CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2021:504

HOTĂRÂREA CURȚII (Marea Cameră)

22 iunie 2021(*)

„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolele 5, 6 și 10 – Legislație națională care prevede accesul public la datele cu caracter personal referitoare la punctele de penalizare aplicate pentru încălcarea normelor de circulație rutieră – Legalitate – Noțiunea de «date cu caracter personal referitoare la condamnări penale și infracțiuni» – Divulgare în scopul îmbunătățirii siguranței rutiere – Acces public la documente oficiale – Libertatea de informare – Echilibru cu drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal – Reutilizarea datelor – Articolul 267 TFUE – Efectul în timp al unei decizii preliminare – Posibilitatea unei instanțe constituționale a unui stat membru de a menține efectele juridice ale unei legislații naționale incompatibile cu dreptul Uniunii – Principiile supremației dreptului Uniunii și securității juridice”

În cauza C‑439/19,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Latvijas Republikas Satversmes tiesa (Curtea Constituțională, Letonia), prin decizia din 4 iunie 2019, primită de Curte la 11 iunie 2019, în procedura inițiată de

cu participarea:

Latvijas Republikas Saeima,

CURTEA (Marea Cameră),

compusă din domnul K. Lenaerts, președinte, doamna R. Silva de Lapuerta, vicepreședintă, domnii J.‑C. Bonichot, A. Arabadjiev, E. Regan, M. Ilešič (raportor) și N. Piçarra, președinți de cameră, domnii E. Juhász, M. Safjan, D. Šváby, S. Rodin și F. Biltgen, doamna K. Jürimäe și domnii C. Lycourgos și P. G. Xuereb, judecători,

avocat general: domnul M. Szpunar,

grefier: domnul A. Calot Escobar,

având în vedere procedura scrisă,

luând în considerare observațiile prezentate:

– pentru guvernul leton, inițial de V. Soņeca și K. Pommere, ulterior de K. Pommere, în calitate de agenți;

– pentru guvernul neerlandez, de M. K. Bulterman și M. Noort, în calitate de agenți;

– pentru guvernul austriac, de J. Schmoll și G. Kunnert, în calitate de agenți;

– pentru guvernul portughez, de L. Inez Fernandes, P. Barros da Costa, A. C. Guerra și I. Oliveira, în calitate de agenți;

– pentru guvernul suedez, de C. Meyer‑Seitz, H. Shev, H. Eklinder, R. Shahsavan Eriksson, A. Runeskjöld, M. Salborn Hodgson, O. Simonsson și J. Lundberg, în calitate de agenți;

– pentru Comisia Europeană, de D. Nardi, H. Kranenborg și I. Rubene, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 17 decembrie 2020,

pronunță prezenta

Hotărâre

1 Cererea de decizie preliminară privește interpretarea articolelor 5, 6 și 10 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”), a articolului 1 alineatul (2) litera (cc) din Directiva 2003/98/CE a Parlamentului European și a Consiliului din 17 noiembrie 2003 privind reutilizarea informațiilor din sectorul public (JO 2003, L 345, p. 90, Ediție specială, 13/vol. 41, p. 73), astfel cum a fost modificată prin Directiva 2013/37/UE a Parlamentului European și a Consiliului din 26 iunie 2013 (JO 2013, L 175, p. 1) (denumită în continuare „Directiva 2003/98”), precum și a principiilor supremației dreptului Uniunii și securității juridice.

2 Această cerere a fost prezentată în cadrul unei proceduri inițiate de B în legătură cu legalitatea unei legislații naționale care prevede accesul public la date cu caracter personal referitoare la punctele de penalizare aplicate pentru încălcarea normelor de circulație rutieră.

Cadrul juridic

Dreptul Uniunii

Directiva 95/46/CE

3 Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10) a fost abrogată, cu efect de la 25 mai 2018, prin RGPD. Articolul 3 din această directivă, intitulat „Domeniul de aplicare”, avea următorul cuprins:

„(1) Prezenta directivă se aplică prelucrării automate, în totalitate sau parțial, precum și prelucrării neautomate a datelor cu caracter personal, conținute sau care urmează să fie conținute într‑un sistem de evidență a datelor cu caracter personal.

(2) Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:

– puse în practică pentru exercitarea activităților din afara domeniului de aplicare al dreptului comunitar, cum ar fi cele prevăzute în titlurile V și VI din Tratatul [UE, în versiunea anterioară intrării în vigoare a Tratatului de la Lisabona] și, în orice caz, prelucrărilor care au ca obiect siguranța publică, apărarea, securitatea statului (inclusiv bunăstarea economică a statului atunci când aceste prelucrări sunt legate de probleme de securitate a statului) și activitățile statului în domeniul dreptului penal;

[…]”

RGPD

4 Considerentele (1), (4), (10), (16), (19), (39), (50) și (154) ale RGPD au următorul cuprins:

„(1) Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene («carta») și articolul 16 alineatul (1) [TFUE] prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.

[…]

(4) Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor. Dreptul la protecția datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității. Prezentul regulament respectă toate drepturile fundamentale și libertățile și principiile recunoscute în cartă astfel cum sunt consacrate în tratate, în special respectarea vieții private și de familie, a reședinței și a comunicațiilor, a protecției datelor cu caracter personal, a libertății de gândire, de conștiință și de religie, a libertății de exprimare și de informare, a libertății de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică.

[…]

(10) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. […]

[…]

(16) Prezentul regulament nu se aplică chestiunilor de protecție a drepturilor și libertăților fundamentale sau [de] liberă circulație a datelor cu caracter personal referitoare la activități care nu intră în domeniul de aplicare al dreptului Uniunii, de exemplu activitățile privind securitatea națională. Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către statele membre atunci când acestea desfășoară activități legate de politica externă și de securitatea comună a Uniunii.

[…]

(19) Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora, precum și [al liberei circulații] a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul regulament nu ar trebui să se aplice activităților de prelucrare în aceste scopuri. Cu toate acestea, datele cu caracter personal prelucrate de către autoritățile publice în temeiul prezentului regulament, atunci când sunt utilizate în aceste scopuri, ar trebui să fie reglementate printr‑un act juridic mai specific al Uniunii, și anume Directiva (UE) 2016/680 a Parlamentului European și a Consiliului [din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului (JO 2016, L 119, p. 89)]. […]

[…]

(39) […] În special, scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor respective. […] Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace. […]

[…]

(50) Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cu caracter personal au fost inițial colectate ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile respective pentru care datele cu caracter personal au fost inițial colectate. În acest caz nu este necesar un temei juridic separat de cel pe baza căruia a fost permisă colectarea datelor cu caracter personal. În cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, dreptul Uniunii sau dreptul intern poate stabili și specifica sarcinile și scopurile pentru care prelucrarea ulterioară ar trebui considerată a fi compatibilă și legală. […]

[…]

(154) Prezentul regulament permite luarea în considerare a principiului accesului public la documente oficiale în aplicarea prezentului regulament. Accesul public la documente oficiale poate fi considerat a fi în interes public. Datele cu caracter personal din documentele deținute de o autoritate publică sau de un organism public ar trebui să poată fi divulgate de autoritatea respectivă sau de organismul respectiv în cazul în care dreptul Uniunii sau dreptul intern sub incidența căruia intră autoritatea publică sau organismul public prevede acest lucru. Dreptul Uniunii și dreptul intern ar trebui să asigure un echilibru între accesul public la documentele oficiale și reutilizarea informațiilor din sectorul public, pe de o parte, și dreptul la protecția datelor cu caracter personal, pe de altă parte, și ar putea, prin urmare, să prevadă echilibrul necesar cu dreptul la protecția datelor cu caracter personal în temeiul prezentului regulament. Trimiterea la autoritățile și organismele publice ar trebui, în acest context, să includă toate autoritățile sau alte organisme reglementate de dreptul intern privind accesul public la documente. Directiva [2003/98/CE] lasă intact și nu aduce atingere în niciun fel nivelului de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în conformitate cu dreptul Uniunii și cu cel intern și, în special, nu modifică drepturile și obligațiile prevăzute de prezentul regulament. În special, directiva sus‑menționată nu se aplică documentelor la care accesul este exclus sau restrâns în temeiul regimurilor de acces din motive legate de protecția datelor cu caracter personal și nici părților din documente accesibile în temeiul respectivelor regimuri care conțin date cu caracter personal a căror reutilizare a fost stabilită prin lege ca fiind incompatibilă cu dreptul privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.”

5 Articolul 1 din acest regulament, intitulat „Obiect și obiective”, prevede:

„(1) Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal.

(2) Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal.

(3) Libera circulație a datelor cu caracter personal în interiorul Uniunii nu poate fi restricționată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.”

6 Articolul 2 din regulamentul menționat, intitulat „Domeniul de aplicare material”, prevede la alineatele (1) și (2):

„(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor.

(2) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:

(a) în cadrul unei activități care nu intră sub incidența dreptului Uniunii;

(b) de către statele membre atunci când desfășoară activități care intră sub incidența capitolului 2 al titlului V din Tratatul UE;

(d) de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.”

7 Potrivit articolului 4 din același regulament, intitulat „Definiții”:

„În sensul prezentului regulament:

1. «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă […];

2. «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

[…]

7. «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

[…]”

8 Articolul 5 din RGPD, intitulat „Principii legate de prelucrarea datelor cu caracter personal”, prevede:

„(1) Datele cu caracter personal sunt:

(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată («legalitate, echitate și transparență»);

(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într‑un mod incompatibil cu aceste scopuri; […] («limitări legate de scop»);

(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate («reducerea la minimum a datelor»);

(d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere («exactitate»);

(e) păstrate într‑o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; […] («limitări legate de stocare»);

(f) prelucrate într‑un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare («integritate și confidențialitate»).

(2) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”

9 Articolul 6 din acest regulament, intitulat „Legalitatea prelucrării”, prevede la alineatul (1):

„Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a) persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unu sau mai multe scopuri specifice;

(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.”

10 Articolul 10 din regulamentul menționat, intitulat „Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni”, prevede:

„Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe în temeiul articolului 6 alineatul (1) se efectuează numai sub controlul unei autorități de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate. Orice registru cuprinzător al condamnărilor penale se ține numai sub controlul unei autorități de stat.”

11 Articolul 51 din același regulament, intitulat „Autoritatea de supraveghere”, prevede la alineatul (1):

„Fiecare stat membru se asigură că una sau mai multe autorități publice independente sunt responsabile de monitorizarea aplicării prezentului regulament, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii («autoritatea de supraveghere»).”

12 Articolul 85 din RGPD, intitulat „Prelucrarea și libertatea de exprimare și de informare”, prevede la alineatul (1):

„Prin intermediul dreptului intern, statele membre asigură un echilibru între dreptul la protecția datelor cu caracter personal în temeiul prezentului regulament și dreptul la libertatea de exprimare și de informare, inclusiv prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare.”

13 Articolul 86 din acest regulament, intitulat „Prelucrarea și accesul public la documente oficiale”, prevede:

„Datele cu caracter personal din documentele oficiale deținute de o autoritate publică sau de un organism public sau privat pentru îndeplinirea unei sarcini care servește interesului public pot fi divulgate de autoritatea sau organismul respectiv în conformitate cu dreptul Uniunii sau cu dreptul intern sub incidența căruia intră autoritatea sau organismul, pentru a stabili un echilibru între accesul public la documente oficiale și dreptul la protecția datelor cu caracter personal în temeiul prezentului regulament.”

14 Potrivit articolului 87 din regulamentul menționat, intitulat „Prelucrarea unui număr de identificare național”:

„Statele membre pot detalia în continuare condițiile specifice de prelucrare a unui număr de identificare național sau a oricărui alt identificator cu aplicabilitate generală. În acest caz, numărul de identificare național sau orice alt identificator cu aplicabilitate generală este folosit numai în temeiul unor garanții corespunzătoare pentru drepturile și libertățile persoanei vizate în temeiul prezentului regulament.”

15 Articolul 94 din același regulament prevede:

„(1) [Directiva] [95/46] se abrogă cu efect de la 25 mai 2018.

(2) Trimiterile la directiva abrogată se interpretează ca trimiteri la prezentul regulament. […]”

Directiva 2016/680

16 Considerentele (10), (11) și (13) ale Directivei 2016/680 au următorul cuprins:

„(10) În Declarația nr. 21 cu privire la protecția datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești, anexată la actul final al Conferinței interguvernamentale care a adoptat Tratatul de la Lisabona, conferința a recunoscut că s‑ar putea dovedi necesare norme specifice privind protecția datelor cu caracter personal și libera circulație a datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești în temeiul articolului 16 din TFUE, având în vedere natura specifică a acestor domenii.

(11) Prin urmare, domeniile menționate ar trebui să fie reglementate printr‑o directivă care să stabilească norme specifice privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora, cu respectarea naturii speciale a activităților în cauză. Pot reprezenta astfel de autorități competente nu numai autoritățile publice, precum autoritățile judiciare, poliția sau alte autorități de aplicare a legii, ci și orice alt organism sau altă entitate însărcinată prin dreptul intern să exercite autoritatea publică și competențe publice în sensul prezentei directive. În cazul în care un astfel de organism sau de entitate prelucrează date cu caracter personal în alte scopuri decât cele urmărite de prezenta directivă, se aplică [RGPD]. [RGPD] se aplică, prin urmare, în cazurile în care un organism sau o entitate colectează date cu caracter personal în alte scopuri și ulterior prelucrează datele cu caracter personal respective în vederea respectării unei obligații legale care îi revine. […]

[…]

(13) Noțiunea de infracțiune, în sensul prezentei directive, ar trebui să constituie o noțiune autonomă de drept al Uniunii astfel cum este interpretat de Curtea de Justiție a Uniunii Europene («Curtea de Justiție»).”

17 Articolul 3 din această directivă prevede:

„În sensul prezentei directive:

[…]

7. «autoritate competentă» înseamnă:

(a) orice autoritate publică competentă în materie de prevenire, depistare, investigare sau urmărire penală a infracțiunilor sau de executare a pedepselor, inclusiv în materie de protejare împotriva amenințărilor la adresa securității publice și de prevenire a acestora; sau

(b) orice alt organism sau entitate împuternicit(ă) de dreptul intern să exercite autoritate publică și competențe publice în scopul în prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora;

[…]”

Directiva 2003/98

18 Potrivit considerentului (21) al Directivei 2003/98:

„Prezenta directivă trebuie transpusă în practică și aplicată cu respectarea deplină a principiilor privind protecția datelor personale menționate de Directiva [95/46].”

19 Articolul 1 din Directiva 2003/98, intitulat „Obiectul și domeniul de aplicare”, prevede următoarele:

„(1) Prezenta directivă stabilește un set minim de norme privind reutilizarea, precum și mijloacele practice de facilitare a reutilizării documentelor existente deținute de organismele din sectorul public ale statelor membre.

(2) Prezenta directivă nu se aplică:

[…]

(cc) documentelor la care accesul este exclus sau restrâns în temeiul regimurilor de acces din motive legate de protecția datelor cu caracter personal și părților din documente accesibile în temeiul respectivelor regimuri care conțin date cu caracter personal a căror reutilizare a fost definită prin lege ca fiind incompatibilă cu legislația privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal;

[…]

(3) Prezenta directivă se bazează pe regimurile de acces din statele membre și nu le aduce atingere.

(4) Prezenta directivă lasă intact și nu aduce atingere în niciun fel nivelului de protecție al persoanelor prevăzut în legislația Uniunii sau internă privind prelucrarea datelor personale și în special nu modifică drepturile și obligațiile prevăzute de Directiva [95/46].

[…]”

Dreptul leton

20 Articolul 96 din Latvijas Republikas Satversme (Constituția Republicii Letonia, denumită în continuare „Constituția letonă”) prevede:

„Orice persoană are dreptul la respectarea vieții private, a domiciliului și a corespondenței.”

21 Potrivit articolului 1 punctul 5 din Informācijas atklātības likums (Legea privind libertatea de informare) din 29 octombrie 1998 (Latvijas Vēstnesis, 1998, nr. 334/335), reutilizarea constă în utilizarea de informații accesibile publicului deținute și înregistrate de o autoritate, în scopuri comerciale sau necomerciale, altele decât scopul inițial pentru care au fost înregistrate, dacă această utilizare este efectuată de o persoană privată și nu se încadrează în sfera misiunii de autoritate publică.

22 În conformitate cu articolul 4 din această lege, informațiile accesibile publicului sunt cele care nu fac obiectul unui acces restrâns.

23 Articolul 5 din legea menționată prevede la alineatul (1) că informațiile sunt cu acces restrâns atunci când sunt destinate unui grup limitat de persoane, în scopul îndeplinirii sarcinilor lor sau a obligațiilor profesionale ale acestora și atunci când divulgarea sau pierderea acestor informații, din cauza naturii și a conținutului lor, împiedică sau poate împiedica activitățile unei autorități ori cauzează sau poate cauza un prejudiciu intereselor persoanelor protejate de legi. Acest articol subliniază la alineatul (2) că informațiile sunt considerate ca fiind informații cu acces restrâns atunci când, printre altele, legea prevede acest lucru și precizează la alineatul (6) că informațiile deja publicate nu pot fi considerate informații cu acces restrâns.

24 Potrivit articolului 10 alineatul (3) din aceeași lege, informațiile accesibile publicului pot fi furnizate la cerere, solicitantul nefiind obligat să justifice în mod specific interesul său în obținerea acestor informații, iar accesul la ele nu poate fi refuzat pentru motivul că nu îl privesc.

25 Articolul 14¹ din Ceļu satiksmes likums (Legea privind circulația rutieră) din 1 octombrie 1997 (Latvijas Vēstnesis, 1997, nr. 274/276), în versiunea aplicabilă litigiului principal (denumită în continuare „Legea privind circulația rutieră”), intitulat „Acces la informațiile înregistrate în registrul național al vehiculelor și al conducătorilor auto […]”, prevede la alineatul (2):

„Informațiile referitoare […] la dreptul unei persoane de a conduce vehicule, la amenzile pentru încălcarea normelor de circulație aplicate unei persoane și care nu au fost plătite în termenele prevăzute de lege și alte informații înregistrate în registrul național al vehiculelor și al conducătorilor auto […] sunt considerate informații accesibile publicului.”

26 Articolul 43¹ din Legea privind circulația rutieră, intitulat „Sistemul punctelor de penalizare”, prevede la alineatul (1):

„În scopul influențării conduitei conducătorilor de vehicule, pentru favorizarea unei conduceri sigure a vehiculelor și respectarea legislației rutiere, precum și în scopul de a reduce pe cât posibil riscurile pentru viața, sănătatea și proprietatea persoanelor, contravențiile săvârșite de conducătorii de vehicule sunt înscrise în registrul sancțiunilor, iar punctele de penalizare sunt înscrise în registrul național al vehiculelor și al conducătorilor auto.”

27 În conformitate cu punctele 1 și 4 din Ministru kabineta noteikumi Nr. 551 „Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi” (Decretul nr. 551 al Consiliului de miniștri din 21 iunie 2004 privind normele de aplicare a sistemului punctelor de penalizare) din 21 iunie 2004 (Latvijas Vēstnesis, 2004, nr. 102), punctele de penalizare pentru contravențiile săvârșite în materie de circulație rutieră de conducătorii de vehicule sunt înregistrate în mod automat în ziua expirării termenului de contestare a deciziei de aplicare a unei sancțiuni administrative.

28 Potrivit punctului 7 din acest decret, punctele de penalizare se radiază atunci când acestea se prescriu.

29 În temeiul punctului 12 din decretul menționat, în funcție de numărul de puncte de penalizare, conducătorii auto fac obiectul unor măsuri, precum avertismente, cursuri sau examene în materie de securitate rutieră, sau al unei interdicții de a exercita dreptul de a conduce vehicule o anumită perioadă.

30 Astfel cum reiese din articolul 32 alineatul (1) din Satversmes tiesas likums (Legea privind Curtea Constituțională) din 5 iunie 1996 (Latvijas Vēstnesis, 1996, nr. 103), hotărârile pronunțate de Latvijas Republikas Satversmes tiesa (Curtea Constituțională, Letonia) sunt definitive și executorii de la pronunțare. În conformitate cu articolul 32 alineatul (3) din această lege, dispoziția juridică pe care Latvijas Republikas Satversmes tiesa (Curtea Constituțională) a declarat‑o neconformă cu o normă juridică superioară este considerată nulă de la data publicării hotărârii acestei instanțe, cu excepția cazului în care se decide altfel.

Litigiul principal și întrebările preliminare

31 B este o persoană fizică. Acesteia i‑au fost aplicate puncte de penalizare în urma uneia sau mai multor încălcări ale normelor de circulație rutieră. În conformitate cu Legea privind circulația rutieră și cu Decretul nr. 551 din 21 iunie 2004, Ceļu satiksmes drošības direkcija (Direcția pentru Siguranța Rutieră, Letonia) (denumită în continuare „CSDD”) a înscris aceste puncte de penalizare în registrul național al vehiculelor și al conducătorilor auto.

32 Întrucât informațiile referitoare la punctele de penalizare cuprinse în acest registru sunt accesibile publicului și, pe de altă parte, potrivit lui B, ele au fost comunicate în scopul reutilizării lor mai multor operatori economici, B a formulat o acțiune constituțională la Latvijas Republikas Satversmes tiesa (Curtea Constituțională), pentru ca aceasta să examineze conformitatea articolului 14¹ alineatul (2) din Legea privind circulația rutieră cu dreptul fundamental la respectarea vieții private prevăzut la articolul 96 din Constituția letonă.

33 Latvijas Republikas Saeima (Parlamentul Republicii Letonia, denumit în continuare „Parlamentul leton”) a participat la procedură în calitate de instituție care a adoptat Legea privind circulația rutieră. Pe de altă parte, au fost ascultate CSDD, care prelucrează datele referitoare la punctele de penalizare aplicate pentru încălcări ale normelor de circulație rutieră, precum și Datu valsts inspekcija (Autoritatea pentru protecția datelor), care este în Letonia autoritatea de supraveghere în sensul articolului 51 din RGPD, precum și mai multe alte autorități și persoane.

34 În cadrul litigiului principal, Parlamentul leton a confirmat că, în temeiul articolului 14¹ alineatul (2) din Legea privind circulația rutieră, orice persoană poate obține informații cu privire la punctele de penalizare aplicate unei alte persoane, fie prin informarea directă la CSDD, fie prin utilizarea serviciilor furnizate de reutilizatorii comerciali.

35 Parlamentul leton a subliniat că această dispoziție este legală, fiind justificată de obiectivul îmbunătățirii siguranței rutiere. Acest interes general ar impune ca persoanele care încălcă normele de circulație, în special cele care le încalcă în mod sistematic și cu rea‑credință, să fie identificate în mod public, iar conducătorii auto să fie descurajați de la săvârșirea încălcărilor prin intermediul acestei transparențe.

36 Pe de altă parte, dispoziția menționată ar fi justificată de dreptul de acces la informații, prevăzut de Constituția letonă.

37 Parlamentul leton a precizat că, în practică, informațiile cuprinse în registrul național al vehiculelor și al conducătorilor auto sunt comunicate cu condiția ca persoana care le solicită să indice numărul național de identificare al conducătorului auto despre care dorește să se informeze. Această condiție prealabilă pentru obținerea informației s‑ar explica prin faptul că, spre deosebire de numele unei persoane, care poate fi identic cu al altor persoane, numărul național de identificare este un identificator unic.

38 La rândul său, CSDD a arătat că articolul 14¹ alineatul (2) din Legea privind circulația rutieră nu impune limite nici în ceea ce privește accesul public la datele referitoare la punctele de penalizare, nici privind reutilizarea lor. Referitor la contractele pe care ea le încheie cu reutilizatorii comerciali, CSDD a subliniat că aceste contracte nu prevăd transferul legal de date și că reutilizatorii trebuie să se asigure că informațiile transmise clienților lor nu le depășesc pe cele care pot fi obținute de la CSDD. În plus, în cadrul acestor contracte, dobânditorul ar atesta că va utiliza informațiile obținute în conformitate cu scopurile indicate în contract și cu respectarea reglementărilor în vigoare.

39 Datu valsts inspekcija (Autoritatea pentru protecția datelor) și‑a exprimat însă îndoiala cu privire la conformitatea articolului 14¹ alineatul (2) din Legea privind circulația rutieră cu articolul 96 din Constituția letonă, care prevede dreptul la respectarea vieții private. Din punctul său de vedere, importanța și obiectivul prelucrării efectuate în temeiul dispoziției în discuție în litigiul principal nu ar fi în mod clar stabilite, astfel încât nu ar fi exclus ca această prelucrare să fie inadecvată sau disproporționată. Într‑adevăr, deși statisticile privind accidentele de circulație din Letonia evidențiază o diminuare a numărului de accidente, nu ar exista nicio dovadă că sistemul punctelor de penalizare și accesul public la informațiile referitoare la acest sistem au contribuit la această evoluție favorabilă.

40 Latvijas Republikas Satversmes tiesa (Curtea Constituțională) arată mai întâi că acțiunea privește articolul 14¹ alineatul (2) din Legea privind circulația rutieră numai în măsura în care această dispoziție face accesibile publicului informațiile referitoare la punctele de penalizare înscrise în registrul național al vehiculelor și al conducătorilor auto.

41 Această instanță arată în continuare că punctele de penalizare sunt date cu caracter personal și că, pentru a aprecia domeniul de aplicare al dreptului la respectarea vieții private prevăzut la articolul 96 din Constituția letonă, trebuie să se țină seama de RGPD, precum și, mai general, de articolul 16 TFUE și de articolul 8 din cartă.

42 Referitor la obiectivele reglementării letone în materie de circulație rutieră, instanța menționată afirmă că încălcările normelor de circulație săvârșite de conducătorii auto, care sunt considerate ca având caracter administrativ în Letonia, sunt înscrise în registrul sancțiunilor, iar punctele de penalizare sunt înscrise în registrul național al vehiculelor, în special în scopul promovării siguranței rutiere.

43 În ceea ce privește în special registrul național al vehiculelor și al conducătorilor auto, acesta ar permite cunoașterea numărului încălcărilor normelor de circulație rutieră săvârșite și punerea în aplicare a unor măsuri în funcție de acest număr. Sistemul punctelor de penalizare înscrise în acest registru ar urmări astfel îmbunătățirea siguranței rutiere, permițând, pe de o parte, distingerea conducătorilor auto care încalcă în mod sistematic și cu rea‑credință regulile de circulație rutieră de conducătorii auto care săvârșesc încălcări în mod ocazional. Pe de altă parte, un asemenea sistem ar putea totodată influența în mod preventiv conduita participanților la trafic, încurajându‑i să respecte legislația rutieră.

44 Aceeași instanță observă că este cert că articolul 14¹ alineatul (2) din Legea privind circulația rutieră acordă oricărei persoane dreptul de a solicita și de a obține de la CSDD informațiile cuprinse în registrul național al vehiculelor și al conducătorilor auto referitoare la punctele de penalizare aplicate conducătorilor auto. Ea confirmă în acest sens că, în practică, informațiile respective sunt furnizate solicitantului de îndată ce acesta indică numărul național de identificare al conducătorului auto în cauză.

45 Latvijas Republikas Satversmes tiesa (Curtea Constituțională) precizează în continuare că informațiile privind punctele de penalizare, fiind calificate drept informații aflate la dispoziția publicului, intră în domeniul de aplicare al Legii privind libertatea de informare și, prin urmare, pot fi reutilizate în scopuri comerciale sau necomerciale, altele decât scopul inițial pentru care au fost înregistrate.

46 Pentru interpretarea și aplicarea articolului 96 din Constituția letonă în conformitate cu dreptul Uniunii, această instanță urmărește să afle, în primul rând, dacă informațiile referitoare la punctele de penalizare intră în domeniul de aplicare al articolului 10 din RGPD, și anume „date cu caracter personal referitoare la condamnări penale și infracțiuni”. În caz afirmativ, s‑ar putea considera că articolul 14¹ alineatul (2) din Legea privind circulația rutieră încalcă cerința care figurează la articolul 10 menționat, potrivit căreia prelucrarea datelor pe care le vizează poate avea loc numai „sub controlul unei autorități de stat” sau cu „garanții adecvate pentru drepturile și libertățile persoanelor vizate”.

47 Instanța menționată observă că articolul 8 alineatul (5) din Directiva 95/46, care lăsa fiecărui stat membru posibilitatea de a aprecia dacă normele speciale privind datele referitoare la infracțiuni și condamnări penale urmau să fie extinse la datele referitoare la contravenții și la sancțiuni administrative, a fost transpus în Letonia, de la 1 septembrie 2007, în sensul că datele cu caracter personal referitoare la contravenții puteau să fie prelucrate, la fel ca datele care privesc infracțiuni și condamnări penale, exclusiv de către persoanele și în circumstanțele prevăzute de lege.

48 Aceeași instanță subliniază, pe de altă parte, că înțelesul articolului 10 din RGPD trebuie să fie apreciat, în conformitate cu considerentul (4) al regulamentului respectiv, ținând seama de funcția drepturilor fundamentale în societate. Or, în acest context, obiectivul de a evita ca o condamnare anterioară a unei persoane să aibă o incidență negativă excesivă asupra vieții sale private și profesionale s‑ar putea aplica atât în privința condamnărilor penale, cât și a contravențiilor. În acest context, ar trebui să se ia în considerare jurisprudența Curții Europene a Drepturilor Omului privind anumite cauze administrative care pot fi asimilate cauzelor penale.

49 Latvijas Republikas Satversmes tiesa (Curtea Constituțională) solicită să se stabilească, în al doilea rând, înțelesul articolului 5 din RGPD. În special, ea ridică problema dacă legiuitorul leton a respectat obligația, prevăzută la alineatul (1) litera (f) al acestui articol, de a prelucra datele cu caracter personal cu „integritate și confidențialitate”. Aceasta observă că articolul 14¹ alineatul (2) din Legea privind circulația rutieră, care, prin acordarea accesului la informațiile referitoare la punctele de penalizare, permite să se verifice dacă în cazul unei persoane s‑a constatat săvârșirea unei încălcări a normelor de circulație rutieră, nu a fost însoțit de măsuri specifice care să asigure securitatea unor astfel de date.

50 Această instanță solicită să se stabilească, în al treilea rând, dacă Directiva 2003/98 este relevantă pentru a examina compatibilitatea articolului 14¹ alineatul (2) din Legea privind circulația rutieră cu dreptul la respectarea vieții private. Astfel, din această directivă ar rezulta că reutilizarea datelor cu caracter personal poate fi permisă doar cu respectarea dreptului menționat.

51 În al patrulea rând, având în vedere jurisprudența Curții potrivit căreia interpretarea dreptului Uniunii furnizată în deciziile preliminare produce efecte erga omnes și ex tunc, instanța menționată ridică problema dacă, în cazul incompatibilității articolului 14¹ alineatul (2) din Legea privind circulația rutieră cu articolul 96 din Constituția letonă, interpretat în lumina RGPD și a cartei, ar putea să mențină totuși efectele în timp ale articolului 14¹ alineatul (2) menționat până la data pronunțării hotărârii sale, ținând seama de numărul mare de raporturi juridice în discuție.

52 În această privință, Latvijas Republikas Satversmes tiesa (Curtea constituțională) precizează că, potrivit dreptului leton, un act pe care îl declară neconstituțional trebuie să fie considerat nul de la data pronunțării hotărârii sale, cu excepția cazului în care se decide altfel. Ea explică în această privință că trebuie să asigure un echilibru între principiul securității juridice, pe de o parte, și drepturile fundamentale ale diferitor persoane vizate, pe de altă parte.

53 În aceste condiții, Latvijas Republikas Satversmes tiesa (Curtea Constituțională) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1) Noțiunea de «prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe», utilizată la articolul 10 din RGPD, trebuie interpretată în sensul că include prelucrarea informațiilor referitoare la punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră, prevăzută de norma în litigiu?

2) Indiferent de răspunsul la prima întrebare, dispozițiile RGPD, în special principiul «integrității și confidențialității» prevăzut la articolul 5 alineatul (1) litera (f), pot fi interpretate în sensul că interzic statelor membre să prevadă că informațiile referitoare la punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră sunt accesibile publicului și să permită prelucrarea acestor date prin comunicarea lor?

3) Considerentele (50) și (154), articolul 5 alineatul (1) litera (b) și articolul 10 din RGPD și articolul 1 alineatul (2) litera (cc) din Directiva 2003/98/CE trebuie interpretate în sensul că se opun unei reglementări a unui stat membru care permite transmiterea informațiilor referitoare la punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră în scopul reutilizării lor?

4) În cazul unui răspuns afirmativ la oricare dintre întrebările de mai sus, principiul supremației dreptului Uniunii și principiul securității juridice trebuie interpretate în sensul că ar fi posibil să se permită aplicarea normei în litigiu și să se mențină efectele sale juridice până când decizia finală care urmează să fie adoptată de Satversmes tiesa [Curtea Constituțională] va dobândi autoritate de lucru judecat?”

Cu privire la întrebările preliminare

Cu privire la prima întrebare

54 Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 10 din RGPD trebuie interpretat în sensul că se aplică prelucrării datelor cu caracter personal referitoare la punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră care constă în divulgarea către public a unor astfel de date.

55 Potrivit articolului 10 din RGPD, prelucrarea de date cu caracter personal referitoare la condamnări penale și la infracțiuni sau la măsuri de securitate conexe în temeiul articolului 6 alineatul (1) se efectuează numai sub controlul unei autorități de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern, care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate.

56 Cu titlu introductiv, trebuie să se verifice, așadar, dacă informațiile referitoare la punctele de penalizare comunicate terților în temeiul reglementării în discuție în litigiul principal constituie „date cu caracter personal”, în sensul articolului 4 punctul 1 din RGPD, și dacă comunicarea menționată constituie o „prelucrare” a unor asemenea date, în sensul articolului 4 punctul 2 din acest regulament, care intră în domeniul de aplicare material al acestuia, astfel cum este definit la articolul 2 din acesta.

57 În această privință trebuie să se constate, în primul rând, că din decizia de trimitere reiese că reglementarea letonă prevede aplicarea unor puncte de penalizare conducătorilor auto care au încălcat normele de circulație rutieră și cărora li s‑a aplicat o sancțiune pecuniară sau de altă natură. Aceste puncte sunt înscrise de un organism public, CSDD, în registrul național al vehiculelor și conducătorilor auto la data expirării termenului de contestare a deciziei de aplicare a acestei sancțiuni.

58 Reiese de asemenea din decizia menționată că încălcările normelor de circulație rutieră și sancțiunile care urmăresc să le reprime intră în Letonia sub incidența dreptului administrativ și că aplicarea unor puncte de penalizare nu are ca obiect aplicarea unei sancțiuni suplimentare, ci sensibilizarea conducătorilor auto în cauză, încurajându‑i să adopte un mod de conducere mai sigur. Atunci când este atins un anumit număr de puncte de penalizare, persoana în cauză poate face obiectul unei interdicții de a conduce un vehicul o perioadă determinată.

59 Rezultă de asemenea din această decizie că reglementarea în discuție în litigiul principal obligă CSDD să comunice informațiile referitoare la punctele de penalizare aplicate unui anumit conducător auto oricărei persoane care solicită acces la aceste informații. CSDD se limitează în acest scop să impună solicitantului informațiilor menționate să identifice în mod corespunzător conducătorul auto vizat furnizând numărul de identificare național al acestuia.

60 Prin urmare, trebuie să se constate că informațiile referitoare la punctele de penalizare, care se raportează la o persoană fizică identificată, sunt „date cu caracter personal”, în sensul articolului 4 punctul 1 din RGPD, și că comunicarea lor de către CSDD unor terți constituie o „prelucrare”, în sensul articolului 4 punctul 2 din RGPD.

61 În al doilea rând, trebuie să se constate că comunicarea acestor informații se încadrează în definiția foarte largă a domeniului de aplicare material al RGPD enunțată la articolul 2 alineatul (1) din acesta și nu figurează printre prelucrările de date cu caracter personal pe care articolul 2 alineatul (2) literele (a) și (b) din RGPB le exclude din acest domeniu de aplicare.

62 Astfel, în ceea ce privește, pe de o parte, articolul 2 alineatul (2) litera (a) din RGPD, acesta prevede că regulamentul nu se aplică prelucrării datelor cu caracter personal efectuate „în cadrul unei activități care nu intră sub incidența dreptului Uniunii”. Această excepție de la aplicabilitatea RGPD trebuie, similar celorlalte excepții prevăzute la articolul 2 alineatul (2) din acesta, să facă obiectul unei interpretări stricte (a se vedea în acest sens Hotărârea din 9 iulie 2020, Land Hessen, C‑272/19, EU:C:2020:535, punctul 68, precum și Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctul 84).

63 În această privință, trebuie ca articolul 2 alineatul (2) litera (a) din acest regulament să fie interpretat prin coroborare cu articolul 2 alineatul (2) litera (b) din acesta și cu considerentul (16) al acestuia, care precizează că regulamentul menționat nu se aplică prelucrării datelor cu caracter personal în contextul „activități[lor] care nu intră în domeniul de aplicare al dreptului Uniunii, de exemplu activitățile privind securitatea națională”, precum și al „activități[lor] legate de politica externă și de securitatea comună a Uniunii”.

64 Rezultă că articolul 2 alineatul (2) literele (a) și (b) din RGPD se înscrie parțial în continuarea articolului 3 alineatul (2) prima liniuță din Directiva 95/46. Prin urmare, articolul 2 alineatul (2) literele (a) și (b) din RGPD nu poate fi interpretat în sensul că are un înțeles mai larg decât excepția care decurge din articolul 3 alineatul (2) prima liniuță din Directiva 95/46, care excludea deja din domeniul de aplicare al acestei directive printre altele prelucrarea datelor cu caracter personal care avea loc în cadrul „activităților din afara domeniului de aplicare a dreptului comunitar, cum ar fi cele prevăzute în titlurile V și VI din Tratatul [UE, în versiunea anterioară Tratatului de la Lisabona,] și, în orice caz, prelucrărilor care au ca obiect siguranța publică, apărarea, securitatea statului […]”.

65 Or, astfel cum a statuat Curtea în mod repetat, numai prelucrările de date cu caracter personal puse în aplicare în cadrul unei activități proprii statelor sau autorităților de stat și expres menționate la articolul 3 alineatul (2) amintit sau în cadrul unei activități care poate fi încadrată în aceeași categorie erau excluse din domeniul de aplicare al directivei menționate (a se vedea în acest sens Hotărârea din 6 noiembrie 2003, Lindqvist, C‑101/01, EU:C:2003:596, punctele 42-44, Hotărârea din 27 septembrie 2017, Puškár, C‑73/16, EU:C:2017:725, punctele 36 și 37, precum și Hotărârea din 10 iulie 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punctul 38).

66 Rezultă că articolul 2 alineatul (2) litera (a) din RGPD interpretat în lumina considerentului (16) al acestui regulament trebuie considerat ca având ca unic obiectiv excluderea din domeniul de aplicare al regulamentului menționat a prelucrărilor de date cu caracter personal efectuate de autoritățile de stat în cadrul unei activități de apărare a securității naționale sau al unei activități care poate fi încadrată în aceeași categorie, astfel încât simplul fapt că o activitate este proprie statului sau unei autorități publice nu este suficient pentru ca această excepție să fie automat aplicabilă unei asemenea activități (a se vedea în acest sens Hotărârea din 9 iulie 2020, Land Hessen, C‑272/19, EU:C:2020:535, punctul 70).

67 Activitățile care au ca scop apărarea securității naționale prevăzute la articolul 2 alineatul (2) litera (a) din RGPD cuprind în special, după cum a arătat în esență și domnul avocat general la punctele 57 și 58 din concluzii, activitățile care au ca obiect protejarea funcțiilor esențiale ale statului și a intereselor fundamentale ale societății.

68 Or, activitățile referitoare la siguranța rutieră nu urmăresc un astfel de obiectiv și, în consecință, nu pot fi încadrate în categoria activităților care au ca scop apărarea securității naționale, prevăzute la articolul 2 alineatul (2) litera (a) din RGPD.

69 În ceea ce privește, pe de altă parte, articolul 2 alineatul (2) litera (d) din RGPD, acesta prevede că regulamentul nu se aplică prelucrării datelor cu caracter personal efectuate „de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora”. După cum rezultă din considerentul (19) al regulamentului menționat, această excepție este motivată de împrejurarea că prelucrările în astfel de scopuri și de către autoritățile competente a datelor cu caracter personal sunt reglementate de un act specific al Uniunii, și anume Directiva 2016/680, care a fost adoptată la aceeași dată ca RGPD și care definește la articolul 3 alineatul (7) ceea ce trebuie să se înțeleagă prin „autoritate competentă”, o asemenea definiție trebuind aplicată prin analogie în privința articolului 2 alineatul (2) litera (d).

70 Rezultă din considerentul (10) al Directivei 2016/680 că noțiunea de „autoritate competentă” trebuie înțeleasă în legătură cu protecția datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești, ținând seama de adaptările care se pot dovedi necesare în această privință, având în vedere natura specifică a acestor domenii. În plus, considerentul (11) al acestei directive precizează că RGPD se aplică prelucrării datelor cu caracter personal care ar fi efectuată de o „autoritate competentă”, în sensul articolului 3 alineatul (7) din directiva menționată, dar în alte scopuri decât cele prevăzute în aceasta.

71 Având în vedere elementele de care dispune Curtea, nu rezultă că, în exercitarea activităților în discuție în discuție în litigiul principal, care constau în comunicarea publică, în scopul siguranței rutiere, de date cu caracter personal referitoare la punctele de penalizare, CSDD poate fi considerată o „autoritate competentă”, în sensul articolului 3 alineatul (7) din Directiva 2016/680 și, prin urmare, că astfel de activități pot intra sub incidența excepției prevăzute la articolul 2 alineatul (2) litera (d) din RGPD.

72 Așadar, comunicarea de către CSDD a datelor personale referitoare la punctele de penalizare aplicate conducătorilor de vehicule pentru încălcarea normelor de circulație rutieră intră în domeniul de aplicare material al RGPD.

73 În ceea ce privește aplicabilitatea articolului 10 din RGPD unei asemenea comunicări, trebuie să se stabilească dacă informațiile astfel comunicate constituie date cu caracter personal „referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe”, în sensul acestei dispoziții, a căror prelucrare „se efectuează numai sub controlul unei autorități de stat”, cu excepția cazului în care este „autorizată de dreptul Uniunii sau de dreptul intern, care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate”.

74 În această privință trebuie amintit că articolul 10 menționat urmărește să asigure o protecție sporită împotriva unor prelucrări care, din cauza caracterului deosebit de sensibil al datelor în discuție, sunt susceptibile să constituie o ingerință deosebit de gravă în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal, garantate de articolele 7 și 8 din cartă [a se vedea în acest sens Hotărârea din 24 septembrie 2019, GC și alții (Dezindexarea unor date sensibile), C‑136/17, EU:C:2019:773, punctul 44].

75 Astfel, întrucât datele la care se referă articolul 10 din RGPD privesc conduite care determină dezaprobarea socială, acordarea unui acces la asemenea date este susceptibilă să stigmatizeze persoana în cauză și să constituie, așadar, o ingerință gravă în viața sa privată sau profesională.

76 În speță, este adevărat că deciziile autorităților letone care urmăresc să reprime încălcarea normelor de circulație rutieră sunt, după cum a subliniat guvernul leton în răspunsurile sale la întrebările Curții, înscrise în registrul sancțiunilor, la care publicul nu are acces decât în cazuri limitate, iar nu în registrul vehiculelor și al conducătorilor auto, la care articolul 14¹ alineatul (2) din Legea privind circulația rutieră acordă acces liber. Totuși, așa cum a subliniat instanța de trimitere, comunicarea de către CSDD a datelor cu caracter personal referitoare la punctele de penalizare și înscrise în acest din urmă registru permite publicului să afle dacă o anumită persoană a încălcat normele de circulație rutieră și, în caz afirmativ, să deducă de aici gravitatea și frecvența acestor încălcări. Un asemenea regim de comunicare a punctelor de penalizare presupune, prin urmare, a da acces la date cu caracter personal referitoare la încălcări ale normelor de circulație rutieră.

77 Pentru a stabili dacă un astfel de acces reprezintă o prelucrare de date cu caracter personal referitoare la „infracțiuni”, în sensul articolului 10 din RGPD, trebuie arătat, în primul rând, că această noțiune se referă exclusiv la infracțiuni penale, după cum rezultă printre altele din geneza RGPD. Într‑adevăr, atunci când Parlamentul European a propus să se includă în mod expres în această dispoziție termenii „sancțiuni administrative” (JO 2017, C 378, p. 430), această propunere nu a fost reținută. Această împrejurare este cu atât mai semnificativă cu cât dispoziția care a precedat articolul 10 din RGPD, și anume articolul 8 alineatul (5) din Directiva 95/46, care se referea, în primul paragraf, la „infracțiuni” și la „condamnări penale”, oferea, în al doilea paragraf, posibilitatea ca statele membre „să prevadă ca datele referitoare la sancțiunile administrative sau sentințele civile să fie de asemenea prelucrate tot sub controlul autorității publice”. Rezultă, prin urmare, în mod clar dintr‑o interpretare de ansamblu a acestui articol 8 alineatul (5) că noțiunea de „infracțiune” se referea doar la infracțiuni penale.

78 În aceste condiții, trebuie considerat că legiuitorul Uniunii, omițând în mod deliberat să includă adjectivul „administrativ” la articolul 10 din RGPD, a înțeles să rezerve protecția sporită prevăzută de această dispoziție doar domeniului penal.

79 Această interpretare este confirmată, astfel cum a arătat domnul avocat general la punctele 74-77 din concluzii, de faptul că mai multe dintre versiunile lingvistice ale articolului 10 din RGPD fac referire în mod expres la „infracțiuni”, precum cele în limbile germană (Straftaten), spaniolă (infracciones penales), italiană (reati), lituaniană (nusikalstamas veikas), malteză (reati) și neerlandeză (strafbare feiten).

80 În al doilea rând, faptul că încălcarea normelor de circulație rutieră este calificată drept administrativă în Letonia nu este determinant pentru a aprecia dacă aceste încălcări intră sub incidența articolului 10 din RGPD.

81 În această privință trebuie amintit că termenii unei dispoziții a dreptului Uniunii care nu conține nicio trimitere expresă la dreptul statelor membre pentru a stabili sensul și domeniul său de aplicare trebuie, în mod normal, să primească în întreaga Uniune o interpretare autonomă și uniformă (Hotărârea din 19 septembrie 2000, Linster, C‑287/98, EU:C:2000:468, punctul 43, și Hotărârea din 1 octombrie 2019, Planet49, C‑673/17, EU:C:2019:801, punctul 47).

82 În speță, este necesar să se arate, mai întâi, că RGPD nu conține nicio trimitere la legislațiile naționale în ceea ce privește înțelesul termenilor care figurează la articolul 10 din acesta, printre altele termenii „infracțiuni” și „condamnări penale”.

83 În continuare, rezultă din considerentul (10) al RGPD că acesta urmărește să contribuie la realizarea unui spațiu de libertate, securitate și justiție, asigurând un nivel consecvent și ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, ceea ce presupune că acest nivel de protecție este echivalent și omogen în toate statele membre. Or, ar fi contrar unei asemenea finalități ca protecția sporită prevăzută la această dispoziție să nu se aplice prelucrării datelor cu caracter personal referitoare la încălcarea normelor de circulație rutieră decât în anumite state membre, iar nu și în altele, pentru simplul motiv că aceste încălcări nu sunt calificate drept fapte penale în aceste din urmă state membre.

84 În sfârșit, așa cum a arătat domnul avocat general la punctul 84 din concluzii, această constatare este confirmată de considerentul (13) al Directivei 2016/680, care precizează că „[n]oțiunea de infracțiune, în sensul [acestei] directive, ar trebui să constituie o noțiune autonomă de drept al Uniunii astfel cum este interpretat de Curtea de Justiție a Uniunii Europene”.

85 Rezultă că noțiunea de „infracțiune”, decisivă pentru a determina aplicabilitatea articolului 10 din RGPD unor date cu caracter personal referitoare la încălcări ale normelor de circulație rutieră, precum cele în discuție în litigiul principal, necesită în întreaga Uniune o interpretare autonomă și uniformă care trebuie stabilită ținând cont de obiectivul urmărit de această dispoziție și de contextul în care aceasta se înscrie, fără să fie determinantă în această privință calificarea dată de statul membru în cauză încălcărilor respective, această calificare putând fi diferită de la o țară la alta (a se vedea în acest sens Hotărârea din 14 noiembrie 2013, Baláž, C‑60/12, EU:C:2013:733, punctele 26 și 35).

86 În al treilea rând, este necesar să se examineze dacă încălcările normelor de circulație rutieră, precum cele care dau naștere înscrierii în registrul vehiculelor și al conducătorilor auto a punctelor de penalizare a căror comunicare terților este prevăzută de dispoziția în litigiu, constituie o „infracțiune”, în sensul articolului 10 din RGPD.

87 Potrivit jurisprudenței Curții, trei criterii sunt pertinente pentru a aprecia caracterul penal al unei fapte ilicite. Primul este calificarea juridică a faptei ilicite în dreptul intern, al doilea, natura însăși a faptei ilicite, iar al treilea, gradul de severitate a sancțiunii pe care persoana în cauză riscă să o suporte (a se vedea în acest sens Hotărârea din 5 iunie 2012, Bonda, C‑489/10, EU:C:2012:319, punctul 37, Hotărârea din 20 martie 2018, Garlsson Real Estate și alții, C‑537/16, EU:C:2018:193, punctul 28, precum și Hotărârea din 2 februarie 2021, Consob, C‑481/19, EU:C:2021:84, punctul 42).

88 Chiar pentru faptele ilicite care nu sunt calificate drept „penale” în dreptul național, un astfel de caracter poate totuși decurge din însăși natura faptei ilicite în discuție și din gradul de severitate a sancțiunilor pe care aceasta le poate antrena (a se vedea în acest sens Hotărârea din 20 martie 2018, Garlsson Real Estate și alții, C‑537/16, EU:C:2018:193, punctele 28 și 32).

89 În ceea ce privește criteriul referitor la natura însăși a faptei ilicite, acesta presupune să se verifice dacă sancțiunea în discuție urmărește în special o finalitate represivă, fără ca simpla împrejurare că aceasta urmărește și o finalitate preventivă să fie de natură să îi înlăture calificarea de sancțiune penală. Astfel, este în însăși natura sancțiunilor penale ca acestea să aibă ca obiect atât reprimarea, cât și prevenirea comportamentelor ilicite. În schimb, o măsură care se limitează la a repara prejudiciul cauzat prin fapta ilicită vizată nu prezintă o natură penală (a se vedea în acest sens Hotărârea din 5 iunie 2012, Bonda, C‑489/10, EU:C:2012:319, punctul 39, precum și Hotărârea din 20 martie 2018, Garlsson Real Estate și alții, C‑537/16, EU:C:2018:193, punctul 33). Or, este cert că atribuirea punctelor de penalizare pentru încălcarea normelor de circulație rutieră, la fel ca amenzile sau orice alte sancțiuni pe care săvârșirea acestor încălcări le poate antrena, nu au ca obiect doar repararea prejudiciului eventual cauzat de încălcările menționate, ci urmăresc și o finalitate represivă.

90 Referitor la criteriul privind gradul de severitate a sancțiunilor pe care le poate antrena săvârșirea acelorași încălcări, trebuie arătat, mai întâi, că numai încălcările normelor de circulație rutieră de o anumită gravitate presupun atribuirea unor puncte de penalizare și că, prin urmare, astfel de încălcări pot antrena sancțiuni de o anumită gravitate. Mai mult, aplicarea unor puncte de penalizare se adaugă în general sancțiunii impuse în cazul săvârșirii unei asemenea încălcări, ceea ce este de altfel situația, așa cum s‑a arătat la punctul 58 din prezenta hotărâre, legislației în discuție în litigiul principal. În sfârșit, cumularea punctelor menționate antrenează în sine consecințe juridice, precum obligația de a susține un examen sau chiar o interdicție de a conduce.

91 Această analiză este confirmată de jurisprudența Curții Europene a Drepturilor Omului, potrivit căreia, în pofida tendinței „dezincriminării” încălcării normelor de circulație rutieră în anumite state membre, aceste încălcări trebuie în general, având în vedere finalitatea atât preventivă, cât și represivă a sancțiunilor aplicate și gradul de severitate care poate fi atins de acestea, să fie considerate ca fiind de natură penală (a se vedea în acest sens Curtea EDO, Hotărârea din 21 februarie 1984, Öztürk împotriva Germaniei, CE:ECHR:1984:0221JUD 000854479, §§ 49-53, Hotărârea din 29 iunie 2007, O’Halloran și Francis împotriva Regatului Unit, CE:ECHR:2007:0629JUD 001580902, §§ 33-36, precum și Hotărârea din 4 octombrie 2016, Rivard împotriva Elveției, CE:ECHR:2016:1004JUD 002156312, §§ 23-24).

92 Calificarea încălcării normelor rutiere care pot antrena atribuirea punctelor de penalizare drept „infracțiune”, în sensul articolului 10 din RGPD, corespunde totodată finalității acestei dispoziții. Astfel, comunicarea publică a unor date cu caracter personal referitoare la încălcări ale normelor de circulație rutieră, inclusiv punctele de penalizare aplicate pentru săvârșirea lor, având în vedere că asemenea încălcări constituie o atingere la adresa siguranței rutiere, este susceptibilă să provoace dezaprobarea socială și să antreneze stigmatizarea persoanei în cauză, în special atunci când aceste puncte evidențiază o anumite gravitate sau o anumită frecvență a încălcărilor menționate.

93 Rezultă de aici că încălcările normelor de circulație rutieră care sunt susceptibile să antreneze atribuirea de puncte de penalizare intră sub incidența noțiunii de „infracțiuni” prevăzută la articolul 10 din RGPD.

94 Având în vedere ansamblul considerațiilor care precedă, este necesar să se răspundă la prima întrebare adresată că articolul 10 din RGPD trebuie interpretat în sensul că se aplică prelucrării datelor cu caracter personal referitoare la punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră.

Cu privire la a doua întrebare

95 Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă dispozițiile RGPD trebuie interpretate în sensul că se opun unei legislații naționale care obligă organismul public responsabil cu registrul în care sunt înscrise punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră să comunice aceste date oricărei persoane care solicită acest lucru fără ca persoana să fie ținută să justifice un interes specific în obținerea datelor menționate.

96 În această privință trebuie amintit că orice prelucrare de date cu caracter personal trebuie, pe de o parte, să fie conformă cu principiile referitoare la prelucrarea datelor enunțate la articolul 5 din RGPD și, pe de altă parte, să răspundă unuia dintre principiile referitoare la legalitatea prelucrării enumerate la articolul 6 din regulamentul menționat (a se vedea în acest sens Hotărârea din 16 ianuarie 2019, Deutsche Post, C‑496/17, EU:C:2019:26, punctul 57 și jurisprudența citată).

97 În ceea ce privește principiile referitoare la prelucrarea datelor cu caracter personal, este adevărat că instanța de trimitere se referă în mod specific la principiile „integrității” și „confidențialității” consacrate la articolul 5 alineatul (1) litera (f) din RGPD. Totuși, din problemele ridicate de instanța menționată reiese că aceasta urmărește să stabilească mai general dacă prelucrarea datelor cu caracter personal în discuție în litigiul principal poate fi considerată legală în raport cu toate dispozițiile regulamentului menționat și, printre altele, în raport cu principiul proporționalității.

98 Rezultă că în răspunsul care urmează a fi furnizat acestei instanțe trebuie să se țină seama și de celelalte principii enunțate la articolul 5 alineatul (1) din regulamentul menționat, în special de principiul „reducerii la minimum a datelor” care figurează la litera (c) a acestei dispoziții, potrivit căruia datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate, și care constituie expresia principiului proporționalității menționat (a se vedea în acest sens Hotărârea din 11 decembrie 2019, Asociația de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, punctul 48).

99 În ceea ce privește principiile referitoare la legalitatea prelucrării, articolul 6 din RGPD prevede o listă exhaustivă și limitativă de cazuri în care o prelucrare de date cu caracter personal poate fi considerată ca fiind legală. Astfel, pentru a putea fi considerată legitimă, o prelucrare trebuie să se încadreze în unul dintre cazurile prevăzute la articolul 6 menționat (a se vedea în acest sens Hotărârea din 11 decembrie 2019, Asociația de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, punctele 37 și 38). În această privință, prelucrarea datelor cu caracter personal în discuție în litigiul principal, și anume comunicarea publică a datelor referitoare la punctele de penalizare aplicate pentru încălcarea normelor de circulație rutieră efectuată de CSDD, poate intra sub incidența articolului 6 alineatul (1) litera (e) din RGPD, în temeiul căruia prelucrarea este legală numai dacă și în măsura în care este „necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul”.

100 În plus, în măsura în care, așa cum s‑a constatat la punctul 94 din prezenta hotărâre, datele cu caracter personal referitoare la punctele de penalizare aplicate conducătorilor de vehicule pentru încălcarea normelor de circulație rutieră intră sub incidența articolului 10 din RGPD, prelucrarea lor face obiectul unor restricții suplimentare prevăzute la această dispoziție. Astfel, conform acesteia, prelucrarea acestor date „se efectuează numai sub controlul unei autorități de stat”, cu excepția cazului în care este „autorizată de dreptul Uniunii sau de dreptul intern, care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate”. Dispoziția menționată precizează, pe de altă parte, că „[o]rice registru cuprinzător al condamnărilor penale se ține numai sub controlul unei autorități de stat”.

101 În speță este cert că prelucrarea datelor cu caracter personal în discuție în litigiul principal, și anume comunicarea publică a datelor referitoare la punctele de penalizare aplicate pentru încălcarea normelor de circulație rutieră, este efectuată de un organism public, CSDD, care este operator în sensul articolului 4 punctul 7 din RGPD (a se vedea prin analogie Hotărârea din 9 martie 2017, Manni, C‑398/15, EU:C:2017:197, punctul 35). Este însă de asemenea cert că, odată comunicate, aceste date sunt consultate de persoanele care au solicitat comunicarea lor și, după caz, sunt păstrate sau difuzate de aceste persoane. În măsura în care aceste prelucrări ulterioare ale datelor nu mai sunt efectuate „sub controlul” CSDD sau al unei alte autorități publice, dreptul național care autorizează comunicarea de către CSDD a datelor menționate trebuie să prevadă „garanții adecvate pentru drepturile și libertățile persoanelor vizate”.

102 Prin urmare, conformitatea cu acest regulament a unei legislații naționale precum cea în discuție în litigiul principal trebuie examinată atât în raport cu condițiile generale de legalitate, printre altele cele prevăzute la articolul 5 alineatul (1) litera (c) și la articolul 6 alineatul (1) litera (e) din RGPD, cât și cu restricțiile specifice prevăzute la articolul 10 din acesta.

103 În această privință trebuie să se constate că niciuna dintre aceste dispoziții nu interzice în mod general și absolut ca, în temeiul unei legislații naționale, o autoritate publică să fie abilitată sau chiar obligată să comunice date cu caracter personal persoanelor care solicită acest lucru.

104 Astfel, deși articolul 5 alineatul (1) litera (c) din RGPD supune prelucrarea datelor cu caracter personal respectării principiului „reducerii la minimum a datelor”, rezultă în mod clar din textul acestei dispoziții că aceasta nu urmărește să instituie o asemenea interdicție generală și absolută și că, în special, ea nu se opune comunicării datelor cu caracter personal publicului atunci când comunicarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice, în sensul articolului 6 alineatul (1) litera (e) din acest regulament. Aceeași este situația atunci când datele în cauză intră sub incidența articolului 10 din RGPD, cu condiția ca legislația care autorizează această comunicare să prevadă garanții adecvate pentru drepturile și libertățile persoanelor în cauză [a se vedea în acest sens Hotărârea din 24 septembrie 2019, GC și alții (Dezindexarea unor date sensibile), C‑136/17, EU:C:2019:773, punctul 73].

105 În acest context trebuie amintit că drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal nu sunt prerogative absolute, ci trebuie să fie luate în considerare în raport cu funcția lor în societate și trebuie echilibrate cu alte drepturi fundamentale. Astfel, pot fi impuse restrângeri, cu condiția ca, în conformitate cu articolul 52 alineatul (1) din cartă, acestea să fie prevăzute de lege și să respecte substanța drepturilor fundamentale, precum și principiul proporționalității. În temeiul acestui din urmă principiu, pot fi impuse restrângeri numai în cazul în care acestea sunt necesare și numai dacă răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și a libertăților celorlalți. Acestea trebuie să fie efectuate în limitele strictului necesar, iar reglementarea care presupune o ingerință trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective (a se vedea în acest sens Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctele 172-176).

106 Prin urmare, pentru a stabili dacă o comunicare publică a unor date cu caracter personal referitoare la puncte de penalizare, precum cea în discuție în litigiul principal, este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice, în sensul articolului 6 alineatul (1) litera (e) din RGPD, și dacă legislația care autorizează o astfel de comunicare prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate, în sensul articolului 10 din acest regulament, este necesar să se verifice în special dacă, având în vedere gravitatea ingerinței în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal cauzată de comunicarea menționată, aceasta pare justificată și în special proporțională în raport cu scopul realizării obiectivelor urmărite.

107 În speță, Parlamentul leton, în observațiile sale în fața instanței de trimitere, și guvernul leton, în observațiile sale în fața Curții, susțin că comunicarea de către CSDD oricărei persoane care solicită aceasta a datelor cu caracter personal referitoare la puncte de penalizare se încadrează în sarcina care servește unui interes public și care revine acestui organ de a îmbunătăți siguranța rutieră și urmărește, în acest context, în special să permită identificarea conducătorilor de vehicule care încalcă în mod sistematic regulile de circulație rutieră și să influențeze conduita participanților la trafic, încurajându‑i să aibă o conduită conformă cu normele menționate.

108 În această privință trebuie amintit că îmbunătățirea siguranței rutiere constituie un obiectiv de interes general recunoscut de Uniune (a se vedea în acest sens Hotărârea din 23 aprilie 2015, Aykul, C‑260/13, EU:C:2015:257, punctul 69 și jurisprudența citată). Așadar statele membre sunt îndreptățite să califice siguranța rutieră drept „sarcină care servește unui interes public”, în sensul articolului 6 alineatul (1) litera (e) din RGPD.

109 Totuși, pentru a îndeplini condițiile prevăzute de această ultimă dispoziție, este necesar ca comunicarea datelor cu caracter personal referitoare la punctele de penalizare înscrise în registrul ținut de CSDD să răspundă efectiv obiectivului de interes general de îmbunătățire a siguranței rutiere, fără a depăși ceea ce este necesar pentru a realiza acest obiectiv.

110 Astfel cum subliniază considerentul (39) al RGPD, această cerință a necesității nu este îndeplinită atunci când obiectivul de interes general vizat poate fi atins în mod rezonabil la fel de eficient prin alte mijloace care să afecteze mai puțin drepturile fundamentale ale persoanelor vizate, în special dreptul la respectarea vieții private și dreptul la protecția datelor cu caracter personal garantate la articolele 7 și 8 din cartă, derogările și restricțiile de la principiul protecției unor asemenea date trebuind să fie efectuate în limitele strictului necesar (a se vedea în acest sens Hotărârea din 11 decembrie 2019, Asociația de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, punctele 46 și 47).

111 Or, așa cum rezultă din practica statelor membre, fiecare dintre acestea dispune de o multitudine de modalități de acțiune, printre care figurează și cea care constă în a reprima în mod disuasiv încălcarea normelor de circulație rutieră în special privându‑i pe conducătorii auto în cauză de dreptul de a conduce un vehicul, încălcarea unei asemenea interdicții putând, la rândul său, să fie pedepsită prin sancțiuni efective, fără a fi necesară comunicarea publică a unor astfel de măsuri. Reiese din această practică totodată că pot fi adoptate, în plus, numeroase măsuri preventive, de la campanii de sensibilizare colectivă până la adoptarea de măsuri individuale care constau în obligarea conducătorilor de vehicule să urmeze cursuri și să susțină examene, fără a fi necesar să se comunice publicului adoptarea unor asemenea măsuri individuale. Or, din dosarul de care dispune Curtea nu reiese că acest tip de măsuri au fost examinate și privilegiate de legiuitorul leton în locul adoptării reglementării în discuție în litigiul principal.

112 În plus, după cum s‑a arătat la punctul 92 din prezenta hotărâre, comunicarea publică a datelor cu caracter personal referitoare la încălcarea normelor de circulație rutieră, inclusiv a datelor referitoare la punctele de penalizare aplicate pentru săvârșirea lor, este susceptibilă să constituie o ingerință gravă în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal, întrucât poate provoca dezaprobarea socială și poate antrena stigmatizarea persoanei în cauză.

113 Ținând seama, pe de o parte, atât de caracterul sensibil al datelor în discuție și de gravitatea ingerinței menționate în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal a persoanelor în cauză, cât și, pe de altă parte, de faptul că, având în vedere constatările efectuate la punctul 111 din prezenta hotărâre, nu rezultă că obiectivul îmbunătățirii siguranței rutiere nu poate fi atins în mod rezonabil într‑un mod la fel de eficace prin alte mijloace mai puțin vătămătoare, nu se poate considera că a fost demonstrată necesitatea, în scopul asigurării acestui obiectiv, a unui asemenea regim de comunicare a datelor cu caracter personal referitoare la punctele de penalizare aplicate pentru încălcarea normelor de circulație rutieră (a se vedea prin analogie Hotărârea din 9 noiembrie 2010, Volker und Markus Schecke și Eifert, C‑92/09 și C‑93/09, EU:C:2010:662, punctul 86).

114 Astfel, deși poate fi justificat să se distingă conducătorii auto care încalcă regulile de circulație rutieră în mod sistematic și cu rea‑credință de conducătorii auto care săvârșesc încălcări în mod ocazional, nu se poate totuși considera că identificarea primei categorii de conducători auto trebuie efectuată, în scopul îmbunătățirii siguranței rutiere, de către publicul larg sau comunicată acestuia, așa încât se poate chiar pune la îndoială capacitatea reglementării în discuție în litigiul principal de a atinge primul dintre obiectivele menționate la punctul 107 din prezenta hotărâre.

115 De altfel, din dosarul de care dispune Curtea reiese că CSDD comunică publicului nu numai datele referitoare la punctele de penalizare aplicate conducătorilor auto care încalcă regulile de circulație rutieră în mod sistematic și cu rea‑credință, ci și cele referitoare la punctele de penalizare aplicate conducătorilor auto care săvârșesc încălcări în mod ocazional. Rezultă, așadar, că, întrucât a prevăzut un acces generalizat al publicului la punctele de penalizare, reglementarea în discuție în litigiul principal depășește, în orice caz, ceea ce este necesar pentru a garanta obiectivul de a combate încălcarea sistematică și cu rea‑credință a normelor de circulație rutieră.

116 În ceea ce privește al doilea obiectiv urmărit de reglementarea în discuție în litigiul principal, amintit la punctul 107 din prezenta hotărâre, reiese din dosarul menționat că, deși în Letonia a putut fi observată o tendință de scădere a numărului de accidente de circulație, nimic nu permite să se concluzioneze că această tendință este legată de divulgarea informațiilor referitoare la punctele de penalizare, iar nu de instituirea sistemului de puncte de penalizare ca atare.

117 Concluzia enunțată la punctul 113 din prezenta hotărâre nu este infirmată de împrejurarea că CSDD supune în practică comunicarea datelor cu caracter personal în cauză condiției ca solicitantul să indice numărul de identificare național al conducătorului auto cu privire la care dorește să se informeze.

118 Astfel, chiar presupunând, după cum a precizat guvernul leton, că comunicarea numerelor de identificare naționale de către organismele publice care țin registrul populației este supusă unor cerințe stricte și îndeplinește, așadar, articolul 87 din RGPD, nu este mai puțin adevărat că reglementarea în discuție în litigiul principal, în modul în care este aplicată de CSDD, permite oricărei persoane care cunoaște numărul de identificare național al unui anumit conducător auto să obțină, fără altă condiție, datele cu caracter personal referitoare la punctele de penalizare care au fost aplicate acestui conducător auto. Un asemenea regim de divulgare poate conduce la o situație în care datele sunt comunicate unor persoane care încearcă din motive străine obiectivului de interes general de îmbunătățire a siguranței rutiere să se informeze asupra punctelor de penalizare care au fost aplicate unei anumite persoane.

119 Concluzia enunțată la punctul 113 din prezenta hotărâre nu este infirmată nici de împrejurarea că registrul național al vehiculelor și al conducătorilor auto este un document oficial, în sensul articolului 86 din RGPD.

120 Astfel, deși accesul public la documente oficiale constituie, așa cum decurge din considerentul (154) al acestui regulament, un interes public care poate legitima comunicarea unor date cu caracter personal care figurează în asemenea documente, trebuie asigurat un echilibru între acest acces și drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal, după cum impune de altfel în mod expres articolul 86 menționat. Or, având în vedere printre altele caracterul sensibil al datelor referitoare la punctele de penalizare aplicate pentru încălcarea normelor de circulație rutieră și gravitatea ingerinței în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal ale persoanelor în cauză pe care o provoacă divulgarea acestor date, trebuie să se considere că aceste drepturi prevalează asupra interesului publicului de a avea acces la documente oficiale, printre care registrul național al vehiculelor și al conducătorilor auto.

121 În plus, pentru același motiv, dreptul la libertatea de informare prevăzut la articolul 85 din RGPD nu poate fi interpretat în sensul că justifică comunicarea oricărei persoane care solicită acest lucru a unor date cu caracter personal referitoare la punctele de penalizare aplicate pentru încălcarea normelor de circulație rutieră.

122 Având în vedere tot ceea ce precedă, trebuie să se răspundă la a doua întrebare că dispozițiile RGPD, în special articolul 5 alineatul (1), articolul 6 alineatul (1) litera (e) și articolul 10 din acesta, trebuie interpretate în sensul că se opun unei legislații naționale care obligă organismul public responsabil cu registrul în care sunt înscrise punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră să facă aceste date accesibile publicului fără ca persoana care solicită accesul să fie ținută să justifice un interes specific în obținerea datelor menționate.

Cu privire la a treia întrebare

123 Prin intermediul celei de a treia întrebări, instanța de trimitere solicită în esență să se stabilească dacă dispozițiile RGPD, în special articolul 5 alineatul (1) litera (b) și articolul 10 din acesta, precum și articolul 1 alineatul (2) litera (cc) din Directiva 2003/98 trebuie interpretate în sensul că se opun unei legislații naționale care autorizează organismul public responsabil cu registrul în care sunt înscrise punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră să comunice aceste date unor operatori economici în scopul reutilizării.

124 După cum subliniază instanța de trimitere, această întrebare are la origine faptul că CSDD încheie cu operatori economici contracte în temeiul cărora le transmite datele cu caracter personal referitoare la punctele de penalizare înscrise în registrul național al vehiculelor și al conducătorilor auto, astfel încât orice persoană care dorește să se informeze asupra punctelor de penalizare aplicate unui anumit conducător auto poate obține aceste date nu numai de la CSDD, ci și de la acești operatori economici.

125 Rezultă din răspunsul la a doua întrebare că dispozițiile RGPD, în special articolul 5 alineatul (1), articolul 6 alineatul (1) litera (e) și articolul 10 din acesta, trebuie interpretate în sensul că se opun unei legislații naționale care obligă organismul public responsabil cu registrul în care sunt înscrise punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră să facă aceste date accesibile publicului fără ca persoana care solicită accesul să fie ținută să justifice un interes specific în obținerea datelor menționate.

126 Aceleași dispoziții, pentru motive identice celor prezentate în răspunsul la a doua întrebare, trebuie interpretate în sensul că se opun și unei legislații naționale care autorizează un organism public să comunice date de această natură unor operatori economici pentru ca aceștia să le poată reutiliza și comunica publicului.

127 În sfârșit, în ceea ce privește articolul 1 alineatul (2) litera (cc) din Directiva 2003/98, vizat de asemenea de cea de a treia întrebare adresată, este necesar să se constate că, așa cum a arătat domnul avocat general la punctele 128 și 129 din concluzii, această dispoziție nu este pertinentă pentru a stabili dacă normele dreptului Uniunii în materie de protecție a datelor cu caracter personal se opun unei legislații precum cea în discuție în litigiul principal.

128 Astfel, independent de aspectul dacă datele referitoare la punctele de penalizare aplicate conducătorilor de vehicule pentru încălcarea normelor de circulație rutieră intră sau nu în domeniul de aplicare al Directivei 2003/98, sfera protecției acestor date trebuie, în orice caz, să fie determinată în temeiul RGPD, astfel cum rezultă, pe de o parte, din considerentul (154) al acestui regulament și, pe de altă parte, din considerentul (21) și din articolul 1 alineatul (4) din această directivă coroborate cu articolul 94 alineatul (2) din RGPD, articolul 1 alineatul (4) din directiva menționată prevăzând în esență că aceasta lasă intact și nu aduce atingere în niciun fel nivelului de protecție al persoanelor prevăzut printre altele în legislația Uniunii privind prelucrarea datelor personale și în special nu modifică drepturile și obligațiile prevăzute de RGPD.

129 Având în vedere ceea ce precedă, este necesar să se răspundă la a treia întrebare că dispozițiile RGPD, în special articolul 5 alineatul (1), articolul 6 alineatul (1) litera (e) și articolul 10 din acesta, trebuie interpretate în sensul că se opun unei legislații naționale care autorizează organismul public responsabil cu registrul în care sunt înscrise punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră să comunice aceste date unor operatori economici în scopul reutilizării.

Cu privire la a patra întrebare

130 Prin intermediul celei de a patra întrebări, instanța de trimitere solicită în esență să se stabilească dacă principiul supremației dreptului Uniunii trebuie interpretat în sensul că se opune ca instanța constituțională a unui stat membru, sesizată cu o acțiune împotriva unei legislații naționale care se dovedește, în lumina unei hotărâri a Curții pronunțate într‑o trimitere preliminară, incompatibilă cu dreptul Uniunii, să decidă, în temeiul principiului securității juridice, că efectele juridice ale acestei legislații se mențin până la data la care instanța constituțională se pronunță definitiv cu privire la această acțiune constituțională.

131 Astfel cum reiese din decizia de trimitere, această întrebare este adresată din cauza numărului ridicat de raporturi juridice afectate de reglementarea națională în discuție în litigiul principal și întrucât, în temeiul articolului 32 alineatul (3) din Legea privind Curtea Constituțională și al jurisprudenței aferente, instanța de trimitere, în îndeplinirea sarcinii sale de a asigura un echilibru între principiul securității juridice și drepturile fundamentale ale persoanelor în cauză, poate limita efectul retroactiv al hotărârilor sale pentru a evita ca acestea să aducă o atingere gravă drepturilor altei persoane.

132 În această privință trebuie amintit că interpretarea pe care Curtea o dă normelor dreptului Uniunii în exercitarea competenței pe care i‑o conferă articolul 267 TFUE lămurește și precizează semnificația și domeniul de aplicare ale acestor norme astfel cum trebuie sau cum ar fi trebuit să fie înțelese și aplicate de la momentul intrării lor în vigoare. Curtea poate numai în mod excepțional, în aplicarea principiului general al securității juridice, inerent ordinii juridice a Uniunii, să fie pusă în situația de a limita posibilitatea oricărei persoane interesate de a invoca o dispoziție pe care a interpretat‑o în scopul de a contesta raporturi juridice stabilite cu bună‑credință. Pentru a putea impune o astfel de limitare, este necesară întrunirea a două criterii esențiale, și anume buna‑credință a mediilor interesate și riscul unor perturbări grave (Hotărârea din 6 martie 2007, Meilicke, C‑292/04, EU:C:2007:132, punctele 34 și 35, Hotărârea din 22 ianuarie 2015, Balazs, C‑401/13 și C‑432/13, EU:C:2015:26, punctele 49 și 50, precum și Hotărârea din 29 septembrie 2015, Gmina Wrocław, C‑276/14, EU:C:2015:635, punctele 44 și 45).

133 O asemenea limitare nu poate fi admisă, potrivit jurisprudenței constante a Curții, decât în însăși hotărârea prin care se statuează asupra interpretării solicitate. Astfel, trebuie să existe un moment unic de stabilire a efectelor în timp ale interpretării solicitate pe care Curtea o dă unei dispoziții de drept al Uniunii. Principiul că o limitare nu poate fi admisă decât în însăși hotărârea prin care se statuează asupra interpretării solicitate garantează egalitatea de tratament a statelor membre și a altor justițiabili în fața acestui drept și îndeplinește, așadar, cerințele care decurg din principiul securității juridice (Hotărârea din 6 martie 2007, Meilicke, C‑292/04, EU:C:2007:132, punctele 36 și 37; a se vedea în acest sens Hotărârea din 23 octombrie 2012, Nelson și alții, C‑581/10 și C‑629/10, EU:C:2012:657, punctul 91, precum și Hotărârea din 7 noiembrie 2018, O’Brien, C‑432/17, EU:C:2018:879, punctul 34).

134 În consecință, efectele în timp ale unei hotărâri pronunțate de Curte într‑o trimitere preliminară nu pot depinde de data la care hotărârea instanței de trimitere în cauza principală va dobândi autoritate de lucru judecat și nici de aprecierea de către aceasta a necesității menținerii efectelor juridice ale reglementării naționale în discuție.

135 Astfel, în temeiul principiului supremației dreptului Uniunii, nu se poate admite ca norme de drept național, fie ele și de natură constituțională, să aducă atingere unității și eficacității dreptului Uniunii (a se vedea în acest sens Hotărârea din 26 februarie 2013, Melloni, C‑399/11, EU:C:2013:107, punctul 59, precum și Hotărârea din 29 iulie 2019, Pelham și alții, C‑476/17, EU:C:2019:624, punctul 78). Într‑adevăr, presupunând chiar că o serie de considerații imperative de securitate juridică sunt de natură să conducă, cu titlu excepțional, la o suspendare provizorie a efectului de înlăturare pe care o normă de drept al Uniunii direct aplicabilă îl exercită față de dreptul național contrar acesteia, condițiile unei asemenea suspendări nu pot fi determinate decât de Curte (a se vedea în acest sens Hotărârea din 8 septembrie 2010, Winner Wetten, C‑409/06, EU:C:2010:503, punctele 61 și 67).

136 În speță, întrucât nu a fost demonstrată existența unui risc de perturbări grave în urma interpretării reținute de Curte în prezenta hotărâre, nu este necesar să se limiteze în timp efectele acesteia, criteriile menționate la punctul 132 din prezenta hotărâre fiind cumulative.

137 Având în vedere ceea ce precedă, este necesar să se răspundă la a patra întrebare că principiul supremației dreptului Uniunii trebuie interpretat în sensul că se opune ca instanța constituțională a unui stat membru, sesizată cu o acțiune împotriva unei legislații naționale care se dovedește, în lumina unei hotărâri a Curții pronunțate într‑o trimitere preliminară, incompatibilă cu dreptul Uniunii, să decidă, în temeiul principiului securității juridice, că efectele juridice ale acestei legislații se mențin până la data la care instanța constituțională se pronunță definitiv cu privire la această acțiune constituțională.

Cu privire la cheltuielile de judecată

138 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Marea Cameră) declară:

1) Articolul 10 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) trebuie interpretat în sensul că se aplică prelucrării datelor cu caracter personal referitoare la punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră.

2) Dispozițiile Regulamentului (UE) 2016/679, în special articolul 5 alineatul (1), articolul 6 alineatul (1) litera (e) și articolul 10 din acesta, trebuie interpretate în sensul că se opun unei legislații naționale care obligă organismul public responsabil cu registrul în care sunt înscrise punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră să facă aceste date accesibile publicului fără ca persoana care solicită accesul să fie ținută să justifice un interes specific în obținerea datelor menționate.

3) Dispozițiile Regulamentului (UE) 2016/679, în special articolul 5 alineatul (1), articolul 6 alineatul (1) litera (e) și articolul 10 din acesta, trebuie interpretate în sensul că se opun unei legislații naționale care autorizează organismul public responsabil cu registrul în care sunt înscrise punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră să comunice aceste date unor operatori economici în scopul reutilizării.

4) Principiul supremației dreptului Uniunii trebuie interpretat în sensul că se opune ca instanța constituțională a unui stat membru, sesizată cu o acțiune împotriva unei legislații naționale care se dovedește, în lumina unei hotărâri a Curții pronunțate într‑o trimitere preliminară, incompatibilă cu dreptul Uniunii, să decidă, în temeiul principiului securității juridice, că efectele juridice ale acestei legislații se mențin până la data la care instanța constituțională se pronunță definitiv cu privire la această acțiune constituțională.

Semnături

* Limba de procedură: letona.