ĢENERĀLADVOKĀTA PRĪTA PIKAMĒES [PRIIT PIKAMÄE]
SECINĀJUMI,
sniegti 2023. gada 15. jūnijā (1)
Lieta C‑118/22
NG
Administratīvais process
pret
Direktor na Glavna direktsia “Natsionalna politsia” pri MVR – Sofia,
piedaloties
Varhovna administrativna prokuratura
(Varhoven administrativen sad (Augstākā administratīvā tiesa, Bulgārija) lūgums sniegt prejudiciālu nolēmumu)
Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Direktīva (ES) 2016/680 – 4., 5., 8., 10. un 16. pants – Par tīšu noziedzīgu nodarījumu notiesātas fiziskas personas datu glabāšana līdz tās nāvei – Fiziska persona, kas ir notiesāta ar galīgu spriedumu un vēlāk reabilitēta – Datu dzēšanas pieprasījuma noraidījums – Eiropas Savienības Pamattiesību hartas 7. un 8. pantā nostiprināto pamattiesību aizskāruma nepieciešamība un samērīgums
1. Vai būtu jāuztraucas, ka personas datu glabāšana kriminālreģistros reģistrētam cilvēkam – iespējams, uz visu mūžu – piešķir ilgstoši bīstama sociālā devianta statusu? Varbūt gluži pretēji – mums vajadzētu priecāties par šādu policijas atmiņu, jo izmeklētāji – par lielu atvieglojumu upuru ģimenēm – atrisina senas, neatklātas lietas, kas mūsdienās vairāk pazīstamas kā cold cases?
2. Šī lieta tieši skar šos pretrunīgos jautājumus, kuri norāda uz sabiedrības interešu apkarot noziedzību saskaņošanu ar cilvēka interesēm nodrošināt savu personas datu aizsardzību un privātās dzīves neaizskaramību. Tā dod iespēju Tiesai izvērtēt jautājumu par šādu datu apstrādes tiesībaizsardzības nolūkos laika dimensiju, ņemot vērā attiecīgās Direktīvas (ES) 2016/680 normas (2).
I. Atbilstošās tiesību normas
A. Savienības tiesības
3. Uz šo lietu attiecas Direktīvas 2016/680 4., 5., 8., 10. un 16. pants, kā arī Eiropas Savienības Pamattiesību hartas (turpmāk tekstā – “Harta”) 52. panta 1. punkts.
B. Bulgārijas tiesības
4. Zakon za Ministerstvo na vatreshnite raboti (Likums par Iekšlietu ministriju, turpmāk tekstā – “ZMVR”) 26. panta 1. un 2. punktā ir noteikts:
“(1) Apstrādājot personas datus saistībā ar valsts drošības aizsardzības, cīņas pret noziedzību, sabiedriskās kārtības uzturēšanas un kriminālprocesa veikšanas darbībām, Iekšlietu ministrijas iestādes:
[..]
3. var apstrādāt visas vajadzīgās personas datu kategorijas;
[..].
(2) Termiņus 1. punktā minēto datu glabāšanai vai periodiskai to glabāšanas nepieciešamības pārskatīšanai nosaka iekšlietu ministrs. Šādus datus dzēš arī saskaņā ar tiesas aktu vai Personas datu aizsardzības komisijas lēmumu.”
5. Atbilstoši ZMVR 27. pantam:
“Datus no kriminālreģistrācijas, kas veikta, pamatojoties uz 68. pantu, izmanto tikai valsts drošības aizsardzībai, cīņai pret noziedzību un sabiedriskās kārtības uzturēšanai.”
6. ZMVR 68. pantā ir paredzēts, ka:
“(1) Policijas iestādes veic to personu kriminālreģistrāciju, kas ir apsūdzētas par tīšu noziedzīgu nodarījumu, kurā uzturama valsts apsūdzība. Izmeklēšanas iestādēm ir jāveic nepieciešamie pasākumi, lai policijas iestādes varētu veikt kriminālreģistrāciju.
(2) Kriminālreģistrācija ir 1. punktā minēto personu personas datu apstrādes kategorija, un to veic saskaņā ar šā likuma nosacījumiem.
(3) Lai veiktu kriminālreģistrāciju, policijas iestādes:
1. vāc personas datus, kas paredzēti Likuma par Bulgārijas personas dokumentiem 18. pantā;
2. noņem personu pirkstu nospiedumus un fotografē šīs personas;
3. ņem paraugus, lai izveidotu personas DNS profilu.
[..]
(6) Kriminālreģistrāciju dzēš, pamatojoties uz personas datu pārziņa vai tā pilnvaroto amatpersonu rakstisku rīkojumu, pēc savas ierosmes vai pēc reģistrētās personas rakstiska un pamatota pieprasījuma, ja:
1. reģistrācija ir veikta, pārkāpjot likumu;
2. kriminālprocess ir izbeigts, izņemot [Nakazatelno-protsesualen kodeks (Kriminālprocesa kodeksa)] 24. panta 3. punktā minētos gadījumus;
3. kriminālprocess ir noslēgts ar galīgu attaisnošanu;
4. persona ir atbrīvota no kriminālatbildības, un tai ir piemērots administratīvs sods;
5. persona ir mirusi, un šādā gadījumā pieprasījumu var iesniegt tās mantinieki.
(7) Kārtību, kādā veic kriminālreģistrāciju un to dzēš, nosaka ar Ministru padomes rīkojumu.”
II. Tiesvedības rašanās fakti, tiesvedība pamatlietā un prejudiciālais jautājums
7. Par NG izmeklēšanas procesā lietā par nepatiesas liecības sniegšanu, kas saskaņā ar Nakazatelen Kodeks (Kriminālkodekss) 290. panta 1. punktu ir noziedzīgs nodarījums, ir veikts ieraksts kriminālreģistrā. Šī procesa rezultātā 2015. gada 2. jūlijā viņam tika sagatavots apsūdzības raksts, 2016. gada 28. jūnija spriedumā, kas ar 2016. gada 2. decembra spriedumu apelācijā tika atstāts spēkā, viņš ir atzīts par vainīgu, un viņam ir piespriesta nosacīta brīvības atņemšana uz vienu gadu. Sods tika izciests 2018. gada 14. martā.
8. 2020. gada 15. jūlijā NG vērsās Ministerstvo na vatreshnite raboti (Iekšlietu ministrija, Bulgārija) kompetentajā teritoriālajā iestādē ar pieprasījumu dzēst šo reģistrācijas ierakstu, iesniegdams izziņu no sodu reģistra, kas apliecina, ka viņš nav sodīts.
9. Ar 2020. gada 2. septembra lēmumu kompetentā administratīvā iestāde noraidīja šo pieprasījumu, pamatojot, ka galīgs notiesājošs spriedums nav viens no ZMVR 68. panta 6. punktā izsmeļoši uzskaitītajiem pamatojumiem kriminālreģistra ieraksta dzēšanai, tai skaitā reabilitācijas gadījumā Kriminālkodeksa 85. panta izpratnē. 2020. gada 8. oktobrī NG cēla prasību par šo lēmumu Administrativen sad Sofia grad (Sofijas pilsētas Administratīvā tiesa, Bulgārija). Ar 2021. gada 2. februāra nolēmumu šī tiesa noraidīja šo prasību.
10. NG pārsūdzēja Administrativen sad Sofia grad (Sofijas pilsētas Administratīvā tiesa) nolēmumu Varhoven administrativen sad (Augstākā administratīvā tiesa, Bulgārija). Galvenais apelācijas sūdzības pamats balstās uz to, ka neesot ņemts vērā no Direktīvas 2016/680 5., 13. un 14. panta izrietošais princips, atbilstoši kuram personas datu apstrāde, tos glabājot, nevar būt beztermiņa. Ja nav pamatojuma kriminālreģistra ierakstu dzēšanai, notiesātā persona pēc savas reabilitācijas nevarot pieprasīt, lai tiek dzēsti tās personas dati, kas ir savākti saistībā ar noziedzīgu nodarījumu, par ko tā jau ir izcietusi sodu, un tādējādi datu glabāšana esot beztermiņa.
11. Tā kā iesniedzējtiesai bija šaubas par valsts tiesiskā regulējuma, kas reglamentē konkrēto kriminālreģistru, atbilstību Savienības tiesībām, tā nolēma apturēt tiesvedību pamatlietā un uzdot Tiesai šādu prejudiciālu jautājumu:
“Vai [Direktīvas 2016/680] 5. panta interpretācija, skatot to kopā ar šī direktīvas 13. panta 2. punkta b) apakšpunktu un 3. punktu, pieļauj tādu valsts tiesisko regulējumu, kas piešķir kompetentajām iestādēm praktiski neierobežotas tiesības, apstrādājot personas datus noziedzīgu nodarījumu novēršanas, izmeklēšanas, atklāšanas vai kriminālvajāšanas par tiem vai kriminālsodu izpildes nolūkos, un/vai atceļ datu subjekta tiesības uz savu datu apstrādes ierobežošanu, datu dzēšanu vai iznīcināšanu?”
III. Tiesvedība Tiesā
12. Bulgārijas, Čehijas, Īrijas, Spānijas un Polijas valdības, kā arī Eiropas Komisija iesniedza rakstveida apsvērumus. Tiesas sēdē, kas notika 2023. gada 7. februārī, prasītāja pamatlietā, kā arī Bulgārijas, Īrijas, Spānijas, Nīderlandes, Polijas valdības un Komisija arī sniedza mutvārdu apsvērumus.
IV. Juridiskā analīze
A. Par Direktīvas 2016/680 piemērojamību
13. No lūguma sniegt prejudiciālu nolēmumu izriet, ka iesniedzējtiesa acīmredzami uzskata par pašsaprotamu, ka uz strīdīgo valsts tiesisko regulējumu attiecas Direktīvas 2016/680 materiālā piemērošanas joma, kas, manuprāt, pamato dažus apsvērumus.
14. Saskaņā ar Direktīvas 2016/680 1. panta 1. punktu un 2. panta 1. punktu, tos skatot kopā, tā attiecas uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu. Direktīvas 2016/680 2. panta 3. punkta a) apakšpunktā no tās piemērošanas jomas ir izslēgta personas datu apstrāde “tādas darbības gaitā, kas neietilpst Savienības tiesību darbības jomā”. Šīs direktīvas 12. un 14. apsvērumā ir precizēts šī izņēmuma saturs un norādīts, ka tas tostarp ir piemērojams darbībām attiecībā uz valsts drošību – pretstatā darbībām, kuras saistītas ar kārtības uzturēšanu, – kā uzdevumam, kas uzticēts policijai vai citām tiesībaizsardzības iestādēm, kad nepieciešama aizsardzība pret tādiem draudiem sabiedriskajai drošībai un ar likumu aizsargātām sabiedrības pamatinteresēm, kas varētu novest pie noziedzīga nodarījuma, un šos draudus novērst.
15. Interpretējot Regulas (ES) 2016/679 (3) 2. panta 2. punkta a) apakšpunktu, kurā ir paredzēts izņēmums no šīs regulas piemērojamības un kurš formulēts tāpat kā Direktīvas 2016/680 2. panta 3. punkta a) apakšpunkts, Tiesa nosprieda, ka pirmā minētā norma, lasot to kopsakarā ar šīs regulas 16. apsvērumu, ir uzskatāma par tādu, kuras vienīgais mērķis ir izslēgt no šīs normas piemērošanas jomas personas datu apstrādi, ko valsts iestādes veic tādas darbības ietvaros, kura vērsta uz valsts drošības aizsardzību, vai tādas darbības ietvaros, kura var tikt iekļauta tajā pašā kategorijā, tādējādi ar to vien, ka darbība ir raksturīga valstij vai valsts iestādei, nav pietiekami, lai šis izņēmums automātiski būtu piemērojams šādai darbībai. Tiesa precizēja, ka darbības, kuru mērķis ir aizsargāt valsts drošību, it īpaši ietver darbības, kas vērstas uz valsts pamatfunkciju un sabiedrības pamatinterešu aizsardzību (4).
16. Tomēr izskatāmajā lietā dati, kurus policija reģistrē un glabā saskaņā ar ZMVR 68. pantu, tiek reģistrēti un glabāti atbilstoši šī likuma 27. pantam valsts drošības aizsardzības, cīņas pret noziedzību un sabiedriskās kārtības uzturēšanas nolūkā. Tādējādi šķiet, ka konkrētais kriminālreģistrs ir vienota un hibrīda datubāze, jo tajā ir ietverta informācija, ko var apstrādāt dažādiem mērķiem, tostarp valsts drošības aizsardzībai, kas neietilpst Direktīvas 2016/680 materiālajā piemērošanas jomā. Šajos apstākļos šādā reģistrā iekļautu datu glabāšanas likumīgumu nevar pārbaudīt, ņemot vērā šīs direktīvas prasības, ciktāl šie dati tiek izmantoti vienīgi šīs direktīvas 1. panta 1. punktā minētajiem mērķiem, un tas ir jāpārbauda iesniedzējtiesai (5). No Tiesai iesniegtajiem lietas materiāliem nešķiet, ka kriminālreģistrā ietverto NG datu, kurus viņš prasa dzēst, glabāšanu varētu uzskatīt par apstrādi, uz ko neattiecas Direktīvas 2016/680 materiālā piemērošanas joma.
17. Šajā posmā jāuzsver, ka par pamatlietā aplūkoto valsts tiesisko regulējumu jau ir pieņemts Tiesas spriedums, atbildot Bulgārijas tiesai, kurai bija jāvērtē nodokļu krāpšanā apsūdzētas personas atteikums pakļauties tās datu vākšanai. Tiesa tajā tostarp lēma par datu vākšanas likumīgumu Direktīvas 2016/680 10. panta prasību kontekstā, nospriežot, ka šis pants, lasot to kopsakarā ar šīs direktīvas 4. panta 1. punkta a)–c) apakšpunktu un 8. panta 1. un 2. punktu, ir jāinterpretē tādējādi, ka tas nepieļauj tādu valsts tiesisko regulējumu, kurā ir paredzēta sistemātiska biometrisko un ģenētisko datu vākšana par ikvienu personu, kas apsūdzēta tīšā noziedzīgā nodarījumā, par kuru uzturama valsts apsūdzība, lai tos reģistrētu, neprasot kompetentajai iestādei pārbaudīt un pierādīt, pirmkārt, ka šāda datu vākšana ir absolūti nepieciešama, lai sasniegtu konkrētos izvirzītos mērķus, un, otrkārt, ka šos mērķus nevar sasniegt ar pasākumiem, kas mazāk ietekmē datu subjekta tiesības un brīvības (6). Izskatāmajā lietā Tiesai ir jāpārbauda, cik likumīga ir cita veida iejaukšanās, proti, datu par krimināli sodītu fizisku personu, kuras konkrētajā kriminālreģistrā ir identificētas pēc vārda un uzvārda, glabāšana, kas ir personas datu apstrāde, kuru veic kompetentā valsts iestāde, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, proti, Bulgārijas Iekšlietu ministrija, Direktīvas 2016/680 3. panta 1. un 2. punkta un 7. punkta a) apakšpunkta izpratnē.
B. Par prejudiciālā jautājuma pārformulēšanu
18. Vispirms jāatgādina, ka ar LESD 267. pantu ieviestajā valsts tiesu un Tiesas sadarbības procedūrā Tiesai ir jāsniedz valsts tiesai noderīga atbilde, kas ļautu valsts tiesai atrisināt strīdu, kuru tā izskata. No šādas perspektīvas Tiesai attiecīgā gadījumā ir jāpārformulē tai iesniegtie jautājumi. Tiesas uzdevums ir interpretēt visas Savienības tiesību normas, kas vajadzīgas valsts tiesām, lai izlemtu tajās iesniegtās lietas, pat ja šīs tiesību normas nav tieši norādītas jautājumos, kurus tai ir nosūtījušas šīs tiesas (7).
19. Pamatlietas faktiskie apstākļi ir saistīti ar pieprasījumu dzēst kriminālreģistrā ierakstītus personas datus, kurus ir iesniegusi fiziska persona, kas pēc notiesāšanas par nepatiesu liecību sniegšanu ir izcietusi sodu un ir reabilitēta 2020. gada 14. martā, t.i., gandrīz piecus gadus pēc minētās reģistrācijas. Šis pieprasījums ir noraidīts ar kompetentās administratīvās iestādes lēmumu, kurš pirmajā instancē ir apstiprināts ar Administrativen sad Sofia grad (Sofijas Administratīvā tiesa) nolēmumu, kas pārsūdzēts iesniedzējtiesā, kurai ir šaubas par valsts tiesiskā regulējuma atbilstību Direktīvai 2016/680 saistībā ar jautājumu par datu glabāšanu kriminālreģistrā. Tātad pamatlieta acīmredzami skar tādas tiesības uz pēc iespējas drīzāku personas datu dzēšanu, kas paredzētas Direktīvas 2016/680 16. panta 2. punktā, ja ar apstrādi tiek pārkāptas saskaņā ar tās 4., 8. vai 10. pantu pieņemtās normas vai tad, ja šie dati ir jādzēš, lai izpildītu pārzinim uzlikto juridisko pienākumu.
20. Direktīvas 2016/680 4. panta 1. punkta c) un e) apakšpunktā ir noteikts, ka dalībvalstīm ir jānodrošina, lai personas dati atbilstoši attiecīgi datu minimizēšanas un glabāšanas ierobežojuma principiem būtu atbilstīgi, būtiski un nebūtu pārmērīgi, ņemot vērā nolūkus, kādos tos apstrādā, un lai tie tiktu glabāti – veidā, kas pieļauj datu subjektu identifikāciju – ne ilgāk, kā nepieciešams tiem nolūkiem, kādos tos apstrādā (8). Savukārt šīs direktīvas 8. pants ir veltīts apstrādes likumīgumam, kura nosacījums ir datu apstrādes nepieciešamība tā uzdevuma izpildei, ko kompetentā iestāde veic šīs direktīvas 1. panta 1. punktā minētajos nolūkos, un tas, ka tā balstās uz Savienības vai dalībvalsts tiesībām, kurās ir jāprecizē vismaz apstrādes mērķi, apstrādājamie personas dati un apstrādes nolūki. Visbeidzot, runājot par Direktīvas 2016/680 10. pantu, tajā ir noteikts tiesiskais regulējums tādu īpašu personas datu kategoriju apstrādei, kā, piemēram, biometriskiem un ģenētiskiem datiem, kurus kriminālreģistrā izmanto, lai viennozīmīgi identificētu fizisku personu.
21. Jākonstatē, ka iepriekšējā punktā minētās normas prejudiciālajā jautājumā nav apskatītas, lai gan tām acīmredzami ir nozīme, lai sniegtu atbildi, ko Tiesai ir lūgts sniegt šajā lietā. Iesniedzējtiesa ir lūgusi interpretēt Direktīvas 2016/680 5. pantu un 13. panta 2. punkta b) apakšpunktu un 3. punktu, kuri nepieder pie šīs direktīvas 16. panta 2. punktā skaidri minētajiem noteikumiem, kuru pārkāpums valsts tiesiskajā regulējumā pamato datu subjektam piešķirto tiesību uz dzēšanu īstenošanu. Tomēr šīs tiesības ir atzītas arī tad, ja dati ir jādzēš, lai izpildītu pārzinim noteiktu juridisku pienākumu, un tas var atbilst minētās direktīvas 5. pantā un 13. panta 2. punkta b) apakšpunktā paredzētajām situācijām, proti, attiecīgi: maksimālo termiņu noteikšana personas datu glabāšanai vai personas datu glabāšanas nepieciešamības regulārai pārskatīšana (9), un tam, ka pārzinis konkrētos gadījumos datu subjektam sniedz informāciju, papildus 13. panta 1. punktā minētajam, lai datu subjekts varētu izmantot savas tiesības. Turpretī 13. panta 3. punkts attiecas uz dalībvalstu iespēju noteiktos apstākļos pieņemt leģislatīvus pasākumus, lai atliktu vai ierobežotu, vai pat nesniegtu informāciju datu subjektam, ievērojot 2. punktu, un tas nevar būt pārzinim uzlikts juridisks pienākums.
22. Katrā ziņā no lūguma sniegt prejudiciālu nolēmumu neizriet, ka pamatlietā būtu radies jautājums par NG informēšanu par viņa tiesībām, jo konkrētā persona nepārprotami varēja tās izmantot, ko pierāda prasība, ar kuru viņš vērsās administratīvajās un pēc tam tiesu iestādēs saistībā ar savu datu glabāšanu. Tātad nešķiet, ka Tiesai uzdotajā jautājumā ir prasīta Direktīvas 2016/680 13. panta 2. punkta b) apakšpunkta un 3. punkta interpretācija. Tādējādi pamatlieta konkrēti attiecas uz Direktīvas 2016/680 16. panta 2. punktu, kā arī tās 4., 5., 8. un 10. pantu.
23. Turklāt, kā norādīts Direktīvas 2016/680 104. apsvērumā, tajā ir ņemtas vērā pamattiesības un ir ievēroti principi, kas atzīti Hartā, kā noteikts LESD, jo īpaši tiesības uz privātās un ģimenes dzīves neaizskaramību un tiesības uz personas datu aizsardzību. Saskaņā ar šīs direktīvas 46. apsvērumu ir jānodrošina datu subjekta jebkādu tiesību ierobežojumu atbilstība Hartai un 1950. gada 4. novembrī Romā parakstītajai Cilvēktiesību un pamatbrīvību aizsardzības konvencijai (turpmāk tekstā – “ECPAK”), kā tas interpretēts attiecīgi Tiesas un Eiropas Cilvēktiesību tiesas (turpmāk tekstā –“ECT”) judikatūrā, un jo īpaši jānodrošina minēto tiesību un brīvību būtības ievērošana. Jāatgādina, ka pamattiesības uz privātās dzīves neaizskaramību un personas datu aizsardzību, kas garantētas Hartas 7. un 8. pantā, nav absolūtas tiesības, bet ir ņemamas vērā saistībā ar to funkciju sabiedrībā un līdzsvarojamas ar citām pamattiesībām. Tādējādi var tikt noteikti ierobežojumi, ja atbilstoši Hartas 52. panta 1. punktam tie ir paredzēti tiesību aktos un tajos tiek respektēta pamattiesību būtība, kā arī samērīguma princips. Saskaņā ar pēdējo minēto principu ierobežojumus drīkst noteikt tikai tad, ja tie ir nepieciešami un patiešām atbilst vispārējo interešu mērķiem, ko atzinusi Savienība, vai vajadzībai aizsargāt citu personu tiesības un brīvības. Tie ir jāīsteno tikai, ciktāl tas noteikti ir nepieciešams, un attiecīgajā tiesiskajā regulējumā, kas paredz iejaukšanos, ir jānosaka skaidri un precīzi noteikumi, kas reglamentē attiecīgā pasākuma tvērumu un piemērošanu (10).
24. Šādos apstākļos jāuzskata, ka iesniedzējtiesa pēc būtības jautā, vai Direktīvas 2016/680 4., 5., 8., 10. pants un 16. panta 2. punkts, lasot tos kopsakarā un ņemot vērā Hartas 52. panta 1. punktu, ir jāinterpretē tādējādi, ka tiem pretrunā ir valsts tiesību akti, kuros paredzēta datu subjekta personas datu, tostarp biometrisko un ģenētisko datu, glabāšana kriminālreģistrā līdz tā nāvei, un atbilstoši kuriem tam nav ļauts panākt šo datu dzēšanu pēc reabilitācijas, kas tam ir piemērota pēc notiesāšanas krimināllietā (11).
C. Par personas datu glabāšanu tiesībaizsardzības nolūkos
25. Pirms pārbaudīt valsts tiesiskā regulējuma saderību saistībā ar konkrēto kriminālreģistru, manuprāt, jāapsver ar datu glabāšanu tiesībaizsardzības nolūkos saistītā problemātika, ņemot vērā dažas Direktīvas 2016/680 normas, kā arī Tiesas un ECT judikatūru.
26. Pirmām kārtām, jānorāda, ka Direktīvas 2016/680 mērķis ir palīdzēt izveidot brīvības, drošības un tiesiskuma telpu Savienībā, vienlaikus radot stingru un saskaņotu personas datu aizsardzības regulējumu Savienībā, lai nodrošinātu pamattiesības uz fizisku personu aizsardzību attiecībā uz personas datu apstrādi, kas atzītas Hartas 8. panta 1. punktā un LESD 16. panta 1. punktā, un šīs tiesības ir cieši saistītas ar Hartas 7. pantā nostiprinātajām tiesībām uz privātās dzīves neaizskaramību (12). Tālab Direktīvas 2016/680 II un III nodaļā attiecīgi ir noteikti personas datu apstrādes principi, kā arī šajā apstrādē ievērojamās datu subjekta tiesības. Konkrēti – ikvienai personas datu apstrādei ir jāatbilst šīs direktīvas 4. un 8. pantā noteiktajiem datu apstrādes principiem un likumīgas apstrādes nosacījumiem. Tā kā šajās prasībās izpaužas no Hartas 52. panta 1. punkta izrietošās prasības, tās jāinterpretē kopsakarā ar šo pantu (13).
27. Iesniedzējtiesai sniedzamajā atbildē tātad ir jāņem vērā Direktīvas 2016/680 4. panta 1. punkta c) apakšpunktā ietvertais “datu minimizēšanas” princips, kurš atspoguļo samērīguma principu (14). Tas pats attiecas uz šīs direktīvas 4. panta 1. punkta e) apakšpunktā ietverto datu glabāšanas ierobežojuma principu, kas nozīmē, ka ir jānovērtē apstrādes samērīgums attiecībā pret tās mērķa sasniegšanu, ņemot vērā glabāšanas ilgumu. Šim principam pretrunā būs datu glabāšana ilgāk, nekā vajadzīgs to mērķu sasniegšanai, kuriem tie ir glabāti (15). No tā izriet, ka pat datu apstrāde, kas sākotnēji ir bijusi likumīga, laika gaitā var kļūt nesaderīga ar Direktīvu 2016/680, ja dati vairs nav nepieciešami šo nolūku īstenošanai, un ka dati ir jāizdzēš, kad šie nolūki ir īstenoti (16).
28. Uz datu glabāšanas ilguma problemātiku attiecas arī Direktīvas 2016/680 5. pants, kas izpaužas kā tās 4. panta prasību papildinājums un precizējums (17). Kā minēts šīs direktīvas 26. apsvērumā, lai nodrošinātu, ka datus neglabā ilgāk, nekā nepieciešams, pārzinim ir jānosaka termiņi dzēšanai vai periodiskai pārskatīšanai. Jākonstatē, ka Direktīvas 2016/680 5. pantā, pirmkārt, dalībvalstīm ir ļauts izvērtēt un noteikt atbilstīgu glabāšanas termiņu un, otrkārt, ir paredzēta regulāra datu glabāšanas nepieciešamības pārskatīšana kā alternatīva a priori maksimālā saglabāšanas termiņa noteikšanai. Šis otrais apsvērums, manuprāt, ir īpaši svarīgs šajā lietā, jo tas atspoguļo to, ka Savienības likumdevējs atzīst iespējamu neierobežota termiņa datu glabāšanu tiesībaizsardzības nolūkos (18). Šis konstatējums ir jāsaista ar Direktīvas 2016/680 16. panta 3. punkta noteikumiem, kuros paredzēta iespēja ierobežot datu apstrādi kā alternatīva to dzēšanai, tostarp tā b) apakšpunktā, kur teikts, ka personas dati ir jāsaglabā “pierādījumu nolūkā”, un tas liecina, ka absolūtas tiesības uz dzēšanu nepastāv (19).
29. Jautājums par datu glabāšanas likumību noteikti ietver jautājumu par to raksturu, kas šajā lietā tostarp attiecas uz aizdomās par noziedzīga nodarījuma izdarīšanu turētas vai par noziedzīgu nodarījumu notiesātas personas pirkstu nospiedumiem, fotogrāfijām un DNS paraugiem, jo šāda veida datu apstrāde ietilpst Direktīvas 2016/680 10. panta piemērošanas jomā. Jāuzsver, ka, lai gan šajā normā definētais tiesiskais regulējums, atšķirībā no VDAR 9. pantā paredzētā, neietver šādu datu apstrādes principiālu aizliegumu, šāda apstrāde ir atļauta “tikai tad, kad tas ir absolūti nepieciešams”, ievērojot atbilstošas datu subjekta tiesību un brīvību garantijas, un ja tas ir īpaši atļauts Savienības tiesību aktos vai dalībvalsts tiesību aktos.
30. Kā izriet no judikatūras, Direktīvas 2016/680 10. panta mērķis ir nodrošināt lielāku aizsardzību tādām apstrādes darbībām, kuras gan attiecīgo datu īpašās sensitivitātes, gan tā konteksta dēļ, kādā tie tiek apstrādāti, kā izriet no šīs direktīvas 37. apsvēruma, var radīt nopietnu risku pamattiesībām un pamatbrīvībām, piemēram, Hartas 7. un 8. pantā garantētajām tiesībām uz privātās dzīves neaizskaramību un tiesībām uz personas datu aizsardzību. Kā izriet no Direktīvas 2016/680 10. panta formulējuma, prasība, ka šādu datu apstrāde ir atļauta “tikai absolūtas nepieciešamības gadījumā”, ir jāinterpretē tādējādi, ka tajā ir paredzēti pastiprināti nosacījumi sensitīvu datu apstrādes likumīgumam, salīdzinājumā ar tiem, kas izriet no šīs direktīvas 4. panta 1. punkta b) un c) apakšpunkta un 8. panta 1. punkta, kuros ir atsauce tikai uz “nepieciešamību” apstrādāt datus, kas vispārīgi ietilpst šīs direktīvas piemērošanas jomā. Tādējādi, pirmkārt, vārdkopas “tikai tad” lietojums pirms frāzes “kad tas ir absolūti nepieciešams” uzsver, ka īpašu kategoriju datu apstrādi Direktīvas 2016/680 10. panta nozīmē var uzskatīt par nepieciešamu tikai ierobežotā gadījumu skaitā. Otrkārt, šādu datu apstrādes nepieciešamības “absolūtais” raksturs nozīmē, ka šī nepieciešamība ir jāvērtē īpaši stingri (20).
31. Otrām kārtām, norādīšu, ka, lai gan Tiesa jau vairākkārt ir lēmusi jautājumā par datu glabāšanas tiesībaizsardzības nolūkos likumīgumu, tā to ir darījusi gadījumos, kad tiesiskie un faktiskie apstākļi ir ievērojami atšķirīgi no šīs lietas apstākļiem. Tādējādi Tiesa ir nospriedusi (21), ka Savienības tiesības saskaņā ar Direktīvu 2002/58/EK (22), no kuras izriet, ka elektronisko komunikāciju līdzekļu lietotājiem principā ir tiesības sagaidīt, ka to komunikācija un ar to saistītie dati, ja nav viņu piekrišanas, paliek anonīmi un nevar tikt reģistrēti, nepieļauj preventīvu informācijas par datu plūsmu un atrašanās vietu visaptverošu un nediferencētu saglabāšanu noziedzības apkarošanas nolūkos neatkarīgi no [nodarījuma] smaguma pakāpes, jo šī saglabāšana ir pieļaujama tikai ar konkrētiem nosacījumiem, ja pastāv nopietni draudi valsts drošībai, kas ir patiesi un faktiski vai paredzami. Tā papildus norādīja, ka Savienības tiesībām savukārt nav pretrunā tādi pasākumi, kas, lai apkarotu smagus noziegumus, paredz visaptveroši un nediferencēti saglabāt savienojuma avotam piešķirtās IP adreses uz laiku, kas nepārsniedz absolūti nepieciešamo; paredz informācijas mērķorientētu saglabāšanu, kura, pamatojoties uz objektīviem un nediskriminējošiem elementiem, tiek ierobežota atkarībā no attiecīgo personu kategorijām vai pamatojoties uz ģeogrāfisku kritēriju, uz laiku, kas nepārsniedz absolūti nepieciešamo, kuru tomēr var pagarināt; un paredz noteiktu laiku operatīvi saglabāt pakalpojumu sniedzēju rīcībā esošo attiecīgo informāciju; ar šiem pasākumiem ar skaidriem un precīziem noteikumiem ir jānodrošina, ka attiecīgo datu saglabāšana notiek atbilstoši tai paredzētajiem materiāltiesiskajiem un procesuālajiem nosacījumiem un ka datu subjektiem ir efektīvas garantijas pret ļaunprātīgas izmantošanas risku.
32. Tiesa ir arī izmantojusi kritēriju par datu apstrādes absolūti nepieciešamo robežu ievērošanu saistībā ar gaisa pārvadātāju izveidoto Savienības ārējo lidojumu pasažieru datu reģistrā ietverto datu (turpmāk tekstā – “PDR dati”) nodošanu, saglabāšanu un izmantošanu, lai novērstu un atklātu teroristu nodarījumus un smagus noziegumus (23). Tiesai ir bijusi iespēja uzsvērt, ka, tā kā saskaņā ar Savienības un Kanādas PDR nolīgumu PDR datu saglabāšana var ilgt līdz pieciem gadiem, šajā nolīgumā ir atļauts, ka informācija par aviopasažieru privāto dzīvi ir pieejama īpaši ilgu laiku un ka attiecībā uz aviopasažieriem, kuriem nav identificēts teroristiska nodarījuma vai smaga nozieguma risks, tiem ierodoties Kanādā un līdz viņu izceļošanai no šīs trešās valsts, no viņu aizceļošanas brīža, šķiet, nepastāv saikne – kaut vai netieša – starp viņu PDR datiem un paredzētajā nolīgumā izvirzīto mērķi, kas pamatotu šo datu saglabāšanu. Tāpēc tā ir secinājusi, ka visu aviopasažieru PDR datu pastāvīga uzglabāšana pēc viņu izceļošanas no Kanādas, lai varētu piekļūt šiem datiem, neatkarīgi no jebkādas saiknes ar cīņu pret terorismu un pārrobežu noziedzību, nav pamatota (24).
33. Tiesa prejudiciālā nolēmuma tiesvedībā lēma par Direktīvas (ES) 2016/681 (25), ar kuru gaisa pārvadātājiem ir noteikts pienākums terorisma un smagu noziegumu apkarošanas nolūkā nodot datus par ikvienu pasažieri, kas veic lidojumu starp trešo valsti un Eiropas Savienību ārpus Savienības, tās dalībvalsts pasažieru informācijas nodaļai, kurā ir attiecīgā lidojuma galamērķis vai izlidošanas vieta, lai cīnītos pret terorismu un smagiem noziegumiem, spēkā esamību un interpretāciju. Šādā veidā pārsūtītos PDR datus pasažieru informācijas nodaļa iepriekš izvērtē sešus mēnešus un pēc tam tos glabā piecus gadus, lai dalībvalstu kompetentās iestādes tos varētu vēlāk izvērtēt, tālab analīzi var veikt ievērojamā vai pat nenoteiktā laikposmā attiecībā uz personām, kuras ceļo ar gaisa transportu biežāk nekā reizi piecos gados. Tiesa atzina, ka šī direktīva rada konkrētu nopietnu iejaukšanos Hartas 7. un 8. pantā garantētajās tiesībās, ciktāl tās mērķis [it īpaši] ir izveidot nepārtrauktas, uz konkrētu mērķi nevērstas un sistemātiskas uzraudzības sistēmu, kas ietver visu to personu personas datu automatizētu novērtēšanu, kuras izmanto gaisa transporta pakalpojumus, vienlaikus to interpretējot atbilstoši Hartas 7., 8. un 21. pantam, kā arī 52. panta 1. punktam. Tiesa precizēja, ka pēc sākotnējā sešu mēnešu glabāšanas termiņa beigām attiecībā uz pasažieriem, par kuriem nedz iepriekšējais novērtējums, nedz sākotnējā sešu mēnešu glabāšanas termiņā veiktais iespējamais novērtējums, nedz kādi citi apstākļi nav atklājuši, ka pastāv objektīvi pierādījumi, kas varētu liecināt par tādu teroristu nodarījumu vai smagu noziegumu risku, kuri ir vismaz netieši objektīvi saistīti ar šo pasažieru veiktu ceļojumu ar gaisa transportu, PDR datu glabāšana nešķiet aprobežota ar to, kas ir absolūti nepieciešams. Turpretī tā uzskatīja, ka sākotnējā sešu mēnešu laikposmā visu aviopasažieru, uz kuriem attiecas ar minēto direktīvu izveidotā sistēma, PDR datu glabāšana, šķiet, principā nepārsniedz absolūti nepieciešamā robežas.
34. Atšķirībā no iepriekš atgādinātās judikatūras, jāuzsver, pirmkārt, ka pretēji tam, kas attiecībā uz datu apstrādi ir noteikts Direktīvā 2002/58 (26), datu subjekta piekrišana nav juridiskais pamats personas datu apstrādei, ko kompetentās iestādes veic Direktīvas 2016/680 1. panta 1. punktā noteikto mērķu sasniegšanas nolūkos. Kā precizēts tās 35. apsvērumā, pildot kompetentajām iestādēm institucionāli likumā dotos uzdevumus – novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem, vai izpildīt kriminālsodus –, tās var prasīt vai likt fiziskām personām pildīt prasīto. Otrkārt, šajā lietā nav jautājuma par elektronisko sakaru vai gaisa transporta nozarē radīta “datu okeāna” (27) automatizētu glabāšanu un analīzi, ko privātie subjekti glabā un nodod izmeklēšanas dienestiem, bet gan par atsevišķu kriminālreģistru, kurā stingrā valsts iestādes kontrolē un strikti konfidenciāli ir ietverti dati par personām, par kurām ir nopietns pamats uzskatīt, ka tās ir izdarījušas noziedzīgu nodarījumu, tiek turētas aizdomās un ir notiesātas par tā izdarīšanu.
35. Tiesisko un faktisko apstākļu īpašais raksturs iepriekš minētajā judikatūrā, manuprāt, liedz tieši un vienkārši pārņemt tajā atzītos risinājumus, lai atbildētu uz šo prejudiciālo jautājumu, it īpaši runājot par atšķirību starp datu saglabāšanas mērķiem (valsts drošības aizsardzība, cīņa pret smagu noziedzību vai noziedzīgiem nodarījumiem, kas tajā neietilps) un nepieciešamo saikni starp šo mērķu nozīmīgumu un to, kādā pakāpē notiek iejaukšanās pamattiesībās, kas to varētu attaisnot (28). Citiem vārdiem, formulējumu, atbilstoši kuram noziedzības apkarošana kopumā var attaisnot tikai tādu iejaukšanos, kas nav smaga, (29), šeit izskatāmajā lietā nevar izmantot, ja vien lielā mērā nesamazina Direktīvas 2016/680 un valstu izmeklēšanas/sabiedrības drošības instrumentu – piemēram, konkrētā kriminālreģistra – uz ko attiecas šīs tiesību normas piemērošanas joma, kuras mērķis tieši pauž nepieciešamību samērīgi apstrādāt datus tiesībaizsardzības mērķiem, lietderīgo iedarbību. Jānorāda, kā izriet no Direktīvas 2016/680 10. un 11. apsvēruma, ka Savienības likumdevējs paredzēja pieņemt noteikumus, kuros būtu ņemts vērā šīs direktīvas aptvertās jomas īpašais raksturs. Šajā ziņā 12. apsvērumā ir noteikts, ka darbības, ko veic policija vai citas tiesībaizsardzības iestādes, ir galvenokārt vērstas uz to, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus – bez citiem precizējumiem –, vai lai sauktu pie atbildības par tiem, tostarp ietverot policijas darbības, kas veiktas, iepriekš nezinot, vai notikums ir vai nav noziedzīgs nodarījums (30).
36. Trešām kārtām, jānorāda, ka Hartas 7. pantā par tiesībām uz privātās un ģimenes dzīves neaizskaramību ir ietvertas tiesības, kas atbilst ECPAK 8. panta 1. punktā garantētajām tiesībām, un ka personas datu aizsardzībai ir būtiska nozīme ECPAK 8. pantā nostiprināto tiesību uz privātās un ģimenes dzīves neaizskaramību izmantošanā. Līdz ar to saskaņā ar Hartas 52. panta 3. punktu minētajam 7. pantam ir jāpiešķir tāda pati nozīme un tvērums kā ECPAK 8. panta 1. punktam, kas interpretēts ECT judikatūrā (31).
37. ECT uzskata, ka personas datu aizsardzībai ir būtiska nozīme ECPAK 8. pantā nostiprināto tiesību uz privātās dzīves neaizskaramību izmantošanā un ka tas vien, ka ar personas privāto dzīvi saistīti dati tiek iegaumēti, ir iejaukšanās 8. panta izpratnē, neatkarīgi no tā, vai iegaumētā informācija vēlāk tiek vai netiek izmantota. Šī tiesa uzskata, ka valsts tiesībās it īpaši ir jānodrošina, lai šie dati būtu atbilstīgi un tie nebūtu pārmērīgi, ņemot vērā to reģistrēšanas nolūkus, un lai tie tiktu saglabāti formā, kas ļauj identificēt datu subjektus ne ilgāk, kā tas ir nepieciešams nolūkiem, kādiem tie ir reģistrēti. Valsts tiesībās ir jāietver arī garantijas, kas ir piemērotas reģistrēto personas datu efektīvai aizsardzībai pret neatbilstošu un ļaunprātīgu izmantošanu, vienlaikus sniedzot konkrētu iespēju iesniegt pieprasījumu par iegaumēto datu dzēšanu. ECT tomēr ir precizējusi, ka tā pilnībā apzinās, ka savu iedzīvotāju pasargāšanai, kas ir valsts iestāžu pienākums, tām ir jāizveido reģistri, kas efektīvi palīdz apkarot un novērst noteiktus noziedzīgus nodarījumus, it īpaši smagākos. Tomēr šādu sistēmu nevar izmantot atbilstoši loģikai, kas paredz maksimāli palielināt tajās ievietotās informācijas apjomu un tās glabāšanas ilgumu (32). Attiecībā uz šo pēdējo punktu ECT uzskata, ka notiesāto personu personas datu glabāšanas maksimālā termiņa neesamība ne vienmēr ir nesaderīga ar ECPAK 8. pantu, bet šādā gadījumā vēl jo vairāk ir nepieciešama noteiktu procesuālo garantiju pastāvēšana un darbība (33).
D. Par Hartas 7. un 8. pantā garantēto pamattiesību aizskārumu
38. Kā izriet no ZMVR 68. panta un Bulgārijas valdības tiesas sēdē sniegtajiem apsvērumiem, valsts tiesību aktos norādītie dati citastarp attiecas uz datu subjekta civilstāvokli, noziedzīgiem nodarījumiem, par kuru izdarīšanu tas tiek turēts aizdomās vai par kuriem ir notiesāts, tie ietver viņa pirkstu nospiedumus, fotogrāfijas un paraugus, lai izveidotu DNS profilu. Līdz ar to, tā kā dati tādējādi ietver informāciju par identificētām fiziskām personām, dažādās apstrādes darbības, kas var uz to attiekties, skar Hartas 7. pantā garantētās pamattiesības uz privātās dzīves neaizskaramību. Turklāt uz valsts tiesību aktos noteikto šo datu apstrādi attiecas arī Hartas 8. pants, jo tā ir personas datu apstrāde šā panta izpratnē, un līdz ar to tai katrā ziņā ir jāatbilst no minētā panta izrietošajām datu aizsardzības prasībām (34).
39. Tāpat kā ECT, kas uzskata, ka datu par personas privāto dzīvi iegaumēšana vien jau ir iejaukšanās ECPAK 8. panta izpratnē (35), Tiesa atzīst, ka datu saglabāšana pati par sevi ir iejaukšanās Hartas 7. un 8. pantā nostiprinātajās pamattiesībās uz privātās dzīves neaizskaramību un personas datu aizsardzību, un nav nozīmes tam, vai attiecīgajai informācijai par privāto dzīvi ir vai nav sensitīvs raksturs, vai ieinteresētajām personām ir vai nav radītas neērtības šīs iejaukšanās dēļ un vai saglabātie dati vēlāk tiek vai netiek izmantoti (36).
40. Runājot par saglabāšanas radītās iejaukšanās smaguma pakāpi, tā ir pierādīta, ņemot vērā dažu konkrēto datu raksturu, it īpaši attiecībā uz kriminālreģistrā ietvertajiem biometriskajiem un ģenētiskajiem datiem, jo Tiesa riskus, ko datu subjektu tiesībām un brīvībām rada sensitīvu datu apstrāde, ir kvalificējusi kā ievērojamus, konkrēti saistībā ar kompetento iestāžu uzdevumiem Direktīvas 2016/680 1. panta 1. punktā noteiktajos nolūkos (37). Šajā ziņā šīs direktīvas 23. apsvērumā ir precizēts, ka, ņemot vērā ģenētiskās informācijas sarežģītību un sensitivitāti, pastāv liels risks, ka pārzinis dažādos nolūkos to varētu izmantot ļaunprātīgi un atkārtoti. Savukārt minētās direktīvas 51. apsvērumā ir norādīts, ka datu apstrāde, kas varētu izraisīt fizisku, materiālu vai nemateriālu kaitējumu, var radīt risku fizisku personu tiesībām un brīvībām, jo īpaši, ja tiek apstrādāti ģenētiskie dati vai biometriskie dati, lai veiktu personas viennozīmīgu identifikāciju, vai ja tiek apstrādāti dati par sodāmību un noziedzīgiem nodarījumiem.
41. Datu glabāšanas ilgums kriminālreģistrā arī pamato konstatējumu par iejaukšanās nopietnību tādā nozīmē, ka šī glabāšana ir iespējama visā notiesātās personas dzīves laikā. Visbeidzot, no ZMVR 26. panta 6. punkta izriet, ka personas datus var nodot kompetentām iestādēm un saņēmējiem Savienības dalībvalstīs, Savienības struktūrām un aģentūrām, trešām valstīm vai starptautiskām organizācijām. Šajā ziņā jāatgādina, ka Direktīvas 2016/680 mērķis ir atvieglot personas datu brīvu apriti starp kompetentajām iestādēm, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai Savienībā un tos novērstu, un šādu personas datu nosūtīšanu uz trešām valstīm un starptautiskajām organizācijām, lai nodrošinātu efektīvu tiesu iestāžu sadarbību krimināllietās un policijas sadarbību (38). Šajā ziņā atcerēsimies, ka tiesības uz personas datu aizsardzību tostarp prasa, lai ar Savienības tiesībām piešķirto brīvību un pamattiesību augstais aizsardzības līmenis tiktu joprojām nodrošināts gadījumā, kad personas dati no Savienības tiek pārsūtīti uz kādu trešo valsti (39).
42. Ņemot vērā visus iepriekš minētos apsvērumus, jāsecina, ka pamatlietā aplūkotais valsts tiesiskais regulējums ietver nopietnu iejaukšanos Hartas 7. un 8. pantā garantētajās tiesībās, ciktāl tā mērķis it īpaši ir izveidot notiesātu personu, kas var šķērsot attiecīgās valsts robežas, sensitīvo datu pastāvīgas glabāšanas instrumentu.
E. Par iejaukšanās pamatojumu
43. Atbilstoši izklāstītajam Hartas 7. un 8. pantā nostiprinātās tiesības nav uztveramas kā absolūtas prerogatīvas un no Hartas 52. panta 1. punkta izriet, ka tā pieļauj šādām tiesībām noteikt izmantošanas ierobežojumus, ciktāl šie ierobežojumi ir paredzēti tiesību aktos, ar tiem tiek respektēta šo tiesību būtība un, ievērojot samērīguma principu, tie ir nepieciešami un patiešām atbilst vispārējo interešu mērķiem, ko atzinusi Savienība, vai vajadzībai aizsargāt citu personu tiesības un brīvības (40). Kā noteikts Direktīvas 2016/680 26. apsvērumā tiesībaizsardzības iestādes tādas darbības var veikt, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, ja vien tās ir paredzētas likumā un ir nepieciešamas un samērīgas demokrātiskā sabiedrībā, pienācīgi ņemot vērā attiecīgās fiziskās personas leģitīmās intereses.
44. Attiecībā uz samērīguma principa ievērošanu jāatgādina, ka pamattiesību uz privātās dzīves neaizskaramības aizsardzība atbilstoši Tiesas pastāvīgajai judikatūrai nozīmē, ka atkāpes no personas datu aizsardzības un tās ierobežojumi ir jāīsteno absolūti nepieciešamā robežās, ņemot vērā, ka tad, ja ir iespēja izvēlēties starp vairākiem piemērotiem pasākumiem, lai sasniegtu izvirzītos leģitīmos mērķus, ir jāizvēlas vismazāk ierobežojošais. Turklāt vispārējo interešu mērķi nevar sasniegt, neņemot vērā faktu, ka tas ir jāsaskaņo ar pamattiesībām, uz kurām attiecas pasākums, panākot līdzsvaru starp vispārējo interešu mērķi, no vienas puses, un attiecīgajām tiesībām, no otras puses, lai pārliecinātos, ka šī pasākuma radītās neērtības nav nesamērīgas ar sasniedzamajiem mērķiem. Tādējādi iespēja attaisnot Hartas 7. un 8. pantā garantēto tiesību ierobežojumu ir jāizvērtē, izsverot iejaukšanās, ko ietver šāds ierobežojums, smagumu un pārbaudot, vai ar šo ierobežojumu sasniedzamā vispārējo interešu mērķa nozīmīgums ir atbilstošs šādam smagumam (41).
1. Par tiesiskuma principa ievērošanu
45. Prasība, ka pamattiesību izmantošanas ierobežojumiem ir jābūt paredzētiem tiesību aktos, nozīmē, ka jau pašā juridiskajā pamatā, kas ļauj iejaukties šajās tiesībās, ir jābūt noteiktam attiecīgo tiesību izmantošanas ierobežojuma tvērumam. Šajā ziņā Tiesa turklāt ir nospriedusi, ka tiesiskajā regulējumā, kas paredz šādu iejaukšanos pieļaujošu pasākumu, ir jāparedz skaidri un precīzi noteikumi par attiecīgā pasākuma tvērumu un piemērošanu un minimālajām prasībām, lai tā rezultātā personām, kuru personas dati tikuši pārsūtīti, būtu pietiekamas garantijas, kas ļautu šos datus efektīvi aizsargāt pret ļaunprātīgas izmantošanas risku. Līdz ar to ikviena personas datu apstrādes pasākuma, uz kuru attiecas Direktīvas 2016/680 darbības joma, juridiskajam pamatam – kā Savienības likumdevējs turklāt to ir uzsvēris šīs direktīvas 33. apsvērumā – ir jābūt skaidram un precīzam, un tā piemērošanai ir jābūt paredzamai personām, uz kurām tas attiecas. Konkrēti, šīm personām ir jāspēj identificēt apstākļus un nosacījumus, kādos var tikt ierobežots tām minētajā direktīvā piešķirto tiesību apjoms (42).
46. Konkrētā valsts tiesiskā regulējuma, kas izklāstīts lūgumā sniegt prejudiciālu nolēmumu un papildināts Bulgārijas valdības apsvērumos, pārbaude, manuprāt, ļauj atzīt, ka prasība par tiesību aktu “statusu” ir izpildīta, ņemot vērā, ka tā neizslēdz attiecīgā ierobežojumu formulēšanu, izmantojot pietiekami atvērtus jēdzienus, lai to varētu pielāgot dažādiem gadījumiem, kā arī situācijas izmaiņām (43).
47. Tādējādi šķiet, ka datu reģistrēšanas un glabāšanas kriminālreģistrā saskaņā ar ZMVR 27. pantu izsmeļošie nolūki ir valsts drošības aizsardzība, cīņa pret noziedzību un sabiedriskās kārtības uzturēšana, jo šīs apstrādes mērķis ir atbalstīt operatīvās izmeklēšanas darbību, kas ir detalizēti aprakstīta šī likuma 8. pantā (44). Apstrādes tvērums saistībā ar tajā ietverto noziedzīgo nodarījumu raksturu, konkrētajiem datiem, to vākšanas nosacījumiem, informācijas fondiem, kuros tie tiek apstrādāti, un to glabāšanas ilgumu ir pietiekami precīzi noteikts ZMVR 68. pantā un Naredba za reda za izvarshvane i snemane na politseyska registratsia (Rīkojums par kriminālreģistrācijas kārtību, turpmāk tekstā – “NRISPR”) 28. pantā. Valsts tiesību aktos ir skaidri un saskaņā ar Direktīvas 2016/680 26. apsvērumu paredzētas procedūras, lai nodrošinātu personas datu integritāti un konfidencialitāti, kā arī šādu datu iznīcināšanu, izmantojot datu subjektam sniegto informāciju, atbilstoši zakon za zashtita na lichnite danni (Likums par personas datu aizsardzību) 54. un 55. pantam, jo īpaši saistībā ar datu subjekta tiesībām pieprasīt pārzinim piekļuvi datiem, to labošanu vai dzēšanu. Šajā ziņā dzēšanas pamatojums un ar to saistītā procedūra un sekas ir precizētas ZMVR 68. pantā un NRISPR 18. un turpmākajos pantos. Šīs normas ir formulētas pietiekami precīzi un skaidri, lai tiesību aktu adresāti varētu rīkoties saskaņā ar tiem, un tādējādi atbilst ECT judikatūrā noteiktajai iepriekšējas paredzamības prasībai (45).
2. Par Hartas 7. un 8. pantā garantēto pamattiesību būtības ievērošanu
48. Saistībā ar Hartas 7. pantā nostiprināto pamattiesību uz privātās dzīves neaizskaramību būtību kriminālreģistrā ietvertās informācijas raksturs aprobežojas ar konkrētu šīs privātās dzīves aspektu, kurš attiecas uz datu subjekta kriminālo pagātni, un tas neļauj izdarīt secinājumus par šīs personas privāto dzīvi kopumā, proti, ikdienas paradumiem, pastāvīgajām vai pagaidu uzturēšanās vietām, ikdienas vai citām gaitām, veiktajām darbībām, sociālajiem kontaktiem un aprindām, kurās tā mēdz uzturēties, kā arī noteikt tās profilu. Attiecībā uz Hartas 8. pantā nostiprināto tiesību uz personas datu aizsardzību būtību iepriekš izklāstītie apsvērumi liecina, ka konkrētajos valsts tiesību aktos ir noteikti datu apstrādes mērķi un ir paredzēts izsmeļošs glabājamo datu uzskaitījums un noteikumi, lai nodrošinātu piekļuvi tiem, to labošanu vai dzēšanu. Šādos apstākļos iejaukšanās, ko rada šajos tiesību aktos paredzētā datu saglabāšana, nerada apdraudējumu iepriekš minētajos pantos noteikto pamattiesību būtībai (46).
3. Par vispārējo interešu mērķi un konkrētās datu apstrādes piemērotību šī mērķa sasniegšanai
49. Kā jau šajos secinājumos konstatēts, dati no tādas personu reģistrēšanas kriminālreģistrā, kas veikta saskaņā ar ZMVR 68. pantu, tiek izmantoti valsts drošības aizsardzībai, cīņai pret noziedzību un sabiedriskās kārtības uzturēšanai. Bulgārijas valdība ir norādījusi, ka šie dati tiek vākti un apstrādāti tā kriminālprocesa vajadzībām, kura ietvaros datu subjekts ir apsūdzēts, kā arī, lai tos varētu salīdzināt ar citiem datiem, kas savākti citu noziedzīgu nodarījumu izmeklēšanā. Pēdējais minētais mērķis attiecas arī uz salīdzināšanu ar citās dalībvalstīs savāktajiem datiem (47).
50. Šī valdība uzskata, ka šī apstrāde attiecas uz ZMVR 8. pantā aprakstīto operatīvās izmeklēšanas darbību, kuras nolūki ir definēti šādi: noziedzīgu nodarījumu, valsts drošības apdraudējumu un sabiedriskās kārtības pārkāpumu novēršana un atklāšana; personu, kas izvairās no kriminālatbildības vai izvairījušās no soda krimināllietās, kuras ir publiskās apsūdzības priekšmets, meklēšana, kā arī pazudušu personu meklēšana; priekšmetu, kas ir noziedzīga nodarījuma priekšmets vai veikšanas rīks, vai kas var kalpot kā pierādījumi, meklēšana, kā arī lietisko pierādījumu sagatavošana un saglabāšana un to iesniegšana kompetentajām tiesu iestādēm.
51. Tiesa ir precizējusi, ka sabiedrības drošības aizsardzības mērķis ir Savienības vispārējo interešu mērķis, kas var attaisnot pat klaju iejaukšanos Hartas 7. un 8. pantā garantētajās pamattiesībās. Turklāt sabiedrības drošības aizsardzība veicina arī citu personu tiesību un brīvību aizsardzību. Šajā ziņā Hartas 6. pantā ir atzītas ikvienas personas tiesības ne vien uz brīvību, bet arī uz drošību, un šajā normā ir garantētas tiesības, kas atbilst ECPAK 5. pantā garantētajām (48). Lietā par šajā pašā Bulgārijas kriminālreģistrā uzskaitīto datu vākšanas atbilstību Tiesa ir skaidri nospriedusi, ka apstrāde reģistrēšanas nolūkos attiecībā uz kriminālprocesā apsūdzētām personām atbilst Direktīvas 2016/680 1. panta 1. punktā noteiktajiem mērķiem, jo īpaši mērķiem, kas saistīti ar noziedzīgu nodarījumu novēršanu, izmeklēšanu un saukšanu pie atbildības par tiem un kas ir Savienības atzīti vispārējas nozīmes mērķi. Tā papildus norādīja, ka šāda datu vākšana var palīdzēt sasniegt Direktīvas 2016/680 27. apsvērumā noteikto mērķi, atbilstoši kuram noziedzīgu nodarījumu novēršanai, kā arī izmeklēšanai un saukšanai pie atbildības par tiem kompetentajām iestādēm personas dati, kas savākti, novēršot, izmeklējot, atklājot konkrētus noziedzīgus nodarījumus vai saucot pie atbildības par tiem, ir jāapstrādā ārpus minētā konteksta, lai iegūtu labāku izpratni par noziedzīgām darbībām un konstatētu saikni starp dažādiem atklātajiem noziedzīgajiem nodarījumiem (49). Šie apsvērumi acīmredzami attiecas arī uz datu glabāšanas pasākumu.
52. To, ka datu glabāšana kriminālreģistrā ir apstrāde, kas ļauj sasniegt vispārējo interešu mērķus atklāt un līdz ar to novērst noziedzīgus nodarījumus, manuprāt, ir grūti apstrīdēt. Acīmredzami kriminālreģistrs, kurā ir iekļautas uzskaitīto privātpersonu civilās identitātes, fotogrāfijas, biometriskie un ģenētiskie dati un tātad arī personas unikālas un pret viltošanu drošas fiziskās pazīmes, ir drošības dienestiem pilnībā piemērots izmeklēšanas instruments, lai atklātu noziedzīgus nodarījumus un identificētu to izdarītājus. Šajā ziņā konkrētais valsts tiesiskais regulējums atbilst objektīviem kritērijiem, kas veido saikni starp saglabājamiem datiem un sasniedzamo mērķi (50).
4. Par konkrētās iejaukšanās nepieciešamību un samērīgumu
53. Ja datu glabāšana konkrētajā kriminālreģistrā ir acīmredzami piemērota, lai sasniegtu izvirzīto vispārējo interešu mērķi, atliek pārbaudīt, vai šādas glabāšanas radītā iejaukšanās Hartas 7. un 8. pantā garantētajās tiesībās ir ierobežota ar absolūti nepieciešamo tādā nozīmē, ka mērķi saprātīgi nevarētu sasniegt tikpat efektīvi ar citiem līdzekļiem, kas mazāk aizskar datu subjektu pamattiesības, un, vai šī iejaukšanās nav nesamērīga ar šo mērķi, un tas it īpaši nozīmē panākt līdzsvaru starp šā mērķa nozīmīgumu un minētās iejaukšanās smagumu (51).
54. Veicot šo pārbaudi, šajā gadījumā ir jāņem vērā kriminālreģistra mērķis, attiecīgo noziedzīgo nodarījumu raksturs un to personu skaits, kuras varētu būt tajā ierakstītas, savākto personas datu īpaši sensitīvais raksturs un to glabāšanas ilgums, valsts tiesību aktos paredzētās juridiskās un/vai tehniskās garantijas attiecībā uz piekļuvi kartotēkai un tajā esošo datu uzturēšanas kontroli.
a) Par kriminālreģistra mērķi
55. Savos rakstveida apsvērumos Īrijas valdība pēc būtības apgalvoja, ka datu glabāšana var būt nepieciešama saistītiem uzraudzības mērķiem, kalpojot sabiedrības interesēm novērst noziedzību un aizsargāt sabiedrības drošību. Tādējādi vajadzētu būt iespējai iepazīties ar kriminālreģistrā ietverto informāciju ne tikai, lai meklētu noziedzīgu nodarījumu izdarītājus, bet arī administratīvās policijas mērķiem, veicot izmeklēšanu pirms lēmumiem par pieņemšanu darbā vai atļauju ieņemt konkrētus publiskus vai sensitīvus amatus, lai pārbaudītu, vai attiecīgo personu uzvedība nav nesavienojama ar šo pienākumu veikšanu.
56. Tiesas sēdē Bulgārijas valdība apstiprināja to, ko varēja secināt no ZMVR 27. panta skaidrā formulējuma, proti, ka konkrētais kriminālreģistrs ir instruments, kas palīdz veikt tiesas, nevis administratīvo izmeklēšanu. Šim konstatējumam ir zināma nozīme attiecībā uz sekām, ko rada personas iekļaušana vēsturiskajā reģistrā, tādā ziņā, ka ar reģistrāciju saistītās neērtības nenozīmē, ka nav iespējams uzsākt noteiktu profesionālo darbību (52). Ieraksts konkrētajā kriminālreģistrā nav ne sods, ne papildu sods, un tā nolūks skaidri ir saistīts ar tiesas izmeklēšanu, un tā izmantošana ir paredzēta tikai dienestiem, uz kuriem attiecas konfidencialitātes pienākums.
57. Tomēr tas ir vienots reģistrs, kas kalpo ārkārtīgi plašiem kriminālpolicijas mērķiem, kurā ir ietverta daudzveidīga informācija, sākot no vienkāršas civilstāvokļa informācijas līdz biometriskiem un ģenētiskiem datiem, un kurā ir uzskaitītas personas, kuru procesuālais statuss nav vienāds. Tā vietā, lai veiktu vienu apstrādes darbību, kas aptver visu informāciju, citos tiesiskajos regulējumos ir uzskatīts, ka labāk paredzēt vairākus kriminālreģistrus, kas domāti konkrētiem mērķiem, kuriem ir vienots izmantojums un kuros reģistrē viena veida datus.
b) Par noziedzīgiem nodarījumiem un datu subjektiem
58. Datu glabāšana kriminālreģistrā attiecas uz personām, kuras apsūdzētas un notiesātas par tīšiem noziedzīgiem nodarījumiem, kas ir publiskās apsūdzības priekšmets, tādā nozīmē, ka apsūdzību izvirza prokurors. Atbilstoši Bulgārijas valdības norādēm šajā kategorijā neietilpst netīši noziedzīgi nodarījumi, likumpārkāpumi un privāta rakstura noziegumi, kā arī daži pārkāpumi, par kuriem tiek piemērots administratīvais sods. Jau norādīts, ka lielākā daļa kriminālkodeksā paredzēto noziedzīgo nodarījumu ir tīši un gandrīz visi ir publiskās apsūdzības priekšmets (53).
59. Jākonstatē, ka valsts tiesiskajā regulējumā nav noteikts izsmeļošs noziedzīgu nodarījumu uzskaitījums, nav noteikta atšķirība starp noziedzīgiem nodarījumiem atkarībā no to rakstura, kas pats par sevi ir saistīts ar apstākļu smagumu un piemērojamo sodu, kā arī nav noteikts neviens kritērijs attiecībā uz precīzu brīvības atņemšanas soda apmēru. Tādējādi dažādi nodarījumi ir sagrupēti vienotā plašā kopumā, protams, ar atrunu, ka ir vajadzīga pārkāpuma izdarīšana ar nodomu, kā dēļ a priori tiek izslēgti maznozīmīgi noziedzīgi nodarījumi, kuriem pietiek ar to, ka ir veikta darbība, par kuru ir paredzēta kriminālatbildība (54), kā arī noziedzīgi nodarījumi, kurus raksturo vienkārša neuzmanība vai nolaidība. Kad tiesas sēdē Bulgārijas valdībai tika lūgts precizēt konkrēto noziedzīgo nodarījumu kategoriju, tā diemžēl aprobežojās ar norādi, ka runa nav tikai par noziedzīgiem nodarījumiem, par kuriem var sodīt ar brīvības atņemšanu uz vismaz pieciem gadiem.
60. Attiecībā uz datu subjektiem jākonstatē, ka pārmestā datu apstrāde ir ierobežota ar datu subjektu vecumu, jo no NRISPR 4. panta izriet, ka reģistrācija kriminālreģistrā neattiecas uz nepilngadīgām personām, tādējādi samazinot šajā reģistra iekļauto personu skaitu. Konkrētajā pasākumā ir nošķirtas divas personu kategorijas, proti, apsūdzētās personas un notiesātās personas. Tādējādi norādītās personas piemērojamo valsts procesu ietvaros, pamatojoties uz objektīviem un nediskriminējošiem apstākļiem, ir iepriekš identificētas kā personas, kas rada draudus sabiedrības drošībai vai sabiedriskās kārtības uzturēšanai. Dalībvalstīm ir tiesības veikt glabāšanas pasākumus attiecībā uz personām, kas ir identificētas kā apsūdzētas, proti, uz tādu personu kategoriju, par kurām ir nopietni iemesli uzskatīt, ka tās ir izdarījušas noziedzīgu nodarījumu vai notiesātas, un tas atspoguļo to, ka ir konstatēta to kriminālatbildība – rada situācijas, kuras var nozīmēt paaugstinātu recidīva risku (55). Recidīvs, ko parasti plašākajā nozīmē saprot kā atkārtotu pārkāpuma izdarīšanu, ir parādība, ko katra dalībvalsts cenšas izmērīt un izprast tā noteicošos faktorus, kas ir delikāts uzdevums, jo tas ir atkarīgs no objektīvu un uzticamu statistikas datu par noziedzību pieejamības. Ja tādi ir, tie var atklāt, ka sodāmība ir būtisks faktors, kas nosaka atkārtota pārkāpuma izdarīšanu (56).
61. Vēl arī jāuzsver, ka apsūdzētās personas un viņu dati “pazūd” no kriminālreģistra, kad kriminālprocess pret tām beidzas ar lēmumu par izbeigšanu vai attaisnošanu saskaņā ar ZMVR 68. panta noteikumiem, un tas acīmredzami ietekmē reģistrā ierakstīto personu skaitu, ko Bulgārijas valdība nespēja paziņot (57).
c) Par datu raksturu un saglabāšanas termiņu
62. Saistībā ar konkrētajiem datiem Tiesa ir nospriedusi, ka, ņemot vērā fizisko personu pastiprinātu aizsardzību sensitīvu datu apstrādē, pārzinim ir jāpārliecinās, vai šo mērķi nevar sasniegt, izmantojot citas datu kategorijas, kas nav uzskaitītas Direktīvas 2016/680 10. pantā (58). Kā izklāstīts iepriekš, ir skaidrs, ka dati, kuru glabāšana ir paredzēta, acīmredzami var palīdzēt novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem saistībā ar cīņu pret noziedzību un sabiedriskās kārtības uzturēšanu. Tāpat mani apgrūtina uzskats, ka šos mērķus var tikpat efektīvi sasniegt, izmantojot tikai informāciju par civilstāvokli vai attiecīgās personas fotoattēlus, lai pārmērīgi neierobežotu izmeklētāju iespējas atklāt noziedzīgus nodarījumus, pamatojoties uz izmeklēšanas gaitā iegūto datu salīdzinājumu ar datiem, kas reģistrā ierakstīti saistībā ar iepriekšējām izmeklēšanām (59). Par laimi, ir pagājis laiks, kad atzīšanās tika uzskatīta par pierādījumu karalieni, un pierādījumu hierarhijā apšaubāmus pierādījumus ir veiksmīgi aizstājuši policijas tehnisko un kriminālistikas dienestu savāktie pierādījumi. Tāpēc var secināt, ka attiecīgie dati ir būtiski un nav pārmērīgi attiecībā pret nolūkiem, kādiem tie tiek apstrādāti.
63. Turklāt jānorāda, ka konkrētajā valsts tiesiskajā regulējumā nav noteikts precīzs maksimālais reģistrā ierakstītās informācijas glabāšanas termiņš, jo dati tiek glabāti tikai tiesvedības laikā, kas dažām apsūdzētām personām noslēdzas ar lēmumu par izbeigšanu vai attaisnošanu, vai notiesātām personām – to dzīves laikā. Atbilstoši Bulgārijas valdības tiesas sēdē sniegtajām norādēm, kas tiesai būs jāpārbauda, dzēšana notiek pēc iestādes ierosmes pēc attiecīgās personas nāves, turklāt mantiniekiem ir tiesības pieprasīt reģistrācijas dzēšanu saskaņā ar ZMVR 68. panta 6. punktu. Vai atzīstams, ka šādā situācijā Direktīvas 2016/680 5. panta izpratnē nav noteikti atbilstoši termiņi personas datu dzēšanai tādā nozīmē, ka termiņa jēdzienam noteikti būtu jāatbilst gados, mēnešos vai dienās izteiktam laikposmam? Ja tas tā ir, tad šī pati norma kā alternatīvu paredzētu valsts tiesību aktos noteikt termiņus periodiskai šo datu glabāšanas nepieciešamības pārskatīšanai (60).
64. Attiecībā uz apsūdzēto personu datiem un, ņemot vērā Bulgārijas likumdevēja izvēli neglabāt šādus datus, ja process, kas attiecas uz šīm personām, netiek noslēgts ar notiesājošu spriedumu, šī procesa nenovēršami nenoteiktā ilguma dēļ nav citas izvēles, kā vien formāli noteikt gala termiņu, lai novērstu pārmērīgu procesa ilgumu. Attiecībā uz notiesātajām personām uzskatu, ka norāde uz nāvi patiešām ir laika ierobežojums, kas saistīts ar attiecīgās personas bioloģisko dzīvi, izslēdzot jebkādu nebeidzamu vai neierobežotu laikposmu datu glabāšanai (61). Glabāšanas termiņa izbeigšanās ir iepriekš noteikta pat tad, ja precīzs tās datums pēc definīcijas ir nenoteikts. Katrā ziņa minēšu, ka Bulgārijas valdība tiesas sēdē ir norādījusi, ka pastāv iekšēja reģistrā ietverto ierakstu periodiska pārskatīšana, kas šajā lietā ir veikta ik pēc trīs mēnešiem, un tas atbilst Direktīvas 2016/680 5. panta prasībām.
65. Tomēr nav noliedzams, ka atkarībā no vecuma, kurā attiecīgā persona ir reģistrēta reģistrā, un vecuma, kuru sasniedzot tā mirst, datus var glabāt ļoti ilgi – ilgāk nekā nepieciešams, lai konstatētu recidīvu vai noilgumu valsts apsūdzības celšanai par vissmagāko noziedzīgo nodarījumu (62). Tomēr šis glabāšanas laikposms ir pamatots ar kriminālpolicijas veiktas apstrādes mērķi, proti, vākt norādes un pierādījumus, lai identificētu iepriekšēju vai turpmāku noziedzīgo nodarījumu izdarītājus, ņemot vērā, ka ar smagiem vai mazāk smagiem noziedzīgiem nodarījumiem saistītais risks ir vispārējs un pastāvīgs (63). Tas, ka neatklātas lietas dažkārt tiek atrisinātas ļoti vēlu, liecina gan par lielajām grūtībām, ar kādām saskaras izmeklēšanas dienesti, gan par to, cik nozīmīga ir lietās uzkrāto biometrisko un ģenētisko datu ilgtermiņa glabāšana (64).
d) Par datu glabāšanas un piekļuves juridisko un tehnisko garantiju esamību
66. Kriminālreģistrā esošo datu glabāšanas radītās iejaukšanās samērīgumu nevar pārbaudīt neatkarīgi no noteikumiem, kas reglamentē piekļuvi šim reģistram un pārbaudi par pamatojumu datu paturēšanai šajā reģistrā. ECT ieskatā, ja valsts sev piešķir visplašākās pilnvaras [datus] glabāt nenoteiktu laiku, tad noteiktu efektīvu garantiju esamība un darbība iegūst izšķirošu nozīmi. Tādējādi valsts tiesībās ir jābūt ietvertām garantijām, kas var efektīvi aizsargāt reģistrētos personas datus pret neatbilstošu un ļaunprātīgu izmantošanu un ļaut šos datus dzēst, ja to glabāšanas turpināšana kļūst nesamērīga, it īpaši piedāvājot konkrētu iespēju iesniegt pieprasījumu par saglabāto datu dzēšanu (65).
1) Par nosacījumiem piekļuvei reģistram
67. No Direktīvas 2016/680 28., 56. un 57. apsvēruma, kā arī tās 24., 25. un 29. panta izriet, ka dalībvalstīm ir jāveic pasākumi, lai nodrošinātu, ka personas dati tiek apstrādāti tā, lai garantētu pienācīgu drošības un konfidencialitātes līmeni, jo īpaši novēršot neatļautu piekļuvi šiem datiem un to apstrādei izmantotajām iekārtām, kā arī šo datu un aprīkojuma neatļautu izmantošanu. Šie pasākumi ietver to, ka pārzinis uztur reģistrus, no kuriem uzraudzības iestādei pēc pieprasījuma sniedz noteiktu informāciju par veikto datu apstrādi, kā arī ierakstus par konkrētām apstrādes darbībām, piemēram, aplūkošanu, nosūtīšanu un dzēšanu. Saskaņā ar Direktīvas 2016/680 60. apsvērumu pārzinim ir jāveic pasākumi, lai novērstu iepriekš novērtētos ar attiecīgo apstrādi saistītos riskus, kas it īpaši attiecas uz neatļautu datu izpaušanu un piekļuvi tiem.
68. Tiesas sēdē Bulgārijas valdība apgalvoja, ka valsts tiesībās šīs prasības tiek ievērotas, norādot uz noteikumu kopumu, kurā tostarp ir paredzēta to pārstāvju vārdu, kuriem ir piekļuve datiem, sarakstu izveidošana, nepieciešamība katram lietotājam norādīt pamatojumu savām piekļuves tiesībām, savu vārdu un uzvārdu, piekļuves datumu un laiku (66). Šīs garantijas attiecībā uz to personu loku, kurām ir tiesības piekļūt reģistram, un tā aplūkošanas noteikumiem, šķiet, ir tādas, lai novērstu jebkādu ļaunprātīgu vai krāpniecisku reģistru piekļuves izmantošanu un tādējādi – Hartas 7. un 8. pantā nostiprināto pamattiesību pārmērīgu apdraudējumu, un tas ir jāpārbauda iesniedzējtiesai.
2) Par datu paturēšanas reģistrā kontroli
69. Nav strīda par to, ka iepriekš minētajai kontrolei, kāda ir paredzēta ZMVR 68. panta 6. punktā, ir divējāds raksturs, jo to pēc savas ierosmes veic kompetentās iestādes paškontroles veidā un pamatojoties uz attiecīgās personas vai tās mantinieku motivētu pieprasījumu, un abos gadījumos pamatojums ieraksta dzēšanai no reģistra ir izsmeļoši noteikts šajā tiesību normā. Šis pamatojums neietver situāciju, kādā atrodas persona, kas ir reabilitēta, tālab attiecīgā notiesāšana ir dzēsta no sodu reģistra, un tikai ZMVR 68. panta 6. punkta 1. apakšpunktā minētais pamatojums saistībā ar ierakstu, kas izdarīts, pārkāpjot likumu, var būt par pamatu prasībai dzēst notiesātu personu, kura, kā šajā gadījumā, ir dzīva, un tātad – pirms ir beidzies glabāšanas juridiskais termiņš, kas iestājas līdz ar tās nāvi.
70. Uz jautājumu tiesas sēdē par ZMVR 68. panta 6. punkta piemērošanas jomu, kā to piemēro kompetentās iestādes un tiesas, Bulgārijas valdība precizēja, ka šī norma ļauj grozīt ierakstu par apsūdzēto personu, kas ir kļuvis nepareizs pēc tam, kad tiesa ir mainījusi noziedzīga nodarījuma kvalifikāciju. Tā izslēdza jebkādu iespēju dzēst ierakstu reģistrā pēc notiesātās personas reabilitācijas. Šajā ziņā atgādinu, ka konkrētais reģistrs ir izmeklēšanas rīks ar mērķi atvieglot kriminālpolicijas operatīvo darbību, nevis, stingri ņemot, kriminālsodāmības reģistrs, kāds ir sodu reģistrs. Abiem šiem instrumentiem nav vienāds mērķis: viens no tiem ir atmiņa, kas paredzēta vienīgi izmeklētāju ekskluzīvai lietošanai, lai tie ilgtermiņā varētu atklāt iepriekš notikušus vai turpmākus noziedzīgus nodarījumus, un otrs ir paredzēts, lai vadītu tiesnešu darbu, piespriežot kriminālsodu konkrētajā lietā. Tādējādi, ņemot vērā reabilitāciju, kuras rezultātā konkrētā notiesāšana tiek dzēsta no sodu reģistra, persona attiecīgā gadījumā varētu atrasties pirmreizēja likumpārkāpēja situācijā, uz kuru var attiekties mazāki sodi vai soda atvieglošana. Tomēr viņa datu saglabāšana reģistrā principā joprojām ir nepieciešama, ņemot vērā tā plašāko mērķi, kas saistīts ar noziedzīgu nodarījumu atklāšanu, noskaidrošanu un novēršanu.
71. Tomēr no Bulgārijas valdības apsvērumiem izriet, ka ZMVR 68. panta 6. punkta 1. apakšpunktā minētais pamats neattiecas uz datu glabāšanas nepieciešamības novērtējumu laika aspektā. Šķiet, ka ne valsts tiesību aktos, ne arī administratīvajā vai tiesu praksē nav noteikumu, kas ļautu kompetentajai iestādei ceturkšņa pārskatīšanas ietvaros dzēst ierakstu no reģistra, vai ļautu attiecīgajai personai pieprasīt ieraksta dzēšanu, ja šķiet, ka vairs nav nepieciešams glabāt personas datus, ņemot vērā laiku, kas pagājis kopš to reģistrēšanas. Arī iesniedzējtiesa, kurai ir jāpārbauda lēmuma, ar kuru noraidīts dzēšanas pieprasījums, likumība, šķiet, nav tiesīga veikt šādu izvērtējumu.
F. Starpsecinājumi
72. Vai var uzskatīt, ka iepriekš aprakstītie kritēriji, kas tiek izmantoti datu glabāšanas nolūkos, ir pietiekami mērķtiecīgi, samērīgi un konkrēti, un ka attiecīgo personas datu apstrādē ir ievērotas absolūti noteikti nepieciešamā vai absolūtās nepieciešamības robežas? Tiesa uz šo jautājumu varētu atbildēt noraidoši turpmāk izklāstīto iemeslu dēļ.
73. Pirmām kārtām, jāuzsver, ka ar nepieciešamību glabāt personas datus saistītā problemātika ir īpaši aktuāla, ja šādu datu apstrāde ir atļauta preventīvos nolūkos, kā tas ir šajā lietā. Šajā ziņā patiesais kritērijs, kurš pamato datu reģistrēšanu un glabāšanu konkrētajā kriminālreģistrā, ir datu subjektu radītā bīstamība, kas paredz risku izvērtējumu. Šajā lietā jākonstatē, ka šis izvērtējums aprobežojas tikai ar konstatējumu par aizdomu esamību vai par pierādītu tīša noziedzīga nodarījuma izdarīšanu, kas nav ļoti konkrēts kritērijs, ņemot vērā, ka tas ir noziedzīgu nodarījumu sastāva elements un pat pats kriminālatbildības pamats. Tādējādi valstī noteiktajā [datu] glabāšanas regulējumā, manuprāt, tiek ņemta vērā minimālā noziedzīga nodarījuma smaguma pakāpe, un tas ietver ļoti dažādus sabiedriskās kārtības apdraudējumus, a priori neprasot, lai būtu bijis ar brīvības atņemšanu saistīts sods, un tas ļauj atzīt, ka [šis regulējums] ir piemērojams neatkarīgi no noziedzīga nodarījuma veida vai smaguma (67). Atgādināšu, ka Tiesa ir atzinusi, ka Bulgārijas tiesību akti – kādi ir pamatlietā –, kuros ir paredzēta visu par tīšu noziedzīgu nodarījumu, kas ir publiskās apsūdzības priekšmets, apsūdzētu personu biometrisko un ģenētisko datu vākšana, principā ir pretrunā Direktīvas 2016/680 10. pantā noteiktajai prasībai, jo tā var novest pie visaptverošas un nediferencētas datu vākšanas, tāpēc ka jēdziens “noziedzīgs nodarījums, kas ir publiskās apsūdzības priekšmets” ir īpaši vispārīgs un var attiekties uz lielu noziedzīgu nodarījumu skaitu, neatkarīgi no to veida un smaguma (68).
74. Lai gan statistikas pētījumi var pierādīt, ka sodāmība ir noteicošs recidīva faktors, tajos ir arī uzsvērts, ka pastāv objektīvi iemesli, kas palielina recidīva risku, jo īpaši saistībā ar dzimumu, vecumu un sākotnējā noziedzīgā nodarījuma raksturu, laiku, kas vajadzīgs, lai atkārtotu pārkāpumu, un to, ka recidīvs ir ļoti saistīts ar tā noziedzīgā nodarījuma veidu, kura dēļ persona ir aizturēta (69). Nosakot, ka kritērijs datu glabāšanai līdz attiecīgās personas nāvei ir jebkura, tostarp pirmā (70), notiesāšana par tīšu noziedzīgu nodarījumu, šķiet, ka šo datu apstrādes pamatā ir īpaši plaša izpratne par likumpārkāpumu ceļu gan attiecībā uz izdarīto nodarījumu veidu un/vai smagumu, gan likumpārkāpēja vecumu. Sekojot ECPAK piemēram, var jautāt, vai šāda veida loģika, to attīstot līdz zināmai galējībai, praksē nenozīmē pamatot informācijas glabāšanu par visiem iedzīvotājiem un viņu mirušajiem vecākiem, un tas, protams, būtu pārmērīgi un neatbilstoši (71). Atzīmēšu, ka Tiesa ir atzinusi – to vien, ka persona ir apsūdzēta par tīšu noziedzīgu nodarījumu, kas ir publiskas apsūdzības priekšmets, nevar uzskatīt par faktoru, kas pats par sevi ļauj prezumēt, ka personas biometrisko un ģenētisko datu vākšana ir absolūti nepieciešama, ņemot vērā nolūkus, kādos tā tiek veikta (72).
75. Otrām kārtām, šķiet, ka dati tiek glabāti, neņemot vērā, vai ir vajadzība tos atcerēties līdz datu subjekta nāvei. Ņemot vērā ZMVR 68. panta 6. punkta formulējumu un tā interpretāciju, kompetentās iestādes ir tiesīgas dzēst datus tikai izņēmuma apstākļos, kas nav saistīti ar izmaiņām personas situācijā kopš ieraksta izdarīšanas reģistrā. Tas pats loģiski attiecas uz šajā tiesību aktā paredzēto dzēšanas prasību, kas ir minētās personas rīcībā un kas nav pietiekami efektīva, jo neļauj pārbadīt, vai datu glabāšanas ilgums ir samērīgs ar attiecīgās iejaukšanās mērķi. Šajā izvērtējumā būtu jāņem vērā dažādi kritēriji, piemēram, konstatēto faktu raksturs un smagums, laiks, kas pagājis kopš faktu iestāšanās, atlikušais likumīgais glabāšanas termiņš vai pieteikuma iesniedzēja vecums šajā lietā, un tas būtu jādara, ievērojot viņa personīgo situāciju saistībā ar vecumu, kurā viņš ir izdarījis nodarījumus, uzvedību kopš tā laika (sociālā integrācija, kompensācija cietušajiem), personību, reabilitācijas iespēju, kas šajā kontekstā var būt viens no kopējā izvērtējuma elementiem. Šādos apstākļos kontrole, kas it īpaši ir pieejama reģistrā ierakstītajai personai, šķiet tik ierobežota, ka tā ir gandrīz hipotētiska (73).
76. Šajos secinājumos minētie apsvērumi jāaplūko, ņemot vērā to, ka sensitīvos datus var glabāt ļoti ilgu laiku un ka konkrētais reģistrs saviem lietotājiem var piedāvāt ļoti uzbāzīgu funkcionalitāti šādu datu izmantošanai, jo īpaši identifikācijai, analīzei un salīdzināšanai. Jānorāda, ka saskaņā ar ZMVR 68. panta 3. punktu policijas iestādēm, lai veiktu ierakstu kriminālreģistrā, ir pienākums ņemt paraugus, lai izveidotu personu “DNS profilu”, un fotografēt personas, kuru fotoattēliem vajadzības gadījumā var piemērot sejas atpazīšanas tehnoloģiju.
V. Secinājumi
77. Ņemot vērā iepriekš izklāstītos apsvērumus, ierosinu Tiesai uz Varhoven administrativen sad (Augstākā administratīvā tiesa, Bulgārija) jautājumu atbildēt šādi:
Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI, 4., 5., 8., 10. pants un 16. panta 2. punkts, lasot tos kopsakarā un ņemot vērā Eiropas Savienības Pamattiesību hartas 52. panta 1. punktu,
ir jāinterpretē tādējādi, ka:
tiem pretrunā ir valsts tiesību akti, kuri paredz kriminālreģistrā bez papildu diferenciācijas pēc noziedzīga nodarījuma veida vai smaguma glabāt personas datus – tostarp biometriskos un ģenētiskos datus – par jebkuru personu, kas notiesāta par tīšu noziedzīgu nodarījumu, līdz šīs personas nāvei bez iespējas kontrolēt reģistrā ierakstīto datu paturēšanu, ņemot vērā laiku, kas pagājis kopš to reģistrēšanas, un attiecīgā gadījumā panākt to dzēšanu.
Datu glabāšanas laikposma samērīguma attiecībā pret apstrādes mērķi pārskatīšanā, ievērojot notiesātās personas situāciju, var ņemt vērā šai personai piemēroto reabilitāciju.