CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2020:1054

STANOVISKO GENERÁLNÍHO ADVOKÁTA

MACIEJE SZPUNARA

přednesené dne 17. prosince 2020(1)

Věc C‑439/19

vedlejší účastníci:

Latvijas Republikas Saeima

[žádost o rozhodnutí o předběžné otázce podaná Satversmes tiesa (Ústavní soud, Lotyšsko)]

„Žádost o rozhodnutí o předběžné otázce – Nařízení (EU) 2016/679 – Zpracování osobních údajů – Informace týkající se bodů uložených za dopravní přestupky – Pojem zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů – Vnitrostátní pravidla upravující sdělování těchto informací a umožňující jejich opakované použití“

I. Úvod

1. V roce 1946 okomentoval George Orwell kampaň „Keep Death off the Roads“ [Nepusťte smrt na silnici], kterou tehdy vedl jistý bývalý členský stát Evropské unie, těmito slovy: „Pokud byste skutečně nechtěli pustit smrt na silnici, museli byste předělat celý silniční systém tak, aby ke srážkám nemohlo vůbec docházet. Zamyslete se nad tím, co to znamená (například by bylo nutné zbourat a přestavět celý Londýn), a uvidíte, že je to v tomto okamžiku zcela nad síly kteréhokoli národa. Kromě tohoto řešení můžete přijímat jen paliativní opatření, která se v konečném důsledku smrsknou na to, že přimějete lidi, aby byli opatrnější.“(2)

2. Jádrem věci projednávané před Satversmes tiesa (Ústavní soud, Lotyšsko), který se obrátil na Soudní dvůr prostřednictvím projednávané žádosti o rozhodnutí o předběžné otázce, jsou právě taková „paliativní opatření“, o jakých se hovoří výše: za účelem zvýšení bezpečnosti silničního provozu zlepšováním povědomí a obezřetnosti řidičů jsou těm z nich, kteří spáchají dopravní přestupky, ukládány body. Tyto údaje jsou následně sdělovány a předávány pro účely opakovaného použití. Předkládající soud, který projednává ústavní stížnost, jež u něj byla podána, žádá o posouzení slučitelnosti dotčeného vnitrostátního práva s nařízením (EU) 2016/679(3) (dále jen „GDPR“).

3. Tím se projednávaná věc stává téměř učebnicovým příkladem ochrany osobních údajů v tom smyslu, že se nachází především v „offline“ světě a týká se vertikálního vztahu mezi státem a jednotlivcem, čímž se plynule zařazuje do proudu judikatury Soudního dvora vycházející z prapůvodního zásadního rozhodnutí ve věci Stauder(4), pravděpodobně první věci týkající se ochrany osobních údajů au sens large(5).

4. V rámci analýzy toho, jak dalece může členský stát zasahovat do osobních práv jednotlivce za účelem sledování cíle spočívajícího ve zvyšování bezpečnosti silničního provozu, předložím Soudnímu dvoru argumentaci v tom smyslu, že taková opatření, jako je dotčená lotyšská právní úprava, ve vztahu k cíli, kterého se snaží dosáhnout, přiměřená nejsou.

5. Než se však dostanu až k tomuto bodu, budu se věnovat celé škále základních a složitých otázek, jež projednávaná věc vyvolává a které nás závodním tempem provedou celým GDPR. Připoutejte se prosím. Možná díky tomu předejdete uložení nějakého toho bodu za dopravní přestupek.

II. Právní rámec

A. Unijní právo

1. GDPR

6. Kapitola I GDPR, nadepsaná „Obecná ustanovení“, obsahuje články 1 až 4, které upravují předmět a cíle, věcnou a místní působnost, jakož i definice.

7. Článek 1 GDPR, nadepsaný „Předmět a cíle“, stanoví:

„1. Toto nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů.

2. Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů.

3. Volný pohyb osobních údajů v Unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán.“

8. Článek 2 GDPR, nadepsaný „Věcná působnost“, stanoví:

„1. Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

2. Toto nařízení se nevztahuje na zpracování osobních údajů prováděné:

a) při výkonu činností, které nespadají do oblasti působnosti práva Unie;

b) členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;

c) fyzickou osobou v průběhu výlučně osobních či domácích činností;

d) příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

[…]“

9. Kapitola II GDPR, která zahrnuje články 5 až 11, stanoví zásady tohoto nařízení: zásady zpracování osobních údajů, zákonnost zpracování, podmínky vyjádření souhlasu, včetně souhlasu dítěte v souvislosti se službami informační společnosti, zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů, jakož i zpracování, které nevyžaduje identifikaci.

10. Článek 5 GDPR, nadepsaný „Zásady zpracování osobních údajů“, stanoví:

„1. Osobní údaje musí být:

a) ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem (‚zákonnost, korektnost a transparentnost‘);

b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 nepovažuje za neslučitelné s původními účely (‚účelové omezení‘);

c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány (‚minimalizace údajů‘);

d) přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny (‚přesnost‘);

e) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů (‚omezení uložení‘);

f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením (‚integrita a důvěrnost‘);

2. Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

11. Článek 10 GDPR, nadepsaný „Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů“, stanoví:

„Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů či souvisejících bezpečnostních opatření na základě čl. 6 odst. 1 se může provádět pouze pod dozorem orgánu veřejné moci nebo pokud je oprávněné podle práva Unie nebo členského státu poskytujícího vhodné záruky, pokud jde o práva a svobody subjektů údajů. Jakýkoli souhrnný rejstřík trestů může být veden pouze pod dozorem orgánu veřejné moci.“

2. Směrnice 2003/98/ES

12. Článek 1 směrnice 2003/98/ES(6), nadepsaný „Předmět a oblast působnosti“, stanoví:

„1. Tato směrnice stanoví minimální soubor pravidel pro opakované použití a praktické prostředky pro usnadnění opakovaného použití stávajících dokumentů, které mají subjekty veřejného sektoru členských států v držení.

2. Tato směrnice se nepoužije na:

a) dokumenty, jejichž poskytnutí nepřísluší do oblasti veřejných úkolů příslušných subjektů veřejného sektoru definovaných zákonem nebo jinými závaznými předpisy v příslušném členském státě, nebo při neexistenci takových předpisů definovaných v souladu s obecnou správní praxí v dotčeném členském státě za předpokladu, že rozsah těchto veřejných úkolů je transparentní a podléhá přezkumu;

b) dokumenty, ke kterým mají třetí strany práva duševního vlastnictví;

c) dokumenty, které nejsou přístupné podle režimů přístupu v členských státech, včetně z důvodů:

– ochrany národní bezpečnosti (tj. bezpečnosti státu), obrany nebo veřejné bezpečnosti,

– statistické důvěrnosti,

– obchodní důvěrnosti (např. obchodního, profesního nebo firemního tajemství);

ca) dokumenty, k nimž je omezen přístup na základě režimů přístupu v členských státech, včetně případů, kdy občané nebo společnosti pro získání přístupu k dokumentům musí prokázat zvláštní zájem;

cb) části dokumentů obsahující pouze loga, heraldické znaky a insignie;

cc) dokumenty, k nimž je vyloučen nebo omezen přístup na základě režimů přístupu z důvodu ochrany osobních údajů, a podle těchto režimů přístupné části dokumentů, které obsahují osobní údaje, jejichž opakované použití bylo právně vymezeno jako jednání v rozporu s právními předpisy na ochranu osob v souvislosti se zpracováním osobních údajů;

d) dokumenty, které mají v držení organizace pro veřejnoprávní vysílání a jejich dceřinné [dceřiné] společnosti a ostatní subjekty nebo jejich dceřiné společnosti k plnění služby veřejnoprávního vysílání;

e) dokumenty, které mají v držení vzdělávací a výzkumné instituce, včetně organizací pro předávání výsledků výzkumu, školy a vysoké školy, kromě univerzitních knihoven, a

f) dokumenty, které mají v držení kulturní instituce jiné než knihovny, muzea a archivy.

3. Tato směrnice je založena na režimech přístupu jednotlivých členských států a tyto nejsou jejími ustanoveními dotčeny.

4. Tato směrnice ponechává nedotčenu a nijak neovlivňuje úroveň ochrany fyzických osob v souvislosti se zpracováním osobních údajů podle ustanovení předpisů Unie a vnitrostátních předpisů, a zejména nemění závazky a práva podle směrnice 95/46/ES^[(7)^].

5. Závazky uložené touto směrnicí se použijí, pouze pokud jsou slučitelné s ustanoveními mezinárodních dohod o ochraně práv duševního vlastnictví, zejména Bernské úmluvy^[(8)^] a Dohody TRIPS^[(9)^].“

13. Článek 2 směrnice 2003/98, nadepsaný „Definice“, stanoví:

„Pro účely této směrnice se:

1. ‚subjektem veřejného sektoru‘ rozumí státní, regionální nebo místní orgány, veřejnoprávní subjekty a sdružení vytvořená jedním nebo několika takovými orgány nebo jedním nebo několika takovými veřejnoprávními subjekty;

2. ‚veřejnoprávním subjektem‘ rozumí jakýkoliv subjekt:

a) zřízený za zvláštním účelem uspokojování potřeb veřejného zájmu, který nemá průmyslovou nebo obchodní povahu a

b) který má právní subjektivitu a

c) je financován převážně státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty nebo je těmito subjekty řízen, nebo v jeho správním, řídicím nebo dozorčím orgánu je více než polovina členů jmenována státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty;

3. ‚dokumentem‘ rozumí:

a) obsah na jakémkoli nosiči (psaný či tištěný na papíře či uložený v elektronické formě nebo jako zvuková, vizuální nebo audiovizuální nahrávka);

b) jakákoli část takového obsahu;

4. ‚opakovaným použitím‘ rozumí použití dokumentů, které mají v držení subjekty veřejného sektoru, fyzickými nebo právnickými osobami pro komerční nebo nekomerční účely jiné, než je původní účel v rámci veřejného úkolu, pro který byly dokumenty vytvořeny. Výměna dokumentů mezi subjekty veřejného sektoru výhradně pro účely jejich veřejných úkolů není opakovaným použitím;

5. ‚osobními údaji‘ rozumí údaje definované v čl. 2 písm. a) směrnice 95/46/ES.

6. ‚strojově čitelným formátem‘ rozumí formát souboru s takovou strukturou, která umožňuje softwarovým aplikacím v něm snadno nalézt, rozpoznat a získat z něj konkrétní údaje, včetně jednotlivých uvedených fakt a jejich vnitřní struktury;

7. ‚otevřeným formátem‘ rozumí formát souboru, který není závislý na žádné platformě a je zpřístupněn veřejnosti bez jakéhokoli omezení, které by znemožňovalo opakované použití dokumentů;

8. ‚otevřenou formální normou‘ rozumí norma, která byla písemně stanovena a obsahuje specifikace požadavků na zajištění interoperability softwaru;

9. ‚vysokou školou‘ rozumí jakýkoli subjekt veřejného sektoru poskytující vyšší postsekundární vzdělávání vedoucí k získání akademické hodnosti.“

14. Článek 3 směrnice 2003/98, nadepsaný „Obecná zásada“, stanoví:

„1. S výhradou odstavce 2 členské státy zajistí, aby byly dokumenty, na které se vztahuje tato směrnice v souladu s článkem 1, opakovaně použitelné pro komerční nebo nekomerční účely v souladu s podmínkami podle kapitol III a IV.

2. U dokumentů, k nimž mají práva duševního vlastnictví knihovny včetně univerzitních, muzea a archivy, členské státy zajistí, aby v případě, že je povoleno opakované použití takových dokumentů, byly tyto dokumenty opakovaně použitelné pro komerční nebo nekomerční účely v souladu s podmínkami podle kapitol III a IV.“

B. Lotyšské právo

15. Článek 14¹ odst. 2 Ceļu satiksmes likums (zákon o silničním provozu)(10) zní následovně:

„Údaje týkající se vozidla ve vlastnictví právnické osoby, […] řidičského oprávnění určité osoby, pokut za spáchání dopravních přestupků uložených určité osobě a nezaplacených v zákonných lhůtách a další údaje zapsané ve státním registru vozidel a řidičů [dále jen ‚státní registr vozidel‘], jakož i v informačním systému o trakčních prostředcích a řidičích, se považují za veřejně přístupné údaje.“

III. Skutkový stav, řízení a předběžné otázky

16. B, žadatel v řízení vedeném před předkládajícím soudem, je fyzickou osobou, které byly uloženy body za dopravní přestupky na základě zákona o silničním provozu a související vyhlášky(11). Ceļu satiksmes drošības direkcija (Ředitelství pro bezpečnost silničního provozu, Lotyšsko, dále jen „CSDD“) je veřejným subjektem, který tyto body zapsal do státního registru vozidel.

17. S ohledem na skutečnost, že údaje týkající se bodů uložených za dopravní přestupky mohou být sdělovány na žádost a podle B byly předány pro účely opakovaného použití několika společnostem, podal B ústavní stížnost u předkládajícího soudu, kterou zpochybnil slučitelnost čl. 14¹ odst. 2 zákona o silničním provozu s právem na soukromí zakotveným v článku 96 Latvijas Republikas Satversme (Ústava Lotyšské republiky).

18. Vzhledem k tomu, že čl. 14¹ odst. 2 zákona o silničním provozu byl přijat Latvijas Republikas Saeima (Parlament Lotyšské republiky, Lotyšsko, dále jen „Saeima“), byl tento orgán účastníkem řízení. Dále bylo vyslechnuto CSDD, které sporné údaje zpracovává. Kromě toho byly Datu valsts inspekcija (Státní úřad na ochranu osobních údajů, Lotyšsko) – který je v Lotyšsku dozorovým úřadem ve smyslu článku 51 GDPR – a několik dalších orgánů a osob vyzvány, aby se před předkládajícím soudem vyjádřily jako amici curiae.

19. Saeima připouští, že podle sporného ustanovení může kdokoli získat údaje o bodech uložených za dopravní přestupky jiné osobě, a to buď přímým dotazem na CSDD, nebo využitím služeb poskytovaných komerčními subjekty zabývajícími se opakovaným použitím údajů.

20. Saeima je přesto toho názoru, že je sporné ustanovení legální, neboť je odůvodněno cílem spočívajícím ve zlepšení bezpečnosti silničního provozu, který vyžaduje, aby byli pachatelé dopravních přestupků otevřeně ztotožnitelní a aby byli řidiči od páchání přestupků odrazováni.

21. Kromě toho musí být respektováno právo na přístup k informacím stanovené v článku 100 lotyšské ústavy. V každém případě je zpracovávání údajů týkajících se bodů ukládaných za dopravní přestupky prováděno pod dozorem orgánu veřejné moci a v souladu s odpovídajícími zárukami, pokud jde o práva a svobody subjektů údajů.

22. Saeima dále vysvětluje, že údaje obsažené ve státním registru vozidel jsou v praxi sdělovány za podmínky, že žadatel poskytne národní identifikační číslo řidiče, jehož údaje požaduje. Vysvětlení této podmínky poskytnutí údajů je takové, že na rozdíl od jména určité osoby je národní identifikační číslo jedinečným identifikátorem.

23. CSDD předkládajícímu soudu objasnilo fungování bodového systému a potvrdilo, že vnitrostátní právní úprava nestanoví žádná omezení přístupu veřejnosti k údajům týkajícím se bodů ukládaných za dopravní přestupky a jejich opakovaného použití.

24. CSDD rovněž uvedlo podrobnosti smluv uzavřených s komerčními subjekty zabývajícími se opakovaným použitím údajů. Zdůraznilo, že tyto smlouvy neupravují zákonné předávání údajů a že komerční subjekty zabývající se opakovaným použitím údajů zajistí, aby údaje předané jejich zákazníkům nepřekračovaly rámec údajů, které mohou být získány od CSDD. Navíc jedno ze smluvních ujednání stanoví, že nabyvatel informací je musí použít způsobem stanoveným platnou právní úpravou a v souladu s účely uvedenými ve smlouvě.

25. Státní úřad na ochranu osobních údajů vyjádřil pochybnosti o slučitelnosti sporného ustanovení s článkem 96 lotyšské Ústavy. Nevyloučil možnost, že by napadené zpracování údajů mohlo být nevhodné nebo nepřiměřené.

26. Tento úřad rovněž uvedl, že i když statistiky o dopravních nehodách v Lotyšsku nasvědčují o snižování počtu nehod, neexistuje žádný důkaz o tom, že bodový systém a přístup veřejnosti k údajům, které se ho týkají, k tomuto příznivému rozvoji přispěly.

27. Satversmes tiesa (Ústavní soud) zaprvé uvádí, že řízení, které je před ním vedeno, se netýká celého čl. 14¹ odst. 2 zákona o silničním provozu, nýbrž toto ustanovení je relevantní pouze v rozsahu, v němž zpřístupňuje údaje týkající se bodů zapisovaných do vnitrostátního registru vozidel veřejnosti.

28. Tento soud má dále za to, že body ukládané za dopravní přestupky jsou osobními údaji, a musí být tedy zpracovávány v souladu s právem na respektování soukromého života. Zdůrazňuje, že při posuzování působnosti článku 96 lotyšské ústavy je nutno přihlížet ke GDPR, jakož i k článku 16 SFEU a článku 8 Listiny základních práv Evropské unie (dále jen „Listina“).

29. Pokud jde o cíle zákona o silničním provozu, předkládající soud uvádí, že zaznamenávání deliktů, jichž se dopouštějí řidiči a jež jsou v Lotyšsku klasifikovány jako správní přestupky, do vnitrostátního rejstříku trestů a bodů ukládaných za dopravní přestupky do vnitrostátního registru vozidel je prováděno s cílem působit na chování řidičů vozidel a tím minimalizovat nebezpečí ohrožení života, zdraví a majetku osob.

30. Vnitrostátní rejstřík trestů představuje jednotný rejstřík odsuzujících rozhodnutí vydaných proti osobám, které spáchaly nějaký delikt (trestný čin nebo správní přestupek), a jeho cílem je zejména usnadnění přezkumu uložených sankcí. Vnitrostátní registr vozidel naproti tomu umožňuje vést evidenci dopravních přestupků a provádět opatření v závislosti na počtu takovýchto spáchaných přestupků. Cílem bodového systému je zvýšit bezpečnost silničního provozu rozlišováním mezi řidiči vozidel, kteří systematicky, a nikoli v dobré víře porušují pravidla silničního provozu, a řidiči, kteří se přestupků dopouštějí pouze občas, a dále působením na chování účastníků silničního provozu odrazujícím způsobem.

31. Předkládající soud uvádí, že čl. 14¹ odst. 2 zákona o silničním provozu přiznává každému právo požadovat a získat od CSDD údaje vedené ve vnitrostátním registru vozidel, které se týkají bodů uložených řidičům za dopravní přestupky. V praxi jsou informace o těchto bodech žadateli poskytnuty, jakmile tento žadatel uvede národní identifikační číslo dotyčného řidiče.

32. Satversmes tiesa (Ústavní soud) dále upřesňuje, že body za dopravní přestupky jsou klasifikovány jako veřejně přístupné informace, spadají tudíž do působnosti zákona o poskytování informací, a mohou tedy být opakovaně použity pro komerční nebo nekomerční účely jiné, než je původní účel, pro který byly údaje vytvořeny.

33. Pro potřeby výkladu a použití článku 96 lotyšské ústavy v souladu s unijním právem se předkládající soud zaprvé táže, zda takové body za dopravní přestupky, jako jsou body upravené lotyšským právem, spadají do oblasti působnosti článku 10 GDPR. Předkládající soud zejména žádá o objasnění toho, zda čl. 14¹ odst. 2 zákona o silničním provozu porušuje požadavky stanovené v článku 10 GDPR, podle kterého se zpracování osobních údajů uvedených v tomto ustanovení může provádět pouze „pod dozorem orgánu veřejné moci“ nebo při stanovení „vhodn[ých] záruk[…], pokud jde o práva a svobody subjektů údajů“.

34. Tento soud uvádí, že čl. 8 odst. 5 směrnice 95/46, který ponechal na každém členském státu, aby posoudil, zda je potřeba rozšířit oblast působnosti zvláštních pravidel upravujících údaje o protiprávních jednáních a rozsudcích v trestních věcech na údaje týkající se správních přestupků a sankcí, bylo v Lotyšsku provedeno článkem 12 Fizisko personu datu aizsardzības likums (zákon o ochraně osobních údajů fyzických osob), podle kterého mohou být osobní údaje týkající se správních přestupků, stejně jako údaje týkající se trestných činů a rozsudků v trestních věcech, zpracovávány pouze osobami a za podmínek, o nichž tak stanoví zákon.

35. Z toho vyplývá, že po dobu více než deseti let byly v Lotyšsku uplatňovány obdobné požadavky na zpracování osobních údajů týkajících se trestných činů a rozsudků v trestních věcech i na zpracovávání osobních údajů týkajících se správních přestupků.

36. Tento soud dále uvádí, že oblast působnosti článku 10 GDPR musí být v souladu s bodem 4 odůvodnění tohoto nařízení posuzována s přihlédnutím k funkci základních práv ve společnosti. V tomto ohledu má za to, že cíl spočívající v zajištění toho, aby předchozí odsouzení osoby nemělo nepřiměřený nepříznivý dopad na její soukromý a profesní život, by mohl platit jak pro rozsudky v trestních věcech, tak pro správní přestupky.

37. Satversmes tiesa (Ústavní soud) zadruhé žádá o vymezení oblasti působnosti článku 5 GDPR. Konkrétně se táže, zda s ohledem na bod 39 odůvodnění tohoto nařízení lotyšský zákonodárce splnil povinnost zajistit, aby byla při zpracovávání osobních údajů zachována „integrita a důvěrnost“, jak je tato povinnost zakotvena v čl. 5 odst. 1 písm. f) GDPR. Předkládající soud podotýká, že s čl. 14¹ odst. 2 zákona o silničním provozu, který tím, že povoluje přístup k údajům o bodech ukládaných za dopravní přestupky, umožňuje zjistit, zda byla určitá osoba odsouzena za dopravní přestupek, nejsou spjata žádná zvláštní opatření zaručující bezpečnost těchto údajů.

38. Předkládající soud se zatřetí táže, jestli je pro posouzení toho, zda je čl. 14¹ odst. 2 zákona o silničním provozu slučitelný s článkem 96 lotyšské ústavy, relevantní směrnice 2003/98. Podotýká, že podle této směrnice může být opakované použití osobních údajů připuštěno pouze za podmínky respektování práva na soukromí.

39. Začtvrté s ohledem na judikaturu Soudního dvora, podle které má výklad unijního práva podaný v rozhodnutích vydaných v řízení o předběžné otázce účinky erga omnes a ex tunc, si předkládající soud klade otázku, zda by v případě, že bude konstatována neslučitelnost čl. 14¹ odst. 2 zákona o silničním provozu posuzovaného ve světle unijního práva, jak je vykládáno Soudním dvorem, s článkem 96 lotyšské ústavy, mohl nicméně rozhodnout, že právní účinky čl. 14¹ odst. 2 budou zachovány až do dne vydání rozsudku, v němž prohlásí toto ustanovení za protiústavní, a to z toho důvodu, že jeho rozsudkem bude dotčeno velké množství právních vztahů.

40. V tomto ohledu předkládající soud vysvětluje, že podle lotyšského práva musí být akt, který je prohlášen za protiústavní, považován za neplatný ode dne zveřejnění rozsudku Satversmes tiesa (Ústavní soud), neurčí-li tento soud jinak. Dále vysvětluje svůj obvyklý postup, kdy se při určování dne, od kterého již nebude ustanovení, jež bylo prohlášeno za protiústavní, platit, snaží nalézt rovnováhu mezi zásadou právní jistoty a základními právy nejrůznějších dotčených účastníků.

41. Na základě těchto skutkových okolností položil Satversmes tiesa (Ústavní soud) usnesením ze dne 4. června 2019, došlým Soudnímu dvoru dne 11. června 2019, následující předběžné otázky:

„1) Musí být pojem ‚zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů či souvisejících bezpečnostních opatření‘, použitý v článku 10 nařízení č. 2016/679, vykládán v tom smyslu, že zahrnuje zpracování údajů týkajících se bodů uložených řidičům za dopravní přestupky, uvedené ve sporném ustanovení?

2) Nezávisle na odpovědi na první otázku může být nařízení č. 2016/679, zejména zásada ‚integrity a důvěrnosti‘ vyjádřená v jeho čl. 5 odst. 1 písm. f), vykládáno v tom smyslu, že členským státům zakazuje stanovit, že údaje týkající se bodů uložených řidičům za dopravní přestupky jsou veřejně přístupné, a umožnit zpracování příslušných údajů spočívající v jejich sdělování?

3) Musí být body 50 a 154 odůvodnění, čl. 5 odst. 1 písm. b), článek 10 nařízení č. 2016/679 a čl. 1 odst. 2 písm. c quater) směrnice 2003/98/ES vykládány v tom smyslu, že jsou v rozporu s právní úpravou členského státu, která umožňuje předávání údajů týkajících se bodů uložených řidičům za dopravní přestupky pro účely jejich opakovaného použití?

4) V případě, že bude na některou z předchozích otázek odpovězeno kladně, musí být zásady přednosti unijního práva a právní jistoty vykládány v tom smyslu, že by bylo možno použít sporné ustanovení a zachovat jeho právní účinky až do nabytí právní moci konečného rozhodnutí, které přijme ústavní soud?“

42. Vyjádření předložily lotyšská, nizozemská, rakouská a portugalská vláda, jakož i Evropská komise.

43. V souvislosti s šířením viru SARS-CoV-2 rozhodl Soudní dvůr o zrušení jednání, které bylo v projednávané věci stanoveno na 11. května 2020. V rámci organizačních procesních opatření Soudní dvůr výjimečně rozhodl o nahrazení tohoto jednání otázkami k písemnému zodpovězení. Lotyšská a švédská vláda, jakož i Komise odpověděly na otázky položené Soudním dvorem.

IV. Analýza

44. Tato žádost o rozhodnutí o předběžné otázce vyvolává celou řadu zásadních otázek týkajících se GDPR. Všechny tyto otázky však předpokládají, že se GDPR na projednávanou věc použije(12). Tento problém zmiňuji s ohledem na skutečnost, že Unie nepřijala v oblasti bodů ukládaných za dopravní přestupky žádnou právní úpravu.

A. K věcné působnosti GDPR – čl. 2 odst. 2 písm. a)

45. Podle čl. 2 odst. 2 písm. a) GDPR se toto nařízení nevztahuje na zpracování osobních údajů prováděné při výkonu činností, které nespadají do oblasti působnosti práva Unie. Je zjevné, že zatímco čl. 2 odst. 1 GDPR vymezuje oblast působnosti tohoto nařízení pozitivně(13), čl. 2 odst. 2 vylučuje z působnosti tohoto nařízení čtyři druhy činností. Jakožto výjimka z obecného pravidla musí být čl. 2 odst. 2 GDPR vykládán restriktivně(14).

46. Unijní normotvůrce se rozhodl použít nařízení jako druh právního nástroje za účelem zvýšení míry jednotnosti unijního práva v oblasti ochrany údajů, zejména s cílem vytvořit rovné podmínky mezi (hospodářskými) subjekty na vnitřním trhu bez ohledu na to, kde jsou tyto subjekty usazeny(15).

47. Článek 16 SFEU totiž obsahuje nejen právní základ pro přijetí takové úpravy, jako je GDPR, ale rovněž z obecnějšího pohledu představuje tím, že je součástí části první hlavy II Smlouvy o FEU(16), horizontální ustanovení ústavní povahy, které musí být zohledněno při výkonu jakékoli pravomoci Unie.

48. Stejně jako tomu bylo v případě jeho předchůdce, směrnice 95/46, je i účelem GDPR zajištění vysoké úrovně ochrany základních práv a svobod fyzických osob, zejména jejich práva na soukromí, v souvislosti se zpracováním osobních údajů(17).

49. Znění čl. 2 odst. 2 písm. a) GDPR v zásadě odráží znění čl. 16 odst. 2 TFEU(18), které představuje právní základ tohoto nařízení v rámci primárního práva. Podle čl. 16 odst. 2 SFEU přijme unijní normotvůrce pravidla o ochraně fyzických osob při zpracovávání osobních údajů členskými státy, „pokud vykonávají činnosti spadající do oblasti působnosti práva Unie, a pravidla o volném pohybu těchto údajů“(19). Toto ustanovení má tedy deklaratorní povahu. Následující analýza tedy stejnou měrou platí pro čl. 2 odst. 2 písm. a) GDPR i pro čl. 16 odst. 2 SFEU.

50. Nejprve je potřeba uvést, že znění čl. 2 odst. 2 písm. a) GDPR („činnost[i], které nespadají do oblasti působnosti práva Unie“) se liší od znění čl. 51 odst. 1 Listiny(20), podle něhož „[u]stanovení této listiny jsou […] určena […] členským státům, výhradně pokud uplatňují právo Unie“(21).

51. Pokud by někdo považoval shora uvedené za známku toho, že znění čl. 2 odst. 2 písm. a) GDPR je formulováno extenzivněji než znění čl. 51 odst. 1 Listiny(22), vzhledem k tomu, že Soudní dvůr vyložil čl. 51 odst. 1 Listiny v tom smyslu, že se Listina použije „v případě, kdy vnitrostátní právní úprava spadá do působnosti unijního práva“(23), neexistuje mezi zněním těchto dvou ustanovení, jak je vykládá Soudní dvůr, žádný podstatný rozdíl(24).

52. Nedomnívám se však, že by měly být dovozovány nějaké analogie s judikaturou Soudního dvora, pokud jde o oblast působnosti Listiny(25). To by bylo příliš restriktivní a v rozporu s cílem sledovaným článkem 16 SFEU a GDPR. Logika Listiny je totiž zcela odlišná od logiky GDPR: cílem Listiny je kontrolovat výkon pravomocí orgány Unie a členskými státy, když vykonávají činnosti v oblasti působnosti unijního práva, a naopak poskytnout ochranný štít jednotlivcům, aby mohli uplatňovat svá práva. Ochrana osobních údajů je naproti tomu více než základním právem. Jak vyplývá z článku 16 SFEU(26), ochrana osobních údajů představuje svébytnou unijní politiku. Hlavním účelem GDPR je, aby bylo uplatňováno na jakoukoli formu zpracování osobních údajů bez ohledu na dotčený předmět – a to mimochodem nezávisle na tom, zda je toto zpracování prováděno členskými státy nebo jednotlivci. Restriktivní výklad ustanovení čl. 2 odst. 2 písm. a) GDPR by tento cíl zcela zmařil. GDPR, které bylo zamýšleno jako tygr v oblasti ochrany údajů, by se stalo pouhým koťátkem.

53. Ilustrativním příkladem je v tomto ohledu samotná existence takového ustanovení, jako je článek 10 GDPR, který bude předmětem podrobného výkladu v rámci analýzy první otázky předkládajícího soudu uvedené níže. Pokud GDPR upravuje „[z]pracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů či souvisejících bezpečnostních opatření na základě čl. 6 odst. 1“ GDPR(27) v době, kdy jsou rozsudky v trestních věcech a trestné činy téměř výlučně upraveny vnitrostátním právem, nikoli právem unijním, pak nemůže mít toto nařízení doplňkovou funkci příslušející Listině, ledaže by byl článek 10 GDPR neplatný.

54. Totéž platí pro existenci článku 87 GDPR, který členským státům dovoluje dále stanovit zvláštní podmínky pro zpracování národních identifikačních čísel(28).

55. Kromě toho je potřeba zohlednit bod 16 odůvodnění GDPR, který v nikoli kogentní, ale přesto návodné části tohoto nařízení odráží článek 2 GDPR. Národní bezpečnost je zde zmíněna jako příklad oblasti, která nespadá do působnosti unijního práva. Totéž platí pro stejně nezávazné prohlášení k článku 16 SFEU(29), v němž se uvádí, že „při přijímání pravidel o ochraně osobních údajů na základě článku 16 [SFEU], která mohou mít přímé důsledky pro národní bezpečnost, bude zvláštní povaha této otázky náležitě zohledněna“, a kde se připomíná, že „zejména směrnic[e] 95/46 […] obsahuj[e] v tomto ohledu zvláštní odchylky“(30).

56. Toto výslovné zaměření na národní bezpečnost je jasnou známkou toho, co měli při koncipování příslušných pasáží na mysli jak tvůrci Smlouvy o FEU (článek 16 SFEU), tak unijní normotvůrce (čl. 2 odst. 2 písm. a) GDPR).

57. Unijní normotvůrce na jiném místě uvedl, stále v kontextu problematiky ochrany údajů, že národní bezpečnost má být v této souvislosti chápána jako „bezpečnost státu“(31).

58. V této souvislosti je potřeba čl. 2 odst. 2 písm. a) GDPR vnímat na pozadí čl. 4 odst. 2 SEU, který stanoví, že Unie respektuje základní funkce státu členských států(32), a v tomto ohledu demonstrativně uvádí, že „národní bezpečnost zůstává výhradní odpovědností každého členského státu“. Článek 2 odst. 2 písm. a) GDPR pouze opakuje tento ústavní požadavek na to, co musí být zaručeno, aby mohl stát fungovat(33).

59. Vzhledem k předchozí analýze nevidím žádný důvod se domnívat, že čl. 2 odst. 2 písm. a) GDPR zavádí kritérium, které váže použitelnost GDPR na splnění přísných podmínek, ani že by to snad byl měl unijní normotvůrce v úmyslu.

60. Konečně, letmé posouzení zbývajících tří výjimek z věcné působnosti GDPR uvedených v čl. 2 odst. 2 písm. b) až d) tuto analýzu potvrzuje. GDPR se tedy nepoužije na zpracování osobních údajů prováděné členskými státy při výkonu činností, které spadají do oblasti působnosti společné zahraniční a bezpečnostní politiky Evropské unie(34), fyzickou osobou v průběhu výlučně osobních či domácích činností(35), a příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení(36).

61. Vyloučení společné zahraniční a bezpečnostní politiky, která je stále převážně mezivládní politikou, je jedině logické(37). Čistě osobní a domácí činnosti fyzických osob jsou v každém případě zásadně vyloučeny z působnosti unijního práva, neboť nejsou upraveny primárním ani sekundárním právem. Totéž platí v zásadě i pro prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkon trestů. Nicméně důvodem zakotvení této poslední uvedené výjimky je to, že Unie přijala jednu zvláštní směrnici(38), a to mimochodem téhož dne, kdy bylo přijato GDPR. Navíc z čl. 23 odst. 1 písm. d) GDPR vyplývá, že zpracování osobních údajů prováděné jednotlivci pro stejné účely do oblasti působnosti GDPR spadá(39).

62. Pokud tedy mají mít poslední dvě uvedené výjimky nějaký normativní právní význam, nelze tvrdit, že nespadají do oblasti působnosti unijního práva ve smyslu čl. 2 odst. 2 písm. a) GDPR.

63. Konečně je třeba uvést, že neexistuje žádný zřejmý důkaz, že by Soudní dvůr zásadně uplatňoval ve vztahu k oblasti působnosti GDPR dle článku 2 GDPR nebo ve vztahu k oblasti působnosti směrnice 95/46 dle článku 3 směrnice 95/46 nějaké přísné kritérium(40). Soudní dvůr naopak spíše zdůrazňuje, že „použitelnost směrnice 95/46 [nemůže] záviset na otázce, zda mají konkrétní dotčené situace, jež jsou předmětem původních řízení, dostatečnou spojitost s výkonem základních svobod zajištěných Smlouvou“(41).

64. Závěrem k této úvodní části analýzy uvádím, že při správném výkladu čl. 2 odst. 2 písm. a) GDPR je nutno dojít k závěru, že se toto nařízení na zpracování osobních údajů v členském státě nebo členským státem použije, ledaže je toto zpracování prováděno v oblasti, v níž Unie nemá pravomoc.

65. GDPR je tudíž na projednávanou věc použitelné a předkládající soud jej musí při posuzování platnosti vnitrostátního práva zohlednit.

B. K článku 86 GDPR

66. Pro úplnost bych se chtěl stručně věnovat ustanovení článku 86 GDPR v projednávané věci.

67. Podle tohoto článku platí, že osobní údaje v úředních dokumentech, které jsou v držení orgánu veřejné moci či veřejného nebo soukromého subjektu za účelem plnění úkolu ve veřejném zájmu, může tento orgán či subjekt zpřístupnit v souladu s právem Unie nebo členského státu, kterému podléhá, aby zajistil soulad mezi přístupem veřejnosti k úředním dokumentům a právem na ochranu osobních údajů podle GDPR.

68. Toto ustanovení pouze připouští význam přístupu veřejnosti k úředním dokumentům. Kromě toho, jak správně podotkla Komise, neposkytuje toto ustanovení žádné další vodítko k tomu, jak by měl být přístup veřejnosti k úředním dokumentům uveden do souladu s pravidly pro ochranu údajů(42). Toto ustanovení má poměrně deklaratorní povahu, což odpovídá spíše bodu odůvodnění než kogentnímu ustanovení právního předpisu(43). Dovolil bych si z tohoto důvodu tvrdit, že „narativní norma“ článku 86 GDPR nemá na analýzu, která následuje, žádný vliv.

C. První otázka: body ukládané za dopravní přestupky ve světle článku 10 GDPR

69. Podstatou první otázky předkládajícího soudu je, zda musí být článek 10 GDPR vykládán v tom smyslu, že zahrnuje zpracování údajů týkajících se bodů uložených řidičům za dopravní přestupky, jak je upravuje vnitrostátní právo.

70. Podle tohoto ustanovení se má zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů či souvisejících bezpečnostních opatření na základě čl. 6 odst. 1 GDPR(44) provádět pouze pod dozorem orgánu veřejné moci(45). Jakýkoli souhrnný rejstřík trestů může být veden pouze pod dozorem orgánu veřejné moci.

71. Vzhledem k tomu, že CSDD je patrně orgánem veřejné moci – ve smyslu „veřejnoprávního orgánu“ –, lze zpochybňovat relevanci první otázky a ptát se, zda tato otázka není hypotetická ve smyslu judikatury Soudního dvora týkající se přípustnosti. Tyto pochybnosti bych nicméně rozptýlil zdůrazněním skutečnosti, že projednávaná věc se týká jak sdělování bodů ukládaných za dopravní prostředky (přičemž toto sdělování provádí CSDD), tak opakovaného použití těchto údajů jinými subjekty. V rozsahu, v němž se první předběžná otázka týká těchto jiných subjektů, je podle mého názoru přípustná.

1. Osobní údaje

72. Článek 4 odst. 1 GDPR stanoví, že „osobními údaji“ se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

73. Není důvod pochybovat o tom, že údaje týkající se bodů uložených řidičům za dopravní přestupky představují osobní údaje ve smyslu čl. 4 odst. 1 GDPR.

2. […] týkající se rozsudků v trestních věcech a trestných činů či souvisejících bezpečnostních opatření

74. Pokud jde o „[trestné] činy“ zmíněné v článku 10 GDPR, je potřeba uvést, že z některých jazykových verzí tohoto ustanovení nevyplývá zcela jednoznačně, zda se tento pojem týká pouze trestných činů, nebo zda se vztahuje i na správní přestupky. Nejvíce přirozený a intuitivní výklad anglického znění je takový, že pojem „trestný“ byl takříkajíc vytknut před závorku a odkazuje zároveň na „rozsudky“ i na „činy“. V této souvislosti neponechávají některé jazykové verze(46) žádný prostor pro pochybnosti: pojem „činy“ ve smyslu článku 10 GDPR musí být vykládán jako „trestné činy“. Jiné jazykové verze(47) jsou nejednoznačné, neboť umožňují více výkladů. Lotyšská jazyková verze (saistītiem drošības pasākumiem), která je patrně tou jazykovou verzí, s níž je předkládající soud obeznámen nejlépe, je rovněž nejednoznačná. Nejenže zde není specifikováno, zda „činy“ (pārkāpumi) mají mít povahu trestných činů, ale navíc není jasně řečeno ani to, zda se „rozsudky“ (sodāmība) míní rozsudky v trestních věcech(48).

75. Přestože se jednotlivé jazykové verze mohou jevit jako různorodé, lze již na tomto místě vyvodit určité závěry.

76. Všechny úřední jazyky Evropské unie jsou jazyky, ve kterých jsou sepsána závazná znění aktů, takže všem jazykovým verzím aktů Unie musí být v zásadě přiznána stejná hodnota(49). Výklad ustanovení unijního práva tedy zahrnuje srovnání jazykových verzí(50). Kromě toho musí být jednotlivé jazykové verze unijního právního předpisu vykládány jednotně(51).

77. Za těchto okolností musí být za správný považován význam „přesnějších“ jazykových verzí, zejména vzhledem k tomu, že tento přesnější význam je rovněž jedním z možných výkladů méně přesných jazykových verzí, kde jednou z možností je, že „činy“ jsou vykládány pouze jako činy „trestné“. V této fázi tedy mohu prozatímně uzavřít, že na základě srovnávacího výkladu různých jazykových verzí článku 10 GDPR se výraz „trestný“ vztahuje jak na „rozsudky“, tak na „činy“(52).

78. Navrhovaný výklad článku 10 GDPR navíc zachovává rozlišení zavedené předchůdcem tohoto nařízení, čl. 8 odst. 5 směrnice 95/46. Podle tohoto předchozího ustanovení se kontrola orgánu veřejné moci vyžadovala ve vztahu ke zpracování údajů týkajících se rozsudků v trestních věcech a protiprávního jednání(53), zatímco ve vztahu ke správním sankcím byla stanovena možnost, aby bylo zpracování údajů podřízeno kontrole orgánu veřejné moci(54). Pokud by byl dle čl. 8 odst. 5 směrnice 95/46 pojem „protiprávní jednání“ vykládán tak, že zahrnuje i „správní přestupky“, byla by druhá část tohoto ustanovení nadbytečná.

79. Toto zjištění však stále neodpovídá na otázku, co přesně je potřeba rozumět pojmem „trestné činy“.

80. Prvním problémem je, zda tento pojem představuje autonomní pojem unijního práva, nebo zda je výklad tohoto pojmu ponechán členským státům.

81. Podle ustálené judikatury Soudního dvora z požadavků jak jednotného používání unijního práva, tak zásady rovnosti vyplývá, že znění ustanovení unijního práva, které výslovně neodkazuje na právo členských států za účelem vymezení smyslu a rozsahu tohoto ustanovení, musí být zpravidla vykládáno autonomním a jednotným způsobem v celé Evropské unii(55). Při tomto výkladu je třeba vzít v úvahu nejen znění, cíle, které sleduje, a legislativní kontext dotčeného ustanovení, ale i veškerá ustanovení unijního práva jako celek. Historie vzniku ustanovení unijního práva může rovněž poskytnout informace relevantní pro jeho výklad(56).

82. V tomto ohledu je zřejmé, že trestní právo hmotné a trestní právo procesní spadají v zásadě do pravomoci členských států(57). V důsledku toho budou členské státy schopny stanovit, jaké jednání naplňuje zákonné znaky trestného činu(58).

83. Jakmile si však unijní normotvůrce zvolil právní formu nařízení, na rozdíl od směrnice, dovolil bych si tvrdit, že normou by měl být jednotný výklad pojmů tohoto nařízení napříč celou Unií, aby byla zajištěna jeho obecná působnost a přímá použitelnost ve všech členských státech v souladu s čl. 288 odst. 2 SFEU.

84. Obdobně jsou zde známky toho, že unijní normotvůrce nechtěl ve vztahu k výkladu pojmu „činy“ odkázat na vnitrostátní právní úpravu, resp. úpravy. Bod 13 odůvodnění směrnice 2016/680(59) tak uvádí, že pojem trestného činu ve smyslu této směrnice by měl být autonomním pojmem unijního práva, jak jej vykládá Soudní dvůr Evropské unie. V duchu zásady a maiore ad minus bych dovodil, že toto konstatování platí i pro GDPR(60), které jak je uvedeno výše, představuje coby nařízení právní akt, jenž automaticky představuje vyšší stupeň integrace a centralizace.

85. Druhý problém, který spočívá v určení, zda se dotčené osobní údaje týkají rozsudků v trestních věcech a trestných činů či souvisejících bezpečnostních opatření ve smyslu článku 10 GDPR, je už obtížněji řešitelný.

86. Soudní dvůr měl již dříve možnost vyjádřit se k definici pojmu „trestný čin“ v rámci zásady ne bis in idem(61) podle článku 50 Listiny(62).

87. V tomto ohledu vychází Soudní dvůr z judikatury Evropského soudu pro lidská práva(63), podle níž jsou pro definici pojmu „trestní řízení“ relevantní tři kritéria: právní kvalifikace porušení v rámci vnitrostátního práva, tatáž povaha porušení práva a vlastní povaha a stupeň přísnosti sankce, která hrozí dotčené osobě(64).

88. Body ukládané za dopravní přestupky, jako jsou ty, které jsou ukládány dle dotčeného vnitrostátního práva, nemohou být podle mého názoru kvalifikovány jako trestný čin podle této judikatury, neboť tato kritéria nesplňují. Zejména se nejedná o příliš přísnou sankci(65).

89. Konečně bych rád zdůraznil, že díky provedení této analýzy není potřeba posuzovat vymezení mezi článkem 10 GDPR a ustanoveními směrnice 2016/680, neboť tato směrnice se na projednávanou věc nepoužije.

3. Navrhovaná odpověď

90. Navrhuji tedy odpovědět na první otázku tak, že článek 10 GDPR musí být vykládán v tom smyslu, že nezahrnuje zpracování údajů týkajících se bodů uložených řidičům za dopravní přestupky, uvedené ve vnitrostátním právu, jako je čl. 14¹ odst. 2 zákona o silničním provozu.

D. Druhá otázka: sdělování bodů ukládaných za dopravní přestupky

91. Podstatou druhé otázky předkládajícího soudu je, zda ustanovení GDPR brání tomu, aby členský stát zpracovával a sděloval údaje týkající se bodů uložených řidičům za dopravní přestupky.

92. I když předkládající soud demonstrativně odkazuje na zásadu integrity a důvěrnosti obsaženou v čl. 5 odst. 1 písm. f) GDPR(66), je jeho otázka formulována široce, neboť odkazuje na ustanovení tohoto nařízení jako celku(67). Následující analýza se tedy bude vztahovat na jiná ustanovení GDPR, než jaké zmínil předkládající soud ve své otázce.

93. Jakékoli zpracování osobních údajů musí být v souladu se zásadami pro kvalitu údajů uvedenými v článku 5 GDPR a musí odpovídat některé ze zásad pro oprávněné zpracování údajů uvedených v článku 6 tohoto nařízení(68). Ze znění těchto dvou ustanovení lze dovozovat, že první je kumulativní povahy(69) a druhé alternativní povahy(70).

94. Druhá otázka se týká zásad pro kvalitu údajů. Předkládající soud podle všeho – zcela správně – předpokládá, že CSDD zpracovává údaje, přičemž nezpochybňuje zapisování bodů uložených za dopravní přestupky jako takové, ale jejich sdělování na požádání.

95. CSDD je nepopiratelně „správcem“ ve smyslu čl. 4 bodu 7 GDPR, který zpracovává osobní údaje ve smyslu čl. 4 bodu 2 tohoto nařízení tím, že body uložené za dopravní přestupky zapisuje do vnitrostátního registru vozidel.

96. Postačí uvést, že Soudní dvůr rozhodl ve vztahu k veřejně vedenému „obchodnímu rejstříku“, že zápisem a uchováním uvedených informací v rejstříku a případně jejich sdělením na žádost třetím osobám provádí orgán pověřený vedením tohoto rejstříku „zpracování osobních údajů“, za které je „odpovědný“ ve smyslu definicí poskytnutých ve směrnici 95/46(71), které představují předchůdce definic zakotvených v čl. 4 bodu 2 a 7 GDPR(72).

1. K čl. 5 odst. 1 písm. f) GDPR: integrita a důvěrnost

97. To vyvolává otázku, zda byly respektovány zásady integrity a důvěrnosti zakotvené v čl. 5 odst. 1 písm. f) GDPR – v ustanovení, na které sám předkládající soud ve své otázce odkazuje.

98. Podle čl. 5 odst. 1 písm. f) GDPR musí být osobní údaje zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

99. Jak jasně vyplývá z jeho znění, týká se toto ustanovení bezpečnostních, technických a organizačních opatření používaných v souvislosti se zpracováním osobních údajů(73). Jedná se zde o obecné formální požadavky v oblasti bezpečnosti údajů(74).

100. Předkládající soud naproti tomu žádá vodítko, které je více elementární povahy a týká se právní možnosti takového zpracování. Jinými slovy a více metaforicky, předkládající soud se dotazuje na zpracování osobních údajů jako takové („zda“), zatímco čl. 5 odst. 1 písm. f) GDPR se zabývá způsobem, jakým je toto zpracování prováděno („jak“). Článek 5 odst. 1 písm. f) GDPR tedy není v projednávané věci vůbec relevantní.

2. K čl. 5 odst. 1 písm. a) GDPR: zákonnost, korektnost a transparentnost

101. Podle čl. 5 odst. 1 písm. a) GDPR musí být osobní údaje ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem.

102. Podotýkám, že pojem „zákonnost“ se objevuje jak v čl. 5 odst. 1 písm. a), tak v článku 6 GDPR. Vnášení podrobných požadavků článku 6 do článku 5 tohoto nařízení by z hlediska legislativní techniky nedávalo valný smysl, pokud by měl článek 5 rovněž obsahovat kritéria zakotvená v článku 6 GDPR.

103. Zákonnost ve smyslu čl. 5 odst. 1 písm. a) GDPR by měla být místo toho vykládána ve světle bodu 40 odůvodnění tohoto nařízení(75), který požaduje, aby byly osobní údaje zpracovávány na základě souhlasu nebo s ohledem na nějaký jiný legitimní základ stanovený právními předpisy(76).

104. Pokud tomu tak je (ve vnitrostátním právu je takový právní základ dán), nevidím důvod, proč by měla být zákonnost zpracování v projednávané věci zpochybňována(77).

105. Souhlasím proto s podáními rakouské vlády(78), že tato zásada není ve vztahu ke skutkovému stavu projednávané věci relevantní.

3. K čl. 5 odst. 1 písm. b) GDPR: účelové omezení

106. Článek 5 odst. 1 písm. b) GDPR stanoví zásadu „účelového omezení“, když stanoví, že osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný(79).

107. Předkládající soud uvádí, že sporné ustanovení, a sice čl. 14¹ odst. 2 zákona o silničním provozu, usiluje o dosažení cíle spočívajícího v bezpečnosti silničního provozu tím, že odhaluje řidiče, kteří tyto předpisy porušují. Sdělování bodů uložených za dopravní přestupky je tak patrně určitým, výslovně vyjádřeným a legitimním účelem. Toto zpracování osobních údajů navíc podle všeho není s tímto účelem neslučitelné.

4. K čl. 5 odst. 1 písm. c) GDPR: minimalizace údajů

108. Podle čl. 5 odst. 1 písm. c) GDPR vyžaduje zásada minimalizace údajů, aby byly osobní údaje přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Bod 39 odůvodnění GDPR tomu odpovídajícím způsobem uvádí, že osobní údaje by měly být zpracovány pouze tehdy, nemůže-li být účelu zpracování přiměřeně dosaženo jinými prostředky.

109. Stejně jako ostatní zásady zakotvené v čl. 5 odst. 1 GDPR i tuto zásadu chápu tak, že odráží zásadu proporcionality(80), přičemž toto je důvod, proč považuji za vhodné věnovat se v této fázi posouzení toho, zda je dotčené vnitrostátní právo přiměřené cíli, kterého se snaží dosáhnout.

110. Podle ustálené judikatury platí, že zásada proporcionality, která je součástí obecných zásad práva Unie, vyžaduje, aby prostředky zavedené aktem Unie byly způsobilé k uskutečnění sledovaného cíle a nepřekračovaly meze toho, co je k dosažení tohoto cíle nezbytné(81).

111. Článek 14¹ odst. 2 zákona o silničním provozu tedy musí být způsobilý a nezbytný pro sledování uvedeného cíle, a sice zvýšení bezpečnosti silničního provozu.

a) Způsobilost

112. Prvním uvedeným cílem napadeného vnitrostátního práva je zjistit totožnost řidičů vozidel, kteří systematicky ignorují pravidla silničního provozu. Je zřejmé, že určení totožnosti osob, které porušují dopravní předpisy, nikterak nezávisí na veřejné povaze (obecné přístupnosti) bodů uložených pachateli určitého dopravního přestupku. Pouze orgánu veřejné moci přísluší přesně zjistit totožnost osob, které takto porušují dopravní předpisy, a vést záznamy o bodech, které jim byly za spáchané dopravní přestupky uloženy, aby mohly nastat odpovídající právní následky a být uloženy příslušné sankce.

113. Druhým cílem vnitrostátního ustanovení umožňujícího zpřístupňování dotčených osobních údajů, kterého se dovolává Saeima, je působit na chování účastníků silničního provozu s cílem odradit potenciální pachatele od páchání dalších přestupků. Na tomto místě lze připustit, že umožnění jakékoli osobě zjistit, kdo porušuje dopravní předpisy, bude mít patrně určitý odrazující účinek: řada řidičů by nesouhlasila s tím, aby byly takové údaje, které se jich týkají, sdělovány široké veřejnosti, aby nebyli označováni jako osoby porušující předpisy.

114. Tento cíl je rovněž jasně vyjádřen v článku 43¹ zákona o silničním provozu jako cíl sledovaný zavedením bodového systému. Je naprosto zřejmé, že zveřejnění bodů ukládaných za dopravní přestupky může do určité míry představovat další odrazující faktor. Sporné ustanovení by tak v zásadě bylo v souladu se sledovaným obecným zájmem, a sice zvyšováním bezpečnosti silničního provozu a předcházením dopravním nehodám.

115. Pokud jsou nicméně dotčené osobní údaje poskytovány pouze na žádost a žadatel poskytne osobní identifikační číslo dotčené osoby, vyvstává otázka, jak obtížné je toto číslo získat. Čím obtížnější totiž získání takové údaje bude, tím méně bude toto zpřístupňování odrazující, neboť to, zda budou tyto údaje dostupné veřejnosti, bude záviset na jiných, těžko předvídatelných faktorech.

116. Z tohoto důvodu mám vážné pochybnosti o způsobilosti dotčeného vnitrostátního práva.

117. Je na předkládajícím soudu, aby s ohledem na všechny okolnosti projednávané věci určil, zda je čl. 14¹ odst. 2 zákona o silničním provozu skutečně způsobilý k dosažení legitimního cíle spočívajícího ve zvyšování bezpečnosti silničního provozu.

b) Nezbytnost

118. Pokud jde o otázku nezbytnosti, tedy požadavku na to, aby dotčené opatření nepřekračovalo meze toho, co je nezbytné k dosažení sledovaného cíle, jeví se situace o něco jasnější.

119. Opět platí, že předkládajícímu soudu přísluší, aby s ohledem na všechny okolnosti věci rozhodl, zda je sporné ustanovení skutečně nezbytné. Na základě dostupných informací mi však není jasné, jak by toto ustanovení mohlo být z jakéhokoli pohledu za nezbytné považováno.

120. Cíl spočívající ve zvyšování bezpečnosti silničního provozu je sice důležitý, nicméně je nezbytné nalézt spravedlivou rovnováhu mezi jednotlivými dotčenými zájmy, a je tedy na vnitrostátním zákonodárci, aby rozhodl, zda zpřístupnění dotčených osobních údajů nepřekračuje meze toho, co je nezbytné k dosažení sledovaných legitimních cílů, zejména s přihlédnutím k porušení základních práv, které takové zpřístupnění způsobí.

121. Předkládací usnesení neuvádí, zda Saeima před přijetím sporného ustanovení zvažoval i jiné prostředky k dosažení cíle spočívajícího ve zvyšování bezpečnosti silničního provozu, které by způsobily menší zásah do práva fyzických osob na ochranu údajů. Kromě toho musí být zákonodárce schopen prokázat, že výjimky z ochrany údajů a její omezení by byla v naprostém souladu se stanovenými omezeními. Pozorné posouzení dopadu na ochranu údajů by mělo být provedeno před zveřejněním určitého souboru údajů (nebo před přijetím zákona ukládajícího zveřejnění takového souboru údajů), a to včetně posouzení možností opakovaného použití a jeho potenciálního dopadu.

122. Existence a přesnost takových informací jsou podstatné pro rozhodnutí o tom, zda může být cílů spočívajících ve zvýšení bezpečnosti silničního provozu a snížení počtu dopravních nehod dosaženo opatřeními, která by měla méně závažné dopady na práva dotčených osob, díky čemuž by bylo možno předejít nebo alespoň zmírnit porušení ochrany přiznané článkem 8 Listiny.

123. Zásah do soukromí způsobený zveřejněním údajů o protiprávních jednáních a uložených trestech je sám o sobě obzvláště závažný: veřejnosti jsou jím zpřístupňovány údaje o protiprávních jednáních, kterých se určitý jednotlivec dopustil. Kromě toho nelze vyloučit, že by takové zpracování údajů, které je zveřejnění dotčených údajů vlastní, mohlo vést ke stigmatizaci pachatele a jiným negativním důsledkům. Takové „černé listiny“ tak musí být přísně regulovány.

124. Konečně, jak uvádí Státní úřad na ochranu osobních údajů, preventivní povaha sporného ustanovení a statistika svědčící o příznivém vývoji, a sice snížení počtu dopravních nehod, neprokazují, že je toto snížení spjato se zavedením bodového systému per se nebo se skutečností, že jsou údaje týkající se bodů uložených za dopravní přestupky přístupné veřejnosti.

5. Navrhovaná odpověď

125. Soudnímu dvoru tedy navrhuji, aby na druhou otázku odpověděl tak, že článek 5 odst. 1 písm. c) GDPR brání vnitrostátní právní úpravě, jako je čl. 14¹ odst. 2 zákona o silničním provozu, který umožňuje zpracování a sdělování údajů týkajících se bodů uložených řidičům za dopravní přestupky.

E. Třetí otázka: opakované použití osobních údajů

1. Ke směrnici 2003/98

126. Jak je uvedeno v čl. 1 odst. 1 směrnice 2003/98, tato směrnice stanoví minimální soubor pravidel pro opakované použití a praktické prostředky pro usnadnění opakovaného použití stávajících dokumentů, které mají subjekty veřejného sektoru členských států v držení.

127. Pro účely projednávané věci lze předpokládat, že body ukládané za dopravní přestupky v Lotyšsku jsou zapsány v dokumentech, které jsou v držení CSDD jakožto subjektu veřejného sektoru ve smyslu tohoto ustanovení.

128. Nepohybujeme se však v oblasti působnosti směrnice 2003/98, jelikož čl. 1 odst. 2 písm. cc) této směrnice stanoví, že se tato směrnice nepoužije na dokumenty, k nimž je vyloučen nebo omezen přístup na základě režimů přístupu z důvodu ochrany osobních údajů(82). Kromě toho podle čl. 1 odst. 4 směrnice 2003/98 ponechává tato směrnice nedotčenou a nijak neovlivňuje úroveň ochrany fyzických osob v souvislosti se zpracováním osobních údajů podle ustanovení předpisů Unie a vnitrostátních předpisů, a zejména nemění závazky a práva podle GDPR(83).

129. Z těchto ustanovení vyplývá, že sporné zpracování osobních údajů musí být posuzováno ve světle unijní právní úpravy týkající se ochrany údajů, a sice GDPR, nikoli směrnice 2003/98(84).

2. K opakovanému použití

130. Jak správně uvádí předkládající soud, mohou-li být údaje týkající se bodů uložených řidičům za dopravní přestupky sdělovány komukoli, včetně subjektů zabývajících se opakovaným použitím údajů, nebude možné zjistit účely dalšího zpracování těchto údajů, ani posoudit, zda nejsou osobní údaje zpracovávány způsobem neslučitelným s těmito účely.

131. Na základě těchto okolností se má analýza provedená v rámci druhé předběžné otázky použije v plném rozsahu nejen mutatis mutandis, ale rovněž a fortiori: soukromé společnosti může lákat možnost využívání osobních údajů pro komerční účely, tedy pro účely, které jsou neslučitelné s účelem tohoto zpracování spočívajícím ve zvyšování bezpečnosti silničního provozu.

132. Kromě toho možnost třetích osob zpracovávat tyto osobní údaje zjevně překračuje rámec účelového omezení zakotveného v čl. 5 odst. 1 písm. b) GDPR.

3. Navrhovaná odpověď

133. Na třetí otázku tudíž navrhuji odpovědět v tom smyslu, že vnitrostátní právní úprava, jako je čl. 14¹ odst. 2 zákona o silničním provozu, která umožňuje zpracování a sdělování údajů, včetně zpracování a sdělování údajů prováděného pro účely opakovaného použití, které se týkají bodů uložených řidičům za dopravní přestupky, se neřídí ustanoveními směrnice 2003/98. Navíc takové vnitrostátní právní úpravě brání čl. 5 odst. 1 písm. c) GDPR.

F. Čtvrtá otázka

134. Čtvrtou otázkou se předkládající soud táže, zda – bude-li zjištěno, že dotčená vnitrostátní právní úprava je v rozporu s unijním právem – by bylo možno použít sporné ustanovení a zachovat jeho právní účinky až do nabytí právní moci konečného rozhodnutí, které přijme Satversmes tiesa (Ústavní soud).

135. Předkládající soud tedy žádá, aby byly právní účinky sporného ustanovení zachovány až do vydání jeho konečného rozhodnutí.

136. Podle ustálené judikatury platí, že výklad ustanovení unijního práva, který podává Soudní dvůr při výkonu pravomoci, kterou mu přiznává článek 267 SFEU, objasňuje a upřesňuje význam a dosah tohoto ustanovení tak, jak musí být nebo mělo být chápáno a používáno od okamžiku jeho vstupu v platnost(85). Z toho vyplývá, že takto vyložená norma může a musí být soudem použita i na právní vztahy vzniklé a založené před vydáním rozsudku, jímž je rozhodnuto o žádosti o výklad, pokud jsou splněny ostatní podmínky pro předložení sporu týkajícího se použití uvedené normy příslušným soudům(86). Soudní dvůr mohou jen zcela výjimečně přimět okolnosti k tomu, aby na základě obecné zásady právní jistoty, která je vlastní unijnímu právnímu řádu, omezil možnost všech zúčastněných osob dovolávat se ustanovení, jehož výklad podal, za účelem zpochybnění právních vztahů založených v dobré víře(87).

137. V každém případě přísluší pouze Soudnímu dvoru, aby určil podmínky případného pozastavení účinků(88), a to z řádného důvodu: jinak by vnitrostátní soud mohl odložit účinky tohoto rozhodnutí a ovlivnit tak jeho povahu erga omnes, jejímž prvořadým cílem je zajistit jednotné uplatňování unijního práva a právní jistotu ve všech členských státech a vytvořit rovné podmínky pro členské státy, občany a hospodářské subjekty. Nelze totiž připustit, aby ustanovení vnitrostátního práva, i kdyby byla ústavní povahy, porušovala jednotnost a účinnost práva Unie(89).

138. Aby bylo možné o takovém omezení rozhodnout, je nezbytné, aby byla splněna dvě podstatná kritéria, a to dobrá víra zúčastněných kruhů a riziko závažných obtíží(90).

139. Je potřeba dodat, že Soudní dvůr zvolil takové řešení pouze výjimečně(91) a pouze za přesně vymezených okolností: když existovalo riziko závažných hospodářských dopadů způsobených zejména vysokým počtem právních vztahů založených v dobré víře na základě právní úpravy považované za platnou a účinnou a když podle všeho jednotlivci a vnitrostátní orgány byli vedeni k chování, které nebylo v souladu s unijním právem, z důvodu objektivní a značné nejistoty ohledně smyslu ustanovení unijního práva, ke které případně přispělo i samotné chování jiných členských států nebo Unie(92).

140. V projednávané věci nelze na základě skutečností uvedených v předkládacím usnesení dospět k závěru, že by byl dotčen velký počet právních vztahů založených v dobré víře na sporném ustanovení, a že by tedy bylo obzvláště obtížné zajistit, aby bylo rozhodnutí Soudního dvora o předběžné otázce, kterým by Soudní dvůr prohlásil toto ustanovení za neslučitelné s unijním právem, dodržováno ex tunc.

141. Za těchto podmínek není v projednávané věci potřeba omezit časové účinky rozsudku Soudního dvora.

142. Navrhuji tedy odpovědět na čtvrtou otázku tak, že není možné použít sporné ustanovení a zachovat jeho právní účinky až do nabytí právní moci konečného rozhodnutí, které přijme Satversmes tiesa (Ústavní soud).

V. Závěry

143. S ohledem na výše uvedené navrhuji, aby Soudní dvůr na předběžné otázky položené Satversmes tiesa (Ústavní soud, Lotyšsko) odpověděl následovně:

„(1) Článek 10 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) musí být vykládán v tom smyslu, že nezahrnuje zpracování údajů týkajících se bodů uložených řidičům za dopravní přestupky, uvedené ve vnitrostátním právu, jako je čl. 14¹ odst. 2 Ceļu satikemes (zákon o silničním provozu).

(2) Článek 5 odst. 1 písm. c) nařízení č. 2016/679 brání tomu, aby členský stát zpracovával a sděloval osobní údaje týkající se bodů uložených řidičům za dopravní přestupky.

(3) Článek 5 odst. 1 písm. b) a c) nařízení č. 2016/679 brání tomu, aby členský stát zpracovával a sděloval osobní údaje týkající se bodů uložených řidičům za dopravní přestupky, pokud je toto sdělování prováděno pro účely opakovaného použití.

(4) Zpracování a sdělování osobních údajů, včetně zpracování a sdělování osobních údajů prováděného pro účely opakovaného použití, které se týkají bodů uložených řidičům za dopravní přestupky, není upraveno směrnicí Evropského parlamentu a Rady 2003/98/ES ze dne 17. listopadu 2003 o opakovaném použití informací veřejného sektoru.

(5) Není možné použít sporné ustanovení a zachovat jeho právní účinky až do nabytí právní moci konečného rozhodnutí, které přijme Satversmes tiesa (Ústavní soud).“

1 Původní jazyk: angličtina.

2 Viz Tribune ze dne 8. listopadu 1946.

3 Nařízení Evropského parlamentu a Rady ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1; oprava Úř. věst. 2018, L 127, s. 2).

4 Viz rozsudek ze dne 12. listopadu 1969 (29/69, EU:C:1969:57, bod 7).

5 A zajisté první případ týkající se základních práv v unijním právním řádu.

6 Směrnice Evropského parlamentu a Rady ze dne 17. listopadu 2003 o opakovaném použití informací veřejného sektoru (Úř. věst. 2003, L 345, s. 90), ve znění směrnice Evropského parlamentu a Rady 2013/37/EU ze dne 26. června 2013 (Úř. věst. 2013, L 175, s. 1).

7 Směrnice Evropského parlamentu a Rady ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355).

8 Bernská úmluva o ochraně literárních a uměleckých děl, ve znění vyplývajícím z Pařížského aktu ze dne 24. července 1971, pozměněné dne 28. září 1979.

9 Dohoda TRIPS [Dohoda TRIPS (Dohoda o obchodních aspektech práv k duševnímu vlastnictví)] je přílohou 1C k Dohodě o zřízení Světové obchodní organizace (Dohoda o WTO), schválené jménem Společenství, pokud jde o oblasti, které jsou v jeho pravomoci, rozhodnutím Rady 94/800/ES ze dne 22. prosince 1994 (Úř. věst. 1994, L 336, s. 1; Zvl. vyd. 11/021, s. 80).

10 V pozměněném znění, které nabylo účinnosti dne 10. května 2018.

11 Ministru kabineta 2004. gada 21. jūnija noteikumi Nr. 551 „Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi“ (nařízení kabinetu č. 551 ze dne 21. června 2004, „Pravidla používání bodového systému“).

12 Ač se to nezdá, jsou slova „oblast[…] působnosti práva Unie“ obsažená v čl. 2 odst. 2 písm. a) GDPR v kontextu GDPR naprosto nejasná, viz Wolff, H. A., in M. Pechstein, C. Nowak, U. Häde (eds), Frankfurter Kommentar zu EUV, GRC und AEUV, Band II, Mohr Siebeck, Tübingen, 2017, článek 16 AEUV, bod 19.

13 A sice zcela nebo částečně automatizované zpracování osobních údajů a neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

14 Ve vztahu k čl. 3 odst. 2 směrnice 95/46 tak Soudní dvůr opakovaně judikoval, viz rozsudek ze dne 10. července 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, bod 37 a citovaná judikatura). Viz též Sobotta, Chr., in E. Grabitz, M. Hilf a M. Nettesheim, Das Recht der Europäischen Union, 71. EL., aktualizace v srpnu 2020, C. H. Beck, Mnichov, článek 16 AEUV, bod 22, kde autor této publikace poukazuje na širokou věcnou působnost unijního režimu ochrany údajů.

15 V tomto ohledu viz též Hatje, A., in J. Schwarze, U. Becker, A. Hatje, J. Schoo (eds), EU-Kommentar, 4. vyd., Nomos, Baden-Baden, 2019, článek 16, bod 10, a Brühann, U., in H. von der Groeben, J. Schwarze, A. Hatje (eds), Europäisches Unionsrecht (Kommentar), Band 1, 7. vyd., Nomos, Baden-Baden, 2015, článek 16 AEUV, bod 130.

16 Upravující „obecně použitelná ustanovení“.

17 Pokud jde o směrnici 95/46, viz například rozsudky ze dne 13. května 2014, Google Spain a Google (C‑131/12, EU:C:2014:317, bod 66), a ze dne 10. července 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, bod 35).

18 Původní smysl a účel unijního režimu ochrany údajů vztahující se na vnitřní trh trvá i nadále samostatně vedle ochrany údajů. Jak se odráží již v názvu GDPR a jak je definováno v jeho článku 1, GDPR má dvojí předmět a cíle: stanovit pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů. Kromě toho bod 13 odůvodnění GDPR upřesňuje, že je nutno zamezit rozdílům bránícím volnému pohybu osobních údajů v rámci vnitřního trhu a že řádné fungování vnitřního trhu vyžaduje, aby volný pohyb osobních údajů v Unii nebyl z důvodů souvisejících s ochranou fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán.

19 Kurzivou zvýraznil autor stanoviska.

20 Toto ustanovení vymezuje oblast působnosti Listiny.

21 Kurzivou zvýraznil autor stanoviska.

22 Viz například Zerdick, Th., in E. Ehmann, M. Selmayr (eds), Datenschutz-Grundverordnung, Kommentar, C. H. Beck, Mnichov, 2. vyd., 2018, článek 2, bod 5.

23 To představuje ustálenou judikaturu již od rozsudku ze dne 26. února 2013, Åkerberg Fransson (C‑617/10, EU:C:2013:105, bod 21). Viz též rozsudky ze dne 21. prosince 2016, AGET Iraklis (C‑201/15, EU:C:2016:972, bod 62); ze dne 21. května 2019, Komise v. Maďarsko (Požívací práva k zemědělské půdě) (C‑235/17, EU:C:2019:432, bod 63); a ze dne 24. září 2020, YS (podnikové důchody řídicích pracovníků) (C‑223/19, EU:C:2020:753, bod 78).

24 Znění čl. 2 odst. 2 písm. a) GDPR je podle mého názoru neurčité. Podle ustálené judikatury Soudního dvora je třeba pro výklad ustanovení unijního práva zohlednit nejen jeho znění, ale i jeho kontext a cíle sledované právní úpravou, jehož je součástí, a zejména genezi této právní úpravy, viz například rozsudek ze dne 17. dubna 2018, Egenberger (C‑414/16, EU:C:2018:257, bod 44 a citovaná judikatura).

25 V tomto smyslu viz též Lubasz, D., in D. Lubasz (ed.), Ochrona danych osobowych, Wolters Kluwer, Varšava 2020, bod 92.

26 A jak dříve platilo i pro článek 114 SFEU.

27 Viz článek 10 GDPR.

28 Zejména pokud se přihlédne k tomu, že národní identifikační číslo se obvykle přiděluje při příležitosti úředního zápisu narození, což je předmět, který není obvykle spojován s pravomocí Unie.

29 Viz prohlášení č. 20 připojené k závěrečnému aktu mezivládní konference, která přijala Lisabonskou smlouvu podepsanou dne 13. prosince 2007.

30 Na základě čl. 94 odst. 2 GDPR se odkazy na směrnici 95/46 považují za odkazy na GDPR.

31 Viz čl. 15 odst. 1 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (Úř. věst. 2002, L 201, s. 37; Zvl. vyd. 13/29, s. 514). K tomuto ustanovení viz rozsudek ze dne 29. ledna 2008, Promusicae (C‑275/06, EU:C:2008:54, bod 49).

32 Včetně zajištění územní celistvosti, udržení veřejného pořádku a ochrany národní bezpečnosti.

33 K tomuto pojmu viz Franzius, C., in M. Pechstein, C. Nowak, U. Häde (eds), Frankfurter Kommentar zu EUV, GRC und AEUV, Band I, Mohr Siebeck, Tübingen, 2017, článek 4 EUV, bod 50: „Staatsfunktionengarantie“.

34 Viz čl. 2 odst. 2 písm. b) GDPR.

35 Viz čl. 2 odst. 2 písm. c) GDPR.

36 Viz čl. 2 odst. 2 písm. d) GDPR.

37 Článek 39 SEU navíc obsahuje konkrétní právní základ pro zpracování osobních údajů členskými státy, pokud vykonávají činnosti spadající do oblasti společné zahraniční a bezpečnostní politiky. Lisabonskou smlouvou tak bylo rozdělení na „pilíře“ v tomto ohledu zachováno, viz Lynskey, O., The Foundations of EU Data Protection Law, OUP, Oxford, 2015, s. 18.

38 Viz směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. 2016, L 119, s. 89).

39 Kromě toho viz rozsudek ze dne 6. října 2020, La Quadrature du Net a další (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 102).

40 Jen jeden příklad za všechny, Soudní dvůr tedy nezkoumal aktivně, zda charitativní a náboženské činnosti spadají do oblasti působnosti unijního práva (viz rozsudek ze dne 6. listopadu 2003, Lindqvist, C‑101/01, EU:C:2003:596, bod 48).

41 Viz rozsudek ze dne 20. května 2003, Österreichischer Rundfunk a další (C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294, bod 42).

42 V právní nauce viz navíc Kranenborg, H., in Chr. Kuner, L. A. Bygrave, Chr. Docksey (eds), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, článek 86, A., na s. 1214. Viz též Pauly, D. A., in B. P. Paal, D. A. Pauly, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, C. H. Beck, Mnichov 2018, článek 86 DS-GVO, bod 9.

43 V tomto ohledu viz též Kranenborg, H., op. cit., článek 86, C.1., na s. 1217, včetně poznámky pod čarou 14. Tentýž autor zcela správně poukazuje na skutečnost, že v původním návrhu Komise byl obsažen pouze jeden bod odůvodnění a žádné ustanovení týkající se této záležitosti.

44 Podle tohoto ustanovení platí, že pokud subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů, je zpracování v rozsahu daného souhlasu zákonné.

45 Nebo pokud je zpracování oprávněné podle práva Unie nebo členského státu poskytujícího vhodné záruky, pokud jde o práva a svobody subjektů údajů.

46 Jako například španělské (condenas e infracciones penales), německé (strafrechtliche Verurteilungen und Straftaten), italské (condanne penali e […] reati), litevské (apkaltinamuosius nuosprendžius ir nusikalstamas veikas), maltské (kundanni kriminali u reati) a nizozemské (strafrechtelijke veroordelingen en strafbare feiten) jazykové znění.

47 Jako například francouzské (condamnations pénales et […] infractions), polské (wyroków skazujących oraz naruszeń prawa), portugalské (condenações penais e infrações) a rumunské (condamnări penale și infracțiuni) jazykové znění.

48 Na základě čistě gramatického výkladu tohoto znění by vlastně i slovo „rozsudky“ mohlo být teoreticky správní povahy.

49 Viz například rozsudek ze dne 25. června 2020, A a další (Větrné elektrárny v Aalter a Nevele) (C‑24/19, EU:C:2020:503, bod 39 a citovaná judikatura).

50 Viz rozsudek ze dne 6. října 1982, Cilfit a další (283/81, EU:C:1982:335, bod 18).

51 Viz například rozsudky ze dne 30. května 2013, Genil 48 a Comercial Hostelera de Grandes Vinos (C‑604/11, EU:C:2013:344, bod 38 a citovaná judikatura), a ze dne 6. září 2012, Parlament v. Rada (C‑490/10, EU:C:2012:525, bod 68).

52 V tomto smyslu viz rovněž Kawecki, M., Barta, P, in P. Litwiński (ed.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C. H. Beck, Varšava 2018, článek 10, bod 3.

53 „Zpracování údajů týkajících se protiprávního jednání, rozsudků v trestních věcech nebo bezpečnostních opatření lze provádět pouze pod kontrolou orgánu veřejné moci […]“. Kurzivou zvýraznil autor stanoviska.

54 „Členské státy mohou stanovit, že údaje týkající se správních sankcí nebo rozsudků v občanských věcech budou rovněž zpracovávány pod kontrolou orgánu veřejné moci.“ Kurzivou zvýraznil autor stanoviska.

55 Jako příklad viz rozsudek ze dne 1. října 2019, Planet49 (C‑673/17, EU:C:2019:801, bod 47 a citovaná judikatura).

56 Tamtéž.

57 Viz rozsudek ze dne 17. září 2020, JZ (Trest odnětí svobody v případě zákazu vstupu) (C‑806/18, EU:C:2020:724, bod 26 a citovaná judikatura).

58 V tomto smyslu viz též Georgieva, L., The EU General Data Protection Regulation (GDPR), op. cit., článek 10, C.1., na s. 388, a Schiff, A., Datenschutz-Grundverordnung, Kommentar, op. cit., článek 10, bod 4.

59 – Která byla mimochodem přijata tentýž den jako GDPR.

60 – (poznámka vymazaná autorem)

61 Právo nebýt dvakrát trestně stíhán nebo trestán za stejný trestný čin.

62 Viz též poučné stanovisko generální advokátky J. Kokott ve věci Bonda (C‑489/10, EU:C:2011:845, bod 32 a násl.).

63 Viz rozsudky Evropského soudu pro lidská práva ze dne 8. června 1976, Engel a další v. Nizozemsko (CE:ECHR:1976:0608JUD000510071, body 80 až 82), a ze dne 10. února 2009, Sergej Zolotuchin v. Rusko (CE:ECHR:2009:0210JUD001493903, body 52 a 53).

64 Viz rozsudek ze dne 5. června 2012, Bonda (C‑489/10, EU:C:2012:319, bod 37).

65 Vzhledem k tomu, že v projednávané věci jde o body ukládané za dopravní přestupky, které nejsou svou povahou příliš závažné, jak výše uvedeno, není toto zjištění zpochybněno rozsudkem Soudního dvora ze dne 14. listopadu 2013, Baláž (C‑60/12, EU:C:2013:733), který se zabýval širší a obecnější otázkou „příslušnosti též v trestních věcech“, pokud jde o dopravní přestupky obecně, a nikoli pouze pokud jde o body ukládané za dopravní přestupky v kontextu rámcového rozhodnutí Rady 2005/214/SVV ze dne 24. února 2005 o uplatňování zásady vzájemného uznávání peněžitých trestů a pokut (Úř. věst. 2005, L 76, s. 16).

66 Které, jak bude uvedeno dále, stejně není použitelné.

67 Na základě těchto skutečností si lze oprávněně klást otázku, zda jsou splněny požadavky čl. 94 písm. c) jednacího řádu Soudního dvora, neboť pokud by splněny nebyly, byla by tato otázka nepřípustná.

68 Viz rozsudek ze dne 16. ledna 2019, Deutsche Post (C‑496/17, EU:C:2019:26, bod 57 a citovaná judikatura).

69 Článek 5 GDPR je formulován kogentně („musí“) a jednotlivé zásady jsou spojeny středníky, což znamená spojovací výraz „a“, nikoli „nebo“.

70 Článek 6 GDPR stanoví „nejméně jedna z těchto podmínek“.

71 Viz rozsudek ze dne 9. března 2017, Manni (C‑398/15, EU:C:2017:197, bod 35).

72 Článek 2 písm. b) a d) směrnice 95/46.

73 Tato zásada je dále rozvedena v kapitole IV oddílu 2 GDPR (články 32 až 34).

74 V tomto smyslu viz též Pötters, St., in P. Gola (ed.), Datenschutz-Grundverordnung VO (EU) 2016/679, Kommentar, C. H. Beck, Mnichov, 2. vyd., 2018, článek 5, bod 29.

75 Podle kterého platí, že aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány na základě souhlasu subjektu údajů nebo s ohledem na nějaký jiný legitimní základ stanovený právními předpisy buď v GDPR, nebo v jiném právním předpise Unie nebo členského státu, jak je uvedeno v tomto nařízení, mimo jiné i s ohledem na nezbytnost dodržení zákonné povinnosti, která se na správce vztahuje, nebo nezbytnost plnění smlouvy, jejíž stranou je subjekt údajů, nebo za účelem přijetí opatření na žádost subjektu údajů před uzavřením smlouvy.

76 V tomto ohledu viz též Herbst, T., in J. Buchner, B. Kühling (eds), Datenschutz-Grundverordnung/BDSG, Kommentar, 2. vyd., C. H. Beck, Mnichov, 2018, článek 5 DS-GVO, bod 11, a Pötters, St., op. cit., článek 5, bod 6. Pro extenzivnější chápání zákonnosti jako nutnosti zajištění souladu se všemi ustanoveními dané právní úpravy, viz Lubasz, D., in D. Lubasz (ed.), Ochrona danych osobowych, Wolters Kluwer, Varšava 2020, bod 186.

77 I pokud by bylo považováno za nezbytné ověřit splnění požadavků článku 6 GDPR v rámci článku 5 tohoto nařízení, považoval bych toto zpracování za zákonné i ve smyslu čl. 6 odst. 1 písm. c) GDPR, jako zpracování, jež je nezbytné ke splnění právní povinnosti, kterou je správce vázán, když CSDD tím, že sděluje body ukládané za dopravní přestupky veřejnosti, plní svou právní povinnost stanovenou vnitrostátním právem.

78 Pokud jde v této souvislosti o odkaz rakouské vlády na rozsudek Bundesverfassungsgericht (spolkový ústavní soud) ze dne 27. února 2008 [1 BvR 370/07 a 1 BvR 595/07 (ECLI:DE:BVerfG:2008:rs20080227.1bvr037007), BVerfGE 120, 274 a násl., na s. 314, k dispozici na: http://www.bverfg.de/e/rs20080227_1bvr037007en.html], již méně jsem si jist jeho relevancí, jelikož tento rozsudek se týká hmotněprávního základního práva, zatímco čl. 5 odst. 1 písm. f) GDPR se týká, jak je prokázáno v předcházejících bodech tohoto stanoviska, formálních požadavků.

79 Toto ustanovení dále upřesňuje, že další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 GDPR nepovažuje za neslučitelné s původními účely.

80 V tomto smyslu viz též Lubasz, D., in D. Lubasz (ed.), Ochrona danych osobowych, Wolters Kluwer, Varšava 2020, bod 202.

81 Viz například rozsudek ze dne 9. listopadu 2010, Volker und Markus Schecke a Eifert (C‑92/09 a C‑93/09, EU:C:2010:662, bod 74 a citovaná judikatura).

82 Toto ustanovení bylo do směrnice 2003/98 doplněno v roce 2013, viz čl. 1 odst. 1 písm. a) bod iii) směrnice Evropského parlamentu a Rady 2013/37/EU ze dne 26. června 2013, kterou se mění směrnice 2003/98/ES o opakovaném použití informací veřejného sektoru (Úř. věst. 2013, L 175, s. 1 až 8).

83 Článek 1 odst. 4 směrnice 2003/98 v tomto ohledu odkazuje na směrnici 95/46.

84 Pokud jde o směrnici Evropského parlamentu a Rady (EU) 2019/1024 ze dne 20. června 2019 o otevřených datech a opakovaném použití informací veřejného sektoru (Úř. věst. 2019, L 172, s. 56), která svým článkem 19 zrušuje směrnici 2003/98 s účinkem ode dne 17. července 2021, viz čl. 1 odst. 2 písm. f) směrnice 2019/1024.

85 To se běžně označuje za ex tunc účinky rozhodnutí o předběžné otázce podle článku 267 SFEU.

86 Viz například rozsudky ze dne 29. září 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, bod 44), a ze dne 28. října 2020, Bundesrepublik Deutschland (Stanovení sazeb mýtného za užívání dálnic) (C‑321/19, EU:C:2020:866, bod 54).

87 Viz například rozsudky ze dne 29. září 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, bod 45), a ze dne 28. října 2020, Bundesrepublik Deutschland (Stanovení sazeb mýtného za užívání dálnic) (C‑321/19, EU:C:2020:866, bod 55).

88 Viz rozsudky ze dne 8. září 2010, Winner Wetten (C‑409/06, EU:C:2010:503, bod 67), a ze dne 19. listopadu 2009, Filipiak (C‑314/08, EU:C:2009:719, bod 84). Viz též rozsudek ze dne 6. března 2007, Meilicke a další (C‑292/04, EU:C:2007:132, bod 36 a citovaná judikatura).

89 Viz rozsudky ze dne 17. prosince 1970, Internationale Handelsgesellschaft (11/70, EU:C:1970:114, bod 3), a ze dne 8. září 2010, Winner Wetten (C‑409/06, EU:C:2010:503, bod 61).

90 Viz například rozsudky ze dne 29. září 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, bod 45), a ze dne 28. října 2020, Bundesrepublik Deutschland (Stanovení sazeb mýtného za užívání dálnic) (C‑321/19, EU:C:2020:866, bod 55).

91 Viz též Lenaerts, K., Maselis, I., Gutman, K., EU Procedural Law, Oxford University Press, Oxford, 2014, bod 6.34, s. 247.

92 Viz například rozsudek ze dne 16. září 2020, Romenergo a Aris Capital (C‑339/19, EU:C:2020:709, bod 49 a citovaná judikatura).