 2003/98/WE z dnia 17 listopada 2003 r. w sprawie ponownego wykorzystywania informacji sektora publicznego (Dz.U. 2003, L 345, s. 90), zmienionej dyrektywą Parlamentu Europejskiego i Rady 2013/37/UE z dnia 26 czerwca 2013 r. (Dz.U. 2013, L 175, s. 1) (zwanej dalej „dyrektywą 2003/98”), a także zasad pierwszeństwa prawa Unii i pewności prawa.

2 Wniosek ten został złożony w ramach postępowania wszczętego przez B w przedmiocie zgodności z prawem przepisów krajowych przewidujących publiczny dostęp do danych osobowych dotyczących punktów karnych za wykroczenia drogowe.

Ramy prawne

Prawo Unii

Dyrektywa 95/46/WE

3 Dyrektywa 95/46/WG Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31) została uchylona z dniem 25 maja 2018 r. przez RODO. Artykuł 3 tej dyrektywy, zatytułowany „Zakres obowiązywania”, miał następujące brzmienie:

„1. Niniejsza dyrektywa stosuje się do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.

2. Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych:

– w ramach działalności wykraczającej poza zakres prawa Wspólnoty, jak np. dane, o których stanowi tytuł V i VI traktatu [UE, w wersji sprzed traktatu z Lizbony], a w żadnym razie do działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (łącznie z dobrą kondycją gospodarczą państwa, gdy działalność ta dotyczy spraw związanych z bezpieczeństwem państwa) oraz działalności państwa w obszarach prawa karnego,

[…]”.

RODO

4 Motywy 1, 4, 10, 16, 19, 39, 50 i 154 RODO mają następujące brzmienie:

„(1) Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Artykuł 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej »[kartą]«) oraz art. 16 ust. 1 [TFUE] stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.

[…]

(4) Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. Niniejsze rozporządzenie nie narusza praw podstawowych, wolności i zasad uznanych w karcie praw podstawowych – zapisanych w traktatach – w szczególności prawa do poszanowania życia prywatnego i rodzinnego, domu oraz komunikowania się, ochrony danych osobowych, wolności myśli, sumienia i religii, wolności wypowiedzi i informacji, wolności prowadzenia działalności gospodarczej, prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu oraz różnorodności kulturowej, religijnej i językowej.

[…]

(10) Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych […].

[…]

(16) Niniejsze rozporządzenie nie ma zastosowania do kwestii ochrony podstawowych praw i wolności ani do swobodnego przepływu danych osobowych w związku z działalnością nieobjętą zakresem prawa Unii, taką jak działalność dotycząca bezpieczeństwa narodowego. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez państwa członkowskie w związku z działaniami związanymi ze wspólną polityką zagraniczną i bezpieczeństwa Unii.

[…]

(19) Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy w ramach zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania czynów zabronionych lub wykonywania kar, w tym w celu ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, oraz swobodny przepływ takich danych podlegają szczególnemu aktowi prawnemu Unii. Niniejsze rozporządzenie nie powinno zatem mieć zastosowania do czynności przetwarzania w tych celach. Jeżeli jednak dane osobowe przetwarzane przez organy publiczne na mocy niniejszego rozporządzenia są wykorzystywane do tych celów, dane te powinny podlegać szczególnemu aktowi prawnemu Unii, mianowicie dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/680 [z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016, L 119, s. 89)] […].

[…]

(39) […] W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania […]. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami […].

[…]

(50) Przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, powinno być dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane. W takim przypadku nie jest wymagana odrębna podstawa prawna inna niż podstawa prawna, która umożliwiła zbieranie danych osobowych. Jeżeli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, prawo Unii lub prawo państwa członkowskiego mogą określać i precyzować zadania i cele, w których dalsze przetwarzanie powinno być uznawane za zgodne z prawem i z pierwotnymi celami […].

[…]

(154) Niniejsze rozporządzenie pozwala uwzględnić przy stosowaniu jego przepisów zasadę publicznego dostępu do dokumentów urzędowych. Publiczny dostęp do dokumentów urzędowych można uznać za interes publiczny. Organ publiczny lub podmiot publiczny powinny móc publicznie ujawniać dane osobowe z dokumentów przez siebie przechowywanych, jeżeli takie ujawnienie jest przewidziane przepisami prawa Unii lub prawa państwa członkowskiego, któremu organ ten lub podmiot podlegają. Przepisy takie powinny godzić publiczny dostęp do dokumentów urzędowych i ponowne wykorzystywanie informacji sektora publicznego z prawem do ochrony danych osobowych i dlatego mogą przewidywać niezbędne uwzględnienie prawa do ochrony danych osobowych na podstawie niniejszego rozporządzenia. Wzmianka o organach i podmiotach publicznych powinna w tym kontekście dotyczyć wszystkich organów lub innych podmiotów objętych prawem państwa członkowskiego dotyczącym publicznego dostępu do dokumentów. Dyrektywa [2003/98/WE] nie narusza ani w żaden sposób nie wpływa na stopień ochrony osób fizycznych w związku z przetwarzaniem danych osobowych wynikający z przepisów prawa Unii i prawa państwa członkowskiego, a w szczególności nie zmienia obowiązków i praw przewidzianych w niniejszym rozporządzeniu. Dyrektywa ta nie powinna mieć zastosowania w szczególności do dokumentów, do których – w ramach systemów dostępu – dostęp jest wykluczony lub ograniczony z powodu ochrony danych osobowych, ani do fragmentów dokumentów dostępnych w ramach tych systemów, ale zawierających dane osobowe, których ponowne wykorzystanie zostało określone w prawie jako niezgodne z prawem o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych”.

5 Artykuł 1 tego rozporządzenia, zatytułowany „Przedmiot i cele”, stanowi:

„1. W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

2. Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.

3. Nie ogranicza się ani nie zakazuje swobodnego przepływu danych osobowych w Unii z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych”.

6 Artykuł 2 wspomnianego rozporządzenia, zatytułowany „Materialny zakres stosowania”, przewiduje w ust. 1 i 2:

„1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

2. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

a) w ramach działalności nieobjętej zakresem prawa Unii;

b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE;

c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom”.

7 Zgodnie z art. 4 tego samego rozporządzenia, zatytułowanym „Definicje”:

„Na użytek niniejszego rozporządzenia:

1) »dane osobowe« oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej […];

2) »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

[…]

7) »administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

[…]”.

8 Artykuł 5 RODO, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, stanowi:

„1. Dane osobowe muszą być:

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);

b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; […] (»ograniczenie celu«);

c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (»minimalizacja danych«);

d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (»prawidłowość«);

e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; […] (»ograniczenie przechowywania«);

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (»integralność i poufność«).

2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

9 Artykuł 6 tego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, stanowi w ust. 1:

„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań”.

10 Artykuł 10 tego rozporządzenia, zatytułowany „Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa”, stanowi:

„Przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych”.

11 Artykuł 51 tego samego rozporządzenia, zatytułowany „Organ nadzorczy”, stanowi w ust. 1:

„Każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii (zwany dalej »organem nadzorczym«)”.

12 Artykuł 85 RODO, zatytułowany „Przetwarzanie a wolność wypowiedzi i informacji”, stanowi w ust. 1:

„Państwa członkowskie przyjmują przepisy pozwalające pogodzić prawo do ochrony danych osobowych na mocy niniejszego rozporządzenia z wolnością wypowiedzi i informacji, w tym do przetwarzania dla potrzeb dziennikarskich oraz do celów wypowiedzi akademickiej, artystycznej lub literackiej”.

13 Artykuł 86 tego rozporządzenia, zatytułowany „Przetwarzanie a publiczny dostęp do dokumentów urzędowych”, przewiduje:

„Dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia”.

14 Zgodnie z art. 87 wspomnianego rozporządzenia, zatytułowanym „Przetwarzanie krajowego numeru identyfikacyjnego”:

„Państwa członkowskie mogą określić szczególne warunki przetwarzania krajowego numeru identyfikacyjnego lub innego identyfikatora o zasięgu ogólnym. W takim przypadku krajowego numeru identyfikacyjnego lub innego identyfikatora o zasięgu ogólnym używa się wyłącznie z zachowaniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą, które przewiduje niniejsze rozporządzenie”.

15 Artykuł 94 tego samego rozporządzenia stanowi:

„1. Dyrektywa [95/46] zostaje uchylona ze skutkiem od dnia 25 maja 2018 r.

2. Odesłania do uchylonej dyrektywy należy traktować jako odesłania do niniejszego rozporządzenia […]”.

Dyrektywa 2016/680

16 Motywy 10, 11 i 13 dyrektywy 2016/680 mają następujące brzmienie:

„(10) W deklaracji nr 21 w sprawie ochrony danych osobowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej – załączonej do Aktu końcowego konferencji międzyrządowej, która przyjęła traktat z Lizbony – konferencja uznała, że ze względu na szczególny charakter współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej konieczne może okazać się przyjęcie – na podstawie art. 16 TFUE – szczególnych przepisów o ochronie danych osobowych i swobodnym przepływie danych osobowych w tych dziedzinach.

(11) Należy zatem odnieść się do tych dziedzin w odrębnej dyrektywie, która stanowi szczególne przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, z zachowaniem szczególnego charakteru takich czynności. Do takich właściwych organów mogą należeć nie tylko organy publiczne – takie jak organy sądowe, policja lub inne organy ścigania – ale też wszelkie inne organy lub podmioty, którym prawo państwa członkowskiego powierza sprawowanie władzy publicznej i wykonywanie uprawnień publicznych do celów niniejszej dyrektywy. Jeżeli taki organ lub podmiot przetwarza dane osobowe do celów innych niż cele niniejszej dyrektywy, zastosowanie ma [RODO]. [RODO] ma zatem zastosowanie wtedy, gdy organ lub podmiot zbiera dane osobowe do innych celów, a następnie dalej te dane przetwarza w celu realizacji obowiązku prawnego, któremu podlega […].

[…]

(13) Czyn zabroniony w rozumieniu niniejszej dyrektywy powinien być autonomicznym pojęciem prawa unijnego, zgodnie z wykładnią Trybunału Sprawiedliwości Unii Europejskiej […]”.

17 Artykuł 3 tej dyrektywy stanowi:

„Na użytek niniejszej dyrektywy:

[…]

7) »właściwy organ« oznacza:

a) organ publiczny właściwy do zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom; lub

b) inny organ lub podmiot, któremu prawo państwa członkowskiego powierza sprawowanie władzy publicznej i wykonywanie uprawnień publicznych do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom;

[…]”.

Dyrektywa 2003/98

18 Zgodnie z motywem 21 dyrektywy 2003/98:

„Niniejsza dyrektywa powinna być wykonywana i stosowana w pełnej zgodności z regułami odnoszącymi się do ochrony danych osobowych zgodnie z dyrektywą [95/46]”.

19 Artykuł 1 dyrektywy 2003/98, zatytułowany „Przedmiot i zakres”, przewiduje, co następuje:

„1. Niniejsza dyrektywa ustanawia minimalny zestaw reguł określających ponowne wykorzystywanie oraz praktyczne środki ułatwiające ponowne wykorzystywanie istniejących dokumentów będących w posiadaniu organów sektora publicznego państw członkowskich.

2. Niniejsza dyrektywa nie ma zastosowania do:

[…]

cc) dokumentów wyłączonych z dostępu lub do których dostęp jest ograniczony na podstawie systemów dostępu z powodu ochrony danych osobowych, a także części dokumentów dostępnych na podstawie tych systemów, które to części zawierają dane osobowe, których ponowne wykorzystywanie zostało określone w przepisach jako niezgodne z prawem dotyczącym ochrony osób fizycznych w zakresie przetwarzania danych osobowych;

[…]

3. Niniejsza dyrektywa opiera się na systemach dostępu obowiązujących w państwach członkowskich i pozostaje bez uszczerbku dla tych systemów.

4. Niniejsza dyrektywa pozostawia nienaruszony i w żaden sposób nie wpływa na poziom ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych zgodnie z przepisami Unii i prawa krajowego, w szczególności nie zmienia zobowiązań i praw określonych w dyrektywie [95/46].

[…]”.

Prawo łotewskie

20 Artykuł 96 Latvijas Republikas Satversme (konstytucji Republiki Łotewskiej, zwanej dalej „konstytucją łotewską”) stanowi:

„Każdy ma prawo do poszanowania swojego życia prywatnego, swojego mieszkania i swojej korespondencji”.

21 Zgodnie z art. 1 ust. 5 Informācijas atklātības likums (ustawy o wolności informacji) z dnia 29 października 1998 r. (Latvijas Vēstnesis, 1998, nr 334/335) ponowne wykorzystywanie polega na wykorzystywaniu publicznie dostępnych informacji posiadanych i stworzonych przez organ do celów komercyjnych lub niekomercyjnych innych niż pierwotne przeznaczenie, dla którego informacje te zostały stworzone, jeżeli wykorzystywanie to jest dokonywane przez osobę prywatną i nie wchodzi w zakres zadań władzy publicznej.

22 Zgodnie z art. 4 tej ustawy publicznie dostępne są informacje, które nie należą do kategorii informacji, do których dostęp jest ograniczony.

23 Artykuł 5 wspomnianej ustawy przewiduje w ust. 1, że dostęp do informacji jest ograniczony, jeżeli są przeznaczone dla ograniczonej grupy osób w celu wykonywania ich zadań lub obowiązków zawodowych, a ujawnienie lub utrata takich informacji, ze względu na ich charakter i treść, utrudnia lub może utrudniać działanie organu lub powoduje lub może powodować zagrożenie dla chronionych prawem interesów osób. Artykuł ten podkreśla w ust. 2, że informacje uważa się za informacje, do których dostęp jest ograniczony, w szczególności jeżeli przewiduje to ustawa, i precyzuje w ust. 6, że informacje już opublikowane nie mogą być uznane za informacje, do których dostęp jest ograniczony.

24 Zgodnie z art. 10 ust. 3 tej samej ustawy publicznie dostępne informacje mogą być dostarczone na wniosek, przy czym wnioskodawca nie jest zobowiązany do wykazywania w szczególny sposób swojego interesu w uzyskaniu tych informacji, a dostępu do nich nie można mu odmówić ze względu na to, że go nie dotyczą.

25 Artykuł 14¹ Ceļu satiksmes likums (ustawy o ruchu drogowym) z dnia 1 października 1997 r. (Latvijas Vēstnesis, 1997, nr 274/276), w brzmieniu mającym zastosowanie do sporu w postępowaniu głównym (zwanej dalej „ustawą o ruchu drogowym”), zatytułowany „Dostęp do informacji przechowywanych w krajowym rejestrze pojazdów i ich kierowców […]”, stanowi w ust. 2:

„Informacje dotyczące […] prawa danej osoby do kierowania pojazdami, grzywien nakładanych za wykroczenia drogowe i niezapłaconych w terminie przewidzianym przez ustawę, jak również inne informacje znajdujące się w krajowym rejestrze pojazdów i ich kierowców […] stanowią publicznie dostępne informacje”.

26 Artykuł 43¹ ustawy o ruchu drogowym, zatytułowany „System punktów karnych”, stanowi w ust. 1:

„W celu wywarcia wpływu na zachowanie kierowców pojazdów poprzez wspieranie bezpiecznego prowadzenia pojazdów i przestrzegania przepisów ruchu drogowego, a także w celu zminimalizowania ryzyka dla życia, zdrowia i własności osób, wykroczenia administracyjne popełnione przez kierowców pojazdów są wpisywane do rejestru kar, a punkty karne wpisywane są do krajowego rejestru pojazdów i ich kierowców”.

27 Zgodnie z pkt 1 i 4 Ministru kabineta noteikumi Nr. 551 „Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi” (dekretu rady ministrów nr 551 w sprawie zasad wprowadzania w życie systemu punktów karnych) z dnia 21 czerwca 2004 r. (Latvijas Vēstnesis, 2004, nr 102) punkty karne za wykroczenia administracyjne popełnione w ruchu drogowym przez kierowców pojazdów są rejestrowane automatycznie w dniu upływu terminu zaskarżenia decyzji nakładającej karę administracyjną.

28 Zgodnie z pkt 7 tego dekretu punkty karne zostają usunięte z chwilą ich przedawnienia.

29 Na podstawie pkt 12 wspomnianego dekretu w zależności od liczby punktów karnych kierowcy podlegają środkom takim jak ostrzeżenia, szkolenia lub egzaminy w zakresie bezpieczeństwa na drogach albo zakazowi wykonywania prawa do kierowania pojazdami przez określony czas.

30 Jak wynika z art. 32 ust. 1 Satversmes tiesas likums (ustawy o trybunale konstytucyjnym) z dnia 5 czerwca 1996 r. (Latvijas Vēstnesis, 1996, nr 103), wyrok Latvijas Republikas Satversmes tiesa (trybunału konstytucyjnego, Łotwa) jest prawomocny i wykonalny od chwili jego ogłoszenia. Zgodnie z art. 32 ust. 3 tej ustawy przepis prawny, który Latvijas Republikas Satversmes tiesa (trybunał konstytucyjny) uznał za niezgodny z nadrzędną normą prawną, uznaje się za nieważny od dnia ogłoszenia wyroku tego sądu, chyba że postanowi on inaczej.

Postępowanie główne i pytania prejudycjalne

31 B jest osobą fizyczną, która otrzymała punkty karne za jedno lub więcej wykroczeń drogowych. Zgodnie z ustawą o ruchu drogowym i dekretem nr 551 z dnia 21 czerwca 2004 r. Ceļu satiksmes drošības direkcija (dyrekcja bezpieczeństwa ruchu drogowego, Łotwa) (zwana dalej „CSDD”) wpisała te punkty karne do krajowego rejestru pojazdów i ich kierowców.

32 Ponieważ informacje dotyczące tych punktów karnych zawarte w tym rejestrze są dostępne publicznie i zdaniem B zostały przekazane do ponownego wykorzystania różnym podmiotom gospodarczym, B wniósł skargę konstytucyjną do Latvijas Republikas Satversmes tiesa (trybunału konstytucyjnego) w celu zbadania przez ten sąd zgodności art. 14¹ ust. 2 ustawy o ruchu drogowym z prawem podstawowym do poszanowania życia prywatnego określonym w art. 96 konstytucji łotewskiej.

33 Latvijas Republikas Saeima (parlament Republiki Łotewskiej, zwany dalej „parlamentem łotewskim”) został włączony do postępowania jako instytucja, która przyjęła ustawę o ruchu drogowym. Ponadto wysłuchane zostały CSDD, która przetwarza dane dotyczące punktów karnych za wykroczenia drogowe, podobnie jak Datu valsts inspekcija (organ ochrony danych), który jest na Łotwie organem nadzorczym w rozumieniu art. 51 RODO, a także szereg innych organów i osób.

34 W ramach skargi w postępowaniu głównym parlament łotewski potwierdził, że zgodnie z art. 14¹ ust. 2 ustawy o ruchu drogowym każda osoba może uzyskać informacje dotyczące punktów karnych na inną osobę, zasięgając informacji bezpośrednio od CSDD albo korzystając z usług świadczonych przez komercyjne podmioty ponownie wykorzystujące dane.

35 Podkreślił on, że przepis ten jest zgodny z prawem, ponieważ jest uzasadniony celem poprawy bezpieczeństwa ruchu drogowego. Ten interes ogólny wymaga, aby sprawcy naruszenia kodeksu drogowego, a w szczególności naruszający ten kodeks w sposób systematyczny i w złej wierze, byli jawnie wskazywani i aby kierowcy pojazdów byli za pomocą tej przejrzystości zniechęcani do popełniania naruszeń.

36 Przepis ten jest ponadto uzasadniony prawem dostępu do informacji przewidzianym w konstytucji łotewskiej.

37 Parlament łotewski wyjaśnił, że w praktyce informacje zawarte w krajowym rejestrze pojazdów i ich kierowców są przekazywane pod warunkiem, że osoba występująca o nie wskaże krajowy numer identyfikacyjny kierowcy, o którym chce uzyskać informacje. Ten wstępny warunek uzyskania informacji tłumaczy się tym, że w odróżnieniu od nazwiska osoby, które może być identyczne z nazwiskiem innych osób, krajowy numer identyfikacyjny jest identyfikatorem niepowtarzalnym.

38 CSDD ze swej strony zauważyła, że art. 14¹ ust. 2 ustawy o ruchu drogowym nie nakłada ograniczeń ani na publiczny dostęp do danych dotyczących punktów karnych, ani na ponowne wykorzystywanie tych danych. Jeśli chodzi o umowy, które zawiera ona z komercyjnymi podmiotami ponownie wykorzystującymi dane, CSDD podkreśliła, że umowy te nie przewidują prawnego przekazywania danych i że podmioty ponownie wykorzystujące dane powinny zapewnić, by informacje przekazywane ich klientom nie wykraczały poza informacje, które można uzyskać od CSDD. Ponadto w ramach tych umów nabywca poświadcza, że wykorzysta uzyskane informacje zgodnie z celami wskazanymi w umowie i z poszanowaniem obowiązujących przepisów.

39 Co się tyczy Datu valsts inspekcija (organu ochrony danych), wyraził on wątpliwości co do zgodności art. 14¹ ust. 2 ustawy o ruchu drogowym z art. 96 konstytucji łotewskiej, który przewiduje prawo do poszanowania życia prywatnego. Z jego punktu widzenia waga i cel przetwarzania danych dokonywanego na podstawie przepisu będącego przedmiotem postępowania głównego nie zostały jasno ustalone, w związku z czym nie można wykluczyć, że to przetwarzanie jest niewłaściwe lub nieproporcjonalne. O ile bowiem statystyki dotyczące wypadków drogowych na Łotwie wskazują na zmniejszenie liczby wypadków, o tyle nie wykazano jednak, że do takiej korzystnej ewolucji przyczyniły się system punktów karnych i publiczny dostęp do informacji dotyczących tego systemu.

40 Latvijas Republikas Satversmes tiesa (trybunał konstytucyjny) stwierdza przede wszystkim, że skarga dotyczy art. 14¹ ust. 2 ustawy o ruchu drogowym jedynie w zakresie, w jakim przepis ten otwiera publiczny dostęp do punktów karnych wpisanych w krajowym rejestrze pojazdów i ich kierowców.

41 Sąd ten zauważa następnie, że punkty karne są danymi osobowymi i że w ramach oceny prawa do poszanowania życia prywatnego przewidzianego w art. 96 konstytucji łotewskiej należy wziąć pod uwagę RODO, a także, bardziej ogólnie, art. 16 TFUE i art. 8 karty.

42 Co się tyczy celów łotewskich przepisów ruchu drogowego, sąd ten wskazuje, że wykroczenia popełnione przez kierowców, które są kwalifikowane na Łotwie jako administracyjne, są wpisywane do rejestru kar, a punkty karne są wpisywane do krajowego rejestru pojazdów i ich kierowców w szczególności dla poprawy bezpieczeństwa na drogach.

43 Co się tyczy w szczególności krajowego rejestru pojazdów i ich kierowców, pozwala on na zapoznanie się z liczbą popełnionych wykroczeń drogowych i na podjęcie działań w zależności od tej liczby. System punktów karnych wpisanych do tego rejestru ma zatem na celu poprawę bezpieczeństwa na drogach poprzez umożliwienie, z jednej strony, odróżnienia kierowców pojazdów naruszających zasady ruchu drogowego w sposób systematyczny i w złej wierze od kierowców, którzy wykroczeń dopuszczają się okazjonalnie. Z drugiej strony system taki może również mieć prewencyjny wpływ na zachowanie użytkowników dróg, skłaniając ich do przestrzegania przepisów ruchu drogowego.

44 Wspomniany sąd zauważa, że bezsporne jest, iż art. 14¹ ust. 2 ustawy o ruchu drogowym przyznaje każdej osobie prawo zwrócenia się do CSDD i uzyskania od niej informacji zawartych w krajowym rejestrze pojazdów i ich kierowców w zakresie punktów karnych nałożonych na kierowców. Potwierdza on w tym względzie, że w praktyce informacje te są przekazywane osobie, która o nie występuje, gdy tylko wskaże ona krajowy numer identyfikacyjny danego kierowcy.

45 Latvijas Republikas Satversmes tiesa (trybunał konstytucyjny) wyjaśnia następnie, że punkty karne, ze względu na ich zaklasyfikowanie jako informacji publicznie dostępnych, są objęte ustawą o wolności informacji i że w konsekwencji mogą być one ponownie wykorzystywane do celów komercyjnych lub niekomercyjnych innych niż pierwotny cel, dla którego informacje te zostały stworzone.

46 W celu dokonania wykładni i zastosowania art. 96 konstytucji łotewskiej zgodnie z prawem Unii sąd ten pragnie ustalić w pierwszej kolejności, czy informacje dotyczące punktów karnych należą do informacji, o których mowa w art. 10 RODO, a mianowicie „danych osobowych dotyczących wyroków skazujących i naruszeń prawa”. W przypadku odpowiedzi twierdzącej można by uznać, że art. 14¹ ust. 2 ustawy o ruchu drogowym narusza wymóg zawarty we wspomnianym art. 10, zgodnie z którym przetwarzania danych, o którym mowa w tym przepisie, można dokonywać wyłącznie „pod nadzorem władz publicznych” lub pod warunkiem istnienia „odpowiednich zabezpieczeń praw i wolności osób, których dane dotyczą”.

47 Wspomniany sąd zauważa, że art. 8 ust. 5 dyrektywy 95/46, który pozostawiał każdemu państwu członkowskiemu zadanie dokonania oceny, czy należy rozszerzyć szczególne przepisy dotyczące danych dotyczących przestępstw i wyroków skazujących na dane dotyczące wykroczeń i kar administracyjnych, został wdrożony na Łotwie w dniu 1 września 2007 r. w taki sposób, że dane osobowe dotyczące wykroczeń administracyjnych mogą, podobnie jak dane dotyczące przestępstw i wyroków skazujących, być przetwarzane tylko przez osoby upoważnione ustawowo i w przypadkach przewidzianych w ustawie.

48 Sąd odsyłający podkreśla ponadto, że zgodnie z motywem 4 RODO zakres stosowania art. 10 tego rozporządzenia należy oceniać z uwzględnieniem funkcji praw podstawowych w społeczeństwie. Tymczasem w tym kontekście cel polegający na uniknięciu sytuacji, w której wcześniejsze skazanie danej osoby będzie miało nadmierny negatywny wpływ na jej życie prywatne i zawodowe, może mieć zastosowanie zarówno w odniesieniu do wyroków skazujących, jak i wykroczeń administracyjnych. W tym kontekście należy wziąć pod uwagę orzecznictwo Europejskiego Trybunału Praw Człowieka dotyczące zrównania niektórych spraw administracyjnych z postępowaniami karnymi.

49 Latvijas Republikas Satversmes tiesa (trybunał konstytucyjny) zastanawia się w drugiej kolejności nad zakresem art. 5 RODO. Sąd ten ma w szczególności wątpliwości, czy prawodawca łotewski przestrzegał ustanowionego w ust. 1 lit. f) tego artykułu obowiązku przetwarzania danych osobowych z „integralnością i poufnością”. Sąd ten zauważa, że art. 14¹ ust. 2 ustawy o ruchu drogowym, który poprzez udzielenie dostępu do informacji o punktach karnych za wykroczenia drogowe pozwala na ustalenie, czy dana osoba została skazana za wykroczenie drogowe, nie został uzupełniony o konkretne środki zapewniające bezpieczeństwo tych danych.

50 Wspomniany sąd pragnie w trzeciej kolejności ustalić, czy dyrektywa 2003/98 ma znaczenie dla oceny zgodności art. 14¹ ust. 2 ustawy o ruchu drogowym z prawem do poszanowania życia prywatnego. Z dyrektywy tej wynika bowiem, że ponowne wykorzystywanie danych osobowych może być dozwolone jedynie z poszanowaniem tego prawa.

51 W czwartej kolejności, w świetle orzecznictwa Trybunału, zgodnie z którym wykładnia prawa Unii zawarta w orzeczeniach prejudycjalnych wywiera skutki erga omnes i ex tunc, sąd ten zastanawia się, czy w przypadku niezgodności art. 14¹ ust. 2 ustawy o ruchu drogowym z art. 96 konstytucji łotewskiej, interpretowanym w świetle RODO i karty, mógłby on jednak utrzymać w czasie skutki tego art. 14¹ ust. 2 do dnia ogłoszenia jego wyroku, biorąc pod uwagę dużą liczbę stosunków prawnych, których by to dotyczyło.

52 W tym względzie Latvijas Republikas Satversmes tiesa (trybunał konstytucyjny) wyjaśnia, że zgodnie z prawem łotewskim akt, który uzna on za niekonstytucyjny, należy uważać za nieważny od dnia ogłoszenia jego wyroku, chyba że sam ten sąd postanowi inaczej. Wyjaśnia on, że powinien on w tym względzie zapewnić równowagę między zasadą pewności prawa z jednej strony a prawami podstawowymi poszczególnych zainteresowanych z drugiej strony.

53 W tych okolicznościach Latvijas Republikas Satversmes tiesa (trybunał konstytucyjny) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

1) Czy pojęcie »przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych lub powiązanych środków bezpieczeństwa« użyte w art. 10 [RODO] należy interpretować w ten sposób, że obejmuje ono przetwarzanie informacji dotyczących punktów karnych otrzymanych przez kierowców za wykroczenia drogowe przewidziane w przepisie będącym przedmiotem postępowania?

2) Niezależnie od odpowiedzi na pierwsze pytanie prejudycjalne – czy przepisy [RODO], w szczególności zasadę »integralności i poufności« określoną w jego art. 5 ust. 1 lit. f), można interpretować w ten sposób, że zakazują one państwom członkowskim stanowienia przepisów, zgodnie z którymi informacje dotyczące punktów karnych nałożonych na kierowców za wykroczenia drogowe byłyby publicznie dostępne, oraz umożliwiania przetwarzania takich danych poprzez ich ujawnienie?

3) Czy motywy 50 i 154, art. 5 ust. 1 lit. b) i art. 10 [RODO] oraz art. 1 ust. 2 lit. cc) dyrektywy 2003/98/WE należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu państwa członkowskiego umożliwiającemu przesłanie informacji dotyczących punktów karnych otrzymanych przez kierowców za wykroczenia drogowe w celu ich ponownego wykorzystania?

4) W przypadku odpowiedzi twierdzącej na którekolwiek z powyższych pytań – czy zasadę pierwszeństwa prawa Unii i zasadę pewności prawa należy interpretować w ten sposób, że możliwe byłoby stosowanie przepisu będącego przedmiotem postępowania i zachowanie jego skutków prawnych do momentu uprawomocnienia się ostatecznego orzeczenia wydanego przez Satversmes tiesa [(trybunał konstytucyjny)]?”.

W przedmiocie pytań prejudycjalnych

W przedmiocie pytania pierwszego

54 Poprzez pytanie pierwsze sąd odsyłający dąży zasadniczo do ustalenia, czy art. 10 RODO należy interpretować w ten sposób, że ma on zastosowanie do przetwarzania danych osobowych dotyczących punktów karnych nakładanych na kierowców pojazdów za wykroczenia drogowe polegającego na publicznym ujawnieniu takich danych.

55 Zgodnie z art. 10 RODO przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą.

56 Na wstępie należy zatem zbadać, czy informacje dotyczące punktów karnych przekazywane osobom trzecim na mocy uregulowania będącego przedmiotem postępowania głównego stanowią „dane osobowe” w rozumieniu art. 4 pkt 1 RODO i czy wspomniane ujawnienie stanowi „przetwarzanie” takich danych w rozumieniu art. 4 pkt 2 tego rozporządzenia, objęte przedmiotowym zakresem stosowania RODO zdefiniowanym w jego art. 2.

57 W tym względzie należy stwierdzić w pierwszej kolejności, że z postanowienia odsyłającego wynika, iż przepisy łotewskie przewidują nałożenie punktów karnych na kierowców pojazdów, którzy popełnili wykroczenie drogowe i na których nałożono karę pieniężną lub inną. Punkty te są wpisywane przez podmiot publiczny – CSDD – do krajowego rejestru pojazdów i ich kierowców w dniu upływu terminu zaskarżenia decyzji nakładającej tę karę.

58 Ze wspomnianej decyzji wynika również, że wykroczenia drogowe i kary wymierzane z ich powodu podlegają na Łotwie prawu administracyjnemu i że nałożenie punktów karnych nie ma na celu nałożenia dodatkowej sankcji, lecz uwrażliwianie danych kierowców poprzez zachęcanie ich do przyjęcia bardziej bezpiecznego sposobu kierowania. W przypadku osiągnięcia pewnej liczby punktów karnych na daną osobę może być nałożony zakaz prowadzenia pojazdów przez określony czas.

59 Z postanowienia tego wynika również, że uregulowanie będące przedmiotem postępowania głównego zobowiązuje CSDD do przekazania informacji dotyczących punktów karnych nałożonych na określonego kierowcę każdemu, kto wnosi o dostęp do tych informacji. CSDD ogranicza się w tym celu do wymagania, aby osoba ubiegająca się o te informacje należycie zidentyfikowała kierowcę, którego dotyczy wniosek, dostarczając jego krajowy numer identyfikacyjny.

60 Należy zatem stwierdzić, że informacje dotyczące punktów karnych, które odnoszą się do zidentyfikowanej osoby fizycznej, są „danymi osobowymi” w rozumieniu art. 4 pkt 1 RODO i że ich ujawnienie przez CSDD osobom trzecim stanowi „przetwarzanie” w rozumieniu art. 4 pkt 2 RODO.

61 W drugiej kolejności należy stwierdzić, że ujawnienie tych informacji objęte jest bardzo szeroką definicją materialnego zakresu stosowania RODO, zawartą w jego art. 2 ust. 1, i nie figuruje wśród rodzajów przetwarzania danych osobowych, które art. 2 ust. 2 lit. a) i d) RODO wyłącza z tego zakresu stosowania.

62 Co się tyczy z jednej strony art. 2 ust. 2 lit. a) RODO – przewiduje on, że rozporządzenie to nie ma zastosowania do przetwarzania danych osobowych prowadzonego „w ramach działalności nieobjętej zakresem prawa Unii”. Ten wyjątek od stosowania RODO powinien, podobnie jak inne wyjątki przewidziane w jego art. 2 ust. 2, podlegać ścisłej wykładni (zob. podobnie wyroki: z dnia 9 lipca 2020 r., Land Hessen, C‑272/19, EU:C:2020:535, pkt 68; a także z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 84).

63 W tym względzie art. 2 ust. 2 lit. a) tego rozporządzenia należy odczytywać w związku z jego art. 2 ust. 2 lit. b) i jego motywem 16, który wyjaśnia, że rozporządzenie to nie ma zastosowania do przetwarzania danych osobowych w kontekście „działań, które nie wchodzą w zakres stosowania prawa Unii, takich jak działania związane z bezpieczeństwem narodowym” oraz „działań związanych ze wspólną polityką zagraniczną i bezpieczeństwa Unii”.

64 Wynika z tego, że art. 2 ust. 2 lit. a) i b) RODO częściowo wpisuje się w ciągłość art. 3 ust. 2 tiret pierwsze dyrektywy 95/46. W konsekwencji art. 2 ust. 2 lit. a) i b) RODO nie może być interpretowany w ten sposób, że ma on szerszy zakres niż wyjątek wynikający z art. 3 ust. 2 tiret pierwsze dyrektywy 95/46, który wykluczał już z zakresu stosowania tej dyrektywy między innymi przetwarzanie danych osobowych w ramach „działalności wykraczającej poza zakres prawa Wspólnoty, jak np. danych, o których stanowi tytuł V i VI traktatu [UE, w wersji sprzed traktatu z Lizbony], a w żadnym razie […] działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa […]”.

65 Jak wielokrotnie orzekał Trybunał, jedynie przetwarzanie danych osobowych w ramach działalności właściwej państwom lub władzom państwowym i wyraźnie wymienione we wspomnianym art. 3 ust. 2 lub w ramach działalności, która może zostać zaliczona do tej samej kategorii, jest wyłączone z zakresu stosowania tej dyrektywy (zob. podobnie wyroki: z dnia 6 listopada 2003 r., Lindqvist, C‑101/01, EU:C:2003:596, pkt 42–44; z dnia 27 września 2017 r., Puškár, C‑73/16, EU:C:2017:725, pkt 36, 37; a także z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 38).

66 Z powyższego wynika, że art. 2 ust. 2 lit. a) RODO w związku z motywem 16 tego rozporządzenia należy uznać za mający na celu jedynie wyłączenie z zakresu stosowania tego rozporządzenia przetwarzania danych osobowych dokonywanego przez organy państwowe w ramach działalności mającej na celu ochronę bezpieczeństwa narodowego lub działalności, która może zostać zaliczona do tej samej kategorii, wobec czego sam fakt, iż dana działalność jest właściwa państwu lub organowi publicznemu, nie wystarcza, aby wyjątek ten mógł być automatycznie stosowany do takiej działalności (zob. podobnie wyrok z dnia 9 lipca 2020 r., Land Hessen, C‑272/19, EU:C:2020:535, pkt 70).

67 Działalność, której celem jest ochrona bezpieczeństwa narodowego, a o której mowa w art. 2 ust. 2 lit. a) RODO, obejmuje w szczególności, jak zauważył zasadniczo rzecznik generalny w pkt 57 i 58 opinii, działalność mającą na celu ochronę podstawowych funkcji państwa i podstawowych interesów społeczeństwa.

68 Tymczasem działania związane z bezpieczeństwem drogowym nie realizują takiego celu i w konsekwencji nie mogą być zaliczone do kategorii działań mających na celu ochronę bezpieczeństwa narodowego, o których mowa w art. 2 ust. 2 lit. a) RODO.

69 Jeśli chodzi z drugiej strony o art. 2 ust. 2 lit. d) RODO, przewiduje on, że rozporządzenie to nie ma zastosowania do przetwarzania danych osobowych dokonywanego „przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom”. Jak wynika z motywu 19 wspomnianego rozporządzenia, wyjątek ten jest uzasadniony tym, że przetwarzanie danych osobowych w takich celach i przez właściwe organy podlega szczególnemu aktowi Unii, a mianowicie dyrektywie 2016/680, która została przyjęta tego samego dnia co RODO i definiuje w art. 3 ust. 7, co należy rozumieć przez „właściwy organ”, a definicję taką należy stosować analogicznie do art. 2 ust. 2 lit. d).

70 Z motywu 10 dyrektywy 2016/680 wynika, że pojęcie „właściwego organu” należy rozumieć w związku z ochroną danych osobowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej, z uwzględnieniem zmian, które mogą okazać się niezbędne w tym względzie ze względu na szczególny charakter tych dziedzin. Ponadto motyw 11 tej dyrektywy mówi o tym, że RODO ma zastosowanie do przetwarzania danych osobowych dokonywanego przez „właściwy organ” w rozumieniu art. 3 ust. 7 tej dyrektywy, lecz do celów innych niż w niej przewidziane.

71 W świetle informacji, którymi dysponuje Trybunał, nie wydaje się, by w ramach wykonywania działalności rozpatrywanej w postępowaniu głównym, która polega na publicznym ujawnianiu, w celu zapewnienia bezpieczeństwa na drogach, danych osobowych dotyczących punktów karnych, CSDD mogła być uznana za „właściwy organ” w rozumieniu art. 3 ust. 7 dyrektywy 2016/680, a tym samym aby taka działalność mogła być objęta wyjątkiem przewidzianym w art. 2 ust. 2 lit. d) RODO.

72 W związku z tym ujawnienie przez CSDD danych osobowych dotyczących punktów karnych nałożonych na kierowców pojazdów za wykroczenia drogowe objęte jest materialnym zakresem stosowania RODO.

73 Co się tyczy możliwości zastosowania art. 10 RODO do takiego ujawnienia, chodzi o to, czy ujawnione w ten sposób informacje stanowią dane osobowe „dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa” w rozumieniu tego przepisu, których przetwarzania „wolno dokonywać wyłącznie pod nadzorem władz publicznych”, chyba że są „dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą”.

74 W tym względzie należy przypomnieć, że wspomniany art. 10 ma na celu zapewnienie zwiększonej ochrony przed przetwarzaniem, które ze względu na szczególną wrażliwość danych może stanowić szczególnie poważną ingerencję w prawa podstawowe do poszanowania życia prywatnego i do ochrony danych osobowych, zagwarantowane w art. 7 i 8 karty [zob. podobnie wyrok z dnia 24 września 2019 r., GC i in. (Usunięcie linków do danych wrażliwych), C‑136/17, EU:C:2019:773, pkt 44].

75 Skoro bowiem dane, do których odnosi się art. 10 RODO, dotyczą zachowań powodujących dezaprobatę społeczeństwa, udzielenie dostępu do takich danych może stygmatyzować osobę, której dane dotyczą, a tym samym stanowić poważną ingerencję w jej życie prywatne lub zawodowe.

76 W niniejszym przypadku decyzje organów łotewskich mające na celu ukaranie wykroczeń drogowych są co prawda, jak podkreślił rząd łotewski w odpowiedziach na pytania Trybunału, wpisane do rejestru kar, do którego społeczeństwo ma dostęp jedynie w ograniczonych przypadkach, a nie do rejestru pojazdów i ich kierowców, do którego art. 14¹ ust. 2 ustawy o ruchu drogowym daje swobodny dostęp. Jednakże, jak podkreślił sąd odsyłający, ujawnienie przez CSDD danych osobowych dotyczących punktów karnych wpisanych do tego rejestru pozwala opinii publicznej dowiedzieć się, czy określona osoba popełniła wykroczenia drogowe, a w przypadku potwierdzenia tego faktu ustalić na tej podstawie wagę i częstotliwość tych wykroczeń. Taki system ujawniania punktów karnych oznacza zatem udzielenie dostępu do danych osobowych dotyczących wykroczeń drogowych.

77 W celu ustalenia, czy taki dostęp stanowi przetwarzanie danych osobowych dotyczących „naruszeń prawa” w rozumieniu art. 10 RODO, należy zauważyć, po pierwsze, że pojęcie to odsyła wyłącznie do przestępstw, jak wynika w szczególności z genezy RODO. Mianowicie podczas gdy Parlament Europejski zaproponował wyraźne włączenie do tego przepisu wyrażenia „kary administracyjne” (Dz.U. 2017, C 378, s. 430), propozycja ta nie została przyjęta. Okoliczność ta jest tym bardziej istotna, że przepis poprzedzający art. 10 RODO, a mianowicie art. 8 ust. 5 dyrektywy 95/46, który w akapicie pierwszym odnosił się do „przestępstw” i „wyroków skazujących”, w akapicie drugim pozwala państwom członkowskim „ustanowić przepisy zobowiązujące oficjalny organ do sprawowania kontroli nad przetwarzaniem danych dotyczących sankcji administracyjnych”. Z całościowej lektury tego art. 8 ust. 5 wynika zatem jasno, że pojęcie „naruszenia prawa” odnosi się wyłącznie do przestępstw.

78 W tych okolicznościach należy uznać, że prawodawca Unii, świadomie nie używając przymiotnika „administracyjny” w art. 10 RODO, zamierzał zastrzec zwiększoną ochronę przewidzianą w tym przepisie wyłącznie do dziedziny prawa karnego.

79 Wykładnię tę potwierdza, jak zauważył rzecznik generalny w pkt 74–77 opinii, fakt, że kilka wersji językowych art. 10 RODO odnosi się wyraźnie do „przestępstw”, jak w języku niemieckim (Straftaten), hiszpańskim (infracciones penales), włoskim (reati), litewskim (nusikalstamas veikas), maltańskim (reati) i niderlandzkim (strafbare feiten).

80 Po drugie, okoliczność, że wykroczenia drogowe są kwalifikowane na Łotwie jako administracyjne, nie jest decydująca dla oceny, czy wykroczenia te są objęte art. 10 RODO.

81 W tym względzie należy przypomnieć, że treści przepisu prawa Unii, który nie zawiera wyraźnego odesłania do prawa państw członkowskich dla określenia swego znaczenia i zakresu, należy zwykle nadać w całej Unii autonomiczną i jednolitą wykładnię (wyroki: z dnia 19 września 2000 r., Linster, C‑287/98, EU:C:2000:468, pkt 43; z dnia 1 października 2019 r., Planet49, C‑673/17, EU:C:2019:801, pkt 47).

82 W niniejszym przypadku należy przede wszystkim zauważyć, że RODO nie zawiera żadnego odesłania do prawa krajowego w odniesieniu do zakresu sformułowań użytych w jego art. 10, w szczególności pojęć „naruszeń prawa” i „wyroków skazujących”.

83 Następnie z motywu 10 RODO wynika, że ma on na celu przyczynianie się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości poprzez zapewnienie spójnego i wysokiego stopnia ochrony osób fizycznych w zakresie przetwarzania danych osobowych, co wymaga, by ten poziom ochrony był jest równorzędny i jednolity we wszystkich państwach członkowskich. Tymczasem byłoby sprzeczne z takim celem, gdyby zwiększona ochrona przewidziana w tym przepisie miała zastosowanie do przetwarzania danych osobowych dotyczących wykroczeń drogowych tylko w niektórych państwach członkowskich, a nie w innych, z tego tylko powodu, że wykroczenia te nie są kwalifikowane jako przestępstwa w tych ostatnich państwach członkowskich.

84 Wreszcie, jak zauważył rzecznik generalny w pkt 84 opinii, ustalenie to znajduje potwierdzenie w motywie 13 dyrektywy 2016/680, który wskazuje, że „czyn zabroniony w rozumieniu [tej] dyrektywy powinien być autonomicznym pojęciem prawa unijnego, zgodnie z wykładnią Trybunału Sprawiedliwości Unii Europejskiej”.

85 Wynika z tego, że pojęcie „przestępstwa”, decydujące dla ustalenia, czy art. 10 RODO ma zastosowanie do danych osobowych dotyczących wykroczeń drogowych, takich jak rozpatrywane w postępowaniu głównym, wymaga w całej Unii autonomicznej i jednolitej wykładni, którą należy przyjąć z uwzględnieniem celu realizowanego przez ten przepis oraz kontekstu, w jaki się on wpisuje, przy czym kwalifikacja tych wykroczeń przyjęta przez dane państwo członkowskie nie jest w tym względzie rozstrzygająca, gdyż może być ona odmienna w różnych państwach (zob. podobnie wyrok z dnia 14 listopada 2013 r., Baláž, C‑60/12, EU:C:2013:733, pkt 26, 35).

86 Po trzecie, należy zbadać, czy wykroczenia drogowe, takie jak te, które prowadzą do wpisania w rejestrze pojazdów i ich kierowców punktów karnych, których podanie do wiadomości osób trzecich jest przewidziane w spornym przepisie, stanowią „przestępstwo” w rozumieniu art. 10 RODO.

87 Zgodnie z orzecznictwem Trybunału przy ocenie karnego charakteru czynu zabronionego istotne są trzy kryteria. Pierwszym z nich jest kwalifikacja prawna czynu w prawie krajowym, drugim – charakter naruszenia, a trzecim – stopień surowości sankcji grożącej zainteresowanemu (zob. podobnie wyroki: z dnia 5 czerwca 2012 r., Bonda, C‑489/10, EU:C:2012:319, pkt 37; z dnia 20 marca 2018 r., Garlsson Real Estate i in., C‑537/16, EU:C:2018:193, pkt 28; a także z dnia 2 lutego 2021 r., Consob, C‑481/19, EU:C:2021:84, pkt 42).

88 Nawet w przypadku naruszeń prawa, które nie są kwalifikowane jako „karne” przez prawo krajowe, taki charakter może jednak wynikać z samego charakteru danego naruszenia i stopnia surowości sankcji, którą może ono spowodować (zob. podobnie wyrok z dnia 20 marca 2018 r., Garlsson Real Estate i in., C‑537/16, EU:C:2018:193, pkt 28, 32).

89 Jeśli chodzi o kryterium dotyczące samego charakteru naruszenia, wymaga ono sprawdzenia, czy dana sankcja realizuje w szczególności cel represyjny, przy czym sama okoliczność, że realizuje ona również cel prewencyjny, nie może pozbawić jej kwalifikacji sankcji karnej. Z samej natury sankcji karnych wynika bowiem, że zmierzają one zarówno do represji, jak i do zapobiegania bezprawnym zachowaniom. Natomiast środek, który ogranicza się do naprawienia szkody wyrządzonej danym naruszeniem, nie ma charakteru karnego (zob. podobnie wyroki: z dnia 5 czerwca 2012 r., Bonda, C‑489/10, EU:C:2012:319, pkt 39; a także z dnia 20 marca 2018 r., Garlsson Real Estate i in., C‑537/16, EU:C:2018:193, pkt 33). Tymczasem bezsporne jest, że nałożenie punktów karnych za wykroczenia drogowe, podobnie jak grzywny lub inne kary, które może spowodować popełnienie tych naruszeń, mają na celu nie tylko naprawienie szkód ewentualnie spowodowanych przez te naruszenia, lecz realizują również cel represyjny.

90 Jeśli chodzi o kryterium dotyczące stopnia surowości sankcji, jakie może pociągać za sobą popełnianie tych samych naruszeń, należy przede wszystkim zauważyć, że jedynie wykroczenia drogowe o określonej wadze pociągają za sobą przyznanie punktów karnych i że w związku z tym takie wykroczenia mogą prowadzić do sankcji o określonej surowości. Następnie nałożenie punktów karnych wiąże się generalnie z sankcją nałożoną na kierowcę w przypadku popełnienia takiego wykroczenia, co zresztą ma miejsce, jak wskazano w pkt 58 niniejszego wyroku, w przypadku ustawodawstwa rozpatrywanego w postępowaniu głównym. Wreszcie sumowanie tych punktów samo w sobie pociąga za sobą skutki prawne, takie jak obowiązek zdania egzaminu czy wręcz zakaz kierowania.

91 Analizę tę potwierdza orzecznictwo Europejskiego Trybunału Praw Człowieka, zgodnie z którym, niezależnie od tendencji do „dekryminalizacji” wykroczeń drogowych w niektórych państwach, wykroczenia te, z uwagi zarówno na prewencyjny, jak i represyjny cel stosowanych sankcji oraz stopień ich surowości, należy uznać za mające charakter karny (zob. podobnie wyroki ETPC: z dnia 21 lutego 1984 r. w sprawie Öztürk przeciwko Niemcom, CE:ECHR:1984:0221JUD000854479, §§ 49–53; z dnia 29 czerwca 2007 r., O’Halloran i Francis przeciwko Zjednoczonemu Królestwu, §§ 33–36; a także z dnia 4 października 2016 r., Rivard przeciwko Szwajcarii, CE:ECHR:2016:1004JUD002156312, §§ 23, 24).

92 Kwalifikacja wykroczeń drogowych, które mogą prowadzić do przyznania punktów karnych, jako „przestępstw” w rozumieniu art. 10 RODO, wpisuje się również w cel tego przepisu. Należy bowiem stwierdzić, że publiczne ujawnienie danych osobowych dotyczących wykroczeń drogowych, w tym punktów karnych nałożonych za ich popełnienie, może, zważywszy na fakt, że takie wykroczenia stanowią zagrożenie dla bezpieczeństwa na drogach, spowodować dezaprobatę społeczeństwa i prowadzić do stygmatyzacji danej osoby, w szczególności gdy punkty te wskazują na pewną wagę lub określoną częstotliwość tych naruszeń.

93 Wynika z tego, że wykroczenia drogowe, które mogą prowadzić do nałożenia punktów karanych, objęte są pojęciem „naruszeń prawa”, o którym mowa w art. 10 RODO.

94 W świetle całości powyższych rozważań na pytanie pierwsze należy odpowiedzieć, iż art. 10 RODO należy interpretować w ten sposób, że ma on zastosowanie do przetwarzania danych osobowych dotyczących punktów karnych nakładanych na kierowców pojazdów za wykroczenia drogowe.

W przedmiocie pytania drugiego

95 Poprzez pytanie drugie sąd odsyłający dąży zasadniczo do ustalenia, czy przepisy RODO należy interpretować w ten sposób, że sprzeciwiają się one przepisom krajowym, które nakładają na organ publiczny prowadzący rejestr, w którym wpisywane są punkty karne nakładane na kierowców pojazdów za wykroczenia drogowe, obowiązek ujawnienia tych danych każdej osobie, która się o to zwróci, bez konieczności wykazywania przez tą osobę szczególnego interesu w uzyskaniu rzeczonych danych.

96 W tym względzie należy przypomnieć, że każde przetwarzanie danych osobowych powinno z jednej strony być zgodne z zasadami dotyczącymi przetwarzania danych określonymi w art. 5 RODO, a z drugiej strony odpowiadać jednej z zasad dotyczących zgodności przetwarzania z prawem wymienionych w art. 6 tego rozporządzenia (zob. podobnie wyrok z dnia 16 stycznia 2019 r., Deutsche Post, C‑496/17, EU:C:2019:26, pkt 57 i przytoczone tam orzecznictwo).

97 Co się tyczy zasad dotyczących przetwarzania danych osobowych, prawdą jest, że sąd odsyłający powołuje się w szczególności na zasady „integralności” i „poufności” ustanowione w art. 5 ust. 1 lit. f) RODO. Niemniej z pytań tego sądu wynika, że zmierza on do ustalenia w sposób bardziej ogólny, czy rozpatrywane w postępowaniu głównym przetwarzanie danych osobowych może zostać uznane za zgodne z prawem w świetle wszystkich przepisów tego rozporządzenia, a w szczególności w świetle zasady proporcjonalności.

98 Wynika z tego, że w odpowiedzi, jakiej należy udzielić temu sądowi, należy uwzględnić także inne zasady określone w art. 5 ust. 1 wspomnianego rozporządzenia, a w szczególności zasadę „minimalizacji danych” zawartą w lit. c) tego przepisu, zgodnie z którą dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w jakich są przetwarzane, i która wyraża wspomnianą zasadę proporcjonalności (zob. podobnie wyrok z dnia 11 grudnia 2019 r., Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, pkt 48).

99 Jeśli chodzi o zasady dotyczące legalności przetwarzania, art. 6 RODO zawiera wyczerpujący i zamknięty wykaz przypadków, w których przetwarzanie danych osobowych może zostać uznane za zgodne z prawem. A zatem aby można było uznać je za zgodne z prawem, przetwarzanie powinno być objęte jednym z przypadków przewidzianych we wspomnianym art. 6 (zob. podobnie wyrok z dnia 11 grudnia 2019 r., Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, pkt 37, 38). W tym względzie przetwarzanie danych osobowych rozpatrywane w postępowaniu głównym, a mianowicie publiczne ujawnianie przez CSDD danych dotyczących punktów karnych za wykroczenia drogowe, może być objęte zakresem stosowania art. 6 ust. 1 lit. e) RODO, na mocy którego przetwarzanie jest dozwolone, jeżeli – i w takim zakresie – przetwarzanie to „jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi”.

100 Ponadto ponieważ, jak stwierdzono w pkt 94 niniejszego wyroku, dane osobowe dotyczące punktów karnych nałożonych na kierowców pojazdów za wykroczenia drogowe objęte są zakresem art. 10 RODO, ich przetwarzanie podlega dodatkowym ograniczeniom przewidzianym w tym przepisie. I tak zgodnie z tym przepisem przetwarzania tych danych „wolno dokonywać wyłącznie pod nadzorem władz publicznych”, chyba że „jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą”. Przepis ten stanowi ponadto, że „[w]szelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych”.

101 W niniejszej sprawie bezsporne jest, że przetwarzanie danych osobowych rozpatrywane w postępowaniu głównym, a mianowicie publiczne ujawnianie danych dotyczących punktów karnych za wykroczenia drogowe, jest dokonywane przez podmiot publiczny – CSDD – który jest administratorem danych w rozumieniu art. 4 pkt 7 RODO (zob. analogicznie wyrok z dnia 9 marca 2017 r., Manni, C‑398/15, EU:C:2017:197, pkt 35). Jednakże bezsporne jest również, że po ujawnieniu dane te są przeglądane przez osoby, które wystąpiły o ich ujawnienie, i w danym wypadku są zatrzymywane lub rozpowszechniane przez te osoby. W zakresie, w jakim dalsze przetwarzanie danych nie jest już dokonywane „pod nadzorem” CSDD lub innego organu publicznego, prawo krajowe zezwalające na ujawnienie tych danych przez CSDD powinno przewidywać „odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą”.

102 W związku z tym zgodność ustawodawstwa krajowego będącego przedmiotem postępowania głównego z RODO należy zbadać w świetle zarówno ogólnych warunków zgodności z prawem, w szczególności ustanowionych w art. 5 ust. 1 lit. c) i art. 6 ust. 1 lit. e) tego rozporządzenia, jak i szczególnych ograniczeń przewidzianych w jego art. 10.

103 W tym względzie należy stwierdzić, że żaden z tych przepisów nie zakazuje w sposób ogólny i bezwzględny, by na mocy ustawodawstwa krajowego organ publiczny był uprawniony, a wręcz zobowiązany, do ujawnienia danych osobowych osobom, które się o to zwrócą.

104 O ile bowiem art. 5 ust. 1 lit. c) RODO wymaga przestrzegania zasady „minimalizacji danych” przy przetwarzaniu danych osobowych, o tyle z brzmienia tego przepisu jasno wynika, że nie ma on na celu ustanowienia takiego ogólnego i bezwzględnego zakazu, a w szczególności nie stoi on na przeszkodzie temu, by dane osobowe były ujawniane publicznie, jeżeli jest to konieczne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej w rozumieniu art. 6 ust. 1 lit. e) tego rozporządzenia. Jest tak nawet wówczas, gdy dane te objęte są zakresem art. 10 RODO, pod warunkiem że przepisy zezwalające na to ujawnianie przewidują odpowiednie zabezpieczenia dla praw i wolności osób, których dane dotyczą [zob. podobnie wyrok z dnia 24 września 2019 r., GC i in. e.a. (Usunięcie linków do danych wrażliwych), C‑136/17, EU:C:2019:773, pkt 73].

105 W tym kontekście należy przypomnieć, że podstawowe prawa do poszanowania życia prywatnego i ochrony danych osobowych nie są prerogatywami absolutnymi, lecz należy je postrzegać w kontekście ich funkcji społecznej i wyważyć względem innych praw podstawowych. Można więc wprowadzić ograniczenia, pod warunkiem że zgodnie z art. 52 ust. 1 karty są one przewidziane ustawą i szanują istotę praw podstawowych oraz zasadę proporcjonalności. Na podstawie tej ostatniej zasady ograniczenia mogą być wprowadzone wyłącznie wtedy, gdy są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób. Powinny one odbywać się w granicach tego, co absolutnie konieczne, a uregulowanie dotyczące ingerencji musi zawierać jasne i precyzyjne zasady regulujące zakres i stosowanie danego środka (zob. podobnie wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 172–176).

106 W związku z tym w celu ustalenia, czy publiczne ujawnianie danych osobowych dotyczących punktów karnych, takie jak rozpatrywane w postępowaniu głównym, jest konieczne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej w rozumieniu art. 6 ust. 1 lit. e) RODO oraz czy ustawodawstwo zezwalające na takie ujawnianie przewiduje odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą, w rozumieniu art. 10 tego rozporządzenia, należy w szczególności zbadać, czy ze względu na wagę ingerencji w prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych spowodowanej przez to ujawnienie okazuje się ona uzasadniona, a w szczególności proporcjonalna dla realizacji zamierzonych celów.

107 W niniejszej sprawie parlament łotewski w uwagach przedstawionych przed sądem odsyłającym oraz rząd łotewski w uwagach przedstawionych przed Trybunałem podnoszą, że przekazanie przez CSDD każdej osobie, która się o to zwróci, danych osobowych dotyczących punktów karnych jest spoczywającym na tym organie zadaniem realizowanym w interesie publicznym, jakim jest poprawa bezpieczeństwa na drogach, i ma w tym kontekście na celu w szczególności umożliwienie identyfikacji kierowców pojazdów, którzy systematycznie naruszają przepisy ruchu drogowego, i wywarcie wpływu na zachowanie użytkowników dróg, poprzez skłonienie ich do zachowania zgodnego z tymi przepisami.

108 W tym względzie należy przypomnieć, że poprawa bezpieczeństwa na drogach stanowi cel interesu ogólnego uznawany przez Unię (zob. podobnie wyrok z dnia 23 kwietnia 2015 r., Aykul, C‑260/13, EU:C:2015:257, pkt 69 i przytoczone tam orzecznictwo). Państwa członkowskie mają zatem prawo zakwalifikować bezpieczeństwo na drogach jako „zadanie realizowane w interesie publicznym” w rozumieniu art. 6 ust. 1 lit. e) RODO.

109 Jednakże dla spełnienia przesłanek ustanowionych w tym ostatnim przepisie konieczne jest, aby ujawnienie danych osobowych dotyczących punktów karnych wpisanych do rejestru prowadzonego przez CSDD rzeczywiście odpowiadało celowi interesu ogólnego polegającemu na poprawie bezpieczeństwa na drogach, nie wykraczając poza to, co jest konieczne do osiągnięcia tego celu.

110 Jak podkreślono w motywie 39 RODO, ten wymóg konieczności nie jest spełniony, jeżeli zamierzony cel interesu ogólnego można racjonalnie osiągnąć w sposób równie skuteczny za pomocą innych środków, w mniejszym stopniu naruszających prawa podstawowe osób, których dane dotyczą, w szczególności prawa do poszanowania życia prywatnego i do ochrony danych osobowych zagwarantowane w art. 7 i 8 karty, ponieważ odstępstwa i ograniczenia zasady ochrony takich danych powinny być stosowane w granicach tego, co jest ściśle konieczne (zob. podobnie wyroki: z dnia 11 grudnia 2019 r., Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, pkt 46, 47).

111 Tymczasem, jak wynika z praktyki państw członkowskich, każde z nich dysponuje wieloma sposobami działania, wśród których znajduje się w szczególności działanie polegające na odstraszającym karaniu wykroczeń drogowych, w szczególności poprzez pozbawienie danych kierowców prawa do kierowania pojazdami, ponieważ naruszenie takiego zakazu może z kolei być karane skutecznymi karami bez konieczności publicznego informowania o przyjęciu takich środków. Z praktyki tej wynika również, że mogą zostać ponadto podjęte liczne środki zapobiegawcze, począwszy od kampanii uwrażliwienia społecznego do przyjęcia indywidualnych środków polegających na zmuszeniu kierowcy do odbycia szkoleń i poddawania się egzaminom, bez konieczności publicznego informowania o przyjęciu takich indywidualnych środków. Z akt sprawy dostępnych Trybunałowi nie wynika jednak, by ustawodawca łotewski zbadał takie środki i dał im pierwszeństwo przed uregulowaniem będącym przedmiotem postępowania głównego.

112 Ponadto, jak wskazano w pkt 92 niniejszego wyroku, publiczne ujawnienie danych osobowych dotyczących wykroczeń drogowych, w tym danych dotyczących punktów karnych nałożonych za ich popełnienie, może stanowić poważną ingerencję w prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych, ponieważ może spowodować dezaprobatę społeczeństwa i prowadzić do stygmatyzacji danej osoby.

113 Biorąc pod uwagę z jednej strony wrażliwość omawianych danych i wagę wspomnianej ingerencji w prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych osób, których dane dotyczą, a z drugiej strony okoliczność, że w świetle ustaleń poczynionych w pkt 111 niniejszego wyroku nie okazuje się, aby cel polegający na poprawie bezpieczeństwa na drogach nie mógł zostać racjonalnie osiągnięty w sposób równie skuteczny za pomocą innych, mniej ingerujących środków, nie można uznać, że wykazano konieczność istnienia takiego reżimu ujawniania danych osobowych dotyczących punktów karnych za wykroczenia drogowe (zob. analogicznie wyrok z dnia 9 listopada 2010 r., Volker und Markus Schecke i Eifert, C‑92/09 i C‑93/09, EU:C:2010:662, pkt 86).

114 Tym samym o ile można uzasadnić rozróżnienie kierowców naruszających zasady ruchu drogowego w sposób systematyczny i w złej wierze od kierowców, którzy okazjonalnie dopuszczają się wykroczeń, o tyle nie można uznać, by identyfikowanie pierwszej kategorii kierowców dla poprawy bezpieczeństwa na drogach miało być dokonywane przez ogół społeczeństwa lub dzielone z ogółem społeczeństwa, wobec czego można nawet wątpić w to, by uregulowanie będące przedmiotem postępowania głównego nadawało się do osiągnięcia pierwszego z celów wskazanych w pkt 107 niniejszego wyroku.

115 Ponadto z akt sprawy, którymi dysponuje Trybunał, wynika, że CSDD ujawnia publicznie nie tylko dane dotyczące punktów karnych nałożonych na kierowców naruszających przepisy ruchu drogowego w sposób systematyczny i w złej wierze, lecz również dane dotyczące punktów karnych nakładanych na kierowców popełniających wykroczenia okazjonalnie. Okazuje się zatem, że przewidując powszechny dostęp społeczeństwa do punktów karnych, uregulowanie będące przedmiotem postępowania głównego wykracza w każdym wypadku poza to, co jest konieczne do zapewnienia celu polegającego na zwalczaniu systematycznego naruszania przepisów ruchu drogowego dokonywanego w złej wierze.

116 Jeśli chodzi o drugi z celów realizowanych przez uregulowanie będące przedmiotem postępowania głównego, przypomniany w pkt 107 niniejszego wyroku, ze wspomnianych akt sprawy wynika, że o ile na Łotwie można było zaobserwować tendencję spadkową liczby wypadków drogowych, o tyle nic nie pozwala stwierdzić, że tendencja ta jest związana bardziej z ujawnianiem informacji dotyczących punktów karnych niż z ustanowieniem systemu punktów karnych jako takiego.

117 Wniosku przedstawionego w pkt 113 niniejszego wyroku nie podważa okoliczność, że CSDD w praktyce uzależnia przekazanie przedmiotowych danych osobowych od warunku, aby wnioskodawca wskazał krajowy numer identyfikacyjny kierowcy, o którym zamierza uzyskać informacje.

118 Nawet bowiem przy założeniu, jak to wyjaśnił rząd łotewski, że przekazanie krajowych numerów identyfikacyjnych przez podmioty publiczne prowadzące rejestry ludności podlega ścisłym wymogom i spełnia tym samym art. 87 RODO, to jednak uregulowanie będące przedmiotem postępowania głównego, tak jak stosuje je CSDD, umożliwia każdej osobie, która zna krajowy numer identyfikacyjny określonego kierowcy, uzyskanie, bez dodatkowych warunków, danych osobowych dotyczących punktów karnych nałożonych na tego kierowcę. Taki reżim ujawniania informacji może prowadzić do sytuacji, w której dane te są ujawniane osobom, które ze względów niezwiązanych z celem interesu ogólnego poprawy bezpieczeństwa na drogach dążą do uzyskania informacji na temat punktów karnych nałożonych na daną osobę.

119 Wniosku przedstawionego w pkt 113 niniejszego wyroku nie podważa również okoliczność, że krajowy rejestr pojazdów i ich kierowców jest dokumentem urzędowym w rozumieniu art. 86 RODO.

120 O ile bowiem publiczny dostęp do dokumentów urzędowych stanowi, jak wynika z motywu 154 tego rozporządzenia, interes publiczny mogący uzasadniać ujawnienie danych osobowych zawartych w takich dokumentach, o tyle dostęp ten należy jednak pogodzić z prawami podstawowymi do poszanowania życia prywatnego i ochrony danych osobowych, jak zresztą wyraźnie tego wymaga wspomniany art. 86. Biorąc pod uwagę w szczególności wrażliwość danych dotyczących punktów karnych nakładanych za wykroczenia drogowe i wagę ingerencji w prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych osób, których dane dotyczą, należy uznać, że prawa te są nadrzędne wobec interesu publicznego polegającego na uzyskaniu dostępu do dokumentów urzędowych, w szczególności do krajowego rejestru pojazdów i ich kierowców.

121 Ponadto z tego samego powodu prawo do wolności informacji, o którym mowa w art. 85 RODO, nie może być interpretowane w ten sposób, że uzasadnia ono ujawnienie każdej osobie, która o to wnosi, danych osobowych dotyczących punktów karnych nakładanych za wykroczenia drogowe.

122 Mając na względzie powyższe rozważania, na pytanie drugie należy odpowiedzieć, że przepisy RODO, a w szczególności art. 5 ust. 1, art. 6 ust. 1 lit. e) i art. 10 tego rozporządzenia, należy interpretować w ten sposób, że sprzeciwiają się one przepisom krajowym, które nakładają na organ publiczny prowadzący rejestr, w którym wpisywane są punkty karne nakładane na kierowców pojazdów za wykroczenia drogowe, obowiązek publicznego ujawniania tych danych, nie przewidują zaś obowiązku wykazania przez osobę żądającą dostępu szczególnego interesu w ich uzyskaniu.

W przedmiocie pytania trzeciego

123 Poprzez pytanie trzecie sąd odsyłający dąży zasadniczo do ustalenia, czy przepisy RODO, a w szczególności jego art. 5 ust. 1 lit. b) i art. 10, oraz art. 1 ust. 2 lit. cc) dyrektywy 2003/98 należy interpretować w ten sposób, że sprzeciwiają się one przepisom krajowym, które zezwalają organowi publicznemu prowadzącemu rejestr, w którym wpisywane są punkty karne nakładane na kierowców pojazdów za wykroczenia drogowe, na ujawnienie tych danych podmiotom gospodarczym w celu ponownego wykorzystania.

124 Jak podkreśla sąd odsyłający, pytanie to wynika z faktu, że CSDD zawiera z podmiotami gospodarczymi umowy, na podstawie których pierwsza z nich przekazuje tym drugim dane osobowe dotyczące punktów karnych wpisanych do krajowego rejestru pojazdów i ich kierowców, w szczególności w taki sposób, że każda osoba pragnąca dowiedzieć się o punktach karnych nałożonych na danego kierowcę może uzyskać te dane nie tylko od CSDD, lecz również od tych podmiotów gospodarczych.

125 Z odpowiedzi na pytanie drugie wynika, że przepisy RODO, a w szczególności art. 5 ust. 1, art. 6 ust. 1 lit. e) i art. 10 tego rozporządzenia, należy interpretować w ten sposób, że sprzeciwiają się one przepisom krajowym, które nakładają na organ publiczny prowadzący rejestr, w którym wpisywane są punkty karne nakładane na kierowców pojazdów za wykroczenia drogowe, obowiązek publicznego ujawniania tych danych, nie przewidują zaś obowiązku wykazania przez osobę żądającą dostępu szczególnego interesu w ich uzyskaniu.

126 Te same przepisy powinny być, z tych samych względów co te przywołane w odpowiedzi na pytanie drugie, interpretowane w ten sposób, że sprzeciwiają się one również przepisom krajowym, które upoważniają instytucję publiczną do ujawniania danych tego rodzaju o tym charakterze podmiotom gospodarczym, tak aby te podmioty mogły ponownie wykorzystać dane i ujawniać je publicznie.

127 Wreszcie, co się tyczy art. 1 ust. 2 lit. cc) dyrektywy 2003/98, również wskazanego w pytaniu trzecim, należy stwierdzić, że – jak wskazał rzecznik generalny w pkt 128 i 129 opinii – przepis ten nie ma znaczenia dla ustalenia, czy przepisy prawa Unii w dziedzinie ochrony danych osobowych sprzeciwiają się ustawodawstwu takiemu jak rozpatrywane w postępowaniu głównym.

128 Niezależnie bowiem od tego, czy dane dotyczące punktów karnych nałożonych na kierowców za wykroczenia drogowe wchodzą w zakres stosowania dyrektywy 2003/98, zakres ochrony tych danych powinien w każdym wypadku zostać określony na podstawie RODO, jak wynika to z jednej strony z motywu 154 tego rozporządzenia, a z drugiej strony z motywu 21 i art. 1 ust. 4 dyrektywy 2003/98 w związku z art. 94 ust. 2 RODO, ponieważ art. 1 ust. 4 tej dyrektywy przewiduje zasadniczo, że pozostawia ona nienaruszony – i w żaden sposób na niego nie wpływa –poziom ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych gwarantowany prawem Unii, a w szczególności nie zmienia zobowiązań i praw określonych w RODO.

129 W świetle powyższych rozważań na pytanie trzecie należy odpowiedzieć, że przepisy RODO, a w szczególności jego art. 5 ust. 1, art. 6 ust. 1 lit. e) i art. 10, należy interpretować w ten sposób, że sprzeciwiają się one przepisom krajowym, które zezwalają organowi publicznemu prowadzącemu rejestr, w którym wpisywane są punkty karne nakładane na kierowców pojazdów za wykroczenia drogowe, na ujawnianie tych danych podmiotom gospodarczym w celu ponownego wykorzystania.

W przedmiocie pytania czwartego

130 Poprzez pytanie czwarte sąd odsyłający dąży zasadniczo do ustalenia, czy zasadę pierwszeństwa prawa Unii należy interpretować w ten sposób, że sprzeciwia się ona temu, by trybunał konstytucyjny państwa członkowskiego, do którego wniesiono skargę na ustawodawstwo krajowe, które w świetle orzeczenia Trybunału wydanego w przedmiocie wniosku o wydanie orzeczenia w trybie prejudycjalnym okazuje się niezgodne z prawem Unii, postanowił w oparciu o zasadę pewności prawa, że skutki prawne tego ustawodawstwa zostaną utrzymane do dnia ogłoszenia przez ten sąd wyroku, którym ostatecznie rozstrzygnie on tę skargę konstytucyjną.

131 Jak wynika z postanowienia odsyłającego, pytanie to zostało zadane ze względu na dużą liczbę stosunków prawnych, na które oddziałuje uregulowanie krajowe będące przedmiotem postępowania głównego, oraz z uwagi na fakt, że na mocy art. 32 ust. 3 ustawy o trybunale konstytucyjnym i odnoszącego się do niego orzecznictwa sąd odsyłający, wykonując swoje zadanie polegające na zapewnieniu równowagi między zasadą pewności prawa a prawami podstawowymi zainteresowanych osób, może ograniczyć moc wsteczną swoich wyroków w celu uniknięcia poważnego naruszenia przez nie praw osób trzecich.

132 W tym względzie należy przypomnieć, że wykładnia przepisów prawa Unii dokonana przez Trybunał w ramach kompetencji przyznanej mu w art. 267 TFUE wyjaśnia i precyzuje znaczenie oraz zakres tych przepisów, tak jak należy lub należało je rozumieć i stosować od chwili ich wejścia w życie. Jedynie w wyjątkowych przypadkach Trybunał, stosując ogólną zasadę pewności prawa stanowiącą nieodłączną część porządku prawnego Unii, może uznać, że należy ograniczyć w odniesieniu do wszystkich zainteresowanych możliwość powołania się na przepis, którego wykładni dokonał, w celu podważenia stosunków prawnych nawiązanych w dobrej wierze. Aby tego rodzaju ograniczenie mogło mieć miejsce, winny zostać spełnione dwie istotne przesłanki, mianowicie dobra wiara zainteresowanych i ryzyko poważnych konsekwencji (wyroki: z dnia 6 marca 2007 r., Meilicke, C‑292/04, EU:C:2007:132, pkt 34, 35; z dnia 22 stycznia 2015 r., Balazs, C‑401/13 i C‑432/13, EU:C:2015:26, pkt 49, 50; a także z dnia 29 września 2015 r., Gmina Wrocław, C‑276/14, EU:C:2015:635, pkt 44, 45).

133 Zgodnie z utrwalonym orzecznictwem Trybunału tego rodzaju ograniczenie może być dopuszczone jedynie w tym samym wyroku, w którym Trybunał rozstrzyga w kwestii wykładni, o którą się do niego zwrócono. Musi bowiem istnieć tylko jedna chwila określenia skutków w czasie dokonywanej przez Trybunał na wniosek wykładni przepisu prawa Unii. Zasada, zgodnie z którą ograniczenie dopuszczalne jest jedynie w samym wyroku rozstrzygającym w kwestii wykładni, o którą się zwrócono, gwarantuje równość traktowania państw członkowskich i innych podmiotów prawa wspólnotowego oraz spełnia tym samym również wymagania wynikające z zasady pewności prawa (wyrok z dnia 6 marca 2007 r., Meilicke, C‑292/04, EU:C:2007:132, pkt 36, 37; zob. podobnie wyroki: z dnia 23 października 2012 r., Nelson i in., C‑581/10 i C‑629/10, EU:C:2012:657, pkt 91; a także z dnia 7 listopada 2018 r., O’Brien, C‑432/17, EU:C:2018:879, pkt 34).

134 W konsekwencji skutki czasowe orzeczenia wydanego przez Trybunał w przedmiocie odesłania prejudycjalnego nie mogą zależeć od daty wydania wyroku, w którym sąd odsyłający orzeka ostatecznie w sprawie w postępowaniu głównym, ani nawet od dokonanej przezeń oceny konieczności utrzymania skutków prawnych rozpatrywanego uregulowania krajowego.

135 Zgodnie z zasadą pierwszeństwa prawa Unii nie można bowiem dopuścić, by przepisy prawa krajowego, nawet rangi konstytucyjnej, naruszały jedność i skuteczność tego prawa (zob. podobnie wyroki: z dnia 26 lutego 2013 r., Melloni, C‑399/11, EU:C:2013:107, pkt 59; a także z dnia 29 lipca 2019 r., Pelham i in., C‑476/17, EU:C:2019:624, pkt 78). Nawet przy założeniu, że nadrzędne względy pewności prawa mogą prowadzić w drodze wyjątku do tymczasowego zawieszenia skutku wykluczającego wywieranego przez normę prawa Unii mającą bezpośrednie zastosowanie względem prawa krajowego, które jest z nią sprzeczne, warunki takiego zawieszenia mogą zostać określone wyłącznie przez Trybunał (zob. podobnie wyrok z dnia 8 września 2010 r., Winner Wetten, C‑409/06, EU:C:2010:503, pkt 61, 67).

136 Ponieważ w niniejszej sprawie istnienie ryzyka poważnych konsekwencji wynikających z wykładni przyjętej przez Trybunał w niniejszym wyroku nie zostało wykazane, nie ma podstaw do ograniczenia skutków tego wyroku w czasie, ponieważ kryteria przywołane w pkt 132 niniejszego wyroku są kumulatywne.

137 W świetle powyższych rozważań na pytanie czwarte należy odpowiedzieć, że zasadę pierwszeństwa prawa Unii należy interpretować w ten sposób, iż sprzeciwia się ona temu, by trybunał konstytucyjny państwa członkowskiego, do którego wniesiono skargę na ustawodawstwo krajowe, które w świetle orzeczenia Trybunału wydanego w przedmiocie wniosku o wydanie orzeczenia w trybie prejudycjalnym okazuje się niezgodne z prawem Unii, postanowił w oparciu o zasadę pewności prawa, że skutki prawne tego ustawodawstwa zostaną utrzymane do dnia ogłoszenia przez ten sąd wyroku, którym ostatecznie rozstrzygnie on tę skargę konstytucyjną.

W przedmiocie kosztów

138 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (wielka izba) orzeka, co następuje:

1) Artykuł 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że ma on zastosowanie do przetwarzania danych osobowych dotyczących punktów karnych nakładanych na kierowców pojazdów za wykroczenia drogowe.

2) Przepisy rozporządzenia (UE) 2016/679, a w szczególności jego art. 5 ust. 1, art. 6 ust. 1 lit. e) i art. 10, należy interpretować w ten sposób, że sprzeciwiają się one przepisom krajowym, które nakładają na organ publiczny prowadzący rejestr, w którym wpisywane są punkty karne nakładane na kierowców pojazdów za wykroczenia drogowe, obowiązek publicznego ujawniania tych danych, nie przewidują zaś obowiązku wykazania przez osobę żądającą dostępu szczególnego interesu w ich uzyskaniu.

3) Przepisy rozporządzenia (UE) 2016/679, a w szczególności jego art. 5 ust. 1, art. 6 ust. 1 lit. e) i art. 10, należy interpretować w ten sposób, że sprzeciwiają się one przepisom krajowym, które zezwalają organowi publicznemu prowadzącemu rejestr, w którym wpisywane są punkty karne nakładane na kierowców pojazdów za wykroczenia drogowe, na ujawnianie tych danych podmiotom gospodarczym w celu ponownego wykorzystania.

4) Zasadę pierwszeństwa prawa Unii należy interpretować w ten sposób, że sprzeciwia się ona temu, by trybunał konstytucyjny państwa członkowskiego, do którego wniesiono skargę na ustawodawstwo krajowe, które w świetle orzeczenia Trybunału wydanego w przedmiocie wniosku o wydanie orzeczenia w trybie prejudycjalnym okazuje się niezgodne z prawem Unii, postanowił w oparciu o zasadę pewności prawa, że skutki prawne tego ustawodawstwa zostaną utrzymane do dnia ogłoszenia przez ten sąd wyroku, którym ostatecznie rozstrzygnie on tę skargę konstytucyjną.

Podpisy

* Język postępowania: łotewski.