GENERALINIO ADVOKATO
PRIIT PIKAMÄE IŠVADA,
pateikta 2023 m. birželio 15 d.(1)
Byla C‑118/22
NG
Administracinė byla
prieš
Direktor na Glavna direktsia „Natsionalna politsia“ pri MVR – Sofia,
dalyvaujant
Varhovna administrativna prokuratura
(Varhoven administrativen sad (Vyriausiasis administracinis teismas, Bulgarija) pateiktas prašymas priimti prejudicinį sprendimą)
„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Direktyva (ES) 2016/680–4, 5, 8, 10 ir 16 straipsniai – Fizinio asmens, nuteisto už tyčinį nusikaltimą, duomenų saugojimas iki jo mirties – Fizinio asmens nuteisimas galutiniu nuosprendžiu ir vėlesnis teistumo panaikinimas – Prašymo ištrinti duomenis atmetimas – Europos Sąjungos pagrindinių teisių chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių ribojimo būtinumas ir proporcingumas“
1. Ar reikėtų nerimauti dėl asmens duomenų saugojimo policijos registruose, galbūt visam gyvenimui paliekant asmeniui, kurio duomenys įtraukti į šį registrą, socialinių normų nesilaikančio individo, kuris visą laiką yra pavojingas, statusą? O gal, priešingai, tokia policijos atmintis turėtų būti sveikintina, atsižvelgiant į tai, kad, dideliam nukentėjusiųjų šeimų džiaugsmui, tyrėjai išnagrinėjo senas, užsilikusias bylas, kurios dabar dažniau vadinamos „cold cases“?
2. Ši byla susijusi būtent su šiuo prieštaringu klausimu dėl viešojo intereso, susijusio su kova su nusikalstamumu, ir asmeninio intereso, susijusio su asmens duomenų apsauga ir privataus gyvenimo gerbimu, suderinimo. Ji suteikia Teisingumo Teismui galimybę priimti sprendimą dėl tokių duomenų tvarkymo teisėsaugos tikslais, atsižvelgiant į laiko aspektą ir į bylai reikšmingas Direktyvos (ES) 2016/680(2) nuostatas.
I. Teisinis pagrindas
A. Sąjungos teisė
3. Šiai bylai svarbios nuostatos yra Direktyvos 2016/680 4, 5, 8, 10 ir 16 straipsniai ir Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 52 straipsnio 1 dalis.
B. Bulgarijos teisė
4. Zakon za Ministerstvo na vatreshnite raboti (Vidaus reikalų ministerijos įstatymas, toliau – ZMVR) 26 straipsnio 1 ir 2 dalyse nustatyta:
„(1) Tvarkydamos asmens duomenis, susijusius su nacionalinio saugumo užtikrinimo, kovos su nusikalstamumu, viešosios tvarkos palaikymo ir baudžiamojo proceso vykdymo veikla, Vidaus reikalų ministerijos institucijos:
<…>
3. gali tvarkyti visų būtinų kategorijų asmens duomenis;
<…>
(2) Šio straipsnio 1 dalyje nurodytų duomenų saugojimo arba periodinio patikrinimo, ar juos būtina saugoti, terminus nustato vidaus reikalų ministras. Tokie duomenys taip pat ištrinami pagal teismo aktą arba Asmens duomenų apsaugos komisijos sprendimu.“
5. ZMVR 27 straipsnyje nurodyta:
„Asmens duomenys, įtraukti į policijos registrą pagal 68 straipsnį, naudojami tik nacionalinio saugumo užtikrinimo, kovos su nusikalstamumu ir viešosios tvarkos palaikymo tikslais.“
6. ZMVR 68 straipsnyje numatyta:
„(1) Policijos institucijos į policijos registrą įtraukia asmenis, dėl kurių vykdomas baudžiamasis persekiojimas už tyčinį nusikaltimą pagal valstybinį kaltinimą. Tyrimą atliekančios institucijos privalo imtis būtinų priemonių, kad policijos institucijos įtrauktų šiuos asmenis į registrą.
(2) Įtraukimas į policijos registrą yra 1 dalyje nurodytų asmenų asmens duomenų tvarkymas, atliekamas pagal šį įstatymą.
(3) Kad galėtų įtraukti į policijos registrą, policijos institucijos privalo:
1. rinkti asmens duomenis, susijusius su Bulgarijos asmens tapatybės dokumentų įstatymo 18 straipsnyje nurodytais asmenimis;
2. paimti skaitmeninius asmenų pirštų atspaudus ir juos fotografuoti;
3. paimti ėminius asmenų DNR profiliavimo tikslais.
<…>
(6) Įrašas policijos registre išbraukiamas remiantis rašytiniu asmens duomenų valdytojo arba jo įgaliotų pareigūnų nurodymu ex officio arba gavus rašytinį ir pagrįstą asmens, kurio duomenys įtraukti į registrą, prašymą, jeigu:
1. įrašas buvo padarytas pažeidžiant teisės aktus;
2. baudžiamoji byla buvo nutraukta, išskyrus [Nakazartelno-protsesualen kodeks (Baudžiamojo proceso kodeksas)] 24 straipsnio 3 dalyje nurodytus atvejus;
3. baudžiamojoje byloje buvo priimtas išteisinamasis nuosprendis;
4. asmuo buvo atleistas nuo baudžiamosios atsakomybės ir jam buvo paskirta administracinė nuobauda;
5. asmuo yra miręs, tokiu atveju prašymą gali pateikti jo įpėdiniai.
(7) Įtraukimo į policijos registrą ir išbraukimo iš jo tvarka nustatoma Ministrų Tarybos nutarimu.“
II. Faktinės aplinkybės, procesas pagrindinėje byloje ir prejudicinis klausimas
7. NG per ikiteisminį tyrimą buvo įtrauktas į policijos registrą dėl melagingų parodymų, t. y. nusikalstamos veikos, numatytos Nakazatelen Kodeks (Baudžiamasis kodeksas) 290 straipsnio 1 dalyje. Pasibaigus tyrimui, 2015 m. liepos 2 d. dėl jo buvo parengtas kaltinamasis aktas, o 2016 m. birželio 28 d. sprendimu, kuris 2016 m. gruodžio 2 d. sprendimu buvo patvirtintas apeliacine tvarka, jis buvo pripažintas kaltu ir nuteistas vienų metų laisvės atėmimo bausme, atidedant bausmės vykdymą. Paskirta bausmė įvykdyta 2018 m. kovo 14 d.
8. 2020 m. liepos 15 d. NG pateikė Ministerstvo na vatreshnite raboti (Vidaus reikalų ministerija, Bulgarija) kompetentingai teritorinei institucijai prašymą ištrinti šį įrašą ir pateikė pažymą iš nuteistųjų registro, patvirtinančią, kad jis nėra teistas.
9. 2020 m. rugsėjo 2 d. sprendimu kompetentinga administracinė institucija atmetė šį prašymą, motyvuodama tuo, kad galutinis apkaltinamasis nuosprendis nėra vienas iš ZMVR 68 straipsnio 6 dalyje išsamiai išvardytų įrašo ištrynimo iš policijos registro pagrindų, įskaitant atvejus, kai teistumas panaikintas, kaip tai suprantama pagal Baudžiamojo kodekso 85 straipsnį. 2020 m. spalio 8 d. NG apskundė tokį sprendimą Administrativen sad Sofia grad (Sofijos miesto administracinis teismas, Bulgarija). 2021 m. vasario 2 d. sprendimu šis teismas skundą atmetė.
10. NG apskundė Administrativen sad Sofia grad (Sofijos miesto administracinis teismas) sprendimą Varhoven administrativen sad (Vyriausiasis administracinis teismas, Bulgarija). Pagrindinis kasacinio skundo argumentas grindžiamas iš Direktyvos 2016/680 5, 13 ir 14 straipsnių kylančio principo, pagal kurį asmens duomenys negali būti tvarkomi neribotą laiką, pažeidimu. Vis dėlto, nesant pagrindo ištrinti įrašą iš policijos registro, nuteistasis po teistumo panaikinimo negalėtų prašyti, kad jo duomenys, surinkti dėl nusikalstamos veikos, už kurią jis atliko bausmę, būtų ištrinti, todėl šių duomenų saugojimo laikotarpis yra neribotas.
11. Abejodamas dėl nacionalinės teisės aktų, kuriais reglamentuojamas nagrinėjamas policijos registras, atitikties Sąjungos teisei, prašymą priimti prejudicinį sprendimą pateikęs teismas nutarė sustabdyti pagrindinės bylos nagrinėjimą ir pateikti Teisingumo Teismui šį prejudicinį klausimą:
„Ar pagal [Direktyvos 2016/680] 5 straipsnio, siejamo su šios direktyvos 13 straipsnio 2 dalies b punktu ir 3 dalimi, aiškinimą leidžiami nacionalinės teisės aktai, dėl kurių kompetentingos institucijos turi praktiškai neribotą teisę tvarkyti asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir (arba) dėl kurių eliminuojama duomenų subjekto teisė reikalauti apriboti duomenų tvarkymą ir ištrinti arba sunaikinti duomenis?“
III. Procesas Teisingumo Teisme
12. Bulgarijos, Čekijos, Airijos, Ispanijos ir Lenkijos vyriausybės bei Europos Komisija pateikė rašytines pastabas. 2023 m. vasario 7 d. vykusiame teismo posėdyje žodinius argumentus pateikė kasatorius pagrindinėje byloje, taip pat Bulgarijos, Airijos, Ispanijos, Nyderlandų ir Lenkijos vyriausybės bei Komisija.
IV. Analizė
A. Dėl Direktyvos 2016/680 taikytinumo
13. Iš prašymo priimti prejudicinį sprendimą matyti, kad šį prašymą pateikęs teismas akivaizdžiai mano, jog ginčijami nacionalinės teisės aktai patenka į Direktyvos 2016/680 taikymo sritį ratione materiae, ir man atrodo, kad tokia pozicija suteikia pagrindą pateikti kelias pastabas.
14. Aiškinant Direktyvos 2016/680 1 straipsnio 1 dalį ir 2 straipsnio 1 dalį kartu, ši direktyva taikoma kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais. Pagal Direktyvos 2016/680 2 straipsnio 3 dalies a punktą ši direktyva netaikoma asmens duomenų tvarkymui, kai „duomenys tvarkomi vykdant veiklą, kuriai Sąjungos teisė netaikoma“. Šios direktyvos 12 ir 14 konstatuojamosiose dalyse patikslintas šios taikymo išimties turinys, nurodant, kad ji apima, be kita ko, su nacionaliniu saugumu susijusią veiklą, skirtingai nuo veiklos, susijusios su viešosios tvarkos palaikymu, kai ši užduotis patikima policijai ar kitoms teisėsaugos institucijoms, kai tai būtina siekiant užtikrinti apsaugą nuo grėsmių visuomenės saugumui ir teisės aktais saugomiems pagrindiniams visuomenės interesams, taip pat užkirsti kelią tokioms grėsmėms, dėl kurių gali atsirasti sąlygų nusikalstamai veikai įvykdyti.
15. Aiškindamas Reglamento (ES) 2016/679(3) 2 straipsnio 2 dalies a punktą, kuriame numatyta šio reglamento taikymo išimtis, suformuluota taip pat kaip Direktyvos 2016/680 2 straipsnio 3 dalies a punktas, Teisingumo Teismas nusprendė, kad šios reglamento nuostatos, siejamos su minėto reglamento 16 konstatuojamąja dalimi, vienintelis tikslas – iš šios normos taikymo srities pašalinti asmens duomenų tvarkymą, kurį atlieka valstybės institucijos, vykdydamos veiklą, kuria siekiama užtikrinti nacionalinį saugumą, arba veiklą, kurią galima priskirti tai pačiai kategorijai, todėl vien to, kad veikla būdinga valstybei ar viešosios valdžios institucijai, nepakanka, kad ši išimtis būtų automatiškai taikoma tokiai veiklai. Jis patikslino, kad veikla, kuria siekiama užtikrinti nacionalinį saugumą, visų pirma apima veiklą, kuria siekiama apsaugoti esmines valstybės funkcijas ir pagrindinius visuomenės interesus(4).
16. Nagrinėjamu atveju duomenys, kuriuos policija užregistruoja ir saugo pagal ZMVR 68 straipsnį, pagal šio įstatymo 27 straipsnį yra registruojami ir saugomi siekiant užtikrinti nacionalinį saugumą, kovoti su nusikalstamumu ir palaikyti viešąją tvarką. Taigi atrodo, kad nagrinėjamas policijos registras yra viena mišri duomenų bazė, nes joje kaupiama informacija, kuri gali būti tvarkoma siekiant skirtingų tikslų, įskaitant nacionalinio saugumo užtikrinimo tikslą, kuris nepatenka į Direktyvos 2016/680 materialinę taikymo sritį. Tokiomis aplinkybėmis duomenų saugojimo tokiame registre teisėtumas gali būti nagrinėjamas atsižvelgiant į šios direktyvos reikalavimus tik jeigu šie duomenys naudojami išimtinai šios direktyvos 1 straipsnio 1 dalyje nurodytais tikslais, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas(5). Iš Teisingumo Teismui pateiktos bylos medžiagos neatrodo, kad NG duomenų, kuriuos jis prašo ištrinti, saugojimas policijos registre gali būti laikomas duomenų tvarkymu, nepatenkančiu į Direktyvos 2016/680 materialinę taikymo sritį.
17. Šiuo etapu reikėtų pabrėžti, kad dėl pagrindinėje byloje nagrinėjamų nacionalinės teisės aktų Teisingumo Teismas jau yra priėmęs sprendimą, kai gavo Bulgarijos teismo klausimą dėl asmens, kuriam pareikšti kaltinimai dėl sukčiavimo mokesčių srityje, atsisakymo leisti rinkti jo duomenis. Teisingumo Teismas sprendė dėl, be kita ko, duomenų rinkimo teisėtumo atsižvelgiant į Direktyvos 2016/680 10 straipsnio reikalavimus ir konstatavo, kad šis straipsnis, siejamas su šios direktyvos 4 straipsnio 1 dalies a–c punktais ir 8 straipsnio 1 ir 2 dalimis, turi būti aiškinamas kaip draudžiantis nacionalinės teisės aktus, kuriuose numatyta duomenų registravimo tikslais sistemiškai rinkti kiekvieno asmens, kuriam pareikšti kaltinimai dėl ex officio persekiojamos tyčinės nusikalstamos veikos, biometrinius ir genetinius duomenis, tačiau nenumatyta kompetentingos institucijos pareiga nustatyti ir įrodyti, pirma, ar rinkti duomenis tikrai būtina norint pasiekti konkrečius užsibrėžtus tikslus ir, antra, ar šių tikslų negalima pasiekti priemonėmis, mažiau varžančiomis atitinkamo asmens teises ir laisves(6). Šioje byloje Teisingumo Teismui reikės išnagrinėti kitokio ribojimo, t. y. informacijos, susijusios su nuteistais fiziniais asmenimis, kurių vardas ir pavardė nurodyti aptariamame policijos registre, saugojimo, kuris laikomas kompetentingos viešosios valdžios institucijos, t. y. Bulgarijos vidaus reikalų ministerijos, atliekamu asmens duomenų tvarkymu nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo tikslais, kaip tai suprantama pagal Direktyvos 2016/680 3 straipsnio 1 ir 2 dalis ir 3 straipsnio 7 dalies a punktą, teisėtumą.
B. Dėl prejudicinio klausimo performulavimo
18. Visų pirma primintina, kad pagal bendradarbiavimo tarp nacionalinių teismų ir Teisingumo Teismo procedūrą, įtvirtintą SESV 267 straipsnyje, šis teismas nacionaliniam teismui turi duoti naudingą atsakymą, kuris pastarajam leistų išspręsti jo nagrinėjamą bylą. Tokiu atveju Teisingumo Teismui gali tekti performuluoti jam pateiktus klausimus. Teisingumo Teismas turi išaiškinti visas Sąjungos teisės nuostatas, kurių reikia nacionaliniams teismams, kad jie išspręstų nagrinėjamas bylas, net jei šios nuostatos nėra aiškiai nurodytos šių teismų Teisingumo Teismui pateiktuose klausimuose(7).
19. Pagrindinės bylos faktinės aplinkybės susijusios su prašymu išbraukti įrašą iš policijos asmens duomenų registro, kurį pateikė fizinis asmuo, nuteistas už melagingus parodymus ir atlikęs bausmę, o 2020 m. kovo 14 d., t. y. praėjus beveik penkeriems metams nuo minėto jo duomenų įtraukimo į registrą, jo teistumas buvo panaikintas. Šis prašymas buvo atmestas kompetentingos administracinės institucijos sprendimu, šis sprendimas pirmojoje instancijoje buvo patvirtintas Administrativen sad Sofia grad (Sofijos miesto administracinis teismas) sprendimu, o pastarasis sprendimas buvo apskųstas prašymą priimti prejudicinį sprendimą pateikusiam teismui, kuriam kilo abejonių dėl nacionalinės teisės aktų suderinamumo su Direktyva 2016/680, kiek tai susiję su duomenų saugojimo policijos registre klausimu. Taigi akivaizdu, kad pagrindinė byla susijusi su Direktyvos 2016/680 16 straipsnio 2 dalyje numatyta teise reikalauti, kad asmens duomenys būtų ištrinti nepagrįstai nedelsiant, jeigu duomenų tvarkymu pažeidžiamos pagal šios direktyvos 4, 8 ar 10 straipsnius priimtos nuostatos arba kai šie duomenys turi būti ištrinti, kad būtų laikomasi duomenų valdytojui tenkančios teisinės prievolės.
20. Direktyvos 2016/680 4 straipsnio 1 dalies c ir e punktuose nustatyta, jog valstybės narės turi užtikrinti, kad asmens duomenys pagal atitinkamai duomenų kiekio mažinimo ir jų saugojimo trukmės apribojimo principus būtų tinkami, aktualūs ir nepernelyg išsamūs tikslų, kuriais jie yra tvarkomi, atžvilgiu ir saugomi tokia forma, kad duomenų subjektų tapatybes būtų galima nustatyti ne ilgiau, nei tai yra būtina tikslais, kuriais jie tvarkomi(8). Kalbant apie šios direktyvos 8 straipsnį pažymėtina, kad jame reglamentuojamas duomenų tvarkymo teisėtumas, kuriam nustatyta sąlyga, kad duomenų tvarkymas turi būti būtinas, kad kompetentinga institucija galėtų atlikti užduotį siekiant minėtos direktyvos 1 straipsnio 1 dalyje nurodytų tikslų, ir kad jis turi būti grindžiamas Sąjungos arba valstybės narės teise, o valstybės narės teisėje turi būti konkrečiai nurodyti bent tvarkymo tikslai, tvarkytini asmens duomenys ir duomenų tvarkymo tikslai. Galiausiai dėl Direktyvos 2016/680 10 straipsnio pažymėtina, kad jame nustatyta specialių kategorijų asmens duomenų, kaip antai biometrinių ir genetinių duomenų, naudojamų policijos registre siekiant konkrečiai nustatyti fizinio asmens tapatybę, tvarkymo teisinė tvarka.
21. Reikia konstatuoti, kad pirmesniame punkte nurodytos nuostatos neminimos prejudiciniame klausime, nors jos akivaizdžiai svarbios atsakymui, kurį Teisingumo Teismo prašoma pateikti šioje byloje. Prašymą priimti prejudicinį sprendimą pateikęs teismas prašė išaiškinti Direktyvos 2016/680 5 straipsnį ir 13 straipsnio 2 dalies b punktą bei 3 dalį, tačiau šių nuostatų nėra tarp šios direktyvos 16 straipsnio 2 dalyje aiškiai nurodytų nuostatų, kurių pažeidimas nacionalinės teisės aktais pateisina atitinkamam asmeniui suteiktos teisės reikalauti ištrinti duomenis įgyvendinimą. Vis dėlto ši teisė pripažįstama ir tuo atveju, kai duomenys turi būti ištrinti siekiant laikytis teisės aktuose nustatytos pareigos, tenkančios duomenų valdytojui, o tai gali atitikti minėtos direktyvos 5 straipsnyje ir 13 straipsnio 2 dalies b punkte numatytas situacijas, t. y. atitinkamai: maksimalių duomenų saugojimo terminų arba duomenų saugojimo poreikio periodinės peržiūros terminų nustatymą(9) ir duomenų valdytojo pareigą konkrečiais atvejais duomenų subjektui pateikti informaciją, papildančią 13 straipsnio 1 dalyje nurodytą informaciją, kad duomenų subjektas galėtų įgyvendinti savo teises. Vis dėlto 13 straipsnio 3 dalis susijusi su valstybių narių galimybe tam tikromis sąlygomis priimti teisėkūros priemones, kuriomis būtų atidėtas arba apribotas informacijos teikimas duomenų subjektui pagal 2 dalį, arba informacija nebūtų teikiama, o duomenų valdytojui nustatyta teisine pareiga negali to apimti.
22. Bet kuriuo atveju iš nutarties dėl prašymo priimti prejudicinį sprendimą nematyti, kad pagrindinėje byloje būtų kilęs klausimas dėl NG informavimo apie jo teises, nes suinteresuotasis asmuo akivaizdžiai galėjo jomis pasinaudoti, kaip tai įrodo administracinėms, o vėliau ir teisminėms institucijoms pateiktas jo skundas dėl jo duomenų saugojimo. Taigi neatrodo, kad norint atsakyti į Teisingumo Teismui pateiktą klausimą reikia išaiškinti Direktyvos 2016/680 13 straipsnio 2 dalies b punktą ir 3 dalį. Vadinasi, pagrindinėje byloje visų pirma nagrinėjama Direktyvos 2016/680 16 straipsnio 2 dalis ir jos 4, 5, 8 ir 10 straipsniai.
23. Be to, kaip nurodyta Direktyvos 2016/680 104 konstatuojamojoje dalyje, šia direktyva gerbiamos pagrindinės teisės ir laikomasi Chartijoje pripažintų principų, įtvirtintų Sutartyje dėl Europos Sąjungos veikimo, visų pirma teisės į privataus ir šeimos gyvenimo gerbimą ir teisės į asmens duomenų apsaugą. Pagal šios direktyvos 46 konstatuojamąją dalį bet kokie duomenų subjekto teisių apribojimai turi atitikti Chartiją ir 1950 m. lapkričio 4 d. Romoje pasirašytą Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvenciją (toliau – EŽTK), kaip jos išaiškintos atitinkamai Teisingumo Teismo ir Europos Žmogaus Teisių Teismo jurisprudencijoje, ir visų pirma tokiais apribojimais negalima pažeisti tų teisių ir laisvių esmės. Reikia priminti, kad Chartijos 7 ir 8 straipsniuose užtikrinamos pagrindinės teisės į privataus gyvenimo gerbimą ir asmens duomenų apsaugą nėra absoliučios ir turi būti vertinamos atsižvelgiant į jų visuomeninę funkciją ir derinamos su kitomis pagrindinėmis teisėmis. Taigi gali būti nustatyti jų apribojimai, jeigu, remiantis Chartijos 52 straipsnio 1 dalimi, jie yra numatyti įstatymo, nekeičia pagrindinių teisių esmės ir atitinka proporcingumo principą. Remiantis šiuo principu, apribojimai galimi tik tuo atveju, kai jie būtini ir tikrai atitinka Sąjungos pripažintus bendrojo intereso tikslus arba reikalingi kitų asmenų teisėms ir laisvėms apsaugoti. Jie turi neviršyti to, kas yra griežtai būtina, ir suvaržymą nustatančiame teisės akte turi būti numatytos aiškios ir tikslios taisyklės, kuriomis būtų reglamentuojama atitinkamos priemonės apimtis ir taikymas(10).
24. Šiomis aplinkybėmis reikia konstatuoti, kad prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Direktyvos 2016/680 4, 5, 8, 10 straipsniai ir 16 straipsnio 2 dalis, siejami su Chartijos 52 straipsnio 1 dalimi, turi būti aiškinami taip, kad pagal juos draudžiami nacionalinės teisės aktai, kuriuose numatytas asmens duomenų saugojimas policijos registre, įskaitant duomenų subjekto biometrinius ir genetinius duomenis, iki duomenų subjekto mirties ir pagal kuriuos jam neleidžiama reikalauti ištrinti šių duomenų po to, kai po apkaltinamojo nuosprendžio jo teistumas panaikinamas(11).
C. Dėl asmens duomenų saugojimo teisėsaugos tikslais
25. Manau, kad, prieš nagrinėjant nacionalinės teisės aktų, susijusių su nagrinėjamu policijos registru, suderinamumą, duomenų saugojimo teisėsaugos tikslais problemą reikia įvertinti atsižvelgiant į tam tikras Direktyvos 2016/680 nuostatas, taip pat į Teisingumo Teismo ir EŽTT jurisprudenciją.
26. Pirmiausia reikėtų pažymėti, kad Direktyva 2016/680 siekiama prisidėti prie laisvės, saugumo ir teisingumo erdvės Sąjungoje kūrimo, kartu įtvirtinant tvirtą ir nuoseklią asmens duomenų apsaugos sistemą, siekiant užtikrinti, kad būtų paisoma pagrindinės teisės į fizinių asmenų apsaugą tvarkant asmens duomenis, pripažintos Chartijos 8 straipsnio 1 dalyje ir SESV 16 straipsnio 1 dalyje, kuri yra glaudžiai susijusi su Chartijos 7 straipsnyje įtvirtinta teise į privataus gyvenimo gerbimą(12). Šiuo tikslu Direktyvos 2016/680 II ir III skyriuose nustatyti asmens duomenų tvarkymo principai, o III skyriuje numatytos duomenų subjekto teisės, kurių turi būti laikomasi tvarkant asmens duomenis. Konkrečiai kalbant, bet koks asmens duomenų tvarkymas turi atitikti šios direktyvos 4 ir 8 straipsniuose įtvirtintus principus, susijusius su duomenų tvarkymu ir duomenų tvarkymo teisėtumo sąlygomis. Kadangi pastarojoje nuostatoje įtvirtinti reikalavimai atspindi iš Chartijos 52 straipsnio 1 dalies kylančius reikalavimus, jie turi būti aiškinami atsižvelgiant į šį straipsnį(13).
27. Taigi atsakant į prašymą priimti prejudicinį sprendimą pateikusio teismo klausimą reikės atsižvelgti į „duomenų kiekio mažinimo“ principą, įtvirtintą Direktyvos 2016/680 4 straipsnio 1 dalies c punkte, kuriuo išreiškiamas proporcingumo principas(14). Tas pats pasakytina apie šios direktyvos 4 straipsnio 1 dalies e punkte įtvirtintą duomenų saugojimo trukmės apribojimo principą, pagal kurį būtina įvertinti duomenų tvarkymo proporcingumą jų tvarkymo tikslui, atsižvelgiant į praėjusį laiką. Duomenų saugojimas ilgiau, nei būtina, t. y. ilgiau, nei reikia tikslams, dėl kurių duomenys buvo saugomi, įgyvendinti, prieštarauja šiam principui(15). Tai reiškia, kad net ir toks duomenų tvarkymas, kuris iš pradžių buvo teisėtas, ilgainiui gali tapti nesuderinamas su Direktyva 2016/680, jeigu asmens duomenys nebėra būtini tokiems tikslams pasiekti, ir kad pasiekus šiuos tikslus jie turi būti ištrinti(16).
28. Duomenų saugojimo laiko klausimas taip pat reglamentuojamas Direktyvos 2016/680 5 straipsnyje, papildant ir patikslinant jos 4 straipsnio reikalavimus(17). Kaip nurodyta minėtos direktyvos 26 konstatuojamojoje dalyje, siekiant užtikrinti, kad duomenys būtų saugomi ne ilgiau, nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus. Reikia konstatuoti, kad Direktyvos 2016/680 5 straipsnyje, pirma, valstybėms narėms paliekama diskrecija įvertinti ir nustatyti atitinkamą saugojimo laikotarpį ir, antra, kaip išankstinio maksimalaus saugojimo laikotarpio nustatymo alternatyva numatytas reguliarus būtinybės saugoti duomenis tikrinimas. Šis antrasis aspektas man atrodo svarbus šiai bylai, nes jis parodo, kad Sąjungos teisės aktų leidėjas pripažino galimybę saugoti duomenis neribotą laiką teisėsaugos tikslais(18). Ši išvada turi būti siejama su Direktyvos 2016/680 16 straipsnio 3 dalies tekstu, kuriame numatyta galimybė apriboti duomenų tvarkymą kaip alternatyva jų ištrynimui, be kita ko, b punkte, kai asmens duomenys turi būti saugomi „įrodymų tikslais“, o tai rodo, kad nėra absoliučios teisės reikalauti ištrinti duomenis(19).
29. Duomenų saugojimo teisėtumo klausimas šiuo atveju neišvengiamai apima, be kita ko, jų pobūdžio klausimą, o nagrinėjamu atveju tai apima pirštų atspaudus, nuotraukas, DNR paėmimą iš asmens, įtariamo padarius nusikalstamą veiką arba nuteisto už ją, nes tokio pobūdžio duomenys patenka į Direktyvos 2016/680 10 straipsnio taikymo sritį. Reikėtų pažymėti, kad nors šioje nuostatoje nustatytu teisiniu reglamentavimu, priešingai nei BDAR 9 straipsnyje, iš esmės nedraudžiama tvarkyti tokių duomenų, toks tvarkymas leidžiamas „tik jei tai tikrai būtina“, taikant tinkamas duomenų subjekto teisių ir laisvių apsaugos priemones ir, be kita ko, kai tai leidžiama pagal Sąjungos arba valstybės narės teisę.
30. Pagal jurisprudenciją Direktyvos 2016/680 10 straipsnio tikslas – užtikrinti didesnę apsaugą tokio duomenų tvarkymo atveju, kuris dėl ypatingo nagrinėjamų duomenų jautrumo ir aplinkybių, kuriomis jie tvarkomi, gali, kaip matyti iš šios direktyvos 37 konstatuojamosios dalies, sukelti didelį pavojų pagrindinėms teisėms ir laisvėms, kaip antai Chartijos 7 ir 8 straipsniuose garantuojamai teisei į privataus gyvenimo gerbimą ir teisei į asmens duomenų apsaugą. Kaip matyti iš pačios Direktyvos 2016/680 10 straipsnio formuluotės, reikalavimas, pagal kurį tvarkyti tokius duomenis leidžiama „tik tada, jei tai tikrai būtina“, turi būti aiškinamas kaip apibrėžiantis griežtesnes jautrių duomenų tvarkymo teisėtumo sąlygas, atsižvelgiant į sąlygas, išplaukiančias iš šios direktyvos 4 straipsnio 1 dalies b ir c punktų ir 8 straipsnio 1 dalies, kuriose kalbama tik apie duomenų, paprastai patenkančių į šios direktyvos taikymo sritį, tvarkymo „būtinumą“. Taigi, viena vertus, prieš frazę „jei tai tikrai būtina“ vartojant dalelytę „tik“ pabrėžiama, kad specialių kategorijų duomenų tvarkymas, kaip tai suprantama pagal Direktyvos 2016/680 10 straipsnį, gali būti laikomas būtinu tik tam tikrais ribotais atvejais. Kita vertus, „tikras“ būtinumo tvarkyti tokius duomenis pobūdis reiškia, kad šis būtinumas turi būti vertinamas ypač griežtai(20).
31. Antra, pažymiu, kad nors Teisingumo Teismas jau ne kartą yra išreiškęs poziciją dėl duomenų saugojimo teisėsaugos tikslais teisėtumo, jis tai padarė tokiomis norminėmis ir faktinėmis aplinkybėmis, kurios labai skiriasi nuo šios bylos aplinkybių. Pavyzdžiui, Teisingumo Teismas nusprendė(21), kad pagal Sąjungos teisę, įtvirtintą Direktyvoje 2002/58/EB(22), iš kurios matyti, jog elektroninių ryšių priemonių naudotojai iš esmės turi teisę tikėtis, kad be jų sutikimo jų pranešimai ir su jais susiję duomenys išliks anonimiški ir negalės būti įrašomi, draudžiama prevenciškai bendrai ir nediferencijuotai saugoti srauto ir vietos nustatymo duomenis kovos su nusikalstamumu tikslais, neatsižvelgiant į jo sunkumo laipsnį, nes toks saugojimas tam tikromis sąlygomis leidžiamas tik esant didelei, tikrai ir esamai arba numatomai grėsmei nacionaliniam saugumui. Jis pridūrė, kad pagal Sąjungos teisę nedraudžiamos priemonės, kuriomis, siekiant kovoti su sunkiais nusikaltimais, numatytas bendras ir nediferencijuotas duomenų, susijusių su naudotojų civiline tapatybe, saugojimas, o laikotarpiu, neviršijančiu to, kas griežtai būtina, – jų IP adresų saugojimas, tikslinis duomenų, nustatytų remiantis objektyviais ir nediskriminaciniais kriterijais, atsižvelgiant į duomenų subjektų kategorijas arba pagal geografinį kriterijų, saugojimas laikotarpiu, neviršijančiu to, kas griežtai būtina, tačiau kuris gali būti pratęstas, taip pat operatyvus su paslaugų teikėjais susijusių duomenų saugojimas nustatytą laikotarpį, nes visomis šiomis priemonėmis, nustatant aiškias ir tikslias taisykles, turi būti užtikrinta, kad atitinkami duomenys būtų saugomi laikantis su tuo susijusių materialinių ir procesinių sąlygų ir kad atitinkami asmenys turėtų veiksmingas garantijas nuo piktnaudžiavimo rizikos.
32. Teisingumo Teismas taip pat naudojo kriterijų, susijusį su to, kas yra griežtai būtina, ribų paisymu, kai asmens duomenys tvarkomi perduodant, saugant ir naudojant ne ES skrydžių keleivių duomenų įrašo duomenis (toliau – PNR duomenys), kuriuos oro vežėjai rinko teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos ir išaiškinimo tikslais(23). Teisingumo Teismas turėjo progą pabrėžti: kadangi PNR duomenų saugojimo trukmė pagal ES ir Kanados PNR susitarimą gali būti iki penkerių metų, šis susitarimas suteikia galimybę turėti informacijos apie oro keleivių privatų gyvenimą labai ilgą laikotarpį, ir, kalbant apie tuos oro keleivius, dėl kurių nenustatyta terorizmo ar sunkių tarpvalstybinių nusikaltimų rizikos jiems atvykstant į Kanadą ir iki jų išvykimo iš šios trečiosios šalies, neatrodo, kad po jų išvykimo tarp jų PNR duomenų ir numatytu sudaryti susitarimu siekiamo tikslo būtų ryšys (bent jau netiesioginis), kuris pateisintų šių duomenų saugojimą. Taigi jis padarė išvadą, kad nuolatinis visų oro keleivių PNR duomenų saugojimas jiems išvykus iš Kanados, kad būtų galima prieiga prie šių duomenų, neatsižvelgiant į kokį nors ryšį su kova su terorizmu ir sunkiais tarpvalstybiniais nusikaltimais, yra nepagrįstas(24).
33. Teisingumo Teismas, nagrinėdamas prašymą priimti prejudicinį sprendimą, sprendė dėl Direktyvos (ES) 2016/681(25), pagal kurią oro vežėjai įpareigojami kiekvieno ES išorės skrydžio tarp trečiosios šalies ir Europos Sąjungos keleivio duomenis perduoti atitinkamo skrydžio paskirties arba išvykimo valstybės narės informacijos apie keleivius skyriui (toliau – informacijos apie keleivius skyrius), siekiant kovoti su terorizmu ir sunkiais nusikaltimais, galiojimo ir aiškinimo. Informacijos apie keleivius skyrius iš anksto įvertina taip perduotus PNR duomenis per šešių mėnesių laikotarpį ir vėliau juos saugo penkerius metus, kad valstybių narių kompetentingos institucijos galėtų atlikti vertinimą, o tai gali trukti labai ilgą ar net neribotą laiką, kiek tai susiję su asmenimis, keliaujančiais lėktuvu daugiau nei kartą per penkerius metus. Teisingumo Teismas nusprendė, kad šia direktyva neabejotinai labai suvaržomos Chartijos 7 ir 8 straipsniuose įtvirtintos teisės, nes ja, be kita ko, siekiama nustatyti nuolatinę, netikslinę ir sistemingą stebėjimo sistemą, apimančią visų oro transporto paslaugomis besinaudojančių asmenų automatizuotą asmens duomenų vertinimą, tačiau ją galima aiškinti laikantis Chartijos 7, 8, 21 straipsnių ir 52 straipsnio 1 dalies. Teisingumo Teismas patikslino, kad pasibaigus pradiniam šešių mėnesių saugojimo laikotarpiui neatrodo, kad PNR duomenų saugojimas neviršytų to, kas griežtai būtina, kiek tai susiję su oro keleiviais, kurių nei išankstinis vertinimas, nei galimi patikrinimai, atlikti per pradinį šešių mėnesių saugojimo laikotarpį, nei jokia kita aplinkybė neatskleidė objektyvių aplinkybių, galinčių įrodyti teroristinių nusikaltimų ar sunkių nusikaltimų, objektyviai, bent netiesiogiai susijusių su šių keleivių kelione lėktuvu, pavojų. Vis dėlto jis konstatavo, kad visų oro keleivių, kuriems taikoma šioje direktyvoje įtvirtinta sistema, PNR duomenų saugojimas per pradinį šešių mėnesių laikotarpį iš esmės neviršija to, kas griežtai būtina.
34. Priešingai pirma primintai jurisprudencijai, svarbu pažymėti, pirma, kad, kitaip nei nustatyta Direktyvoje 2002/58(26) duomenų tvarkymo srityje, duomenų subjekto sutikimas nėra teisinis pagrindas kompetentingoms institucijoms tvarkyti asmens duomenis siekiant Direktyvos 2016/680 1 straipsnio 1 dalyje nurodytų tikslų. Kaip nurodyta šios direktyvos 35 konstatuojamojoje dalyje, kompetentingos institucijos, vykdydamos instituciškai teisės aktais joms priskirtas nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas ar bausmių vykdymo funkcijas, gali prašyti arba reikalauti, kad fiziniai asmenys vykdytų jiems pateiktus prašymus. Kita vertus, šioje byloje keliamas klausimas ne dėl elektroninių ryšių ar oro transporto sektoriuje generuojamų ir privačių subjektų saugomų bei tyrimo tarnyboms perduotų „duomenų vandenyno“(27) automatinio saugojimo ir analizės, o dėl vieno policijos registro, kuriame saugomi asmenų, dėl kurių yra pagrįstų priežasčių manyti, kad jie padarė nusikalstamą veiką, dėl kurios jie buvo įtariami ir nuteisti baudžiamąja tvarka, duomenys kontroliuojant tik viešosios valdžios institucijai ir taikant griežtus konfidencialumo reikalavimus.
35. Mano nuomone, minėtos jurisprudencijos teisinių ir faktinių aplinkybių specifika neleidžia taip paprastai pritaikyti joje numatytų sprendimų atsakant į šioje byloje pateiktą prejudicinį klausimą, visų pirma kalbant apie duomenų saugojimo tikslų (nacionalinio saugumo užtikrinimas, kova su sunkiais nusikaltimais arba jiems nepriskiriamais nusikaltimais) atskyrimą ir būtiną ryšį tarp šių tikslų svarbos ir pagrindinių teisių ribojimų, kurie gali būti pateisinami, dydžio(28). Kitaip tariant, šioje byloje negalima remtis teiginiu, kad kova su nusikalstamumu apskritai galima pateisinti tik nedidelius ribojimus(29), antraip būtų labai susilpnintas Direktyvos 2016/680 ir į šio teisės akto, kurio tikslas būtent ir išreiškia poreikį turėti galimybę proporcingai tvarkyti duomenis teisėsaugos tikslais, taikymo sritį patenkančių nacionalinių tyrimo ir (arba) visuomenės saugumo priemonių, kaip antai nagrinėjamo policijos registro, veiksmingumas. Reikia pažymėti, kad, kaip matyti iš Direktyvos 2016/680 10 ir 11 konstatuojamųjų dalių, Sąjungos teisės aktų leidėjas ketino priimti taisykles, kuriomis būtų atsižvelgiama į šios direktyvos taikymo srities specifinį pobūdį. Šiuo klausimu jos 12 konstatuojamojoje dalyje nurodyta, kad policijos ar kitų teisėsaugos institucijų veikloje daugiausia dėmesio skiriama nusikalstamų veikų prevencijai ir atskleidimui, tyrimui ir baudžiamajam persekiojimui už jas, daugiau nieko nepatikslinant, įskaitant policijos veiklą, vykdomą iš anksto nežinant, ar tam tikras incidentas yra nusikalstama veika, ar ne(30).
36. Trečia, reikia pažymėti, kad Chartijos 7 straipsnyje, susijusiame su teise į privataus ir šeimos gyvenimo gerbimą, įtvirtintos teisės, atitinkančios EŽTK 8 straipsnio 1 dalyje garantuojamas teises, ir kad asmens duomenų apsauga atlieka esminį vaidmenį įgyvendinant EŽTK 8 straipsnyje įtvirtintą teisę į privataus ir šeimos gyvenimo gerbimą. Taigi, remiantis Chartijos 52 straipsnio 3 dalimi, minėtam 7 straipsniui turi būti suteikta tokia pati prasmė ir taikymo sritis kaip ir EŽTK 8 straipsnio 1 daliai, kaip ji išaiškinta EŽTT jurisprudencijoje(31).
37. EŽTT laikosi pozicijos, kad asmens duomenų apsauga atlieka esminį vaidmenį įgyvendinant EŽTK 8 straipsnyje įtvirtintą teisę į privataus gyvenimo gerbimą ir kad vien duomenų, susijusių su asmens privačiu gyvenimu, saugojimas yra ribojimas, kaip tai suprantama pagal šį 8 straipsnį, nesvarbu, ar saugoma informacija vėliau naudojama, ar ne. To teismo teigimu, pagal vidaus teisę, be kita ko, būtina užtikrinti, kad šie duomenys būtų svarbūs ir nepertekliniai, palyginti su tikslais, kuriais jie įrašyti, ir kad jie būtų saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, kuriais jie yra įrašyti. Nacionalinėje teisėje taip pat turi būti numatytos apsaugos priemonės, kurios leistų veiksmingai apsaugoti užfiksuotus asmens duomenis nuo netinkamo naudojimo ir piktnaudžiavimo, kartu suteikiant konkrečią galimybę pateikti prašymą ištrinti išsaugotus duomenis. Vis dėlto EŽTT patikslino visiškai suvokiantis, kad, siekdamos apsaugoti savo gyventojus taip, kaip jos privalo tai daryti, nacionalinės valdžios institucijos turi sukurti registrus, kurie veiksmingai padėtų nubausti už tam tikrus nusikaltimus ir užkirsti jiems kelią, be kita ko, sunkiausiems nusikaltimams. Vis dėlto tokie mechanizmai negali būti įgyvendinami vadovaujantis pertekline logika kaupti juose kuo daugiau informacijos ir kuo labiau ilginti jos saugojimo trukmę(32). Dėl pastarojo aspekto EŽTT yra nusprendęs, kad maksimalaus nuteistųjų asmens duomenų saugojimo laikotarpio nebuvimas nebūtinai yra nesuderinamas su EŽTK 8 straipsniu, tačiau tokiu atveju juo labiau būtina, kad būtų ir veiktų tam tikros procesinės garantijos(33).
D. Dėl Chartijos 7 ir 8 straipsniuose užtikrinamų pagrindinių teisių ribojimo
38. Kaip matyti iš ZMVR 68 straipsnio ir Bulgarijos vyriausybės per teismo posėdį pateiktų pastabų, nacionalinės teisės aktuose nurodyti duomenys apima, be kita ko, atitinkamų asmenų civilinės būklės duomenis, duomenis apie baustinas veikas, kurias jis įtariamas padaręs arba dėl kurių jis buvo nuteistas baudžiamojoje byloje, pirštų atspaudus, nuotraukas, DNR ėminius profiliavimo tikslais. Kadangi šie duomenys apima informaciją apie fizinius asmenis, kurių tapatybė nustatyta, galimas skirtingas jų tvarkymas daro poveikį Chartijos 7 straipsnyje įtvirtintai pagrindinei teisei į privataus gyvenimo gerbimą. Be to, toks šių duomenų tvarkymas, kaip numatyta nacionalinės teisės aktuose, taip pat patenka į Chartijos 8 straipsnio taikymo sritį, nes tai yra asmens duomenų tvarkymas, kaip tai suprantama pagal šį straipsnį, todėl jis būtinai turi atitikti šiame straipsnyje numatytus duomenų apsaugos reikalavimus(34).
39. Kaip ir EŽTT, kuris yra nusprendęs, kad vien duomenų, susijusių su asmens privačiu gyvenimu, saugojimas yra ribojimas, kaip tai suprantama pagal EŽTK 8 straipsnį(35), Teisingumo Teismas laikosi pozicijos, kad pats duomenų saugojimas yra Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių į privataus gyvenimo gerbimą ir į asmens duomenų apsaugą suvaržymas, nesvarbu, ar atitinkama su privačiu gyvenimu susijusi informacija yra jautri, ar dėl šio suvaržymo suinteresuotieji asmenys patyrė nepatogumų ir ar vėliau saugomi duomenys bus naudojami, ar ne(36).
40. Saugojimo sukelto suvaržymo dydį atskleidžia tam tikrų duomenų pobūdis, ypač kalbant apie policijos registre saugomus biometrinius ir genetinius duomenis, nes grėsmę, kurią duomenų subjektų teisėms ir laisvėms kelia jautrių duomenų tvarkymas, Teisingumo Teismas pripažino dideliu ribojimu, visų pirma kiek tai susiję su kompetentingų institucijų užduotimis siekiant Direktyvos 2016/680 1 straipsnio 1 dalyje nurodytų tikslų(37). Šiuo klausimu minėtos direktyvos 23 konstatuojamojoje dalyje patikslinta, kad, atsižvelgiant į genetinės informacijos sudėtingumą ir konfidencialų pobūdį, egzistuoja didelė rizika, kad duomenų valdytojas tuos duomenis panaudos netinkamai ir naudos pakartotinai įvairiais kitais tikslais. Tos pačios direktyvos 51 konstatuojamojoje dalyje nurodyta, kad dėl duomenų tvarkymo gali kilti įvairios rizikos ir dydžio pavojus fizinių asmenų teisėms, o dėl to galėtų būti padaryta turtinė arba neturtinė žala, be kita ko, kai tvarkomi genetiniai ar biometriniai duomenys siekiant vienareikšmiškai nustatyti asmens tapatybę arba kai tvarkomi duomenys apie apkaltinamuosius nuosprendžius ir teisės pažeidimus.
41. Duomenų saugojimo policijos registre trukmė taip pat padeda nustatyti suvaržymo dydį, t. y. toks saugojimas galimas visą nuteistojo gyvenimą. Galiausiai iš ZMVR 26 straipsnio 6 dalies matyti, kad asmens duomenys gali būti perduodami Europos Sąjungos valstybių narių, Europos Sąjungos įstaigų ir agentūrų, trečiųjų šalių ar tarptautinių organizacijų kompetentingoms institucijoms ir gavėjams. Šiuo klausimu reikėtų priminti, kad Direktyva 2016/680 turėtų būti palengvintas laisvas asmens duomenų judėjimas tarp kompetentingų institucijų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais Sąjungoje, ir tokių asmens duomenų perdavimas trečiosioms valstybėms bei tarptautinėms organizacijoms, siekiant užtikrinti veiksmingą teisminį bendradarbiavimą baudžiamosiose bylose ir policijos bendradarbiavimą(38). Šiuo klausimu pabrėžtina, kad šia teise į asmens duomenų apsaugą, be kita ko, reikalaujama užtikrinti aukšto Sąjungos teisės suteikiamo pagrindinių teisių ir laisvių apsaugos lygio tęstinumą, kai asmens duomenys iš Sąjungos yra perduodami į trečiąją šalį(39).
42. Atsižvelgiant į visa tai, kas išdėstyta, darytina išvada, kad pagrindinėje byloje nagrinėjamuose nacionalinės teisės aktuose esama tam tikro dydžio Chartijos 7 ir 8 straipsniuose įtvirtintų teisių suvaržymų, nes, be kita ko, jais siekiama nustatyti pagal baudžiamąją teisę nuteistų asmenų jautrių duomenų, galinčių kirsti atitinkamos valstybės sienas, nuolatinio saugojimo priemonę.
E. Dėl ribojimo pateisinimo
43. Kaip jau buvo nurodyta, Chartijos 7 ir 8 straipsniuose įtvirtintos teisės nėra absoliučios, o kaip matyti iš Chartijos 52 straipsnio 1 dalies, ja leidžiama apriboti naudojimąsi tokiomis teisėmis, jei šie apribojimai numatyti įstatymo, jais nekeičiama minėtų teisių esmė ir, remiantis proporcingumo principu, jie yra būtini ir tikrai atitinka Sąjungos pripažintus bendruosius interesus arba reikalingi kitų teisėms ir laisvėms apsaugoti(40). Kaip nurodyta Direktyvos 2016/680 26 konstatuojamojoje dalyje, teisėsaugos institucijos gali veikti nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais, jei tik tokia veikla, tinkamai paisant teisėtų atitinkamo fizinio asmens interesų, yra nustatyta įstatymu ir yra laikoma būtina ir proporcinga demokratinės visuomenės priemone.
44. Dėl proporcingumo principo paisymo reikia priminti, jog pagal suformuotą Teisingumo Teismo jurisprudenciją pagrindinės teisės į privataus gyvenimo gerbimą apsaugai būtina, kad asmens duomenų apsaugos išimtys ir jos apribojimai būtų tokie, kad neviršytų to, kas tikrai būtina, turint omenyje, kad kai galima rinktis iš kelių tinkamų priemonių, kad būtų pasiekti teisėti tikslai, reikia taikyti mažiausiai suvaržančią. Be to, bendrojo intereso tikslo negalima siekti neatsižvelgiant į tai, kad jis turi būti derinamas su pagrindinėmis teisėmis, kurioms daro įtaką atitinkama priemonė, nustatant pusiausvyrą tarp bendrojo intereso tikslo ir nagrinėjamų teisių, siekiant užtikrinti, kad šia priemone sukelti nepatogumai nebūtų neproporcingi siekiamiems tikslams. Šiuo klausimu valstybių narių galimybė pateisinti Chartijos 7 straipsnio 8 dalyje užtikrinamos pagrindinės teisės ribojimą turi būti vertinama atsižvelgiant į suvaržymo, kurį lemia toks ribojimas, dydį ir patikrinant, ar šiuo ribojimu siekiamo bendrojo intereso tikslo svarba jį atitinka(41).
1. Dėl proporcingumo principo laikymosi
45. Reikalavimas, kad bet koks pagrindinių teisių įgyvendinimo apribojimas būtų numatytas įstatymo, reiškia, kad pačiame teisiniame pagrinde, kuriuo leidžiamas šių teisių suvaržymas, būtų apibrėžtas atitinkamos teisės įgyvendinimo apribojimo mastas. Šiuo klausimu Teisingumo Teismas taip pat yra nusprendęs, kad teisės aktuose, kuriuose numatyta tokį ribojimą leidžianti priemonė, turi būti numatytos aiškios ir tikslios taisyklės, kuriomis reglamentuojamas aptariamos priemonės mastas ir taikymas bei nustatomi minimalūs reikalavimai, kad asmenys, kurių asmens duomenys tvarkomi, turėtų pakankamai garantijų, leidžiančių veiksmingai apsaugoti šiuos duomenis nuo piktnaudžiavimo pavojų. Todėl, kaip Sąjungos teisės aktų leidėjas pažymėjo šios direktyvos 33 konstatuojamojoje dalyje, bet kokio asmens duomenų tvarkymo, patenkančio į Direktyvos 2016/680 taikymo sritį, teisinis pagrindas turi būti aiškus ir tikslus, o jo taikymas turi būti numatomas teisės subjektams. Konkrečiai kalbant, tokie asmenys turi galėti nustatyti aplinkybes ir sąlygas, kuriomis gali būti apribota šios direktyvos jiems suteikiamų teisių apimtis(42).
46. Nagrinėjamų nacionalinės teisės aktų analizė, pateikta nutartyje dėl prašymo priimti prejudicinį sprendimą, papildyta Bulgarijos vyriausybės pastabomis, mano nuomone, leidžia manyti, kad įstatymo „kokybės“ reikalavimas yra įvykdytas, nes jame neatmetama galimybė nagrinėjamą apribojimą suformuluoti pakankamai atvirai, kad jį būtų galima pritaikyti prie skirtingų atvejų ir pasikeitusių situacijų(43).
47. Taigi atrodo, kad duomenų įtraukimu į policijos registrą ir jų saugojimu šiame registre, kaip nurodyta ZMVR 27 straipsnyje, siekiama išsamiai išvardytų tikslų užtikrinti nacionalinį saugumą, kovoti su nusikalstamumu ir palaikyti viešąją tvarką, nes šiuo duomenų tvarkymu siekiama palengvinti operatyvinę tyrimų veiklą, išsamiai apibūdintą šio įstatymo 8 straipsnyje(44). Duomenų tvarkymo apimtis, susijusi su pažeidimų pobūdžiu, atitinkamais duomenimis, jų rinkimo sąlygomis, informacinėmis laikmenomis, kuriose jie tvarkomi, ir jų saugojimo trukmė pakankamai tiksliai nustatyta ZMVR 68 straipsnyje ir Naredba za reda za izvarshvane i snemane na politseyska registratsia (Potvarkis dėl registracijos policijoje tvarkos ir duomenų ištrynimo iš policijos registro, toliau – NRISPR) 28 straipsnyje. Nacionalinės teisės aktuose, laikantis Direktyvos 2016/680 26 konstatuojamosios dalies, aiškiai numatytos asmens duomenų vientisumo, konfidencialumo ir sunaikinimo naudojantis duomenų subjektui pateikta informacija procedūros pagal Zakon za zashtita na lichnite danni (Asmens duomenų apsaugos įstatymas) 54 ir 55 straipsnius, be kita ko, kiek tai susiję su duomenų subjekto teise prašyti duomenų valdytojo suteikti prieigą prie duomenų, juos ištaisyti ar ištrinti. Šiuo klausimu pažymėtina, kad ištrynimo pagrindai, procedūra ir su juo susiję padariniai reglamentuoti ZMVR 68 straipsnyje ir NRISPR 18 ir paskesniuose straipsniuose. Šios nuostatos suformuluotos pakankamai tiksliai ir aiškiai, kad įstatymo adresatai galėtų sureguliuoti savo elgesį, taigi jos atitinka EŽTT jurisprudencijoje nustatytą nuspėjamumo reikalavimą(45).
2. Dėl Chartijos 7 ir 8 straipsniuose užtikrinamų pagrindinių teisių esmės paisymo
48. Dėl Chartijos 7 straipsnyje įtvirtintos pagrindinės teisės į privataus gyvenimo gerbimą esmės pažymėtina, kad policijos registre esančios informacijos pobūdis apsiriboja konkrečiu šio privataus gyvenimo aspektu, susijusiu su atitinkamo asmens kriminaline praeitimi, o tai neleidžia daryti išvadų apskritai apie šio asmens privatų gyvenimą, kaip antai jo kasdienio gyvenimo įpročius, nuolatines ar laikinas gyvenamąsias vietas, kasdienį ar kitokį judėjimą, vykdomą veiklą, socialinius ryšius ir lankomą socialinę aplinką, ir taip nustatyti jo profilį. Kalbant apie Chartijos 8 straipsnyje įtvirtintos teisės į asmens duomenų apsaugą esmę, pažymėtina, jog iš to, kas išdėstyta, matyti, kad nagrinėjamuose nacionalinės teisės aktuose apibrėžiami duomenų tvarkymo tikslai ir numatytas baigtinis saugomų duomenų ir taisyklių, skirtų prieigai prie jų, ištaisymui ar ištrynimui užtikrinti, sąrašas. Šiomis aplinkybėmis suvaržymu, kurį lemia šiuose teisės aktuose numatytas duomenų saugojimas, nepaneigiama minėtuose straipsniuose įtvirtintų pagrindinių teisių esmė(46).
3. Dėl bendrojo intereso tikslo ir nagrinėjamų duomenų tvarkymo tinkamumo atsižvelgiant į šį tikslą
49. Kaip konstatuota šioje išvadoje, duomenys, gauti įtraukus asmenis į policijos registrą pagal ZMVR 68 straipsnį, naudojami nacionalinio saugumo užtikrinimo, kovos su nusikalstamumu ir viešosios tvarkos palaikymo tikslais. Bulgarijos vyriausybė nurodė, kad duomenys renkami ir tvarkomi baudžiamojo proceso, per kurį atitinkamam asmeniui pareikšti kaltinimai, ir sugretinimo su kitais duomenimis, surinktais tiriant kitas nusikalstamas veikas, tikslais. Pastarasis tikslas taip pat susijęs su sugretinimu su kitose valstybėse narėse surinktais duomenimis(47).
50. Minėtos vyriausybės teigimu, toks duomenų tvarkymas priskiriamas ZMVR 8 straipsnyje apibūdintai operatyvinio tyrimo veiklai, kurios tikslai apibrėžti taip: nusikalstamų veikų, grėsmių nacionaliniam saugumui ir viešosios tvarkos pažeidimų prevencija ir atskleidimas; asmenų, kurie vengia baudžiamosios atsakomybės arba kurie vengė bausmės vykdymo baudžiamosiose bylose, kuriose pareiškiamas valstybinis kaltinimas, paieška ir dingusių asmenų paieška; daiktų, kurie yra nusikalstamos veikos objektas arba priemonė arba kurie gali būti naudojami kaip įrodymai, paieška; daiktinių įrodymų rengimas ir saugojimas bei jų pateikimas kompetentingoms teisminėms institucijoms.
51. Teisingumo Teismas patikslino, kad visuomenės saugumo užtikrinimo tikslas yra Sąjungos bendrojo intereso tikslas, kuriuo galima pateisinti net didelius Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymus. Be to, tokia apsauga taip pat prisidedama prie kitų asmenų teisių ir laisvių apsaugos. Šiuo klausimu pažymėtina, kad Chartijos 6 straipsnyje įtvirtinta kiekvieno asmens teisė ne tik į laisvę, bet ir į saugumą ir užtikrinamos teisės, atitinkančios EŽTK 5 straipsnyje įtvirtintas teises(48). Byloje dėl duomenų rinkimo tame pačiame Bulgarijos policijos registre suderinamumo Teisingumo Teismas aiškiai konstatavo, kad per baudžiamąjį procesą duomenų registravimo tikslais renkant asmenų, kuriems pareikšti kaltinimai, duomenis siekiama Direktyvos 2016/680 1 straipsnio 1 dalyje nurodytų tikslų, ypač susijusių su nusikalstamų veikų prevencija ir atskleidimu, taip pat su tyrimu ir patraukimu atsakomybėn už jas, o šie tikslai yra Sąjungos pripažinti bendrojo intereso tikslai. Jis pridūrė, kad toks duomenų rinkimas gali padėti siekti Direktyvos 2016/680 27 konstatuojamojoje dalyje nurodyto tikslo, pagal kurį nusikalstamų veikų prevencijos, tyrimo ir baudžiamojo persekiojimo už jas tikslais kompetentingoms institucijoms būtina tvarkyti asmens duomenis, surinktus vykdant konkrečių nusikalstamų veikų prevenciją, tyrimą, jas atskleidžiant ar traukiant baudžiamojon atsakomybėn už jas, neapsiribojant šiais tikslais, kad būtų galima geriau suprasti nusikalstamą veiklą ir nustatyti sąsajas tarp skirtingų nustatytų nusikalstamų veikų(49). Šie argumentai aiškiai taikomi duomenų saugojimo priemonei.
52. Tai, kad duomenų saugojimas policijos registre yra duomenų tvarkymas, leidžiantis pasiekti bendrojo intereso tikslus, t. y. atskleisti nuskalstamas veikas ir užkirsti joms kelią, man atrodo sunkiai nuginčijama. Akivaizdu, kad policijos registras, kuriame saugomi asmenų civilinės tapatybės duomenys, nuotraukos, biometriniai ir genetiniai duomenys, taigi unikalios ir nepakartojamos fizinės asmens savybės, yra visavertė tyrimo priemonė, skirta saugumo tarnyboms, siekiant atskleisti nusikaltimus ir nustatyti juos padariusius asmenis. Šiuo klausimu nagrinėjami nacionalinės teisės aktai atitinka objektyvius kriterijus, kuriais remiantis nustatomas saugotinų duomenų ir siekiamo tikslo ryšys(50).
4. Dėl nagrinėjamo apribojimo būtinumo ir proporcingumo
53. Nors duomenų saugojimas nagrinėjamame policijos registre yra akivaizdžiai tinkamas numatytam bendrojo intereso tikslui pasiekti, lieka patikrinti, ar Chartijos 7 ir 8 straipsniuose garantuojamų teisių apribojimas, kurį lemia toks saugojimas, neviršija to, kas griežtai būtina, t. y. kad tikslo negalima pagrįstai taip pat veiksmingai pasiekti kitomis, mažiau šias duomenų subjektų pagrindines teises ribojančiomis priemonėmis, ir ar jis nėra neproporcingas šiam tikslui, o tam, be kita ko, reikia palyginti jo svarbą ir minėto apribojimo dydį(51).
54. Atliekant šią kontrolę šiuo atveju reikia atsižvelgti į policijos registro objektą, atitinkamų nusikalstamų veikų pobūdį ir asmenų, kurie gali būti įtraukti į šį registrą, skaičių, ypatingą surinktų asmens duomenų jautrumą ir jų saugojimo trukmę, nacionalinės teisės aktuose numatytas teisines ir (arba) technines apsaugos priemones, susijusias su paieška registre ir duomenų saugojimo jame kontrole.
a) Dėl registro tikslo
55. Savo rašytinėse pastabose Airijos vyriausybė iš esmės teigė, kad duomenų saugojimas gali būti būtinas siekiant vykdyti susijusią kontrolę, atitinkančią viešąjį interesą nusikalstamumo prevencijos ir visuomenės saugumo užtikrinimo srityje. Taigi su policijos registre esančia informacija turi būti galima susipažinti ne tik siekiant ieškoti pažeidėjų, bet ir administracinės kontrolės tikslais, atliekant tyrimus prieš priimant sprendimus dėl įdarbinimo ar leidimo, kiek tai susiję su tam tikromis viešosiomis ar jautriomis pareigomis, siekiant patikrinti, ar suinteresuotųjų asmenų elgesys nėra nesuderinamas su šių pareigų vykdymu.
56. Per teismo posėdį Bulgarijos vyriausybė patvirtino, jog iš aiškios ZMVR 27 straipsnio formuluotės galima daryti išvadą, kad nagrinėjamas policijos registras yra priemonė, padedanti vykdyti teisminius, o ne administracinius tyrimus. Ši išvada yra gana svarbi, kalbant apie pasekmes, kylančias dėl asmens įtraukimo į duomenų registrą, t. y. kad buvimo įtrauktam į registrą nepatogumas nelemia negalėjimo vykdyti tam tikros profesinės veiklos(52). Įtraukimas į nagrinėjamą policijos registrą nėra nei nubaudimas, nei papildoma bausmė, nes jo tikslas akivaizdžiai apsiriboja teismo tyrimu ir juo gali naudotis tik tos tarnybos, kurioms taikomas konfidencialumo įpareigojimas.
57. Vis dėlto tai yra vienas registras, skirtas labai platiems kriminalinės policijos tikslams tenkinti, apimantis įvairią informaciją, t. y. paprastą civilinės būklės informaciją ir biometrinius bei genetinius duomenis, ir į jį įtraukti asmenys, kurių procesinis statusas nėra toks pats. Kituose teisės aktuose buvo nuspręsta, kad pageidautina numatyti daug policijos registrų, kuriais būtų siekiama specialių tikslų, kurie būtų naudojami tik vienu tikslu ir kuriuose būtų kaupiami tik tam tikros rūšies duomenys, užuot turėjus vieną registrą, kuriame būtų kaupiama visa informacija.
b) Dėl pažeidimų ir duomenų subjektų
58. Duomenų saugojimas policijos registre susijęs su asmenimis, kuriems pareikšti kaltinimai ir kurie nuteisti už tyčines nusikalstamas veikas, už kurias baudžiamojon atsakomybėn patraukta ex officio, t. y. kaltinimą pareiškia prokuroras. Pagal Bulgarijos vyriausybės pateiktą informaciją, į šią kategoriją nepatenka netyčiniai nusikaltimai, baudžiamieji nusižengimai ir privataus kaltinimo bylos, taip pat tam tikri pažeidimai, už kuriuos skirta administracinė nuobauda. Jau buvo pažymėta, kad didžioji dalis Baudžiamajame kodekse numatytų nusikalstamų veikų yra tyčinės ir beveik už visas iš jų baudžiamasis persekiojimas vykdomas ex officio(53).
59. Reikia pažymėti, kad nacionalinės teisės aktuose nenurodomi išsamiai išvardyti nusikaltimai, nusikaltimai neskirstomi pagal jų pobūdį, kuris pats savaime susijęs su veikų sunkumu ir taikytina bausme, taip pat nenustatomas joks kriterijus, susijęs su tiksliu laisvės atėmimo bausmės dydžiu. Taigi į vieną didelę visumą yra sugrupuotos įvairios nusikalstamos veikos, tačiau taikoma išlyga, susijusi su tyčios būtinumu, o tai a priori reiškia, kad neįtraukiami nesunkūs nusižengimai, kuriems pakanka tiesiog padaryti inkriminuojamus veiksmus(54), ir pažeidimai, kuriems būdingas paprastas neatsargumas arba aplaidumas. Per teismo posėdį paprašyta patikslinti nagrinėjamos nusikalstamų veikų kategorijos turinį, Bulgarijos vyriausybė, deja, nurodė tik tiek, kad tai yra vien tokie nusikaltimai, už kuriuos gali būti skiriama ne mažesnė kaip penkerių metų laisvės atėmimo bausmė.
60. Dėl atitinkamų asmenų reikia pažymėti, kad duomenų tvarkymas, kuriuo kaltinama, yra ribotas atsižvelgiant į duomenų subjektų amžių, nes iš NRISPR 4 straipsnio matyti, kad nepilnamečiai nėra įtraukti į policijos registrą, dėl to į šį registrą įtrauktų asmenų ratas dar labiau susiaurėja. Nagrinėjama priemone išskiriamos dvi asmenų kategorijos, t. y. asmenys, kuriems pareikšti kaltinimai, ir asmenys, nuteisti baudžiamąja tvarka. Tokie asmenys pagal taikomas nacionalines procedūras ir remiantis objektyviais ir nediskriminaciniais veiksniais prieš tai buvo nustatyti kaip keliantys grėsmę visuomenės saugumui ar viešosios tvarkos palaikymui. Valstybės narės gali imtis apsaugos priemonių, taikomų asmenims, kuriems dėl tokio nustatymo pareiškiami kaltinimai, t. y. asmenų, dėl kurių yra rimtų priežasčių manyti, kad jie padarė nusikalstamą veiką arba yra nuteisti, kategorijai, o tai reiškia, kad yra nustatyta jų baudžiamoji atsakomybė – tokios situacijos gali kelti didelę recidyvo riziką(55). Recidyvas, kuris paprastai suprantamas kaip nusikalstamo elgesio pasikartojimas, yra reiškinys, kurį kiekviena valstybė narė mėgina išmatuoti ir suprasti jį lemiančius veiksnius, o tai yra kebli užduotis, priklausanti nuo objektyvių ir patikimų statistinių duomenų apie nusikalstamumą prieinamumo. Jei tokių duomenų yra, jie gali atskleisti, kad kriminalinė praeitis yra svarbus recidyvo veiksnys(56).
61. Taip pat svarbu pabrėžti, kad asmenys, kuriems pareikšti kaltinimai, ir jų duomenys turi „išnykti“ iš policijos registro, kai jiems iškelta baudžiamoji byla užbaigiama sprendimu ją nutraukti ar išteisinti kaltinamąjį pagal ZMVR 68 straipsnį, o tai, žinoma, turi įtakos į registrą įtrauktų asmenų skaičiui, kurio Bulgarijos vyriausybė negalėjo nurodyti(57).
c) Dėl duomenų pobūdžio ir saugojimo trukmės
62. Dėl nagrinėjamų duomenų Teisingumo Teismas yra nusprendęs, kad, atsižvelgiant į didesnę asmenų apsaugą tvarkant jautrius duomenis, duomenų valdytojas turi įsitikinti, kad šis tikslas negali būti pasiektas pasitelkiant kitų kategorijų duomenis, nei išvardyta Direktyvos 2016/680 10 straipsnyje(58). Taigi, kaip jau buvo nurodyta, duomenys, kuriuos numatyta saugoti, akivaizdžiai prisideda prie nusikalstamų veikų prevencijos, atskleidimo ar baudžiamojo persekiojimo už jas, siekiant kovoti su nusikalstamumu ir palaikyti viešąją tvarką. Be to, man atrodo sunku manyti, kad šie tikslai galėtų būti taip pat veiksmingai pasiekti remiantis vien atitinkamo asmens civilinės būklės ar nuotraukos informacija, nes priešingu atveju būtų pernelyg apribota tyrėjų galimybė išaiškinti pažeidimus remiantis per tyrimą surinktų duomenų palyginimu su duomenimis, kurie buvo užregistruoti atliekant ankstesnius tyrimus(59). Laimei, praėjo tie laikai, kai prisipažinimas buvo laikomas įrodymų karaliene, nes abejotinus įrodymus įrodymų hierarchijoje sėkmingai pakeitė techninių ir mokslinių policijos tarnybų surinkta informacija. Taigi galima daryti išvadą, kad nagrinėjami duomenys yra aktualūs ir nepertekliniai, atsižvelgiant į duomenų tvarkymui priskirtus tikslus.
63. Be to, reikia pažymėti, kad nagrinėjamuose nacionalinės teisės aktuose nenustatytas tikslus maksimalus registre esančios informacijos saugojimo laikotarpis, nes duomenys saugomi tik vykstant procesui, jei jis užbaigiamas sprendimu nutraukti bylą arba išteisinti tam tikrus asmenis, kuriems pareikšti kaltinimai, arba visą jų gyvenimą, kai asmenys galiausiai nuteisiami. Remiantis Bulgarijos vyriausybės per teismo posėdį pateikta informacija, kurią turi patikrinti teismas, duomenys ištrinami ex officio suinteresuotajam asmeniui mirus, be to, pagal ZMVR 68 straipsnio 6 dalį įpėdiniai turi teisę reikalauti ištrinti įrašą. Ar tokia situacija, siejant su Direktyvos 2016/680 5 straipsnio tekstu, reiškia, kad nėra nustatyti tinkami asmens duomenų ištrynimo terminai, t. y. kad termino sąvoka būtinai turi atitikti metais, mėnesiais ar dienomis išreikštą laikotarpį? Jei atsakymas būtų teigiamas, pagal tą pačią nuostatą nacionalinės teisės aktuose kaip alternatyvą reikėtų nustatyti periodinio būtinybės saugoti šiuos duomenis patikrinimo terminus(60).
64. Kalbant apie asmenų, kuriems pareikšti kaltinimai, duomenis ir atsižvelgiant į tai, kad Bulgarijos teisės aktų leidėjas nusprendė jų nesaugoti, jeigu pasibaigus su jais susijusiai procedūrai nebuvo priimti apkaltinamieji nuosprendžiai, pažymėtina, kad dėl neišvengiamai atsitiktinės šio proceso trukmės beveik nelieka kito pasirinkimo, kaip tik nustatyti maksimalų terminą, kad būtų išvengta pernelyg ilgos proceso trukmės. Dėl nuteistųjų manau, kad mirties paminėjimas yra būtent su atitinkamo asmens biologiniu gyvenimu susijusi laiko riba, dėl kurios duomenų saugojimo trukmė negali būti laikoma neapibrėžta ar neribota(61). Saugojimo pabaiga yra iš anksto nustatyta, net jei tiksli saugojimo data iš esmės neapibrėžta. Bet kuriuo atveju norėčiau pažymėti, jog Bulgarijos vyriausybė per teismo posėdį nurodė, kad yra numatytas periodinis registro įrašų vidaus patikrinimas, šiuo atveju atliekamas kas tris mėnesius, o tai atitinka Direktyvos 2016/680 5 straipsnio reikalavimus.
65. Vis dėlto neginčijama, kad, atsižvelgiant į duomenų subjekto amžių tuo metu, kai jo duomenys užregistruojami registre, ir jo mirties metus, gali paaiškėti, kad saugojimo laikotarpis yra per ilgas, ilgesnis, nei reikalaujama recidyvui nustatyti, ar ilgesnis už senaties terminą, numatytą dėl baudžiamojo persekiojimo už sunkesnį nusikaltimą(62). Vis dėlto ši saugojimo trukmė pateisinama tuo, kad duomenys tvarkomi teisėsaugos tikslais, siekiant surinkti įkalčius ir įrodymus, kad būtų nustatyti praeityje padarytų ar ateityje padarysimų nusikaltimų vykdytojai, turint omenyje tai, kad grėsmė, susijusi su nusikalstamomis veikomis, nesvarbu, ar jos sunkios, ar ne, yra bendra ir nuolatinė(63). Kartais labai vėlyvas neišaiškintų nusikalstamų veikų atskleidimas rodo ir didelius sunkumus, kurių kyla tyrimo tarnyboms, ir registruose esančių biometrinių bei genetinių duomenų saugojimo ilgą laikotarpį svarbą(64).
d) Dėl teisinių ir techninių apsaugos priemonių, susijusių su duomenų saugojimu ir prieiga prie jų, buvimo
66. Ribojimo, kurį lemia policijos registre esančių duomenų saugojimas, proporcingumas negali būti nagrinėjamas neatsižvelgiant į prieigos prie šio registro ir duomenų saugojimo jame pateisinimo kontrolės taisykles. EŽTT teigimu, kai valstybė suteikia plačiausius įgaliojimus saugoti duomenis neribotą laikotarpį, lemiamą reikšmę turi tam tikrų veiksmingų garantijų buvimas ir veikimas. Taigi vidaus teisėje turi būti numatytos garantijos, galinčios veiksmingai apsaugoti užregistruotus asmens duomenis nuo netinkamo naudojimo ir piktnaudžiavimo ir leidžiančios ištrinti šiuos duomenis, kai tolesnis jų saugojimas tampa neproporcingas, be kita ko, suteikiant konkrečią galimybę pateikti prašymą ištrinti saugomus duomenis(65).
1) Dėl prieigos prie registro sąlygų
67. Iš Direktyvos 2016/680 28, 56 ir 57 konstatuojamųjų dalių, taip pat iš jos 24, 25 ir 29 straipsnių matyti, jog valstybės narės turi imtis priemonių užtikrinti, kad asmens duomenys būtų tvarkomi taip, kad būtų užtikrintas tinkamas saugumo ir konfidencialumo lygis, be kita ko, užkertant kelią neleistinai prieigai prie šių duomenų ir jų tvarkymo įrangos, taip pat neleistinam šių duomenų ir įrangos naudojimui. Šios priemonės apima duomenų valdytojo tvarkomus registrus, kurie priežiūros institucijos prašymu gali jai suteikti tam tikrą informacijos kiekį apie atliktą duomenų tvarkymą ir įrašus, susijusius su tam tikromis duomenų tvarkymo operacijomis, pavyzdžiui, duomenų paieška, perdavimu ir ištrynimu. Pagal Direktyvos 2016/680 60 konstatuojamąją dalį duomenų valdytojas turi įgyvendinti priemones, skirtas prieš tai įvertintiems pavojams, būdingiems atitinkamam duomenų tvarkymui, tarp kurių yra neleistinas duomenų atskleidimas ir neleistina prieiga prie jų, sumažinti.
68. Per teismo posėdį Bulgarijos vyriausybė nurodė, kad nacionalinės teisės aktai atitinka šiuos reikalavimus, ir nurodė, jog yra rinkinys taisyklių, kuriose, be kita ko, numatyta sudaryti vardinius sąrašus pareigūnų, turinčių prieigą prie duomenų, reikalavimas kiekvienam naudotojui nurodyti teisės susipažinti su duomenimis pateisinimą, tapatybę, prieigos datą ir valandą(66). Šios garantijos, susijusios su asmenimis, įgaliotais susipažinti su registro duomenimis, ir susipažinimo su šiais duomenimis tvarka, regis, užkerta kelią bet kokiam piktnaudžiavimui ar neteisėtai prieigai prie registrų ir kartu bet kokiam pertekliniam Chartijos 7 ir 8 straipsniuose įtvirtintų teisių ribojimui, bet tai turės patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.
2) Dėl duomenų saugojimo registre kontrolės
69. Neginčijama, kad ZMVR 68 straipsnio 6 dalyje numatytas minėtas patikrinimas yra dvejopas, nes jis atliekamas kompetentingų valdžios institucijų iniciatyva, taikant savikontrolę ir gavus motyvuotą suinteresuotojo asmens ar jo įpėdinių prašymą, o registro duomenų įrašo ištrynimo pagrindai abiem atvejais išsamiai išdėstyti minėtoje nuostatoje. Šie pagrindai neapima asmens, kurio teistumas išnyko, situacijos, kai atitinkamas apkaltinamasis nuosprendis ištrinamas iš nuosprendžių registro, ir prašymas ištrinti baudžiamojoje byloje nuteisto asmens duomenis iš registro, pateiktas, kaip šioje byloje nagrinėjamu atveju, šiam asmeniui dar gyvam esant, gali būti grindžiamas tik ZMVR 68 straipsnio 6 dalies 1 punkte nurodytu pagrindu, susijusiu su duomenų įtraukimu į registrą pažeidžiant įstatymo reikalavimus, taigi prieš pasibaigiant teisės aktuose nustatytam saugojimo laikotarpiui, kuris baigiasi, kai šis asmuo miršta.
70. Per teismo posėdį paklausta apie ZMVR 68 straipsnio 6 dalies taikymo sritį, atsižvelgiant į tai, kaip šią nuostatą taiko kompetentingos valdžios institucijos ir teismai, Bulgarijos vyriausybė patikslino, kad pagal šią nuostatą leidžiama pakeisti įrašą apie asmenį, kuriam pareikšti kaltinimai, kai šis įrašas tampa neteisingas, teismui perkvalifikavus nusikalstamą veiką. Ji atmetė bet kokią įrašo ištrynimo iš registro galimybę po asmens teistumo panaikinimo. Šiuo klausimu primenu, kad nagrinėjamas registras yra tyrimo priemonė, skirta kriminalinės policijos operatyvinei veiklai palengvinti, o ne teistumo už nusikalstamas veikas registras, kaip, pavyzdžiui, nuosprendžių registras. Šiomis dviem priemonėmis nesiekiama to paties tikslo: viena iš jų yra išimtinai tyrėjams skirta atmintinė, leidžianti jiems ilgainiui atskleisti įvykdytus ar būsimus nusikaltimus, o kita priemonė yra gairės teisėjams skiriant baudžiamąją sankciją konkrečioje byloje. Taigi dėl teistumo panaikinimo, dėl kurio atitinkamas apkaltinamasis nuosprendis buvo išbrauktas iš nuosprendžių registro, asmuo tam tikrais atvejais gali atsidurti pirmą kartą nusikaltusio asmens padėtyje ir dėl to jam gali būti skirtos švelnesnės bausmės arba bausmės taikymo sąlygos. Vis dėlto jo duomenų saugojimas registre iš esmės išlieka būtinas atsižvelgiant į platesnį šios priemonės tikslą, susijusį su nusikaltimų atskleidimu, išaiškinimu ir prevencija.
71. Iš Bulgarijos vyriausybės pastabų matyti, kad ZMVR 68 straipsnio 6 dalies 1 punkte nurodytas pagrindas neapima būtinybės saugoti duomenis vertinimo laiko aspektu. Atrodo, kad nėra nei nacionalinės teisės akto nuostatos, nei administracinės ar teismų praktikos, pagal kurią kompetentinga institucija, atlikdama ketvirčio patikrinimus, galėtų išbraukti įrašą iš registro arba duomenų subjektui būtų leidžiama prašyti ištrinti įrašą, jeigu asmens duomenų saugojimas atrodo nebereikalingas, atsižvelgiant į nuo įtraukimo į registrą praėjusį laiką. Prašymą priimti prejudicinį sprendimą pateikęs teismas, į kurį kreiptasi dėl sprendimo atmesti prašymą ištrinti duomenis teisėtumo, taip pat neatrodo galintis atlikti tokį vertinimą.
F. Tarpinė išvada
72. Ar pirma apibūdinti duomenų saugojimo kriterijai yra pakankamai tikslingi, proporcingi ir konkretūs ir ar nagrinėjamu asmens duomenų tvarkymu neviršijama tai, kas griežtai būtina ar neišvengiama? Teisingumo Teismas į šį klausimą galėtų atsakyti neigiamai dėl toliau nurodytų priežasčių.
73. Svarbu pabrėžti, pirma, kad būtinybės saugoti asmens duomenis problema yra ypač svarbi, kai juos tvarkyti, kaip šioje byloje, leidžiama prevencijos tikslais. Tikrasis kriterijus, pateisinantis duomenų registravimą ir saugojimą nagrinėjamame policijos registre, yra atitinkamų asmenų keliamas pavojus, o tai reiškia rizikos vertinimą. Šiuo atveju reikia konstatuoti, kad šis vertinimas užbaigiamas vos nustačius, kad įtariama tyčinio nusikaltimo padarymu ar kad jis yra padarytas, o tai yra nekonkretus kriterijus, nesvarbu, ar tai būtų nusikalstamos veikos sudėties požymis, ar net pats baudžiamosios atsakomybės pagrindas. Taigi man atrodo, kad pagal nacionalinę duomenų saugojimo sistemą atsižvelgiama į minimalų nusikalstamos veikos sunkumo laipsnį ir ji apima labai įvairius socialinės tvarkos pažeidimus, a priori nereikalaujant sankcijos, kurią sudaro laisvės atėmimo bausmė, o tai leidžia manyti, kad ši sistema taikoma neatsižvelgiant į nusikalstamos veikos pobūdį ar sunkumą(67). Primenu, kad Teisingumo Teismas nusprendė, jog tokie Bulgarijos teisės aktai, kaip nagrinėjamieji pagrindinėje byloje, pagal kuriuos numatyta rinkti kiekvieno asmens, kuriam pareikšti kaltinimai dėl tyčinės nusikalstamos veikos, už kurią traukiama baudžiamojon atsakomybėn ex officio, biometrinius ir genetinius duomenis, iš esmės prieštarauja Direktyvos 2016/680 10 straipsnyje įtvirtintam reikalavimui, nes dėl jų šie duomenys gali būti renkami nediferencijuotai ir bendrai, kadangi sąvoka „ex officio persekiojama tyčinė nusikalstama veika“ yra ypač bendro pobūdžio ir gali būti taikoma daugeliui nusikalstamų veikų, neatsižvelgiant į jų pobūdį ir sunkumą(68).
74. Nors statistiniai tyrimai gali atskleisti, kad ankstesnis teistumas yra svarbus recidyvą lemiantis veiksnys, jie taip pat parodo esant objektyvių veiksnių, didinančių recidyvo riziką, susijusių, be kita ko, su lytimi, amžiumi ir pirmojo nusikaltimo pobūdžiu, su tuo, kiek laiko praėjo nuo vieno iki kito nusikaltimo padarymo, ir tuo, kad pakartotinis nusikaltimas labai glaudžiai susijęs su nusikaltimo, už kurį asmuo prieš tai buvo nubaustas, pobūdžiu(69). Vis dėlto atrodo, kad kai duomenų saugojimo iki pat suinteresuotojo asmens mirties kriterijus yra bet koks nuteisimas už tyčinį nusikaltimą, įskaitant pirmąjį apkaltinamąjį nuosprendį(70), šių duomenų tvarkymas grindžiamas poreikiu labai plačiai suvokti nusikalstamo elgesio eigą, nesvarbu, ar tai būtų nusikalstamų veikų pobūdis ir (arba) sunkumas, ar nusikaltimą padariusio asmens amžius. Antrinant EŽTT, galima kelti klausimą, ar tokia logika kraštutiniais atvejais praktiškai nesuteiktų pagrindo pateisinti informacijos apie visus gyventojus ir jų mirusius tėvus saugojimo, nes tai neabejotinai būtų perteklinis ir nereikšmingas saugojimas(71). Reikėtų pažymėti, kad Teisingumo Teismas yra nusprendęs, jog vien tai, kad asmeniui yra pareikšti kaltinimai padarius tyčinę nusikalstamą veiką, už kurią baudžiamasis persekiojimas vykdomas ex officio, negali būti laikoma veiksniu, leidžiančiu savaime daryti prielaidą, kad šio asmens biometrinius ir genetinius duomenis rinkti būtina atsižvelgiant į juo siekiamus tikslus(72).
75. Antra, atrodo, kad duomenys saugomi neatsižvelgiant į būtinybę juos saugoti iki duomenų subjekto mirties. Atsižvelgiant į ZMVR 68 straipsnio 6 dalies formuluotę ir jos aiškinimą, įgaliojimai ištrinti duomenis kompetentingoms institucijoms suteikiami tik išimtinėmis aplinkybėmis, neatsižvelgiant į šio asmens padėties pokyčius nuo jo duomenų įtraukimo į registrą. Logiška, kad tas pats pasakytina apie tame pat teisės akte šiam asmeniui numatytą teisių gynimo priemonę dėl duomenų ištrynimo, kuri nėra pakankamai veiksminga, nes neleidžia patikrinti, ar duomenų saugojimo trukmė yra proporcinga nagrinėjamo suvaržymo tikslui. Atliekant šį vertinimą reikia atsižvelgti į įvairius kriterijus, kaip antai konstatuotų veikų pobūdį ir sunkumą, laiką, praėjusį nuo veikų padarymo, pagal teisės aktus likusį saugojimo laikotarpį arba kasatoriaus šioje byloje amžių, atsižvelgiant į jo asmeninę padėtį, kiek tai susiję su amžiumi, kai jis padarė veikas, jo elgesį nuo to laiko (socialinė integracija, žalos atlyginimas nukentėjusiesiems), asmenybę, nes šiomis aplinkybėmis teistumo panaikinimas gali būti įtrauktas į visų aplinkybių vertinimą. Šiomis aplinkybėmis kontrolė, prieinama, be kita ko, asmeniui, kurio duomenys įtraukti į registrą, atrodo tokia siaura, kad yra beveik hipotetinė(73).
76. Pirma padarytas išvadas reikia sugretinti su tuo, kad labai ilgą laiką gali būti saugomi jautrūs duomenys ir kad nagrinėjamo registro naudotojams yra prieinamos labai suvaržančios, pavyzdžiui, tapatybės nustatymo, analizės ir sugretinimo, funkcijos. Reikia pažymėti, kad pagal ZMVR 68 straipsnio 3 dalį policija, kad įtrauktų į policijos registrą, turi iš asmenų paimti ėminius „DNR profiliavimo“ tikslais ir juos nufotografuoti, o prireikus jiems gali būti taikoma veido atpažinimo technika.
V. Išvada
77. Atsižvelgdamas į tai, kas išdėstyta, siūlau Teisingumo Teismui taip atsakyti Varhoven administrativen sad (Vyriausiasis administracinis teismas, Bulgarija):
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvos (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, kuria panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR, 4, 5, 8, 10 straipsniai ir 16 straipsnio 2 dalis, siejami su Europos Sąjungos pagrindinių teisių chartijos 52 straipsnio 1 dalimi,
turi būti aiškinami taip:
pagal juos draudžiami nacionalinės teisės aktai, kuriuose numatyta saugoti policijos registre bet kurio asmens, nuteisto už tyčinę nusikalstamą veiką, duomenis, įskaitant biometrinius ir genetinius duomenis, niekaip kitaip nediferencijuojant pagal nusikalstamos veikos pobūdį ar sunkumą, ir juos numatyta saugoti iki šio asmens mirties, nesuteikiant galimybės atlikti šiame registre esančių duomenų saugojimo kontrolės atsižvelgiant į laiką, praėjusį nuo jų įtraukimo į registrą, ir atitinkamais atvejais nesuteikiant galimybės vėliau reikalauti, kad jie būtų ištrinti.
Tikrinant duomenų saugojimo trukmės proporcingumą duomenų tvarkymo tikslui, atsižvelgiant į nuteistojo padėtį, galima atsižvelgti į šio asmens teistumo panaikinimą.