ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (πέμπτο τμήμα)
της 24ης Φεβρουαρίου 2022 (*)
«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 2 – Πεδίο εφαρμογής – Άρθρο 4 – Έννοια της “επεξεργασίας” – Άρθρο 5 – Αρχές που διέπουν την επεξεργασία – Περιορισμός του σκοπού – Ελαχιστοποίηση των δεδομένων – Άρθρο 6 – Νομιμότητα της επεξεργασίας – Επεξεργασία απαραίτητη για την εκπλήρωση καθήκοντος το οποίο εκτελείται προς το δημόσιο συμφέρον και το οποίο έχει ανατεθεί στον υπεύθυνο επεξεργασίας – Επεξεργασία απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας – Άρθρο 23 – Περιορισμοί – Επεξεργασία των δεδομένων για φορολογικούς σκοπούς – Αίτημα κοινολόγησης πληροφοριών σχετικών με αγγελίες για πώληση οχημάτων οι οποίες έχουν αναρτηθεί στο διαδίκτυο – Αναλογικότητα»
Στην υπόθεση C‑175/20,
με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Administratīvā apgabaltiesa (δευτεροβάθμιο διοικητικό δικαστήριο, Λεττονία) με απόφαση της 11ης Μαρτίου 2020, η οποία περιήλθε στο Δικαστήριο στις 14 Απριλίου 2020, στο πλαίσιο της δίκης
«SS» SIA
κατά
Valsts ieņēmumu dienests,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (πέμπτο τμήμα),
συγκείμενο από τους E. Regan, πρόεδρο τμήματος, K. Lenaerts, Πρόεδρο του Δικαστηρίου, ασκούντα καθήκοντα δικαστή του πέμπτου τμήματος, Κ. Λυκούργο, πρόεδρο του τετάρτου τμήματος, I. Jarukaitis και M. Ilešič (εισηγητή), δικαστές,
γενικός εισαγγελέας: M. Bobek
γραμματέας: A. Calot Escobar
έχοντας υπόψη την έγγραφη διαδικασία,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
– η «SS» SIA, εκπροσωπούμενη από τον M. Ruķers,
– η Λεττονική Κυβέρνηση, εκπροσωπούμενη αρχικώς από τις K. Pommere, V. Soņeca και L. Juškeviča, εν συνεχεία από την K. Pommere,
– η Βελγική Κυβέρνηση, εκπροσωπούμενη από τους J.-C. Halleux και P. Cottin, επικουρούμενους από τον C. Molitor, avocat,
– η Ελληνική Κυβέρνηση, εκπροσωπούμενη από τις Ε.-Μ. Μαμούνα και O. Πατσοπούλου,
– η Ισπανική Κυβέρνηση, εκπροσωπούμενη αρχικώς από τους J. Rodríguez de la Rúa Puig και S. Jiménez García, εν συνεχεία από τον J. Rodríguez de la Rúa Puig,
– η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη αρχικώς από τους H. Kranenborg και D. Nardi, καθώς και από την I. Rubene, εν συνεχεία από τον H. Kranenborg και την I. Rubene,
αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 2ας Σεπτεμβρίου 2021,
εκδίδει την ακόλουθη
Απόφαση
1 Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, και διορθωτικό ΕΕ 2018, L 127, σ. 2), και ιδίως την ερμηνεία του άρθρου 5, παράγραφος 1, αυτού.
2 Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ της «SS» SIA και της Valsts ieņēmumu dienests (φορολογικής αρχής, Λεττονία) (στο εξής: λεττονική φορολογική αρχή), με αντικείμενο αίτημα κοινολόγησης πληροφοριών σχετικών με αγγελίες για πώληση οχημάτων οι οποίες είχαν αναρτηθεί στον ιστότοπο της SS.
Το νομικό πλαίσιο
Το δίκαιο της Ένωσης
O κανονισμός 2016/679
3 Ο κανονισμός 2016/679, ο οποίος έχει ως νομική βάση το άρθρο 16 ΣΛΕΕ, τέθηκε σε εφαρμογή, δυνάμει του άρθρου του 99, παράγραφος 2, από τις 25 Μαΐου 2018.
4 Οι αιτιολογικές σκέψεις 1, 4, 10, 19, 26, 31, 39, 41 και 50 του Κανονισμού έχουν ως εξής:
«(1) Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (“Χάρτης”) και το άρθρο 16 παράγραφος 1 [ΣΛΕΕ] ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.
[…]
(4) Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα πρέπει να προορίζεται να εξυπηρετεί τον άνθρωπο. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα· πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας. Ο παρών κανονισμός σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις ελευθερίες και αρχές που αναγνωρίζονται στον Χάρτη όπως κατοχυρώνονται στις Συνθήκες, ιδίως τον σεβασμό της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και των επικοινωνιών, την προστασία των δεδομένων προσωπικού χαρακτήρα, την ελευθερία σκέψης, συνείδησης και θρησκείας, την ελευθερία έκφρασης και πληροφόρησης, την επιχειρηματική ελευθερία, το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου και την πολιτιστική, θρησκευτική και γλωσσική πολυμορφία.
[…]
(10) Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. […]
[…]
(19) Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους και της ελεύθερης κυκλοφορίας των δεδομένων αυτών, αποτελεί το αντικείμενο ειδικής ενωσιακής νομικής πράξης. Ο παρών κανονισμός δεν θα πρέπει συνεπώς να εφαρμόζεται σε δραστηριότητες επεξεργασίας για τους σκοπούς αυτούς. Ωστόσο, τα δεδομένα προσωπικού χαρακτήρα που υφίστανται επεξεργασία από δημόσιες αρχές βάσει του παρόντος κανονισμού θα πρέπει, όταν χρησιμοποιούνται για αυτούς τους σκοπούς, να ρυθμίζονται από ειδικότερη ενωσιακή νομική πράξη, δηλαδή την οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου[, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της αποφάσεως-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ 2016, L 119, σ. 89)]. […]
[…]
(26) Οι αρχές της προστασίας δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. […] Για να κριθεί κατά πόσον ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν, όπως για παράδειγμα ο διαχωρισμός του, είτε από τον υπεύθυνο επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου. […]
[…]
(31) Οι δημόσιες αρχές στις οποίες κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με νομική υποχρέωση για την άσκηση των επίσημων καθηκόντων τους, όπως φορολογικές και τελωνειακές αρχές, μονάδες οικονομικής έρευνας, ανεξάρτητες διοικητικές αρχές ή αρχές χρηματοπιστωτικών αγορών που είναι αρμόδιες για τη ρύθμιση και την εποπτεία των αγορών κινητών αξιών δεν θα πρέπει να θεωρηθούν αποδέκτες, εάν λαμβάνουν δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τη διενέργεια ειδικής έρευνας για το γενικό συμφέρον, σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους. Τα αιτήματα κοινολόγησης που αποστέλλονται από δημόσιες αρχές θα πρέπει να είναι πάντα γραπτά, αιτιολογημένα και σύμφωνα με την περίσταση και δεν θα πρέπει να αφορούν το σύνολο ενός συστήματος αρχειοθέτησης ή να οδηγούν στη διασύνδεση των συστημάτων αρχειοθέτησης. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις εν λόγω δημόσιες αρχές θα πρέπει να συμμορφώνεται προς τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας.
[…]
(39) […] Η αρχή αυτή απαιτεί κάθε πληροφορία και ανακοίνωση σχετικά με την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιεί σαφή και απλή γλώσσα. Αυτή η αρχή αφορά ιδίως την ενημέρωση των υποκειμένων των δεδομένων σχετικά με την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας και την περαιτέρω ενημέρωση ώστε να διασφαλιστεί δίκαιη και διαφανής επεξεργασία σε σχέση με τα εν λόγω φυσικά πρόσωπα και το δικαίωμά τους να λαμβάνουν επιβεβαίωση και να επιτυγχάνουν ανακοίνωση των σχετικών με αυτά δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία. Θα πρέπει να γνωστοποιείται στα φυσικά πρόσωπα η ύπαρξη κινδύνων, κανόνων, εγγυήσεων και δικαιωμάτων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και πώς να ασκούν τα δικαιώματά τους σε σχέση με την επεξεργασία αυτή. Ιδίως, οι συγκεκριμένοι σκοποί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σαφείς, νόμιμοι και προσδιορισμένοι κατά τον χρόνο συλλογής των δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι επαρκή και συναφή και να περιορίζονται στα αναγκαία για τους σκοπούς της επεξεργασίας τους. Αυτό απαιτεί ειδικότερα να διασφαλίζεται ότι το διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα [θ]α περιορίζεται στο ελάχιστο δυνατό. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία μόνο εάν ο σκοπός της επεξεργασίας δεν μπορεί να επιτευχθεί με άλλα μέσα. […]
[…]
(41) Οποτεδήποτε ο παρών κανονισμός αναφέρεται σε νομική βάση ή νομοθετικό μέτρο, αυτό δεν προϋποθέτει απαραιτήτως νομοθετική πράξη εγκεκριμένη από ένα κοινοβούλιο, με την επιφύλαξη των απαιτήσεων σύμφωνα με τη συνταγματική τάξη του συγκεκριμένου κράτους μέλους. Ωστόσο, αυτή η νομική βάση ή το νομοθετικό μέτρο θα πρέπει να είναι διατυπωμένο με σαφήνεια και ακρίβεια και η εφαρμογή του να είναι προβλέψιμη για πρόσωπα που υπόκεινται σε αυτό, σύμφωνα με τη νομολογία του Δικαστηρίου […] και του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου.
[…]
(50) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους από εκείνους για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά θα πρέπει να επιτρέπεται μόνο εφόσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά. Σε αυτήν την περίπτωση, δεν απαιτείται νομική βάση χωριστή από εκείνη που επέτρεψε τη συλλογή των δεδομένων προσωπικού χαρακτήρα. Εάν η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να καθορίζει και να προσδιορίζει τα καθήκοντα και τους σκοπούς για τους οποίους πρέπει να θεωρείται συμβατή και σύννομη η περαιτέρω επεξεργασία. Η περαιτέρω επεξεργασία για λόγους αρχειοθέτησης που άπτονται του δημόσιου συμφέροντος, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς θα πρέπει να θεωρείται συμβατή σύννομη πράξη επεξεργασίας. Η νομική βάση που προβλέπεται από το δίκαιο της Ένωσης ή κράτους μέλους για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα μπορεί επίσης να συνιστά τη νομική βάση για την περαιτέρω επεξεργασία. Για να εξακριβωθεί αν ο σκοπός της περαιτέρω επεξεργασίας είναι συμβατός με τον σκοπό της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, εφόσον πληροί όλες τις απαιτήσεις για τη νομιμότητα της αρχικής επεξεργασίας, θα πρέπει να λάβει υπόψη, μεταξύ άλλων: τυχόν συνδέσμους μεταξύ των σκοπών αυτών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας· το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους· τη φύση των δεδομένων προσωπικού χαρακτήρα· τις συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων· και την ύπαρξη κατάλληλων εγγυήσεων τόσο για τις αρχικές όσο και τις σκοπούμενες πράξεις περαιτέρω επεξεργασίας.»
5 Το άρθρο 2 του κανονισμού 2016/679, το οποίο επιγράφεται «Ουσιαστικό πεδίο εφαρμογής», ορίζει τα εξής:
«1. Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
2. Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:
α) στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης,
β) από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου 2 του τίτλου V της ΣΕΕ,
γ) από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας,
δ) από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.
[…]»
6 Το άρθρο 4 του κανονισμού αυτού, το οποίο τιτλοφορείται «Ορισμοί», προβλέπει τα ακόλουθα:
«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:
1) “δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (“υποκείμενο των δεδομένων”)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
2) “επεξεργασία”: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
[…]
6) “σύστημα αρχειοθέτησης”: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,
7) “υπεύθυνος επεξεργασίας”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· […]
[…]
9) “αποδέκτης”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,
[…]».
7 Κατά το άρθρο 5 του εν λόγω κανονισμού, το οποίο φέρει τον τίτλο «Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα»:
«1. Τα δεδομένα προσωπικού χαρακτήρα:
α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων (“νομιμότητα, αντικειμενικότητα και διαφάνεια”),
β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· […] (“περιορισμός του σκοπού”),
γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία (“ελαχιστοποίηση των δεδομένων”),
δ) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας (“ακρίβεια”),
ε) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· […] (“περιορισμός της περιόδου αποθήκευσης”),
στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων (“ακεραιότητα και εμπιστευτικότητα”).
2. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (“λογοδοσία”).»
8 Το άρθρο 6 του ίδιου κανονισμού, το οποίο επιγράφεται «Νομιμότητα της επεξεργασίας», ορίζει τα εξής:
«1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
α) το υποκείμενο των δεδομένων έχει παράσχει συγκατάθεση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.
2. Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν πιο ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού όσον αφορά την επεξεργασία για τη συμμόρφωση με την παράγραφο 1 στοιχεία γ) και ε), καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και άλλα μέτρα προς εξασφάλιση σύννομης και θεμιτής επεξεργασίας, μεταξύ άλλων για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ.
3. Η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) ορίζεται σύμφωνα με:
α) το δίκαιο της Ένωσης, ή
β) το δίκαιο του κράτους μέλος στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.
Ο σκοπός της επεξεργασίας καθορίζεται στην εν λόγω νομική βάση ή, όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε), είναι η αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. […] Το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο νόμιμο σκοπό.
4. Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 παράγραφος 1, ο υπεύθυνος επεξεργασίας, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, μεταξύ άλλων:
α) τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας,
β) το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπευθύνου επεξεργασίας,
γ) τη φύση των δεδομένων προσωπικού χαρακτήρα, ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 9, ή κατά πόσο δεδομένα προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 10,
δ) τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων,
ε) την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση.»
9 Κατά το άρθρο 13, παράγραφος 3, του κανονισμού 2016/679:
«Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για άλλο σκοπό από εκείνο για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2.»
10 Το άρθρο 14 του κανονισμού αυτού προβλέπει τα εξής:
«1. Όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες:
[…]
γ) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,
[…]
5. Οι παράγραφοι 1 έως 4 δεν εφαρμόζονται εάν και εφόσον:
[…]
γ) η απόκτηση ή η κοινολόγηση προβλέπεται ρητώς από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο παρέχει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων […]
[…]».
11 Κατά το άρθρο 23, παράγραφος 1, στοιχείο εʹ, του εν λόγω κανονισμού:
«Το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία των δεδομένων μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στα άρθρα 12 έως 22 και στο άρθρο 34, καθώς και στο άρθρο 5, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 12 έως 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:
[…]
ε) άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης,
[…]».
12 Το άρθρο 25, παράγραφος 2, του κανονισμού 2016/679 ορίζει τα ακόλουθα:
«Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.»
Η οδηγία 2016/680
13 Οι αιτιολογικές σκέψεις 10 και 11 της οδηγίας 2016/680 έχουν ως εξής:
«(10) Στη δήλωση αριθ. 21 σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, η οποία προσαρτάται στην Τελική Πράξη της διακυβερνητικής διάσκεψης η οποία υιοθέτησε τη Συνθήκη της Λισαβόνας, η διάσκεψη αναγνωρίζει ότι, λόγω της ιδιαίτερης φύσης των εν λόγω τομέων, ενδέχεται να απαιτηθούν ειδικοί κανόνες σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία τους στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, βάσει του άρθρου 16 ΣΛΕΕ.
(11) Ενδείκνυται, επομένως, οι εν λόγω τομείς να διέπονται από μια οδηγία η οποία θεσπίζει ειδικούς κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από τις απειλές κατά της δημόσιας ασφαλείας και της αποτροπής τους, με σεβασμό της ειδικής φύσης των εν λόγω δραστηριοτήτων. Στις εν λόγω αρμόδιες αρχές θα πρέπει να περιλαμβάνονται όχι μόνο δημόσιες αρχές, όπως οι δικαστικές αρχές, η αστυνομία ή άλλες αρχές επιβολής του νόμου, αλλά και οποιοσδήποτε άλλος φορέας ή οποιαδήποτε οντότητα στα οποία δίκαιο κράτους μέλους αναθέτει την άσκηση δημόσιας αρχής και την άσκηση δημόσιων εξουσιών για τους σκοπούς της παρούσας οδηγίας. Όταν ένας τέτοιος φορέας ή οντότητα επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για σκοπούς άλλους από αυτούς της παρούσας οδηγίας, εφαρμόζεται ο κανονισμός [2016/679]. Ο κανονισμός [2016/679], ως εκ τούτου, εφαρμόζεται στις περιπτώσεις όπου φορέας ή οντότητα συλλέγει δεδομένα προσωπικού χαρακτήρα για άλλους σκοπούς και επεξεργάζεται περαιτέρω τα εν λόγω δεδομένα προκειμένου να συμμορφωθεί σε νομική υποχρέωση στην οποία υπόκειται. […]»
14 Το άρθρο 3 της οδηγίας αυτής προβλέπει τα εξής:
«Για τους σκοπούς της παρούσας οδηγίας νοούνται ως:
[…]
7. “αρμόδια αρχή”:
α) κάθε δημόσια αρχή αρμόδια για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους· ή
β) κάθε άλλος οργανισμός ή φορέας στον οποίο το δίκαιο κράτους μέλους αναθέτει ρόλο δημόσιας αρχής και την εκτέλεση δημόσιων εξουσιών για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους·
[…]».
Το λεττονικό δίκαιο
15 Δυνάμει του άρθρου 15, παράγραφος 6, του likums «Par nodokļiem un nodevām» (νόμου περί φόρων και τελών, Latvijas Vēstnesis, 1995, αριθ. 26), όπως ίσχυε κατά τον χρόνο των πραγματικών περιστατικών της διαφοράς της κύριας δίκης (στο εξής: νόμος περί φόρων και τελών), ο πάροχος υπηρεσιών δημοσίευσης αγγελιών στο διαδίκτυο είναι υποχρεωμένος να παρέχει, κατόπιν αιτήματος της λεττονικής φορολογικής αρχής, τις πληροφορίες τις οποίες διαθέτει αναφορικά με τους φορολογουμένους που έχουν δημοσιεύσει αγγελίες κάνοντας χρήση των υπηρεσιών του.
Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
16 Η SS είναι πάροχος υπηρεσιών δημοσίευσης αγγελιών στο διαδίκτυο, με έδρα τη Λεττονία.
17 Στις 28 Αυγούστου 2018, η λεττονική φορολογική αρχή απέστειλε στην SS αίτημα κοινολόγησης βάσει του άρθρου 15, παράγραφος 6, του νόμου περί φόρων και τελών, με το οποίο την κάλεσε να αποκαταστήσει την πρόσβαση της φορολογικής αρχής στους αριθμούς κυκλοφορίας των οχημάτων σε σχέση με τα οποία είχε δημοσιευθεί αγγελία στη διαδικτυακή πύλη της, καθώς και στους αριθμούς τηλεφώνου των πωλητών, και να της παράσχει, το αργότερο στις 3 Σεπτεμβρίου 2018, πληροφορίες σχετικές με τις αγγελίες οι οποίες είχαν δημοσιευθεί στην ενότητα με τίτλο «Επιβατικά Αυτοκίνητα» της διαδικτυακής πύλης της κατά το χρονικό διάστημα μεταξύ 14ης Ιουλίου και 31ης Αυγούστου 2018.
18 Στο αίτημα διευκρινιζόταν ότι οι πληροφορίες αυτές, οι οποίες περιλάμβαναν τον υπερσύνδεσμο της αγγελίας, το κείμενο της αγγελίας, το σήμα, το μοντέλο, τον αριθμό κυκλοφορίας και την τιμή του οχήματος, καθώς και τον αριθμό τηλεφώνου του πωλητή, έπρεπε να υποβληθούν ηλεκτρονικώς, σε μορφή που να επιτρέπει το φιλτράρισμα ή την επιλογή των δεδομένων.
19 Επιπλέον, σε περίπτωση που η πρόσβαση στις πληροφορίες οι οποίες περιέχονταν στις δημοσιευθείσες στην επίμαχη διαδικτυακή πύλη αγγελίες δεν ήταν δυνατόν να αποκατασταθεί, η SS καλούνταν να εξηγήσει για ποιον λόγο, καθώς και να παρέχει, το αργότερο την τρίτη ημέρα του κάθε μήνα, τις κρίσιμες πληροφορίες όσον αφορά τις αγγελίες που θα είχαν δημοσιευθεί τον προηγούμενο μήνα.
20 Εκτιμώντας ότι το αίτημα κοινολόγησης της λεττονικής φορολογικής αρχής δεν ήταν σύμφωνο προς τις αρχές της αναλογικότητας και της ελαχιστοποίησης των δεδομένων προσωπικού χαρακτήρα, οι οποίες κατοχυρώνονται στον κανονισμό 2016/679, η SS άσκησε διοικητική προσφυγή ενώπιον του αναπληρωτή γενικού διευθυντή της λεττονικής φορολογικής αρχής.
21 Με απόφαση της 30ής Οκτωβρίου 2018, ο τελευταίος απέρριψε τη διοικητική προσφυγή με την αιτιολογία, μεταξύ άλλων, ότι, στο πλαίσιο της επίμαχης στην κύρια δίκη επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, η λεττονική φορολογική αρχή ασκούσε τις εξουσίες που της απονέμονται από τον νόμο.
22 Η SS προσέφυγε ενώπιον του administratīvā rajona tiesa (πρωτοβάθμιου διοικητικού δικαστηρίου, Λεττονία) ζητώντας την ακύρωση της ανωτέρω αποφάσεως. Πέραν των επιχειρημάτων που είχε προβάλει με τη διοικητική προσφυγή, η SS υποστήριξε ότι η εν λόγω απόφαση, κατά παράβαση του άρθρου 5, παράγραφος 1, του κανονισμού 2016/679, δεν προσδιόριζε ούτε τον συγκεκριμένο σκοπό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στην οποία θα προέβαινε η λεττονική φορολογική αρχή ούτε τον όγκο των αναγκαίων για την επεξεργασία δεδομένων.
23 Με απόφαση της 21ης Μαΐου 2019, το administratīvā rajona tiesa (πρωτοβάθμιο διοικητικό δικαστήριο) απέρριψε την προσφυγή με το σκεπτικό, κατ’ ουσίαν, ότι η λεττονική φορολογική αρχή είχε δικαίωμα να ζητήσει πρόσβαση σε απεριόριστο όγκο πληροφοριών για οποιοδήποτε πρόσωπο, εκτός εάν κρινόταν ότι οι επίμαχες πληροφορίες δεν συμβιβάζονταν με τον σκοπό της είσπραξης του φόρου. Το ανωτέρω δικαστήριο έκρινε, εξάλλου, ότι οι διατάξεις του κανονισμού 2016/679 δεν έχουν εφαρμογή έναντι της φορολογικής Διοίκησης.
24 Η SS άσκησε έφεση κατά της πρωτόδικης αποφάσεως ενώπιον του αιτούντος δικαστηρίου προβάλλοντας, αφενός, ότι η λεττονική φορολογική αρχή υπέκειτο στις διατάξεις του κανονισμού 2016/679 και, αφετέρου, ότι η αρχή αυτή παραβίασε την αρχή της αναλογικότητας, ζητώντας σε μηνιαία βάση και άνευ χρονικού περιορισμού σημαντικό όγκο δεδομένων προσωπικού χαρακτήρα σε σχέση με απεριόριστο αριθμό αγγελιών, δίχως δε να προσδιορίζει για ποιους φορολογουμένους διενεργείται φορολογικός έλεγχος.
25 Το αιτούν δικαστήριο επισημαίνει ότι, στο πλαίσιο της διαφοράς της κύριας δίκης, δεν αμφισβητείται ούτε ότι η εκτέλεση του επίμαχου αιτήματος κοινολόγησης συνδέεται άρρηκτα με επεξεργασία δεδομένων προσωπικού χαρακτήρα ούτε ότι η λεττονική φορολογική αρχή έχει το δικαίωμα να αποκτά πληροφορίες που έχει στη διάθεσή του πάροχος υπηρεσιών δημοσίευσης αγγελιών στο διαδίκτυο και είναι αναγκαίες για την εκτέλεση ειδικών μέτρων σχετικών με την είσπραξη του φόρου.
26 Η διαφορά της κύριας δίκης αφορά τον όγκο και το είδος των πληροφοριών τις οποίες μπορεί να ζητήσει η λεττονική φορολογική αρχή, το κατά πόσον αυτές μπορούν να είναι απεριόριστες ή πρέπει να είναι περιορισμένες, καθώς και το ζήτημα εάν η υποχρέωση κοινολόγησης στην οποία υπόκειται η SS πρέπει να είναι χρονικά οριοθετημένη.
27 Ειδικότερα, το αιτούν δικαστήριο εκτιμά ότι σε αυτό εναπόκειται να κρίνει εάν, υπό τις περιστάσεις της υπόθεσης της κύριας δίκης, η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται με διαφανή τρόπο σε σχέση με τα υποκείμενα των δεδομένων, εάν οι πληροφορίες που προσδιορίζονται στο επίμαχο αίτημα κοινολόγησης ζητούνται για καθορισμένους, ρητούς και νόμιμους σκοπούς και εάν τα δεδομένα προσωπικού χαρακτήρα υπόκεινται σε επεξεργασία μόνο στον βαθμό που αυτή είναι πράγματι αναγκαία για την άσκηση των καθηκόντων της λεττονικής φορολογικής αρχής, κατά την έννοια του άρθρου 5, παράγραφος 1, του κανονισμού 2016/679.
28 Για τον σκοπό αυτόν, είναι αναγκαίο να προσδιοριστούν τα κριτήρια βάσει των οποίων μπορεί να εκτιμηθεί εάν ένα αίτημα κοινολόγησης που υποβάλλεται από τη λεττονική φορολογική αρχή σέβεται την ουσία των θεμελιωδών ελευθεριών και δικαιωμάτων και εάν το επίμαχο στην κύρια δίκη αίτημα κοινολόγησης μπορεί να θεωρηθεί αναγκαίο και αναλογικό σε μια δημοκρατική κοινωνία, προς διασφάλιση, αφενός, σημαντικών στόχων της Ένωσης και, αφετέρου, των δημοσίων συμφερόντων της Λεττονίας στον δημοσιονομικό και φορολογικό τομέα.
29 Υπό τις συνθήκες αυτές, το Administratīvā apgabaltiesa (δευτεροβάθμιο διοικητικό δικαστήριο, Λεττονία) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«1) Πρέπει οι απαιτήσεις του κανονισμού [2016/679] να ερμηνευθούν υπό την έννοια ότι ένα αίτημα φορολογικής αρχής για την κοινολόγηση δεδομένων, όπως το επίμαχο στην κύρια δίκη, με το οποίο ζητείται η παροχή σημαντικού όγκου δεδομένων προσωπικού χαρακτήρα, πρέπει να πληροί τις απαιτήσεις του κανονισμού [2016/679] (ιδίως του άρθρου 5, παράγραφος 1);
2) Πρέπει οι απαιτήσεις του κανονισμού [2016/679] να ερμηνευθούν υπό την έννοια ότι η φορολογική αρχή μπορεί να αποκλίνει από τις διατάξεις του άρθρου 5, παράγραφος 1, του κανονισμού [2016/679], ακόμη και εάν η ισχύουσα στη Λεττονία νομοθεσία δεν παρέχει στην εν λόγω αρχή τέτοιο δικαίωμα;
3) Μπορεί να θεωρηθεί, υπό το πρίσμα των απαιτήσεων του κανονισμού [2016/679], ότι υπάρχει θεμιτός σκοπός που δικαιολογεί την υποχρέωση η οποία επιβάλλεται από αίτημα κοινολογήσεως όπως το επίμαχο στην υπό κρίση υπόθεση, περί παροχής όλων των ζητούμενων πληροφοριών χωρίς περιορισμό ως προς τον όγκο τους και για απροσδιόριστη χρονική περίοδο, δίχως δε να ορίζεται μέχρι πότε θα πρέπει να εκτελείται αίτημα κοινολογήσεως;
4) Μπορεί να θεωρηθεί, υπό το πρίσμα των απαιτήσεων του κανονισμού [2016/679], ότι υπάρχει θεμιτός σκοπός που δικαιολογεί την υποχρέωση, η οποία επιβάλλεται από αίτημα κοινολογήσεως, όπως το επίμαχο στην υπό κρίση υπόθεση, περί παροχής όλων των δεδομένων που ζητούνται, ακόμη και όταν στο αίτημα κοινολογήσεως δεν αναφέρεται (ή δεν αναφέρεται πλήρως) ο σκοπός της κοινολογήσεως των πληροφοριών;
5) Μπορεί να θεωρηθεί, υπό το πρίσμα των απαιτήσεων του κανονισμού [2016/679], ότι υπάρχει θεμιτός σκοπός που δικαιολογεί την υποχρέωση, η οποία επιβάλλεται από αίτημα κοινολογήσεως, όπως το επίμαχο στην υπό κρίση υπόθεση, περί παροχής όλων των δεδομένων που ζητούνται, ακόμη και όταν, στην πράξη, αυτό αφορά ανεξαιρέτως όλα τα πρόσωπα που έχουν δημοσιεύσει αγγελίες στην ενότητα “Επιβατικά Αυτοκίνητα” μιας ηλεκτρονικής πύλης;
6) Ποια κριτήρια πρέπει να εφαρμόζονται προκειμένου να εξακριβωθεί εάν η φορολογική αρχή, ενεργώντας ως υπεύθυνη επεξεργασίας, εγγυάται επαρκώς ότι η επεξεργασία (συμπεριλαμβανομένης και της συλλογής πληροφοριών) πραγματοποιείται σύμφωνα με τις απαιτήσεις του κανονισμού [2016/679];
7) Ποια κριτήρια πρέπει να εφαρμόζονται προκειμένου να εξακριβωθεί εάν ένα αίτημα κοινολογήσεως, όπως το επίμαχο στην υπό κρίση υπόθεση, είναι δεόντως αιτιολογημένο και έχει περιστασιακό χαρακτήρα;
8) Ποια κριτήρια πρέπει να εφαρμόζονται προκειμένου να εξακριβωθεί εάν τα δεδομένα προσωπικού χαρακτήρα υπόκεινται σε επεξεργασία μόνο στον αναγκαίο βαθμό και με τρόπο συμβατό προς τις απαιτήσεις του κανονισμού [2016/679];
9) Ποια κριτήρια πρέπει να εφαρμόζονται προκειμένου να εξακριβωθεί εάν η φορολογική αρχή, ενεργώντας ως υπεύθυνη επεξεργασίας, εγγυάται ότι η επεξεργασία δεδομένων πραγματοποιείται σύμφωνα με τις απαιτήσεις του άρθρου 5, παράγραφος 1, του κανονισμού [2016/679] (λογοδοσία);»
Επί των προδικαστικών ερωτημάτων
Επί του πρώτου προδικαστικού ερωτήματος
30 Με το πρώτο ερώτημά του, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί εάν οι διατάξεις του κανονισμού 2016/679 έχουν την έννοια ότι, όταν η φορολογική αρχή κράτους μέλους συλλέγει από οικονομικό φορέα πληροφορίες οι οποίες περιέχουν σημαντικό όγκο δεδομένων προσωπικού χαρακτήρα, η συλλογή τους υπόκειται στις απαιτήσεις του κανονισμού, ιδίως δε σε εκείνες του άρθρου 5, παράγραφος 1.
31 Προκειμένου να δοθεί απάντηση στο ανωτέρω ερώτημα, πρέπει να εξεταστεί εάν ένα τέτοιο αίτημα, πρώτον, εμπίπτει στο καθ’ ύλην πεδίο εφαρμογής του κανονισμού 2016/679, όπως αυτό ορίζεται στο άρθρο 2, παράγραφος 1, και, δεύτερον, συγκαταλέγεται στις περιπτώσεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα οι οποίες αποκλείονται από το εν λόγω πεδίο εφαρμογής, δυνάμει του άρθρου 2, παράγραφος 2, του κανονισμού.
32 Πρώτον, κατά το άρθρο 2, παράγραφος 1, του κανονισμού 2016/679, ο κανονισμός εφαρμόζεται τόσο στην αυτοματοποιημένη, εν όλω ή εν μέρει, όσο και στη μη αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, που περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
33 Το άρθρο 4, σημείο 1, του κανονισμού 2016/679 ορίζει ότι ως «δεδομένα προσωπικού χαρακτήρα» νοούνται όλες οι πληροφορίες που αφορούν ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, δηλαδή φυσικό πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως σε όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του συγκεκριμένου φυσικού προσώπου. Στην αιτιολογική σκέψη 26 του κανονισμού επισημαίνεται ειδικότερα ότι, για να κριθεί κατά πόσον ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν είτε από τον υπεύθυνο επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου.
34 Στο πλαίσιο της διαφοράς της κύριας δίκης, δεν αμφισβητείται ότι οι πληροφορίες των οποίων την κοινολόγηση ζητεί η λεττονική φορολογική αρχή συνιστούν δεδομένα προσωπικού χαρακτήρα κατά την έννοια του άρθρου 4, σημείο 1, του κανονισμού 2016/679.
35 Βάσει του άρθρου 4, σημείο 2, του κανονισμού 2016/679, η συλλογή, η αναζήτηση πληροφοριών, η κοινολόγηση με διαβίβαση, καθώς και κάθε μορφή διάθεσης δεδομένων προσωπικού χαρακτήρα συνιστούν μορφές «επεξεργασίας» κατά την έννοια του κανονισμού. Από το γράμμα της ως άνω διατάξεως, και ιδίως από την έκφραση «κάθε πράξη», προκύπτει ότι ο νομοθέτης της Ένωσης θέλησε να προσδώσει ευρύ περιεχόμενο στην έννοια της «επεξεργασίας». Το συμπέρασμα αυτό επιβεβαιώνεται από το γεγονός ότι η απαρίθμηση των πράξεων στην εν λόγω διάταξη είναι ενδεικτική, όπερ καθίσταται σαφές από τη χρήση της λέξης «όπως».
36 Εν προκειμένω, η λεττονική φορολογική αρχή απαιτεί από τον οικείο οικονομικό φορέα να αποκαταστήσει την πρόσβαση των υπηρεσιών της στους αριθμούς κυκλοφορίας των οχημάτων σε σχέση με τα οποία έχει δημοσιευθεί αγγελία στη διαδικτυακή του πύλη και να της παράσχει πληροφορίες σχετικές με τις δημοσιευθείσες στη διαδικτυακή πύλη αγγελίες.
37 Τέτοιο αίτημα, με το οποίο η φορολογική αρχή κράτους μέλους καλεί οικονομικό φορέα να κοινολογήσει και να παράσχει δεδομένα προσωπικού χαρακτήρα τα οποία ο τελευταίος είναι υποχρεωμένος, δυνάμει της εθνικής ρυθμίσεως του αντίστοιχου κράτους μέλους, να παράσχει και να θέσει στη διάθεσή της, σηματοδοτεί την έναρξη της διαδικασίας «συλλογής» των δεδομένων αυτών, κατά την έννοια του άρθρου 4, σημείο 2, του κανονισμού 2016/679.
38 Εξάλλου, η κοινολόγηση και η παροχή των δεδομένων από τον οικείο οικονομικό φορέα στην ανωτέρω αρχή συνεπάγονται «επεξεργασία» κατά την έννοια του προαναφερθέντος άρθρου 4, σημείο 2.
39 Δεύτερον, πρέπει να εξεταστεί εάν η πράξη με την οποία η φορολογική αρχή κράτους μέλους επιδιώκει να συλλέξει από οικονομικό φορέα τα δεδομένα προσωπικού χαρακτήρα που αφορούν ορισμένους φορολογουμένους μπορεί να θεωρηθεί ότι εξαιρείται από το πεδίο εφαρμογής του κανονισμού 2016/679 δυνάμει του άρθρου 2, παράγραφος 2, του κανονισμού αυτού.
40 Συναφώς, υπενθυμίζεται, καταρχάς, ότι η συγκεκριμένη διάταξη προβλέπει εξαιρέσεις από το πεδίο εφαρμογής του ως άνω κανονισμού, όπως αυτό ορίζεται στο άρθρο του 2, παράγραφος 1, και ότι οι εξαιρέσεις πρέπει να ερμηνεύονται στενά (απόφαση της 16ης Ιουλίου 2020, Facebook Ireland και Schrems, C‑311/18, EU:C:2020:559, σκέψη 84).
41 Ειδικότερα, το άρθρο 2, παράγραφος 2, στοιχείο δʹ, του κανονισμού 2016/679 ορίζει ότι ο κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων.
42 Όπως προκύπτει από την αιτιολογική σκέψη 19 του κανονισμού, η εξαίρεση αυτή δικαιολογείται από το γεγονός ότι οι επεξεργασίες δεδομένων προσωπικού χαρακτήρα για τους συγκεκριμένους σκοπούς από τις αρμόδιες αρχές διέπονται από ειδικότερη πράξη της Ένωσης, ήτοι από την οδηγία 2016/680, η οποία θεσπίστηκε την ίδια ημέρα με τον κανονισμό 2016/679 και ορίζει, στο άρθρο της 3, σημείο 7, την έννοια «αρμόδια αρχή», ο δε ορισμός αυτός πρέπει να ισχύει, κατ’ αναλογίαν, και ως προς το άρθρο 2, παράγραφος 2, στοιχείο δʹ, του κανονισμού [πρβλ. απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 69].
43 Από την αιτιολογική σκέψη 10 της οδηγίας 2016/680 συνάγεται ότι η έννοια της «αρμόδιας αρχής» πρέπει να ερμηνεύεται σε συσχετισμό με την προστασία των δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, λαμβανομένων υπόψη των διευθετήσεων που ενδέχεται να απαιτηθούν συναφώς λόγω της ιδιαίτερης φύσης των τομέων αυτών. Επιπλέον, η αιτιολογική σκέψη 11 της οδηγίας 2016/680 διευκρινίζει ότι ο κανονισμός 2016/679 εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται μεν από «αρμόδια αρχή» κατά την έννοια του άρθρου 3, σημείο 7, της οδηγίας, αλλά για σκοπούς άλλους από τους προβλεπόμενους στην οδηγία [απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 70].
44 Επομένως, όταν φορολογική αρχή κράτους μέλους ζητεί από οικονομικό φορέα να της κοινολογήσει, για σκοπούς σχετικούς με την είσπραξη του φόρου και την καταπολέμηση της φοροδιαφυγής, δεδομένα προσωπικού χαρακτήρα τα οποία αφορούν ορισμένους φορολογουμένους, η εν λόγω αρχή δεν μπορεί να θεωρηθεί ως «αρμόδια αρχή» κατά την έννοια του άρθρου 3, σημείο 7, της οδηγίας 2016/680 και, ως εκ τούτου, τέτοια αιτήματα κοινολόγησης πληροφοριών δεν είναι δυνατόν να εμπίπτουν στην εξαίρεση του άρθρου 2, παράγραφος 2, στοιχείο δʹ, του κανονισμού 2016/679.
45 Επιπλέον, μολονότι δεν αποκλείεται τα επίμαχα στην κύρια δίκη δεδομένα προσωπικού χαρακτήρα να χρησιμοποιηθούν στο πλαίσιο ενδεχόμενης άσκησης ποινικών διώξεων κατά ορισμένων από τα υποκείμενα των δεδομένων σε περίπτωση παράβασης φορολογικών διατάξεων, εντούτοις δεν προκύπτει ότι τα δεδομένα αυτά συλλέγονται προς τον συγκεκριμένο σκοπό της άσκησης τέτοιων διώξεων ή στο πλαίσιο δραστηριοτήτων του κράτους σε τομείς του ποινικού δικαίου (πρβλ. απόφαση της 27ης Σεπτεμβρίου 2017, Puškár, C‑73/16, EU:C:2017:725, σκέψη 40).
46 Ως εκ τούτου, η συλλογή, από τη φορολογική αρχή κράτους μέλους, δεδομένων προσωπικού χαρακτήρα που αφορούν τις αγγελίες για πώληση οχημάτων οι οποίες έχουν δημοσιευθεί στον ιστότοπο οικονομικού φορέα εμπίπτει στο καθ’ ύλην πεδίο εφαρμογής του κανονισμού 2016/679 και, επομένως, πρέπει να συνάδει, μεταξύ άλλων, με τις αρχές οι οποίες διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και κατοχυρώνονται στο άρθρο 5 του κανονισμού.
47 Λαμβανομένου υπόψη του συνόλου των ανωτέρω σκέψεων, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι οι διατάξεις του κανονισμού 2016/679 έχουν την έννοια ότι, όταν η φορολογική αρχή κράτους μέλους συλλέγει από οικονομικό φορέα πληροφορίες που περιέχουν σημαντικό όγκο δεδομένων προσωπικού χαρακτήρα, η συλλογή αυτή υπόκειται στις απαιτήσεις του κανονισμού αυτού, ιδίως δε σε εκείνες του άρθρου 5, παράγραφος 1.
Επί του δευτέρου προδικαστικού ερωτήματος
48 Με το δεύτερο ερώτημά του, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί εάν οι διατάξεις του κανονισμού 2016/679 έχουν την έννοια ότι η φορολογική αρχή κράτους μέλους μπορεί να αποκλίνει από τις διατάξεις του άρθρου 5, παράγραφος 1, του κανονισμού ακόμη και εάν το εθνικό δίκαιο του κράτους μέλους αυτού δεν της παρέχει τέτοιο δικαίωμα.
49 Υπενθυμίζεται ευθύς εξαρχής ότι, όπως προκύπτει από την αιτιολογική του σκέψη 10, σκοπός του κανονισμού 2016/679 είναι, μεταξύ άλλων, να διασφαλίσει υψηλό επίπεδο προστασίας των φυσικών προσώπων εντός της Ένωσης.
50 Για τον σκοπό αυτόν, τα κεφάλαια II και III του κανονισμού 2016/679 προβλέπουν αντιστοίχως τις αρχές που διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, καθώς και τα δικαιώματα του υποκειμένου των δεδομένων, τα οποία πρέπει να γίνονται σεβαστά σε κάθε περίπτωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ειδικότερα, κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει, μεταξύ άλλων, να είναι σύμφωνη με τις αρχές που θέτει το άρθρο 5 του κανονισμού ως προς την επεξεργασία τέτοιων δεδομένων (πρβλ. απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C‑511/18, C‑512/18 και C‑520/18, EU:C:2020:791, σκέψη 208).
51 Το άρθρο 23 του κανονισμού 2016/679 παρέχει, εντούτοις, τη δυνατότητα στην Ένωση και στα κράτη μέλη να θεσπίζουν «νομοθετικά μέτρα» τα οποία να περιορίζουν το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται, μεταξύ άλλων, στο άρθρο 5 του κανονισμού εφόσον αντιστοιχούν στα δικαιώματα και στις υποχρεώσεις που προβλέπονται στα άρθρα 12 έως 22 του ίδιου κανονισμού, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών ελευθεριών και δικαιωμάτων και συνιστά, σε μια δημοκρατική κοινωνία, αναγκαίο και αναλογικό μέτρο για τη διασφάλιση σημαντικών στόχων γενικού δημοσίου συμφέροντος της Ένωσης ή του οικείου κράτους μέλους, όπως είναι, ιδίως, ένα σημαντικό οικονομικό ή χρηματοοικονομικό συμφέρον, το οποίο μπορεί να άπτεται και δημοσιονομικών και φορολογικών θεμάτων.
52 Από τη δε αιτιολογική σκέψη 41 του κανονισμού 2016/679 συνάγεται ότι η αναφορά η οποία γίνεται, στον κανονισμό αυτόν, σε «νομοθετικό μέτρο» δεν υποδηλώνει απαραιτήτως νομοθετική πράξη που να έχει ψηφιστεί από κοινοβούλιο.
53 Υπενθυμίζεται πάντως ότι, όπως επισημαίνεται στην αιτιολογική σκέψη 4, ο κανονισμός 2016/679 σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις ελευθερίες και τις αρχές που αναγνωρίζονται από τον Χάρτη και κατοχυρώνονται στις Συνθήκες, μεταξύ των οποίων καταλέγεται και η προστασία των δεδομένων προσωπικού χαρακτήρα.
54 Σύμφωνα με το άρθρο 52, παράγραφος 1, πρώτη περίοδος, του Χάρτη, κάθε περιορισμός στην άσκηση των δικαιωμάτων και των ελευθεριών που αναγνωρίζονται στον Χάρτη, μεταξύ των οποίων περιλαμβάνονται, ιδίως, το δικαίωμα στον σεβασμό της ιδιωτικής ζωής, όπως κατοχυρώνεται στο άρθρο 7 του Χάρτη, και το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως κατοχυρώνεται στο άρθρο 8 του Χάρτη, πρέπει να προβλέπεται από τον νόμο, όπερ συνεπάγεται, ειδικότερα, ότι η νομική βάση που επιτρέπει την επέμβαση στα δικαιώματα αυτά πρέπει να προσδιορίζει η ίδια το περιεχόμενο του περιορισμού στην άσκηση του οικείου δικαιώματος (πρβλ. απόφαση της 6ης Οκτωβρίου 2020, Privacy International, C‑623/17, EU:C:2020:790, σκέψη 65 και εκεί μνημονευόμενη νομολογία).
55 Εξάλλου, το Δικαστήριο έχει κρίνει ότι η ρύθμιση με την οποία θεσπίζεται μέτρο που επιτρέπει τέτοια επέμβαση πρέπει να προβλέπει σαφείς και ακριβείς κανόνες οι οποίοι να διέπουν την έκταση και την εφαρμογή του επίμαχου μέτρου και να επιβάλλουν ορισμένες ελάχιστες απαιτήσεις, έτσι ώστε τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα που μεταφέρθηκαν να έχουν επαρκείς εγγυήσεις αποτελεσματικής προστασίας των δεδομένων αυτών έναντι των κινδύνων κατάχρησης [πρβλ. απόφαση της 2ας Μαρτίου 2021, Prokuratuur (Προϋποθέσεις πρόσβασης σε δεδομένα σχετιζόμενα με ηλεκτρονικές επικοινωνίες), C‑746/18, EU:C:2021:152, σκέψη 48 και εκεί μνημονευόμενη νομολογία].
56 Κατά συνέπεια, κάθε μέτρο το οποίο λαμβάνεται δυνάμει του άρθρου 23 του κανονισμού 2016/679 πρέπει, όπως έχει υπογραμμίσει άλλωστε ο νομοθέτης της Ένωσης στην αιτιολογική σκέψη 41 του κανονισμού, να είναι διατυπωμένο με σαφήνεια και ακρίβεια και η εφαρμογή του να είναι προβλέψιμη για τα πρόσωπα που υπόκεινται σε αυτό. Ειδικότερα, τα εν λόγω πρόσωπα πρέπει να είναι σε θέση να προσδιορίσουν τις περιστάσεις και τις προϋποθέσεις υπό τις οποίες είναι δυνατόν να περιοριστεί το πεδίο εφαρμογής των δικαιωμάτων που τους παρέχει ο κανονισμός.
57 Από τις ανωτέρω σκέψεις προκύπτει ότι η φορολογική αρχή κράτους μέλους δεν μπορεί να αποκλίνει από τις διατάξεις του άρθρου 5 του κανονισμού 2016/679, εφόσον δεν υφίσταται στο δίκαιο της Ένωσης ή στο εθνικό δίκαιο σαφής και ακριβής νομική βάση, της οποίας η εφαρμογή να είναι προβλέψιμη για τους διοικουμένους και η οποία να ορίζει υπό ποιες περιστάσεις και προϋποθέσεις επιτρέπεται να περιοριστεί η έκταση των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στο άρθρο 5.
58 Επομένως, στο δεύτερο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι οι διατάξεις του κανονισμού 2016/679 έχουν την έννοια ότι η φορολογική αρχή κράτους μέλους δεν μπορεί να αποκλίνει από τις διατάξεις του άρθρου 5, παράγραφος 1, του κανονισμού, όταν δεν της έχει παρασχεθεί τέτοιο δικαίωμα από νομοθετικό μέτρο κατά την έννοια του άρθρου 23, παράγραφος 1, του κανονισμού.
Επί του τρίτου, του τέταρτου, του πέμπτου, του έκτου, του έβδομου, του όγδοου και του ένατου προδικαστικού ερωτήματος
59 Με το τρίτο, το τέταρτο, το πέμπτο, το έκτο, το έβδομο, το όγδοο και το ένατο ερώτημά του, τα οποία πρέπει να εξεταστούν από κοινού, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί εάν οι διατάξεις του κανονισμού 2016/679 έχουν την έννοια ότι αποκλείουν τη δυνατότητα φορολογικής αρχής κράτους μέλους να υποχρεώσει πάροχο υπηρεσιών δημοσίευσης αγγελιών στο διαδίκτυο να της κοινολογεί, για απροσδιόριστη χρονική περίοδο και δίχως να διευκρινίζεται ο σκοπός του αιτήματος κοινολόγησης, πληροφορίες σχετικές με το σύνολο των φορολογουμένων που έχουν δημοσιεύσει αγγελίες σε μία από τις ενότητες της διαδικτυακής πύλης του.
60 Παρατηρείται καταρχάς ότι, σε περιπτώσεις όπως η επίμαχη στην υπόθεση της κύριας δίκης, μπορεί να διενεργούνται δύο επεξεργασίες δεδομένων προσωπικού χαρακτήρα. Όπως προκύπτει από τις σκέψεις 37 και 38 της παρούσας αποφάσεως, πρόκειται για τη συλλογή στην οποία προβαίνει η φορολογική αρχή ζητώντας δεδομένα προσωπικού χαρακτήρα από τον οικείο πάροχο υπηρεσιών και, στο πλαίσιο αυτό, για την κοινολόγηση των δεδομένων με διαβίβασή τους από τον πάροχο στην ανωτέρω αρχή.
61 Όπως καθίσταται σαφές από τη νομολογία που μνημονεύθηκε στη σκέψη 50 της παρούσας αποφάσεως, καθεμία από αυτές τις πράξεις επεξεργασίας πρέπει, υπό την επιφύλαξη των παρεκκλίσεων που επιτρέπονται από το άρθρο 23 του κανονισμού 2016/679, να σέβεται τις αρχές οι οποίες διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, όπως διατυπώνονται στο άρθρο 5 του κανονισμού, καθώς και τα δικαιώματα του υποκειμένου των δεδομένων, όπως κατοχυρώνονται στα άρθρα 12 έως 22 του κανονισμού.
62 Εν προκειμένω, το αιτούν δικαστήριο διατηρεί ειδικότερα αμφιβολίες επειδή, αφενός, οι επεξεργασίες που μνημονεύονται στη σκέψη 60 της παρούσας αποφάσεως αφορούν απεριόριστο όγκο πληροφοριών για απροσδιόριστη χρονική περίοδο και, αφετέρου, ο σκοπός των επεξεργασιών δεν διευκρινίζεται στο αίτημα κοινολόγησης.
63 Συναφώς, υπογραμμίζεται, πρώτον, ότι το άρθρο 5, παράγραφος 1, στοιχείο βʹ, του κανονισμού 2016/679 προβλέπει ότι τα δεδομένα προσωπικού χαρακτήρα συλλέγονται, μεταξύ άλλων, για καθορισμένους, ρητούς και νόμιμους σκοπούς.
64 Καταρχάς, η απαίτηση περί καθορισμού των σκοπών της επεξεργασίας συνεπάγεται, όπως συνάγεται από την αιτιολογική σκέψη 39 του κανονισμού, ότι οι σκοποί αυτοί πρέπει να προσδιορίζονται το αργότερο κατά τον χρόνο συλλογής των δεδομένων προσωπικού χαρακτήρα.
65 Περαιτέρω, οι σκοποί της επεξεργασίας πρέπει να είναι ρητοί, όπερ σημαίνει ότι οι σκοποί αυτοί πρέπει να διατυπώνονται με σαφήνεια.
66 Τέλος, οι σκοποί πρέπει να είναι νόμιμοι. Είναι, επομένως, αναγκαίο να εξυπηρετούν μια επεξεργασία σύννομη, κατά την έννοια του άρθρου 6, παράγραφος 1, του κανονισμού.
67 Το αίτημα κοινολόγησης δεδομένων προσωπικού χαρακτήρα, το οποίο η λεττονική φορολογική αρχή αποστέλλει στον πάροχο υπηρεσιών δημοσίευσης αγγελιών στο διαδίκτυο, σηματοδοτεί την έναρξη των επεξεργασιών για τις οποίες γίνεται λόγος στη σκέψη 60 της παρούσας αποφάσεως. Κατ’ εφαρμογήν του άρθρου 15, παράγραφος 6, του νόμου περί φόρων και τελών, ο πάροχος είναι υποχρεωμένος να κάνει δεκτό ένα τέτοιο αίτημα.
68 Υπό το πρίσμα των προεκτεθέντων στις σκέψεις 64 και 65 της παρούσας αποφάσεως, οι σκοποί των επεξεργασιών πρέπει οπωσδήποτε να διατυπώνονται με σαφήνεια στο ανωτέρω αίτημα.
69 Εφόσον οι σκοποί οι οποίοι διατυπώνονται στο εν λόγω αίτημα είναι αναγκαίοι για την εκπλήρωση καθήκοντος προς το δημόσιο συμφέρον ή εμπίπτουν στην άσκηση δημόσιας εξουσίας που έχει ανατεθεί στη φορολογική αρχή, τούτο αρκεί, όπως προκύπτει από το άρθρο 6, παράγραφος 1, πρώτο εδάφιο, εισαγωγική περίοδος, και στοιχείο εʹ του κανονισμού 2016/679, σε συνδυασμό με το άρθρο 6, παράγραφος 3, δεύτερο εδάφιο, αυτού, ώστε οι επεξεργασίες να πληρούν και την προαναφερθείσα στη σκέψη 66 της παρούσας αποφάσεως απαίτηση να είναι η επεξεργασία σύννομη.
70 Υπενθυμίζεται δε ότι η είσπραξη του φόρου και η καταπολέμηση της φοροδιαφυγής πρέπει να θεωρηθούν ως καθήκοντα δημοσίου συμφέροντος κατά την έννοια του άρθρου 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο εʹ, του κανονισμού 2016/679 (βλ., κατ’ αναλογίαν, απόφαση της 27ης Σεπτεμβρίου 2017, Puškár, C‑73/16, EU:C:2017:725, σκέψη 108).
71 Επομένως, σε περίπτωση που η κοινολόγηση των επίμαχων δεδομένων προσωπικού χαρακτήρα δεν στηρίζεται ευθέως στη νομοθετική διάταξη που αποτελεί τη βάση της, αλλά οφείλεται σε αίτημα της αρμόδιας δημόσιας αρχής, το αίτημα είναι αναγκαίο να διευκρινίζει ποιοι είναι οι συγκεκριμένοι σκοποί της συλλογής δεδομένων, υπό το πρίσμα του καθήκοντος το οποίο εκτελείται προς το δημόσιο συμφέρον ή της άσκησης δημόσιας εξουσίας, προκειμένου ο αποδέκτης του αιτήματος να μπορεί να είναι βέβαιος ότι η διαβίβαση των επίμαχων δεδομένων προσωπικού χαρακτήρα είναι σύννομη και τα εθνικά δικαστήρια να είναι σε θέση να ελέγξουν τη νομιμότητα των επίμαχων επεξεργασιών.
72 Δεύτερον, βάσει του άρθρου 5, παράγραφος 1, στοιχείο γʹ, του κανονισμού 2016/679, τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται σε ό,τι είναι αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.
73 Υπενθυμίζεται επ’ αυτού ότι, κατά πάγια νομολογία, οι παρεκκλίσεις και οι περιορισμοί όσον αφορά την αρχή της προστασίας τέτοιων δεδομένων δεν πρέπει να υπερβαίνουν το αυστηρώς αναγκαίο μέτρο [πρβλ. απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 110 και εκεί μνημονευόμενη νομολογία].
74 Επομένως, ο υπεύθυνος επεξεργασίας, ακόμη και όταν ενεργεί στο πλαίσιο της εκπλήρωσης καθήκοντος που του έχει ανατεθεί προς το δημόσιο συμφέρον, δεν μπορεί να προβαίνει, γενικώς και αδιακρίτως, στη συλλογή δεδομένων προσωπικού χαρακτήρα και οφείλει να απέχει από τη συλλογή δεδομένων που δεν είναι απολύτως απαραίτητα για τους σκοπούς της επεξεργασίας.
75 Εν προκειμένω, επισημαίνεται ότι, όπως προκύπτει από τις σκέψεις 17 έως 19 της παρούσας αποφάσεως, η λεττονική φορολογική αρχή ζήτησε από τον οικείο οικονομικό φορέα να της παράσχει δεδομένα σχετικά με τις αγγελίες για πώληση επιβατικών αυτοκινήτων οι οποίες είχαν δημοσιευθεί στον ιστότοπό της μεταξύ της 14ης Ιουλίου και της 31ης Αυγούστου 2018 και, σε περίπτωση που η πρόσβαση στις εν λόγω πληροφορίες δεν ήταν δυνατόν να αποκατασταθεί, να της παρέχει, το αργότερο την τρίτη ημέρα κάθε μήνα, τα δεδομένα σχετικά με τις αγγελίες για πώληση επιβατικών αυτοκινήτων οι οποίες θα είχαν δημοσιευθεί στον ιστότοπό της τον προηγούμενο μήνα, χωρίς να οριοθετήσει χρονικώς το αίτημά της.
76 Λαμβανομένων υπόψη των προεκτεθέντων στη σκέψη 74 της παρούσας αποφάσεως, στο αιτούν δικαστήριο απόκειται να ελέγξει εάν ο σκοπός της συλλογής των δεδομένων είναι δυνατόν να επιτευχθεί χωρίς ενδεχομένως η λεττονική φορολογική αρχή να έχει στη διάθεσή της δεδομένα σχετικά με το σύνολο των αγγελιών για πώληση επιβατικών αυτοκινήτων οι οποίες έχουν δημοσιευθεί στον ιστότοπο του οικείου οικονομικού φορέα και, ιδίως, εάν η φορολογική αρχή έχει τη δυνατότητα να απομονώσει ορισμένες αγγελίες μέσω ειδικών κριτηρίων.
77 Στο πλαίσιο αυτό, υπογραμμίζεται ότι, σύμφωνα με την αρχή της λογοδοσίας η οποία προβλέπεται στο άρθρο 5, παράγραφος 2, του κανονισμού 2016/679, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με τις αρχές της παραγράφου 1 του άρθρου αυτού, οι οποίες διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα.
78 Ως εκ τούτου, στη λεττονική φορολογική αρχή απόκειται να αποδείξει, συμφώνως προς το άρθρο 25, παράγραφος 2, του κανονισμού, ότι κατέβαλε κάθε δυνατή προσπάθεια για να ελαχιστοποιήσει τον όγκο των δεδομένων προσωπικού χαρακτήρα που επρόκειτο να συλλέξει.
79 Όσον αφορά το γεγονός ότι το αίτημα κοινολόγησης το οποίο απέστειλε η λεττονική φορολογική αρχή δεν θέτει κανένα χρονικό όριο για την περίπτωση που ο οικείος πάροχος υπηρεσιών αγγελιών δεν αποκαταστήσει την πρόσβαση στις αγγελίες οι οποίες έχουν δημοσιευθεί κατά την προσδιοριζόμενη στο αίτημα περίοδο, υπενθυμίζεται ότι, λαμβανομένης υπόψη της αρχής της ελαχιστοποίησης των δεδομένων, ο υπεύθυνος επεξεργασίας είναι επίσης υποχρεωμένος να μην υπερβεί το χρονικό διάστημα συλλογής των επίμαχων δεδομένων προσωπικού χαρακτήρα το οποίο είναι, υπό το πρίσμα του σκοπού της σχεδιαζόμενης επεξεργασίας, απολύτως αναγκαίο.
80 Ως εκ τούτου, το χρονικό διάστημα το οποίο αφορά η συλλογή δεν μπορεί να υπερβαίνει ό,τι είναι αναγκαίο για την επίτευξη του επιδιωκόμενου σκοπού γενικού συμφέροντος.
81 Όπως προκύπτει από τη σκέψη 77 της παρούσας αποφάσεως, η λεττονική φορολογική αρχή φέρει συναφώς το βάρος αποδείξεως.
82 Εντούτοις, από αυτό καθαυτό το γεγονός ότι τα εν λόγω δεδομένα συλλέχθηκαν δίχως η λεττονική φορολογική αρχή να έχει θέσει, στο ίδιο το αίτημα κοινολόγησης, χρονικό όριο για τέτοια επεξεργασία δεν μπορεί να συναχθεί ότι το χρονικό διάστημα της επεξεργασίας υπερβαίνει ό,τι είναι απολύτως αναγκαίο για την επίτευξη του επιδιωκόμενου σκοπού.
83 Στο πλαίσιο αυτό, υπενθυμίζεται, εντούτοις, ότι για την ικανοποίηση της απαίτησης περί αναλογικότητας η οποία αποτυπώνεται στο άρθρο 5, παράγραφος 1, στοιχείο γʹ, του κανονισμού 2016/679 [πρβλ. απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 98 και εκεί μνημονευόμενη νομολογία], η ρύθμιση στην οποία βασίζεται η επεξεργασία πρέπει να προβλέπει σαφείς και ακριβείς κανόνες που να διέπουν την έκταση και την εφαρμογή του οικείου μέτρου και να επιβάλλουν έναν ελάχιστο αριθμό απαιτήσεων, έτσι ώστε τα πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα αποτελούν αντικείμενο του μέτρου αυτού να έχουν επαρκείς εγγυήσεις δυνάμενες να προστατεύσουν αποτελεσματικά τα δεδομένα αυτά από κινδύνους κατάχρησης. Η ρύθμιση αυτή πρέπει να είναι νομικώς δεσμευτική στο εσωτερικό δίκαιο και, ειδικότερα, να ορίζει υπό ποιες περιστάσεις και υπό ποιες συνθήκες μπορεί να ληφθεί μέτρο το οποίο προβλέπει την επεξεργασία τέτοιων δεδομένων, προκειμένου να διασφαλίζεται κατά τον τρόπο αυτόν ότι η επέμβαση θα περιορίζεται στο απολύτως αναγκαίο (απόφαση της 6ης Οκτωβρίου 2020, Privacy International, C‑623/17, EU:C:2020:790, σκέψη 68 και εκεί μνημονευόμενη νομολογία).
84 Από τα ανωτέρω συνάγεται ότι η εθνική ρύθμιση η οποία διέπει ένα αίτημα κοινολόγησης, όπως το επίμαχο στην κύρια δίκη, πρέπει να στηρίζεται σε αντικειμενικά κριτήρια για τον προσδιορισμό των περιπτώσεων και των προϋποθέσεων υπό τις οποίες πάροχος διαδικτυακών υπηρεσιών είναι υποχρεωμένος να διαβιβάσει δεδομένα προσωπικού χαρακτήρα τα οποία αφορούν τους χρήστες του (πρβλ. απόφαση της 6ης Οκτωβρίου 2020, Privacy International, C‑623/17, EU:C:2020:790, σκέψη 78 και εκεί μνημονευόμενη νομολογία).
85 Λαμβανομένου υπόψη του συνόλου των ανωτέρω σκέψεων, στο τρίτο, στο τέταρτο, στο πέμπτο, στο έκτο, στο έβδομο, στο όγδοο και στο ένατο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι οι διατάξεις του κανονισμού 2016/679 έχουν την έννοια ότι δεν αποκλείουν τη δυνατότητα φορολογικής αρχής κράτους μέλους να υποχρεώσει πάροχο υπηρεσιών δημοσίευσης αγγελιών στο διαδίκτυο να της κοινολογήσει πληροφορίες οι οποίες αφορούν τους φορολογουμένους που έχουν δημοσιεύσει αγγελίες σε μία από τις ενότητες της διαδικτυακής του πύλης, εφόσον, μεταξύ άλλων, τα δεδομένα αυτά είναι αναγκαία σε σχέση με τους συγκεκριμένους σκοπούς για τους οποίους συλλέγονται και το χρονικό διάστημα που αφορά η συλλογή των δεδομένων δεν υπερβαίνει ό,τι είναι απολύτως αναγκαίο για την επίτευξη του επιδιωκόμενου σκοπού δημοσίου συμφέροντος.
Επί των δικαστικών εξόδων
86 Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (πέμπτο τμήμα) αποφαίνεται:
1) Οι διατάξεις του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), έχουν την έννοια ότι, όταν η φορολογική αρχή κράτους μέλους συλλέγει από οικονομικό φορέα πληροφορίες που περιέχουν σημαντικό όγκο δεδομένων προσωπικού χαρακτήρα, η συλλογή αυτή υπόκειται στις απαιτήσεις του κανονισμού, ιδίως δε σε εκείνες του άρθρου 5, παράγραφος 1.
2) Οι διατάξεις του κανονισμού 2016/679 έχουν την έννοια ότι η φορολογική αρχή κράτους μέλους δεν μπορεί να αποκλίνει από τις διατάξεις του άρθρου 5, παράγραφος 1, του κανονισμού όταν δεν της έχει παρασχεθεί τέτοιο δικαίωμα από νομοθετικό μέτρο κατά την έννοια του άρθρου 23, παράγραφος 1, του κανονισμού.
3) Οι διατάξεις του κανονισμού 2016/679 έχουν την έννοια ότι δεν αποκλείουν τη δυνατότητα φορολογικής αρχής κράτους μέλους να υποχρεώσει πάροχο υπηρεσιών δημοσίευσης αγγελιών στο διαδίκτυο να της κοινολογήσει πληροφορίες οι οποίες αφορούν τους φορολογουμένους που έχουν δημοσιεύσει αγγελίες σε μία από τις ενότητες της διαδικτυακής του πύλης, εφόσον, μεταξύ άλλων, τα δεδομένα αυτά είναι αναγκαία σε σχέση με τους συγκεκριμένους σκοπούς για τους οποίους συλλέγονται και το χρονικό διάστημα που αφορά η συλλογή των δεδομένων δεν υπερβαίνει ό,τι είναι απολύτως αναγκαίο για την επίτευξη του επιδιωκόμενου σκοπού δημοσίου συμφέροντος.
(υπογραφές)