CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:124

HOTĂRÂREA CURȚII (Camera a cincea)

24 februarie 2022(*)

„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 2 – Domeniu de aplicare – Articolul 4 – Noțiunea de «prelucrare» – Articolul 5 – Principii legate de prelucrare – Limitarea scopului – Reducerea la minimum a datelor – Articolul 6 – Legalitatea prelucrării – Prelucrare necesară pentru îndeplinirea unei sarcini care servește unui interes public cu care este învestit operatorul – Prelucrare necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului – Articolul 23 – Restricții – Prelucrarea datelor în scopuri fiscale – Cerere de comunicare de informații privind anunțuri de vânzări de autovehicule publicate pe internet – Proporționalitate”

În cauza C‑175/20,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Administratīvā apgabaltiesa (Curtea Administrativă Regională, Letonia), prin decizia din 11 martie 2020, primită de Curte la 14 aprilie 2020, în procedura

„SS” SIA

împotriva

Valsts ieņēmumu dienests,

CURTEA (Camera a cincea),

compusă din domnul E. Regan, președinte de cameră, domnul K. Lenaerts, președintele Curții, îndeplinind funcția de judecător al Camerei a cincea, domnul C. Lycourgos, președintele Camerei a patra, și domnii I. Jarukaitis și M. Ilešič (raportor), judecători,

avocat general: domnul M. Bobek,

grefier: domnul A. Calot Escobar,

având în vedere procedura scrisă,

luând în considerare observațiile prezentate:

– pentru „SS” SIA, de M. Ruķers;

– pentru guvernul leton, inițial de K. Pommere, V. Soņeca și L. Juškeviča, ulterior de K. Pommere, în calitate de agenți;

– pentru guvernul belgian, de J.‑C. Halleux și P. Cottin, în calitate de agenți, asistați de C. Molitor, avocat;

– pentru guvernul elen, de E.‑M. Mamouna și O. Patsopoulou, în calitate de agenți;

– pentru guvernul spaniol, inițial de J. Rodríguez de la Rúa Puig și S. Jiménez García, ulterior de J. Rodríguez de la Rúa Puig, în calitate de agenți;

– pentru Comisia Europeană, inițial de H. Kranenborg, D. Nardi și I. Rubene, ulterior de H. Kranenborg și I. Rubene, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 2 septembrie 2021,

pronunță prezenta

Hotărâre

1 Cererea de decizie preliminară privește interpretarea Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, rectificare în JO 2018, L 127, p. 2), în special a articolului 5 alineatul (1) din acesta.

2 Această cerere a fost formulată în cadrul unui litigiu între „SS” SIA, pe de o parte, și Valsts ieņēmumu dienests (Administrația fiscală, Letonia) (denumită în continuare „Administrația fiscală letonă”), pe de altă parte, în legătură cu o cerere de comunicare a unor informații referitoare la anunțuri de vânzări de autovehicule publicate pe site‑ul internet al SS.

Cadrul juridic

Dreptul Uniunii

Regulamentul 2016/679

3 Regulamentul 2016/679, care se întemeiază pe articolul 16 TFUE, este aplicabil, în temeiul articolului 99 alineatul (2) din acesta, începând cu 25 mai 2018.

4 Considerentele (1), (4), (10), (19), (26), (31), (39), (41) și (50) ale RGPD au următorul conținut:

„(1) Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene ([denumită în continuare] «carta») și articolul 16 alineatul (1) [TFUE] prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.

[…]

(4) Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor. Dreptul la protecția datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității. Prezentul regulament respectă toate drepturile fundamentale și libertățile și principiile recunoscute în cartă astfel cum sunt consacrate în tratate, în special respectarea vieții private și de familie, a reședinței și a comunicațiilor, a protecției datelor cu caracter personal, a libertății de gândire, de conștiință și de religie, a libertății de exprimare și de informare, a libertății de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică.

[…]

(10) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. […]

[…]

(19) Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora, precum și libera circulație a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul regulament nu ar trebui să se aplice activităților de prelucrare în aceste scopuri. Cu toate acestea, datele cu caracter personal prelucrate de către autoritățile publice în temeiul prezentului regulament, atunci când sunt utilizate în aceste scopuri, ar trebui să fie reglementate printr‑un act juridic mai specific al Uniunii, și anume Directiva (UE) 2016/680 a Parlamentului European și a Consiliului [din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului (JO 2016, L 119, p. 89)]. […]

[…]

(26) Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă. […] Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. […]

[…]

(31) Autoritățile publice cărora le sunt divulgate date cu caracter personal în conformitate cu o obligație legală în vederea exercitării funcției lor oficiale, cum ar fi autoritățile fiscale și vamale, unitățile de investigare financiară, autoritățile administrative independente sau autoritățile piețelor financiare responsabile de reglementarea și supravegherea piețelor titlurilor de valoare, nu ar trebui să fie considerate destinatari în cazul în care primesc date cu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, în conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de autoritățile publice ar trebui să fie întotdeauna prezentate în scris, motivate și ocazionale și nu ar trebui să se refere la un sistem de evidență în totalitate sau să conducă la interconectarea sistemelor de evidență. Prelucrarea datelor cu caracter personal de către autoritățile publice respective ar trebui să respecte normele aplicabile în materie de protecție a datelor în conformitate cu scopurile prelucrării.

[…]

(39) […] Principiul transparenței prevede că orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar. Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal și cu privire la modul în care să își exercite drepturile în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor respective. Datele cu caracter personal ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace. […]

[…]

(41) Ori de câte ori prezentul regulament face trimitere la un temei juridic sau la o măsură legislativă, aceasta nu necesită neapărat un act legislativ adoptat de către un parlament, fără a aduce atingere cerințelor care decurg din ordinea constituțională a statului membru în cauză. Cu toate acestea, un astfel de temei juridic sau o astfel de măsură legislativă ar trebui să fie clară și precisă, iar aplicarea acesteia ar trebui să fie previzibilă pentru persoanele vizate de aceasta, în conformitate cu jurisprudența Curții […] și a Curții Europene a Drepturilor Omului.

[…]

(50) Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cu caracter personal au fost inițial colectate ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile respective pentru care datele cu caracter personal au fost inițial colectate. În acest caz nu este necesar un temei juridic separat de cel pe baza căruia a fost permisă colectarea datelor cu caracter personal. În cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, dreptul Uniunii sau dreptul intern poate stabili și specifica sarcinile și scopurile pentru care prelucrarea ulterioară ar trebui considerată a fi compatibilă și legală. Prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice ar trebui considerată ca reprezentând operațiuni de prelucrare legale compatibile. Temeiul juridic prevăzut în dreptul Uniunii sau în dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioară. Pentru a stabili dacă scopul prelucrării ulterioare este compatibil cu scopul pentru care au fost colectate inițial datele cu caracter personal, operatorul, după ce a îndeplinit toate cerințele privind legalitatea prelucrării inițiale, ar trebui să țină seama, printre altele, de orice legătură între respectivele scopuri și scopurile prelucrării ulterioare preconizate, de contextul în care au fost colectate datele cu caracter personal, în special de așteptările rezonabile ale persoanelor vizate, bazate pe relația lor cu operatorul, în ceea ce privește utilizarea ulterioară a datelor, de natura datelor cu caracter personal, de consecințele prelucrării ulterioare preconizate asupra persoanelor vizate, precum și de existența garanțiilor corespunzătoare atât în cadrul operațiunilor de prelucrare inițiale, cât și în cadrul operațiunilor de prelucrare ulterioare preconizate.”

5 Articolul 2 din Regulamentul 2016/679, intitulat „Domeniul de aplicare material”, prevede:

„(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor.

(2) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:

(a) în cadrul unei activități care nu intră sub incidența dreptului Uniunii;

(b) de către statele membre atunci când desfășoară activități care intră sub incidența capitolului 2 al titlului V din Tratatul UE;

(d) de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.

[…]”

6 Articolul 4 din acest regulament, intitulat „Definiții”, are următorul conținut:

„În sensul prezentului regulament:

1. «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

2. «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

[…]

6. «sistem de evidență a datelor» înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;

7. «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; […]

[…]

9. «destinatar» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;

[…]”

7 Potrivit articolului 5 din regulamentul menționat, intitulat „Principii legate de prelucrarea datelor cu caracter personal”:

„(1) Datele cu caracter personal sunt:

(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată («legalitate, echitate și transparență»);

(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într‑un mod incompatibil cu aceste scopuri; […] («limitări legate de scop»);

(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate («reducerea la minimum a datelor»);

(d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere («exactitate»);

(e) păstrate într‑o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; […] («limitări legate de stocare»);

(f) prelucrate într‑un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare («integritate și confidențialitate»).

(2) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”

8 Articolul 6 din același regulament, intitulat „Legalitatea prelucrării”, prevede:

„(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a) persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.

(2) Statele membre pot menține sau introduce dispoziții mai specifice de adaptare a aplicării normelor prezentului regulament în ceea ce privește prelucrarea în vederea respectării alineatului (1) literele (c) și (e) prin definirea unor cerințe specifice mai precise cu privire la prelucrare și a altor măsuri de asigurare a unei prelucrări legale și echitabile, inclusiv pentru alte situații concrete de prelucrare, astfel cum este prevăzut în capitolul IX.

(3) Temeiul pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:

(a) dreptul Uniunii sau

(b) dreptul intern care se aplică operatorului.

Scopul prelucrării este stabilit pe baza respectivului temei juridic sau, în ceea ce privește prelucrarea menționată la alineatul (1) litera (e), este necesar pentru îndeplinirea unei sarcini efectuate în interes public sau în cadrul exercitării unei funcții publice atribuite operatorului. […] Dreptul Uniunii sau dreptul intern urmărește un obiectiv de interes public și este proporțional cu obiectivul legitim urmărit.

(4) În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimțământul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o măsură necesară și proporțională într‑o societate democratică pentru a proteja obiectivele menționate la articolul 23 alineatul (1), operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate inițial, ia în considerare, printre altele:

(a) orice legătură dintre scopurile în care datele cu caracter personal au fost colectate și scopurile prelucrării ulterioare preconizate;

(b) contextul în care datele cu caracter personal au fost colectate, în special în ceea ce privește relația dintre persoanele vizate și operator;

(c) natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale de date cu caracter personal, în conformitate cu articolul 9, sau în cazul în care sunt prelucrate date cu caracter personal referitoare la condamnări penale și infracțiuni, în conformitate cu articolul 10;

(d) posibilele consecințe asupra persoanelor vizate ale prelucrării ulterioare preconizate;

(e) existența unor garanții adecvate, care pot include criptarea sau pseudonimizarea.”

9 Potrivit articolului 13 alineatul (3) din Regulamentul 2016/679:

„În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într‑un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu alineatul (2).”

10 Articolul 14 din acest regulament prevede:

„(1) În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, operatorul furnizează persoanei vizate următoarele informații:

[…]

5. Alineatele (1)-(4) nu se aplică dacă și în măsura în care:

[…]

(c) obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul și care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; […]

[…]”

11 Potrivit articolului 23 alineatul (1) litera (e) din acest regulament:

„Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr‑o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică, pentru a asigura:

[…]

(e) alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar și fiscal și în domeniul sănătății publice și al securității sociale;

[…]”

12 Articolul 25 alineatul (2) din Regulamentul 2016/679 prevede:

„Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane.”

Directiva 2016/680

13 Considerentele (10) și (11) ale Directivei 2016/680 au următorul conținut:

„(10) În Declarația nr. 21 cu privire la protecția datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești, anexată la actul final al Conferinței interguvernamentale care a adoptat Tratatul de la Lisabona, conferința a recunoscut că s‑ar putea dovedi necesare norme specifice privind protecția datelor cu caracter personal și libera circulație a datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești în temeiul articolului 16 [TFUE], având în vedere natura specifică a acestor domenii.

(11) Prin urmare, domeniile menționate ar trebui să fie reglementate printr‑o directivă care să stabilească norme specifice privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora, cu respectarea naturii speciale a activităților în cauză. Pot reprezenta astfel de autorități competente nu numai autoritățile publice, precum autoritățile judiciare, poliția sau alte autorități de aplicare a legii, ci și orice alt organism sau altă entitate însărcinată prin dreptul intern să exercite autoritatea publică și competențe publice în sensul prezentei directive. În cazul în care un astfel de organism sau de entitate prelucrează date cu caracter personal în alte scopuri decât cele urmărite de prezenta directivă, se aplică Regulamentul [2016/679]. Regulamentul [2016/679] se aplică, prin urmare, în cazurile în care un organism sau o entitate colectează date cu caracter personal în alte scopuri și ulterior prelucrează datele cu caracter personal respective în vederea respectării unei obligații legale care îi revine. […]”

14 Articolul 3 din această directivă prevede:

„În sensul prezentei directive:

[…]

7. «autoritate competentă» înseamnă:

(a) orice autoritate publică competentă în materie de prevenire, depistare, investigare sau urmărire penală a infracțiunilor sau de executare a pedepselor, inclusiv în materie de protejare împotriva amenințărilor la adresa securității publice și de prevenire a acestora sau

(b) orice alt organism sau entitate împuternicit(ă) de dreptul intern să exercite autoritate publică și competențe publice în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora;

[…]”

Dreptul leton

15 În temeiul articolului 15 alineatul 6 din likums „Par nodokļiem un nodevām” (Legea privind impozitele și taxele, Latvijas Vēstnesis, 1995, nr. 26), în versiunea aplicabilă litigiului principal (denumită în continuare „Legea privind impozitele și taxele”), furnizorul de servicii de anunțuri publicate pe internet este obligat să furnizeze, la cererea Administrației fiscale letone, informațiile de care dispune cu privire la contribuabilii care au publicat anunțuri recurgând la serviciile sale.

Litigiul principal și întrebările preliminare

16 SS este un furnizor de servicii de anunțuri publicate pe internet cu sediul în Letonia.

17 La 28 august 2018, Administrația fiscală letonă a adresat SS o cerere de comunicare întemeiată pe articolul 15 alineatul 6 din Legea privind impozitele și taxele prin care invita această societate să restabilească accesul de care dispunea Administrația fiscală la numerele de șasiu ale vehiculelor care făceau obiectul unui anunț publicat pe portalul internet al societății menționate, precum și la numerele de telefon ale vânzătorilor și să îi furnizeze, cel mai târziu la 3 septembrie 2018, informații cu privire la anunțurile publicate în perioada cuprinsă între 14 iulie și 31 august 2018 la rubrica intitulată „Autoturism privat” de pe acest portal.

18 Această cerere preciza că informațiile respective, care cuprindeau linkul către anunț, textul acestuia, marca, modelul, numărul șasiului și prețul vehiculului, precum și numărul de telefon al vânzătorului, trebuiau să fie transmise pe cale electronică, într‑un format care să permită filtrarea sau selectarea datelor.

19 În plus, în ipoteza în care accesul la informațiile care figurau în anunțurile publicate pe portalul internet în cauză nu putea fi restabilit, SS era invitată să indice motivul, precum și să furnizeze, cel mai târziu în a treia zi a fiecărei luni, informațiile relevante referitoare la anunțurile publicate în cursul lunii precedente.

20 Apreciind că cererea de comunicare a Administrației fiscale letone nu era conformă cu principiile proporționalității și reducerii la minimum a datelor cu caracter personal, consacrate de Regulamentul 2016/679, SS a formulat o reclamație împotriva acestei cereri la directorul general în funcție al Administrației fiscale letone.

21 Prin decizia din 30 octombrie 2018, acesta din urmă a respins reclamația menționată arătând în special că, în cadrul prelucrării datelor cu caracter personal în discuție în litigiul principal, Administrația fiscală letonă exercita competențele care îi sunt conferite prin lege.

22 SS a formulat în fața administratīvā rajona tiesa (Tribunalul Administrativ Districtual, Letonia) o acțiune având ca obiect anularea acestei decizii. Pe lângă argumentele pe care le expusese în reclamația sa, ea arăta că decizia menționată nu indica scopul specific al prelucrării datelor cu caracter personal avute în vedere de Administrația fiscală letonă, nici cantitatea datelor necesare în cadrul acesteia, cu încălcarea articolului 5 alineatul (1) din Regulamentul 2016/679.

23 Prin hotărârea din 21 mai 2019, administratīvā rajona tiesa (Tribunalul Administrativ Districtual) a respins această acțiune arătând în esență că Administrația fiscală letonă era îndreptățită să solicite accesul la informații referitoare la orice persoană și în cantitate nelimitată, cu excepția cazului în care aceste informații sunt considerate incompatibile cu scopurile legate de perceperea impozitului. Pe de altă parte, această instanță a considerat că dispozițiile Regulamentului 2016/679 nu erau aplicabile în privința acestei administrații.

24 SS a declarat apel împotriva acestei hotărâri în fața instanței de trimitere, susținând, pe de o parte, că Administrația fiscală letonă era guvernată de dispozițiile Regulamentului 2016/679 și, pe de altă parte, că, prin faptul că solicita lunar și fără limitare în timp o cantitate semnificativă de date cu caracter personal referitoare la un număr nelimitat de anunțuri, fără a identifica contribuabilii în privința cărora ar fi fost inițiat un control fiscal, această administrație a încălcat principiul proporționalității.

25 Instanța de trimitere arată că, în cadrul litigiului principal, nu se contestă că executarea cererii de comunicare în cauză este legată intrinsec de o prelucrare de date cu caracter personal, nici că Administrația fiscală letonă are dreptul de a obține informații care sunt la dispoziția unui furnizor de servicii de publicare de anunțuri pe internet și sunt necesare pentru executarea unor măsuri specifice în materie de percepere a impozitului.

26 Litigiul principal ar avea ca obiect cantitatea și tipul de informații care pot fi solicitate de Administrația fiscală letonă, caracterul limitat sau nelimitat al acestora, precum și problema dacă obligația de comunicare căreia îi este supusă SS trebuie să fie limitată în timp.

27 În special, instanța de trimitere apreciază că îi revine sarcina de a stabili dacă, în împrejurările din cauza principală, prelucrarea datelor cu caracter personal este efectuată în mod transparent față de persoanele vizate, dacă informațiile specificate în cererea de comunicare în discuție sunt solicitate în scopuri determinate, explicite și legitime și dacă prelucrarea datelor cu caracter personal este efectuată doar în măsura în care este într‑adevăr necesară exercitării atribuțiilor Administrației fiscale letone, în sensul articolului 5 alineatul (1) din Regulamentul 2016/679.

28 În acest scop, ar fi necesar să se definească criteriile care permit să se aprecieze dacă o cerere de comunicare care provine de la Administrația fiscală letonă respectă esența libertăților și drepturilor fundamentale și dacă cererea de comunicare în discuție în litigiul principal poate fi considerată necesară și proporțională într‑o societate democratică pentru a garanta obiective importante ale Uniunii și interese publice letone în materie bugetară și fiscală.

29 În aceste condiții, Administratīvā apgabaltiesa (Curtea Administrativă Regională, Letonia) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1) Cerințele Regulamentului [2016/679] trebuie interpretate în sensul că o cerere de comunicare din partea Administrației fiscale precum cea în discuție în litigiul principal, care implică o cantitate semnificativă de date cu caracter personal, trebuie să fie conformă cu cerințele prevăzute de dispozițiile Regulamentului 2016/679 [în special cu articolul 5 alineatul (1)]?

2) Cerințele Regulamentului [2016/679] trebuie interpretate în sensul că Administrația fiscală poate deroga de la dispozițiile articolului 5 alineatul (1) din Regulamentul [2016/679], chiar dacă un astfel de drept nu îi este conferit de legislația în vigoare în Letonia?

3) Având în vedere cerințele Regulamentului [2016/679], există un obiectiv legitim care justifică obligația impusă de o cerere de comunicare, precum cea în discuție în prezenta cauză, de a furniza toate informațiile solicitate în cantitate nelimitată și pe o perioadă nedeterminată, fără a se stabili un termen de încetare pentru executarea cererii de comunicare?

4) Având în vedere cerințele Regulamentului [2016/679], există un obiectiv legitim care justifică obligația impusă de o cerere de comunicare, precum cea în discuție în prezenta cauză, de a furniza toate datele solicitate, în condițiile în care cererea de comunicare nu precizează scopul comunicării informațiilor (sau o face în mod incomplet)?

5) Având în vedere cerințele Regulamentului [2016/679], există un obiectiv legitim care justifică obligația impusă de o cerere de comunicare, precum cea în discuție în prezenta cauză, de a furniza toate datele solicitate, în condițiile în care, în practică, această cerere vizează absolut toate persoanele vizate care au publicat anunțuri la rubrica intitulată «Autoturism privat» a unui portal?

6) Ce criterii trebuie utilizate pentru a verifica dacă Administrația fiscală, în calitate de operator, se asigură în mod corespunzător că prelucrarea (inclusiv colectarea de informații) este conformă cu cerințele Regulamentului [2016/679]?

7) Ce criterii trebuie utilizate pentru a stabili dacă o cerere de comunicare precum cea în discuție în prezenta cauză este motivată corespunzător și de natură ocazională?

8) Ce criterii trebuie utilizate pentru a verifica dacă prelucrarea datelor cu caracter personal este efectuată în măsura necesară și într‑un mod compatibil cu cerințele Regulamentului [2016/679]?

9) Ce criterii trebuie utilizate pentru a verifica dacă Administrația fiscală, în calitate de operator, se asigură că o prelucrare a datelor este conformă cu cerințele articolului 5 alineatul (1) din Regulamentul [2016/679] (responsabilitate)?”

Cu privire la întrebările preliminare

Cu privire la prima întrebare

30 Prin intermediul primei întrebări formulate, instanța de trimitere solicită în esență să se stabilească dacă dispozițiile Regulamentului 2016/679 trebuie interpretate în sensul că colectarea de către Administrația fiscală a unui stat membru de la un operator economic a unor informații care implică o cantitate semnificativă de date cu caracter personal este supusă cerințelor acestui regulament, în special celor enunțate la articolul 5 alineatul (1) din acesta.

31 Pentru a răspunde la această întrebare, este necesar să se verifice, în primul rând, dacă o astfel de cerere intră în domeniul de aplicare material al Regulamentului 2016/679, astfel cum este definit la articolul 2 alineatul (1) din acesta, și, în al doilea rând, dacă nu figurează printre prelucrările de date cu caracter personal pe care articolul 2 alineatul (2) din acest regulament le exclude din domeniul de aplicare menționat.

32 În primul rând, potrivit articolului 2 alineatul (1), Regulamentul 2016/679 se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor.

33 Articolul 4 punctul 1 din Regulamentul 2016/679 precizează că prin „date cu caracter personal” se înțelege orice informație privind o persoană fizică identificată sau identificabilă, adică o persoană fizică ce poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. Considerentul (26) al acestui regulament precizează, în această privință, că, pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective.

34 În cadrul litigiului principal, este cert că informațiile a căror comunicare este solicitată de Administrația fiscală letonă constituie date cu caracter personal, în sensul articolului 4 punctul 1 din Regulamentul 2016/679.

35 În temeiul articolului 4 punctul 2 din acest regulament, colectarea, consultarea, divulgarea prin transmitere, precum și orice formă de punere la dispoziție de date cu caracter personal constituie „prelucrări” în sensul regulamentului menționat. Din modul de redactare a acestei dispoziții, în special din expresia „orice operațiune”, reiese că legiuitorul Uniunii a intenționat să confere noțiunii de „prelucrare” un domeniu de aplicare larg. Această interpretare este confirmată de caracterul neexhaustiv, exprimat prin locuțiunea „cum ar fi”, al operațiunilor menționate în dispoziția menționată.

36 În speță, Administrația fiscală letonă impune operatorului economic în cauză să restabilească accesul serviciilor acestei administrații la numerele de șasiu ale vehiculelor care fac obiectul unui anunț publicat pe portalul său internet și să îi furnizeze informații cu privire la anunțurile publicate pe acest portal.

37 O astfel de cerere, prin care Administrația fiscală a unui stat membru solicită din partea unui operator economic comunicarea și punerea la dispoziție de date cu caracter personal pe care acesta din urmă este obligat să le furnizeze și să le pună la dispoziția sa în temeiul reglementării naționale a acestui stat membru, declanșează un proces de „colectare” a acestor date, în sensul articolului 4 punctul 2 din Regulamentul 2016/679.

38 Pe de altă parte, comunicarea și punerea la dispoziția administrației a datelor respective de către operatorul economic în cauză implică o „prelucrare” în sensul acestui articol 4 punctul 2.

39 În al doilea rând, trebuie examinat dacă operațiunea prin care Administrația fiscală a unui stat membru urmărește să colecteze de la un operator economic date cu caracter personal referitoare la anumiți contribuabili poate fi considerată exclusă din domeniul de aplicare al Regulamentului 2016/679 în temeiul articolului 2 alineatul (2) din acesta.

40 În această privință, trebuie amintit de la bun început că dispoziția menționată prevede excepții de la domeniul de aplicare al regulamentului respectiv, astfel cum este definit la articolul 2 alineatul (1), și că aceste excepții trebuie să fie de strictă interpretare (Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctul 84).

41 În special, articolul 2 alineatul (2) litera (d) din Regulamentul 2016/679 prevede că acesta din urmă nu se aplică prelucrării datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale.

42 După cum rezultă din considerentul (19) al regulamentului menționat, această excepție este motivată de împrejurarea că prelucrările în astfel de scopuri și de către autoritățile competente a datelor cu caracter personal sunt reglementate de un act specific al Uniunii, și anume Directiva 2016/680, care a fost adoptată la aceeași dată ca Regulamentul 2016/679 și care definește la articolul 3 punctul 7 ceea ce trebuie să se înțeleagă prin „autoritate competentă”, o asemenea definiție trebuind aplicată prin analogie în privința articolului 2 alineatul (2) litera (d) din acest regulament [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 69].

43 Rezultă din considerentul (10) al Directivei 2016/680 că noțiunea de „autoritate competentă” trebuie înțeleasă în legătură cu protecția datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești, ținând seama de adaptările care se pot dovedi necesare în această privință, având în vedere natura specifică a acestor domenii. În plus, considerentul (11) al acestei directive precizează că Regulamentul 2016/679 se aplică prelucrării datelor cu caracter personal care ar fi efectuată de o „autoritate competentă” în sensul articolului 3 punctul 7 din directiva menționată, dar în alte scopuri decât cele prevăzute în aceasta [Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 70].

44 Astfel, atunci când solicită unui operator economic să îi comunice date cu caracter personal referitoare la anumiți contribuabili în scopul perceperii impozitului și al combaterii fraudei fiscale, nu rezultă că Administrația fiscală a unui stat membru poate fi considerată o „autoritate competentă” în sensul articolului 3 punctul 7 din Directiva 2016/680 și nici, prin urmare, că asemenea solicitări de informații pot intra sub incidența excepției prevăzute la articolul 2 alineatul (2) litera (d) din Regulamentul 2016/679.

45 În plus, chiar dacă nu este exclus ca datele cu caracter personal în discuție în litigiul principal să poată fi utilizate în cadrul unei urmăriri penale care ar putea fi efectuată, în cazul unor infracțiuni în domeniul fiscal, împotriva unora dintre persoanele vizate, nu rezultă că aceste date sunt colectate cu obiectivul specific de a efectua astfel de urmăriri penale sau în cadrul activităților statului în domeniul dreptului penal (a se vedea în acest sens Hotărârea din 27 septembrie 2017, Puškár, C‑73/16, EU:C:2017:725, punctul 40).

46 Prin urmare, colectarea de către Administrația fiscală a unui stat membru a unor date cu caracter personal referitoare la anunțurile de vânzări de autovehicule publicate pe site‑ul internet al unui operator economic intră în domeniul de aplicare material al Regulamentului 2016/679 și, prin urmare, aceasta trebuie să respecte, printre altele, principiile legate de prelucrarea datelor cu caracter personal enunțate la articolul 5 din acest regulament.

47 Având în vedere ansamblul considerațiilor care precedă, trebuie să se răspundă la prima întrebare că dispozițiile Regulamentului 2016/679 trebuie interpretate în sensul că colectarea de către Administrația fiscală a unui stat membru de la un operator economic a unor informații care implică o cantitate semnificativă de date cu caracter personal este supusă cerințelor acestui regulament, în special celor enunțate la articolul 5 alineatul (1) din acesta.

Cu privire la a doua întrebare

48 Prin intermediul celei de a doua întrebări formulate, instanța de trimitere solicită în esență să se stabilească dacă dispozițiile Regulamentului 2016/679 trebuie interpretate în sensul că Administrația fiscală a unui stat membru poate deroga de la dispozițiile articolului 5 alineatul (1) din acest regulament în condițiile în care un astfel de drept nu i‑a fost acordat în dreptul național al acestui stat membru.

49 Cu titlu introductiv, trebuie amintit că, astfel cum reiese din considerentul (10) al Regulamentului 2016/679, acesta urmărește în special să asigure un nivel ridicat de protecție a persoanelor fizice în cadrul Uniunii.

50 În acest scop, capitolele II și, respectiv, III din Regulamentul 2016/679 prevăd principiile care reglementează prelucrările datelor cu caracter personal, precum și drepturile persoanei în cauză pe care trebuie să le respecte orice prelucrare de date cu caracter personal. În special, orice prelucrare a datelor cu caracter personal trebuie, mai ales, să fie conformă cu principiile legate de prelucrarea unor asemenea date enunțate la articolul 5 din regulamentul respectiv (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 208).

51 Articolul 23 din Regulamentul 2016/679 autorizează totuși Uniunea și statele membre să adopte „măsuri legislative” care restricționează domeniul de aplicare al obligațiilor și drepturilor prevăzute, printre altele, la articolul 5 din acest regulament, în măsura în care acestea corespund drepturilor și obligațiilor prevăzute la articolele 12-22 din regulamentul menționat, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică pentru a garanta obiective importante de interes public general ale Uniunii sau ale statului membru în cauză cum ar fi, printre altele, un interes economic sau financiar important, inclusiv în domeniile bugetar și fiscal.

52 În această privință, din considerentul (41) al Regulamentului 2016/679 reiese că trimiterea, în acest regulament, la o „măsură legislativă” nu necesită neapărat un act legislativ adoptat de un parlament.

53 În aceste condiții, trebuie amintit că, astfel cum se arată în considerentul (4) al acestuia, Regulamentul 2016/679 respectă toate drepturile fundamentale și libertățile și principiile recunoscute în cartă, astfel cum sunt consacrate în tratate, printre care figurează în special protecția datelor cu caracter personal.

54 Or, conform articolului 52 alineatul (1) prima teză din cartă, orice restrângere a exercitării drepturilor și libertăților recunoscute prin aceasta, printre care figurează în special dreptul la respectarea vieții private, garantat la articolul 7 din cartă, și dreptul la protecția datelor cu caracter personal, consacrat la articolul 8 din aceasta, trebuie să fie prevăzută de lege, ceea ce presupune în special că temeiul juridic care permite ingerința în aceste drepturi trebuie să definească ea însăși întinderea restrângerii exercitării dreptului vizat (a se vedea în acest sens Hotărârea din 6 octombrie 2020, Privacy International, C‑623/17, EU:C:2020:790, punctul 65 și jurisprudența citată).

55 În această privință, Curtea a statuat, în plus, că reglementarea care conține o măsură ce permite o asemenea ingerință trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective și să impună o serie de cerințe minime astfel încât persoanele ale căror date cu caracter personal au fost transferate să dispună de garanții suficiente care să permită protejarea în mod eficient a acestor date împotriva riscurilor de abuz [a se vedea în acest sens Hotărârea din 2 martie 2021, Prokuratuur (Condiții de acces la datele referitoare la comunicațiile electronice), C‑746/18, EU:C:2021:152, punctul 48 și jurisprudența citată].

56 În consecință, orice măsură adoptată în temeiul articolului 23 din Regulamentul 2016/679 trebuie, astfel cum a subliniat de altfel legiuitorul Uniunii în considerentul (41) al acestui regulament, să fie clară și precisă, iar aplicarea sa să fie previzibilă pentru persoanele vizate de aceasta. În special, aceștia din urmă trebuie să fie în măsură să identifice împrejurările și condițiile în care întinderea drepturilor pe care le conferă regulamentul menționat poate face obiectul unei limitări.

57 Din considerațiile care precedă rezultă că Administrația fiscală a unui stat membru nu poate deroga de la dispozițiile articolului 5 din Regulamentul 2016/679 în lipsa unui temei juridic clar și precis în dreptul Uniunii sau în dreptul național, a cărui aplicare să fie previzibilă pentru justițiabili, care să prevadă împrejurările și condițiile în care întinderea obligațiilor și drepturilor prevăzute la acest articol 5 poate fi limitată.

58 Prin urmare, trebuie să se răspundă la a doua întrebare că dispozițiile Regulamentului 2016/679 trebuie interpretate în sensul că Administrația fiscală a unui stat membru nu poate deroga de la dispozițiile articolului 5 alineatul (1) din acest regulament în cazul în care un asemenea drept nu i‑a fost acordat printr‑o măsură legislativă, în sensul articolului 23 alineatul (1) din acesta.

Cu privire la întrebările a treia-a noua

59 Prin intermediul întrebărilor a treia-a noua, care trebuie examinate împreună, instanța de trimitere solicită în esență să se stabilească dacă dispozițiile Regulamentului 2016/679 trebuie interpretate în sensul că se opun ca Administrația fiscală a unui stat membru să impună unui furnizor de servicii de anunțuri publicate pe internet să îi comunice, pe o perioadă nedeterminată și fără a se preciza scopul acestei cereri de comunicare, informații referitoare la toți contribuabilii care au publicat anunțuri în una dintre rubricile portalului său internet.

60 Cu titlu introductiv, trebuie arătat că, într‑o situație precum cea în discuție în litigiul principal, pot avea loc două prelucrări de date cu caracter personal. Astfel cum reiese din cuprinsul punctelor 37 și 38 din prezenta hotărâre, este vorba despre colectarea de date cu caracter personal pe care o efectuează Administrația fiscală la furnizorul de servicii în cauză și, în acest context, despre comunicarea prin transmitere a acestor date de către furnizor administrației respective.

61 Astfel cum reiese din jurisprudența citată la punctul 50 din prezenta hotărâre, fiecare dintre aceste operațiuni de prelucrare trebuie să respecte, sub rezerva derogărilor admise la articolul 23 din Regulamentul 2016/679, principiile legate de prelucrarea datelor cu caracter personal prevăzute la articolul 5 din acest regulament, precum și drepturile persoanei vizate care figurează la articolele 12-22 din acesta.

62 În speță, instanța de trimitere ridică întrebări legate în special de împrejurarea că, pe de o parte, prelucrările menționate la punctul 60 din prezenta hotărâre privesc informații în cantitate nelimitată care se raportează la o perioadă nedeterminată și, pe de altă parte, că scopul acestor prelucrări nu este precizat în cererea de comunicare.

63 În această privință, trebuie subliniat, în primul rând, că articolul 5 alineatul (1) litera (b) din Regulamentul 2016/679 prevede că datele cu caracter personal trebuie colectate, printre altele, în scopuri determinate, explicite și legitime.

64 Mai întâi, cerința potrivit căreia scopurile prelucrării trebuie să fie determinate implică, astfel cum rezultă din considerentul (39) al acestui regulament, că acestea trebuie identificate cel târziu la momentul colectării datelor cu caracter personal.

65 Apoi, scopurile prelucrării trebuie să fie explicite, ceea ce înseamnă că acestea trebuie să fie enunțate în mod clar.

66 În sfârșit, aceste scopuri trebuie să fie legitime. Prin urmare, este necesar ca ele să asigure o prelucrare legală, în sensul articolului 6 alineatul (1) din regulamentul amintit.

67 Prelucrările menționate la punctul 60 din prezenta hotărâre sunt inițiate prin cererea de comunicare a datelor cu caracter personal pe care Administrația fiscală letonă o adresează furnizorului de servicii de anunțuri publicate pe internet. În această privință, rezultă că, în temeiul articolului 15 alineatul (6) din Legea privind impozitele și taxele, acest furnizor este obligat să dea curs favorabil unei astfel de cereri.

68 Având în vedere considerațiile prezentate la punctele 64 și 65 din prezenta hotărâre, este necesar ca scopurile acestor prelucrări să fie clar enunțate în această cerere.

69 Dacă scopurile astfel enunțate în cererea menționată sunt necesare pentru îndeplinirea unei sarcini care servește unui interes public sau care țin de exercitarea autorității publice cu care este învestită Administrația fiscală, această împrejurare este suficientă, astfel cum rezultă din articolul 6 alineatul (1) primul paragraf initio și litera (e) din Regulamentul 2016/679 coroborat cu articolul 6 alineatul (3) al doilea paragraf din acest regulament, pentru ca respectivele prelucrări să îndeplinească și cerința legalității amintită la punctul 66 din prezenta hotărâre.

70 În această privință, trebuie amintit că perceperea impozitului și combaterea fraudei fiscale trebuie să fie considerate ca fiind sarcini de interes public, în sensul articolului 6 alineatul (1) primul paragraf litera (e) din Regulamentul 2016/679 (a se vedea prin analogie Hotărârea din 27 septembrie 2017, Puškár, C‑73/16, EU:C:2017:725, punctul 108).

71 În consecință, în cazul în care comunicarea datelor cu caracter personal în cauză nu se întemeiază în mod direct pe dispoziția legală care constituie temeiul acesteia, ci rezultă dintr‑o cerere a autorității publice competente, este necesar ca această cerere să precizeze care sunt scopurile specifice ale acestei colectări de date în raport cu sarcina care servește interesului public sau care face parte din exercitarea autorității publice, pentru a permite destinatarului respectivei cereri să se asigure că transmiterea datelor cu caracter personal în cauză este licită, iar instanțelor naționale să efectueze un control al legalității privind prelucrările în cauză.

72 În al doilea rând, conform articolului 5 alineatul (1) litera (c) din Regulamentul 2016/679, datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate.

73 În această privință, trebuie amintit că, potrivit unei jurisprudențe constante, derogările și restricțiile de la principiul protecției unor asemenea date trebuie să fie efectuate în limitele strictului necesar [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 110 și jurisprudența citată].

74 În consecință, operatorul, inclusiv atunci când acționează în cadrul sarcinii care servește unui interes public cu care a fost învestit, nu poate efectua colectarea de date cu caracter personal în mod generalizat și nediferențiat și trebuie să se abțină de la colectarea datelor care nu sunt strict necesare în raport cu scopurile prelucrării.

75 În speță, trebuie arătat că, astfel cum reiese din cuprinsul punctelor 17-19 din prezenta hotărâre, Administrația fiscală letonă a solicitat operatorului economic în cauză să îi furnizeze date referitoare la anunțurile de vânzări de autoturisme private publicate pe site‑ul său internet între 14 iulie și 31 august 2018 și, în ipoteza în care accesul la aceste informații nu putea fi restabilit, să îi furnizeze, cel mai târziu în a treia zi a fiecărei luni, datele referitoare la anunțurile de vânzări de autoturisme private publicate pe site‑ul său internet în cursul lunii precedente, fără a adăuga la această cerere vreo limită temporală.

76 Având în vedere considerațiile expuse la punctul 74 din prezenta hotărâre, revine instanței de trimitere sarcina de a verifica dacă scopul colectării acestor date poate fi atins fără ca Administrația fiscală letonă să dispună în mod potențial de datele referitoare la ansamblul anunțurilor de vânzări de autoturisme private publicate pe site‑ul internet al operatorului menționat și în special dacă se poate considera că această administrație vizează anumite anunțuri prin intermediul unor criterii specifice.

77 În acest context, trebuie subliniat că, în conformitate cu principiul răspunderii enunțat la articolul 5 alineatul (2) din Regulamentul 2016/679, operatorul trebuie să fie în măsură să demonstreze că respectă principiile legate de prelucrarea datelor cu caracter personal enunțate la alineatul (1) al acestui articol.

78 Prin urmare, revine Administrației fiscale letone sarcina de a dovedi că, în conformitate cu articolul 25 alineatul (2) din acest regulament, a încercat să reducă la minimum, în măsura posibilului, cantitatea de date cu caracter personal care trebuiau colectate.

79 În ceea ce privește împrejurarea că cererea de comunicare adresată de Administrația fiscală letonă nu prevede, în ipoteza nerestabilirii de către furnizorul de servicii de anunțuri în cauză a accesului la anunțurile publicate în perioada vizată în cerere, nicio limită temporală, trebuie amintit că, ținând seama de principiul reducerii la minimum a datelor, operatorul este de asemenea obligat să limiteze la strictul necesar, în lumina obiectivului prelucrării avute în vedere, perioada de colectare a datelor cu caracter personal în cauză.

80 Prin urmare, perioada la care se referă colectarea nu poate depăși durata strict necesară pentru atingerea obiectivului de interes general vizat.

81 Astfel cum rezultă din cuprinsul punctului 77 din prezenta hotărâre, sarcina probei în această privință revine Administrației fiscale letone.

82 Cu toate acestea, împrejurarea că datele menționate sunt colectate fără ca Administrația fiscală letonă să fi definit, în însăși cererea de comunicare, o limită temporală pentru o astfel de prelucrare nu permite, ca atare, să se considere că durata prelucrării depășește durata strict necesară pentru atingerea obiectivului urmărit.

83 În acest context, trebuie totuși reamintit faptul că, pentru a respecta cerința proporționalității exprimată la articolul 5 alineatul (1) litera (c) din Regulamentul 2016/679 [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 98 și jurisprudența citată], reglementarea care stă la baza prelucrării trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective și să impună o serie de cerințe minime astfel încât persoanele ale căror date cu caracter personal sunt vizate să dispună de garanții suficiente care să permită protejarea în mod eficient a acestor date împotriva riscurilor de abuz. Această reglementare trebuie să fie obligatorie din punct de vedere juridic în dreptul intern și în special să indice în ce împrejurări și în ce condiții poate fi luată o măsură care prevede prelucrarea unor asemenea date, garantând în acest mod că ingerința este limitată la strictul necesar (Hotărârea din 6 octombrie 2020, Privacy International, C‑623/17, EU:C:2020:790, punctul 68 și jurisprudența citată).

84 Rezultă că reglementarea națională care guvernează o cerere de comunicare precum cea în discuție în litigiul principal trebuie să se întemeieze pe criterii obiective pentru a defini împrejurările și condițiile în care un furnizor de servicii online este obligat să transmită date cu caracter personal utilizatorilor săi (a se vedea în acest sens Hotărârea din 6 octombrie 2020, Privacy International, C‑623/17, EU:C:2020:790, punctul 78 și jurisprudența citată).

85 Având în vedere ansamblul considerațiilor care precedă, trebuie să se răspundă la întrebările a treia-a noua că dispozițiile Regulamentului 2016/679 trebuie interpretate în sensul că nu se opun ca Administrația fiscală a unui stat membru să impună unui furnizor de servicii de anunțuri publicate pe internet să îi comunice informații referitoare la contribuabilii care au publicat anunțuri în una dintre rubricile portalului său de internet, cu condiția printre altele ca aceste date să fie necesare în raport cu scopurile specifice pentru care sunt colectate și ca perioada la care se referă colectarea menționată să nu depășească durata strict necesară pentru atingerea obiectivului de interes general vizat.

Cu privire la cheltuielile de judecată

86 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera a cincea) declară:

1) Dispozițiile Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) trebuie interpretate în sensul că colectarea de către Administrația fiscală a unui stat membru de la un operator economic a unor informații care implică o cantitate semnificativă de date cu caracter personal este supusă cerințelor acestui regulament, în special celor enunțate la articolul 5 alineatul (1) din acesta.

2) Dispozițiile Regulamentului 2016/679 trebuie interpretate în sensul că Administrația fiscală a unui stat membru nu poate deroga de la dispozițiile articolului 5 alineatul (1) din acest regulament în cazul în care un asemenea drept nu i‑a fost acordat printr‑o măsură legislativă, în sensul articolului 23 alineatul (1) din acesta.

3) Dispozițiile Regulamentului 2016/679 trebuie interpretate în sensul că nu se opun ca Administrația fiscală a unui stat membru să impună unui furnizor de servicii de anunțuri publicate pe internet să îi comunice informații referitoare la contribuabilii care au publicat anunțuri în una dintre rubricile portalului său de internet, cu condiția printre altele ca aceste date să fie necesare în raport cu scopurile specifice pentru care sunt colectate și ca perioada la care se referă colectarea menționată să nu depășească durata strict necesară pentru atingerea obiectivului de interes general vizat.

Semnături

* Limba de procedură: letona.