Language of document : ECLI:EU:C:2024:216

HOTĂRÂREA CURȚII (Camera a șasea)

7 martie 2024(*)

„Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolele 2, 4, 6, 10 și 86 – Date deținute de o instanță referitoare la condamnările penale ale unei persoane fizice – Comunicare orală a unor astfel de date către o societate comercială în urma unui concurs organizat de aceasta – Noțiunea de «prelucrare de date cu caracter personal» – Reglementare națională care guvernează accesul la datele respective – Echilibru între dreptul publicului de acces la documente oficiale și protecția datelor cu caracter personal”

În cauza C‑740/22,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Itä-Suomen hovioikeus (Curtea de Apel din Finlanda de Est, Finlanda), prin decizia din 30 noiembrie 2022, primită de Curte la 2 decembrie 2022, în procedura

Endemol Shine Finland Oy

CURTEA (Camera a șasea),

compusă din domnul T. von Danwitz (raportor), președinte de cameră, și domnul P. G. Xuereb și doamna I. Ziemele, judecători,

avocat general: doamna T. Ćapeta,

grefier: domnul A. Calot Escobar,

având în vedere procedura scrisă,

luând în considerare observațiile prezentate:

–        pentru guvernul finlandez, de A. Laine și M. Pere, în calitate de agenți;

–        pentru guvernul portughez, de P. Barros da Costa, J. Ramos și C. Vieira Guerra, în calitate de agenți;

–        pentru Comisia Europeană, de A. Bouchagiar, H. Kranenborg și I. Söderlund, în calitate de agenți,

având în vedere decizia de judecare a cauzei fără concluzii, luată după ascultarea avocatei generale,

pronunță prezenta

Hotărâre

1        Cererea de decizie preliminară privește interpretarea articolului 2 alineatul (1), a articolului 4 punctul 2 și a articolului 86 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).

2        Această cerere a fost formulată în cadrul unei proceduri privind refuzul unei instanțe naționale de a comunica societății Endemol Shine Finland Oy date privind condamnări penale referitoare la un terț.

 Cadrul juridic

 Dreptul Uniunii

3        Considerentele (4), (10), (11), (15), (19) și (154) ale RGPD au următorul cuprins:

„(4)      Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor. Dreptul la protecția datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității. Prezentul regulament respectă toate drepturile fundamentale și libertățile și principiile recunoscute în [Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta»] astfel cum sunt consacrate în tratate, în special respectarea vieții private și de familie […], a protecției datelor cu caracter personal, a libertății de gândire, de conștiință și de religie, a libertății de exprimare și de informare, a libertății de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, […]

[…]

(10)      Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii [Europene], nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. În ceea ce privește prelucrarea datelor cu caracter personal în vederea respectării unei obligații legale, a îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, statelor membre ar trebui să li se permită să mențină sau să introducă dispoziții de drept intern care să clarifice într‑o mai mare măsură aplicarea normelor prezentului regulament. În coroborare cu legislația generală și orizontală privind protecția datelor, prin care este pusă în aplicare Directiva 95/46/CE [a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 1. Ediție specială, 13/vol. 17, p. 10)], statele membre au mai multe legi sectoriale specifice în domenii care necesită dispoziții mai precise. Prezentul regulament oferă, de asemenea, statelor membre o marjă de manevră în specificarea normelor sale, inclusiv în ceea ce privește prelucrarea categoriilor speciale de date cu caracter personal («date sensibile»). În acest sens, prezentul regulament nu exclude dreptul statelor membre care stabilește circumstanțele aferente unor situații de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a condițiilor în care prelucrarea datelor cu caracter personal este legală.

(11)      Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea și stabilirea în detaliu a drepturilor persoanelor vizate și a obligațiilor celor care prelucrează și decid prelucrarea datelor cu caracter personal, ci și competențe echivalente pentru monitorizarea și asigurarea conformității cu normele de protecție a datelor cu caracter personal și sancțiuni echivalente pentru infracțiuni în statele membre.

[…]

(15)      Pentru a preveni apariția unui risc major de eludare, protecția persoanelor fizice ar trebui să fie neutră din punct de vedere tehnologic și să nu depindă de tehnologiile utilizate. Protecția persoanelor fizice ar trebui să se aplice prelucrării datelor cu caracter personal prin mijloace automatizate, precum și prelucrării manuale, în cazul în care datele cu caracter personal sunt cuprinse sau destinate să fie cuprinse într‑un sistem de evidență. Dosarele sau seturile de dosare, precum și copertele acestora, care nu sunt structurate în conformitate cu criterii specifice nu ar trebui să intre în domeniul de aplicare al prezentului regulament.

[…]

(19)      Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora, precum și libera circulație a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul regulament nu ar trebui să se aplice activităților de prelucrare în aceste scopuri. Cu toate acestea, datele cu caracter personal prelucrate de către autoritățile publice în temeiul prezentului regulament, atunci când sunt utilizate în aceste scopuri, ar trebui să fie reglementate printr‑un act juridic mai specific al Uniunii, și anume Directiva (UE) 2016/680 a Parlamentului European și a Consiliului [din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului (JO 2016, L 119, p. 89)]. Statele membre pot încredința autorităților competente în sensul Directivei (UE) 2016/680 sarcini care nu sunt neapărat îndeplinite în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora, astfel încât prelucrarea datelor cu caracter personal pentru alte scopuri, în măsura în care se încadrează în domeniul de aplicare al dreptului Uniunii, să intre în domeniul de aplicare al prezentului regulament.

În ceea ce privește prelucrarea datelor cu caracter personal de către aceste autorități competente în scopuri care intră în domeniul de aplicare al prezentului regulament, statele membre ar trebui să poată menține sau introduce dispoziții mai detaliate pentru a adapta aplicarea normelor din prezentul regulament. Aceste dispoziții pot stabili mai precis cerințe specifice pentru prelucrarea datelor cu caracter personal de către respectivele autorități competente în aceste alte scopuri, ținând seama de structura constituțională, organizatorică și administrativă a statului membru în cauză. Atunci când prelucrarea de date cu caracter personal de către organisme private face obiectul prezentului regulament, prezentul regulament ar trebui să prevadă posibilitatea ca statele membre, în anumite condiții, să impună prin lege restricții asupra anumitor obligații și drepturi, în cazul în care asemenea restricții constituie o măsură necesară și proporțională într‑o societate democratică în scopul garantării unor interese specifice importante, printre care se numără siguranța publică și prevenirea, investigarea, depistarea și urmărirea penală a infracțiunilor sau executarea pedepselor, inclusiv protejarea împotriva amenințărilor la adresa siguranței publice și prevenirea acestora. Acest lucru este relevant, de exemplu, în cadrul combaterii spălării de bani sau al activităților laboratoarelor criminalistice.

[…]

(154)      Prezentul regulament permite luarea în considerare a principiului accesului public la documente oficiale în aplicarea prezentului regulament. Accesul public la documente oficiale poate fi considerat a fi în interes public. Datele cu caracter personal din documentele deținute de o autoritate publică sau de un organism public ar trebui să poată fi divulgate de autoritatea respectivă sau de organismul respectiv în cazul în care dreptul Uniunii sau dreptul intern sub incidența căruia intră autoritatea publică sau organismul public prevede acest lucru. Dreptul Uniunii și dreptul intern ar trebui să asigure un echilibru între accesul public la documentele oficiale și reutilizarea informațiilor din sectorul public, pe de o parte, și dreptul la protecția datelor cu caracter personal, pe de altă parte, și ar putea prin urmare să prevadă echilibrul necesar cu dreptul la protecția datelor cu caracter personal în temeiul prezentului regulament. Trimiterea la autoritățile și organismele publice ar trebui, în acest context, să includă toate autoritățile sau alte organisme reglementate de dreptul intern privind accesul public la documente. Directiva 2003/98/CE a Parlamentului European și a Consiliului [din 17 noiembrie 2003 privind reutilizarea informațiilor din sectorul public (JO 2003, L 345, p. 90, Ediție specială, 13/vol. 41, p. 73)] lasă intact și nu aduce atingere în niciun fel nivelului de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în conformitate cu dreptul Uniunii și cu cel intern și, în special, nu modifică drepturile și obligațiile prevăzute de prezentul regulament. În special, directiva sus‑menționată nu se aplică documentelor la care accesul este exclus sau restrâns în temeiul regimurilor de acces din motive legate de protecția datelor cu caracter personal și nici părților din documente accesibile în temeiul respectivelor regimuri care conțin date cu caracter personal a căror reutilizare a fost stabilită prin lege ca fiind incompatibilă cu dreptul privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.”

4        Articolul 2 din RGDP, intitulat „Domeniul de aplicare material”, prevede:

„(1)      Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență sau care sunt destinate să facă parte dintr‑un sistem de evidență.

(2)      Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:

(a)      în cadrul unei activități care nu intră sub incidența dreptului Uniunii;

(b)      de către statele membre atunci când desfășoară activități care intră sub incidența capitolului 2 al titlului V din Tratatul UE;

(c)      de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;

(d)      de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.

(3)      Pentru prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii, se aplică Regulamentul (CE) nr. 45/2001 [al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO 2001, L 8, p. 1, Ediție specială, 13/vol. 30, p. 142)]. Regulamentul (CE) nr. 45/2001 și alte acte juridice ale Uniunii aplicabile unei asemenea prelucrări a datelor cu caracter personal se adaptează la principiile și normele din prezentul regulament în conformitate cu articolul 98.

(4)      Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE [a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale comerțului electronic, pe piața internă (directiva privind comerțul electronic) (JO 2000, L 178, p. 1, Ediție specială, 13/vol. 29, p. 257)], în special normelor privind răspunderea furnizorilor de servicii intermediari, prevăzute la articolele 12-15 din directiva menționată.”

5        Articolul 4 din RGPD, intitulat „Definiții”, prevede la punctele 1, 2, 6 și 7:

„În sensul prezentului regulament:

1)      «date cu caracter personal» înseamnă orice informație privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

2)      «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

[…]

6)      «sistem de evidență a datelor» înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;

7)      «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern”.

6        Articolul 5 din același regulament, intitulat „Principii legate de prelucrarea datelor cu caracter personal”, are următorul cuprins:

„(1)      Datele cu caracter personal sunt:

(a)      prelucrate în mod legal, echitabil și transparent față de persoana vizată («legalitate, echitate și transparență»);

(b)      colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într‑un mod incompatibil cu aceste scopuri; […] («limitări legate de scop»);

(c)      adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate («reducerea la minimum a datelor»);

(d)      exacte și, dacă este necesar, […] actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere («exactitate»);

(e)      păstrate într‑o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; […] («limitări legate de stocare»);

(f)      prelucrate într‑un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare («integritate și confidențialitate»).

[…]”

7        Articolul 6 din acest regulament, intitulat „Legalitatea prelucrării”, prevede la alineatele (1)-(3):

„(1)      Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a)      persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b)      prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

(c)      prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

(d)      prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

(e)      prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

(f)      prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.

(2)      Statele membre pot menține sau introduce dispoziții mai specifice de adaptare a aplicării normelor prezentului regulament în ceea ce privește prelucrarea în vederea respectării alineatului (1) literele (c) și (e) prin definirea unor cerințe specifice mai precise cu privire la prelucrare și a altor măsuri de asigurare a unei prelucrări legale și echitabile, inclusiv pentru alte situații concrete de prelucrare, astfel cum este prevăzut în capitolul IX.

(3)      Temeiul pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:

(a)      dreptul Uniunii; sau

(b)      dreptul intern care se aplică operatorului.

Scopul prelucrării este stabilit pe baza respectivului temei juridic sau, în ceea ce privește prelucrarea menționată la alineatul (1) litera (e), este necesar pentru îndeplinirea unei sarcini efectuate în interes public sau în cadrul exercitării unei funcții publice atribuite operatorului. Respectivul temei juridic poate conține dispoziții specifice privind adaptarea aplicării normelor prezentului regulament, printre altele: condițiile generale care reglementează legalitatea prelucrării de către operator; tipurile de date care fac obiectul prelucrării; persoanele vizate; entitățile cărora le pot fi divulgate datele și scopul pentru care respectivele date cu caracter personal pot fi divulgate; limitările legate de scop; perioadele de stocare; și operațiunile și procedurile de prelucrare, inclusiv măsurile de asigurare a unei prelucrări legale și echitabile cum sunt cele pentru alte situații concrete de prelucrare astfel cum sunt prevăzute în capitolul IX. Dreptul Uniunii sau dreptul intern urmărește un obiectiv de interes public și este proporțional cu obiectivul legitim urmărit.”

8        Articolul 10 din RGPD, intitulat „Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni”, prevede:

„Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe în temeiul articolului 6 alineatul (1) se efectuează numai sub controlul unei autorități de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate. Orice registru cuprinzător al condamnărilor penale se ține numai sub controlul unei autorități de stat.”

9        Articolul 23 din acest regulament, intitulat „Restricții”, are următorul conținut:

„(1)      Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr‑o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică, pentru a asigura:

[…]

(f)      protejarea independenței judiciare și a procedurilor judiciare;

[…]”

10      Articolul 85 din regulamentul menționat, intitulat „Prelucrarea și libertatea de exprimare și de informare”, prevede la alineatul (1):

„Prin intermediul dreptului intern, statele membre asigură un echilibru între dreptul la protecția datelor cu caracter personal în temeiul prezentului regulament și dreptul la libertatea de exprimare și de informare, inclusiv prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare.”

11      Articolul 86 din RGDP, intitulat „Prelucrarea și accesul public la documente oficiale”, prevede:

„Datele cu caracter personal din documentele oficiale deținute de o autoritate publică sau de un organism public sau privat pentru îndeplinirea unei sarcini care servește interesului public pot fi divulgate de autoritatea sau organismul respectiv în conformitate cu dreptul Uniunii sau cu dreptul intern sub incidența căruia intră autoritatea sau organismul, pentru a stabili un echilibru între accesul public la documente oficiale și dreptul la protecția datelor cu caracter personal în temeiul prezentului regulament.”

 Dreptul finlandez

 Legea privind protecția datelor cu caracter personal (1050/2018)

12      Tietosuojalaki (1050/2018) [Legea privind protecția datelor cu caracter personal (1050/2018)] prevede la articolul 1:

„Prezenta lege precizează și completează [RGDP] și punerea în aplicare a acestuia la nivel național.”

13      Articolul 28 din această lege are următorul cuprins:

„Dispozițiile privind publicitatea activității autorităților publice se aplică dreptului de acces și celorlalte forme de comunicare a datelor cu caracter personal provenind din sisteme de evidență a datelor persoanelor ținute de autoritățile publice.”

 Legea privind publicitatea activității autorităților publice (621/1999)

14      Laki viranomaisten toiminnan julkisuudesta (621/1999) [Legea privind publicitatea activității autorităților publice (621/1999)] prevede la articolul 13:

„Cererea de comunicare a informațiilor privind cuprinsul unui document oficial trebuie să fie suficient de precisă pentru a permite autorității publice identificarea documentului la care se referă cererea. Solicitantul informațiilor trebuie să fie ajutat, prin intermediul unui registru de intrări și al altor registre, să identifice documentul la care dorește să aibă acces. El nu este obligat nici să își divulge identitatea, nici să își motiveze cererea, cu excepția cazului în care acest lucru este necesar în scopul exercitării puterii de apreciere recunoscute autorității sau al lămuririi aspectului dacă solicitantul are dreptul să obțină informații privind conținutul documentului respectiv.

În cazul solicitării informațiilor dintr‑un document confidențial, din sistemul de evidență a datelor persoanelor ținut de o autoritate publică sau din orice alt document la care accesul este acordat numai dacă sunt îndeplinite anumite condiții, solicitantul este obligat să indice, cu excepția cazului în care există dispoziții exprese contrare, scopul utilizării informațiilor, să comunice orice alte împrejurări necesare pentru clarificarea îndeplinirii condițiilor pentru comunicarea informațiilor și să precizeze, dacă este necesar, modul în care se asigură protecția informațiilor respective.”

15      Articolul 16 din această lege prevede:

„Informațiile din cuprinsul unui document deținut de o autoritate publică pot fi furnizate fie verbal, fie prin punerea la dispoziție a documentului, la sediul autorității, în vederea consultării, a fotocopierii sau a ascultării pieselor înregistrate, fie prin eliberarea unei copii sau a unei versiuni tipărite a documentului. Informațiile referitoare la conținutul public al documentului se furnizează conform cererii, cu condiția ca numărul mare de documente ori dificultățile de copiere sau orice alt motiv similar să nu afecteze în mod disproporționat activitatea autorității.

[…]

Dacă legea nu dispune în mod expres altfel, informațiile cu caracter personal dintr‑un sistem de evidență a datelor persoanelor ținut de o autoritate publică pot fi furnizate sub formă de copie, în versiune tipărită sau în format electronic, dacă, potrivit dispozițiilor privind protecția datelor cu caracter personal, destinatarul are dreptul să stocheze și să folosească astfel de informații cu caracter personal. Cu toate acestea, datele cu caracter personal pot fi comunicate în scopuri de marketing direct și de studiu de opinie sau de piață numai dacă acest lucru este prevăzut în mod expres sau dacă persoana vizată și‑a dat consimțământul.

[…]”

 Legea privind publicitatea procedurii în fața instanțelor de drept comun (370/2007)

16      Potrivit articolului 1 din laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007) [Legea privind publicitatea procedurii în fața instanțelor de drept comun (370/2007)]:

„Procedura și actele de procedură sunt publice, cu excepția cazului în care prezenta lege sau o altă lege prevede altfel”.

 Legea privind prelucrarea datelor cu caracter personal în materie penală și în cadrul menținerii securității naționale (1054/2018)

17      Articolul 1 din laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018) [Legea privind prelucrarea datelor cu caracter personal în materie penală și în cadrul menținerii securității naționale (1054/2018)] prevede la primul paragraf că această lege se aplică de către autoritățile competente atunci când prelucrează date cu caracter personal, de exemplu în cazul unei proceduri penale desfășurate la o instanță. În temeiul celui de al patrulea paragraf, legea menționată se aplică numai prelucrării datelor cu caracter personal în sensul primului paragraf efectuate total sau parțial prin mijloace automatizate sau în cadrul căreia datele prelucrate fac parte dintr‑un sistem de evidență a datelor ori sunt destinate să facă parte dintr‑un sistem de evidență a datelor.”

18      Potrivit articolului 2 al doilea paragraf din legea menționată:

„Dreptul de acces și celelalte forme de comunicare a datelor cu caracter personal care provin din sisteme de evidență a datelor persoanelor ținute de autoritățile publice sunt guvernate de dispozițiile privind publicitatea activității autorităților publice.”

 Litigiul principal și întrebările preliminare

19      Endemol Shine Finland, reclamanta din litigiul principal, a solicitat verbal Etelä-Savon käräjäoikeus (Tribunalul de Primă Instanță din regiunea Savonia de Sud, Finlanda) informații referitoare la eventualele condamnări penale în curs sau deja executate cu privire la o persoană fizică care participă la un concurs organizat de această societate, în vederea stabilirii antecedentelor judiciare ale acestei persoane.

20      Etelä-Savon käräjäoikeus (Tribunalul de Primă Instanță din regiunea Savonia de Sud) a respins cererea reclamantei din litigiul principal, considerând totodată că această cerere privea decizii sau informații publice în sensul Legii privind publicitatea procedurii în fața instanțelor de drept comun. Potrivit acestei instanțe, motivul invocat de reclamanta din litigiul principal nu constituia un motiv care să se raporteze la prelucrarea condamnărilor penale sau a infracțiunilor, prevăzută la articolul 7 din Legea privind protecția datelor cu caracter personal. Faptul de a efectua căutări în sistemele informatice ale instanței ar fi constituit de asemenea o prelucrare a datelor cu caracter personal, motiv pentru care informațiile solicitate nu puteau fi comunicate nici oral.

21      Reclamanta din litigiul principal a declarat apel împotriva acestei hotărâri la Itä-Suomen hovioikeus (Curtea de Apel din Finlanda de Est, Finlanda), care este instanța de trimitere, susținând că comunicarea orală a informațiilor pe care le solicită nu constituie o prelucrare a datelor cu caracter personal în sensul articolului 4 punctul 2 din RGPD.

22      Instanța de trimitere ridică problema dacă articolul 2 alineatul (1) și articolul 4 punctul 2 din RDGP trebuie interpretate în sensul că comunicarea orală a informațiilor referitoare la eventuale condamnări penale în curs sau deja executate la care a fost supusă o persoană fizică constituie o prelucrare de date cu caracter personal în sensul acestui regulament. În această privință, instanța menționată arată că prelucrarea datelor cu caracter personal efectuată de autoritățile publice finlandeze este reglementată de Legea privind protecția datelor cu caracter personal. Cu toate acestea, restricțiile care corespund în mod normal prelucrării unor astfel de date nu ar fi aplicabile, din cauza caracterului public al datelor deținute de aceste autorități, dar și a articolului 28 din această lege și a articolului 2 al doilea paragraf din Legea privind prelucrarea datelor cu caracter personal în materie penală și în cadrul menținerii securității naționale (1054/2018).

23      Pentru a asigura echilibrul dintre protecția datelor cu caracter personal și dreptul de acces public la informații, articolul 16 din Legea privind publicitatea activității autorităților publice (621/1999) restrânge comunicarea datelor cu caracter personal care provin dintr‑un sistem de evidență a datelor persoanelor, ținut de o autoritate publică, efectuată sub formă de copie, în versiune tipărită sau în format electronic. Cu toate acestea, dat fiind că articolul menționat nu s‑ar aplica în cazul comunicării orale a datelor cu caracter personal care fac parte din sisteme de evidență a datelor persoanelor ținute de autoritățile publice, ar trebui să se ridice problema modului în care se asigură un astfel de echilibru și să se țină seama de considerații importante referitoare la protecția datelor cu caracter personal, atunci când astfel de date care fac parte din sisteme de evidență a datelor ale autorităților publice sunt comunicate oral.

24      În aceste condiții, Itä-Suomen hovioikeus (Curtea de Apel din Finlanda de Est, Finlanda), a decis să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1)      Comunicarea orală de date cu caracter personal constituie o prelucrare a datelor cu caracter personal în sensul articolului 2 alineatul (1) și al articolului 4 punctul 2 din Regulamentul general privind protecția datelor?

2)      Accesul public la documentele oficiale poate fi conciliat, în modul precizat la articolul 86 din regulament, cu dreptul la protecția datelor cu caracter personal prin punerea la dispoziție fără restricții a unor informații referitoare la hotărâri penale sau la infracțiuni săvârșite de o persoană fizică, care se regăsesc într‑un sistem de evidență a datelor cu caracter personal al unei instanțe, atunci când se cere ca acestea să îi fie comunicate oral solicitantului?

3)      Pentru răspunsul la a doua întrebare, este relevant dacă solicitantul este o societate sau un particular?”

 Cu privire la întrebările preliminare

 Cu privire la prima întrebare

25      Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 2 alineatul (1) și articolul 4 punctul 2 din RGPD trebuie interpretate în sensul că comunicarea orală a unor informații referitoare la eventuale condamnări penale în curs sau deja executate la care a fost supusă o persoană fizică, constituie o prelucrare de date cu caracter personal în sensul articolului 4 punctul 2 din acest regulament, și, în cazul unui răspuns afirmativ, dacă această prelucrare intră în domeniul de aplicare material al regulamentului menționat, astfel cum este definit la articolul 2 alineatul (1) din acesta.

26      Cu titlu introductiv, pe de o parte, trebuie amintit că, în vederea interpretării acestor dispoziții de drept al Uniunii, trebuie să se țină seama nu numai de termenii săi, ci și de contextul în care se înscrie, precum și de obiectivele și de finalitatea urmărite de reglementarea din care acestea fac parte [Hotărârea din 12 ianuarie 2023, Österreichische Post (Informații referitoare la destinatarii datelor cu caracter personal), C‑154/21, EU:C:2023:3, punctul 29].

27      Pe de altă parte, trebuie subliniat că nu se contestă, în litigiul principal, că informațiile a căror comunicare o solicită reclamanta din litigiul principal constituie date cu caracter personal, în sensul articolului 4 punctul 1 din RGPD.

28      Articolul 4 punctul 2 din acest regulament definește noțiunea de „prelucrare” ca fiind „orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate”.

29      Reiese în special din expresia „orice operațiune” că legiuitorul Uniunii a intenționat să confere noțiunii de „prelucrare” un domeniu de aplicare larg, ceea ce este confirmat de caracterul neexhaustiv, exprimat prin locuțiunea „cum ar fi”, al operațiunilor enumerate la dispoziția menționată [a se vedea în acest sens Hotărârea din 24 februarie 2022, Valsts ieņēmumu dienests (Prelucrarea datelor cu caracter personal în scopuri fiscale), C‑175/20, EU:C:2022:124, punctul 35, și Hotărârea din 22 iunie 2023, Pankki S, C‑579/21, EU:C:2023:501, punctul 46].

30      Această enumerare vizează printre altele comunicarea prin transmitere, difuzarea și „punerea la dispoziție în orice alt mod”, aceste operațiuni putând fi realizate cu sau fără utilizarea de mijloace automatizate. În această privință, articolul 4 punctul 2 din RGPD nu impune nicio condiție cu privire la forma prelucrării „prin alte mijloace decât cele automatizate”. Noțiunea de „prelucrare” acoperă, prin urmare, comunicarea orală.

31      Această interpretare a noțiunii de „prelucrare” este confirmată de obiectivul RGPD, care urmărește printre altele, astfel cum reiese din articolul 1 și din considerentele (1) și (10) ale acestuia, să asigure un nivel ridicat de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului lor la viață privată în ceea ce privește prelucrarea datelor cu caracter personal, consacrat la articolul 8 alineatul (1) din cartă și la articolul 16 alineatul (1) TFUE [a se vedea în acest sens Hotărârea din 4 mai 2023, Bundesrepublik Deutschland (Căsuță electronică judiciară), C‑60/22, EU:C:2023:373, punctul 64]. Astfel, posibilitatea de a eluda aplicarea acestui regulament prin comunicarea datelor cu caracter personal pe cale orală, în loc de a o face pe cale scrisă, ar fi vădit incompatibilă cu acest obiectiv.

32      În aceste condiții, noțiunea de „prelucrare” prevăzută la articolul 4 punctul 2 din RGPD acoperă în mod necesar comunicarea orală a datelor cu caracter personal.

33      Cu toate acestea, se mai ridică problema dacă o astfel de prelucrare intră în domeniul de aplicare material al RGPD. Articolul 2 din acest regulament, care stabilește domeniul de aplicare respectiv, prevede la alineatul (1) că această directivă se aplică prelucrării efectuate total sau parțial prin mijloace automatizate, precum și prelucrării „prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor”.

34      În această privință, din modul de redactare a acestei din urmă dispoziții, precum și din considerentul (15) al RGPD reiese că regulamentul menționat se aplică atât prelucrării prin mijloace automatizate a datelor cu caracter personal, cât și prelucrării manuale a unor asemenea date pentru ca protecția pe care o conferă persoanelor ale căror date sunt prelucrate să nu depindă de tehnicile utilizate și pentru a evita riscurile de eludare a acestei protecții. Totuși, de aici rezultă de asemenea că regulamentul menționat se aplică prelucrării manuale a datelor cu caracter personal numai atunci când datele prelucrate „sunt cuprinse sau sunt destinate să facă parte dintr‑un sistem de evidență” (a se vedea prin analogie Hotărârea din 10 iulie 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punctul 53).

35      Întrucât comunicarea orală constituie în sine o prelucrare prin alte mijloace decât cele automatizate, datele care fac obiectul acestei prelucrări trebuie, așadar, „să facă parte” sau să fie „destinate să facă parte” dintr‑un „sistem de evidență a datelor” pentru ca prelucrarea menționată să intre în domeniul de aplicare material al RGPD.

36      În ceea ce privește noțiunea de „sistem de evidență a datelor”, articolul 4 punctul 6 din RGPD prevede că acesta înseamnă „orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice”.

37      În această privință, Curtea a statuat deja că în conformitate cu obiectivul amintit la punctul 34 din prezenta hotărâre, această dispoziție definește în mod larg noțiunea „sistem de evidență a datelor”, vizând printre altele „orice” serie structurată de date cu caracter personal. În plus, cerința potrivit căreia toate datele cu caracter personal trebuie să aibă un caracter „structurat în conformitate cu criteriile specifice” vizează doar să permită ca datele referitoare la o persoană să poată fi recuperate cu ușurință. Cu excepția acestei cerințe, articolul 4 punctul 6 din RGPD nu prevede nici modalitățile potrivit cărora trebuie să fie structurat un sistem de evidență, nici forma pe care acesta trebuie să o prezinte. În special, nu reiese din această dispoziție sau din vreo altă dispoziție din această directivă că datele cu caracter personal în discuție ar trebui să figureze în fișe sau în liste specifice sau într‑un alt sistem de căutare, pentru a putea să se constate existența unui sistem de evidență, în sensul regulamentului menționat (a se vedea analogie Hotărârea din 10 iulie 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punctele 56-58).

38      În speță, din cererea de decizie preliminară reiese că datele solicitate de reclamanta din litigiul principal sunt conținute într‑un „sistem de evidență a datelor cu caracter personal ținut de o instanță”. Se pare astfel că aceste date sunt conținute într‑un sistem de evidență a datelor în sensul articolului 4 punctul 6 din RGPD, aspect a cărui verificare revine însă instanței de trimitere, fără a fi relevant dacă datele menționate sunt conținute în baze de date electronice sau în dosare sau registre fizice.

39      În aceste condiții, trebuie să se răspundă la prima întrebare că articolul 2 alineatul (1) și articolul 4 punctul 2 din RGPD trebuie interpretate în sensul că comunicarea orală a unor informații referitoare la eventuale condamnări penale în curs sau deja executate la care a fost supusă o persoană fizică constituie o prelucrare de date cu caracter personal, în sensul articolului 4 punctul 2 din acest regulament, care intră în domeniul de aplicare material al regulamentului menționat, în măsura în care aceste informații fac parte sau sunt destinate să facă parte dintr‑un sistem de evidență a datelor.

 Cu privire la a doua și a treia întrebare

40      Prin intermediul celei de a doua și al celei de a treia întrebări, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă dispozițiile RGPD, în special articolul 86 din acesta, trebuie interpretate în sensul că se opun ca date referitoare la condamnări penale ale unei persoane fizice care fac parte dintr‑un sistem de evidență a datelor ținut de o instanță să poată fi comunicate oral oricărei persoane în vederea garantării unui acces public la documente oficiale, fără ca persoana care solicită comunicarea să trebuiască să justifice un interes specific în obținerea datelor menționate, și dacă răspunsul la această întrebare diferă după cum această persoană este o societate comercială sau un particular.

41      Această întrebare își are originea în legislația națională în discuție în litigiul principal, în măsura în care nu impune respectarea dispozițiilor naționale referitoare la protecția datelor cu caracter personal atunci când astfel de date sunt comunicate oral.

42      În această privință, trebuie amintit că, în temeiul articolului 288 al doilea paragraf TFUE, regulamentul este obligatoriu în toate elementele sale și este direct aplicabil în fiecare stat membru. Astfel, având în vedere însăși natura și funcția lor în sistemul izvoarelor dreptului Uniunii, dispozițiile unui regulament au în general un efect imediat în ordinile juridice naționale, fără a fi necesar ca autoritățile naționale să adopte măsuri de aplicare (Hotărârea din 16 iunie 2022, Port de Bruxelles și Région de Bruxelles‑Capitale, C‑229/21, EU:C:2022:471, punctul 47, precum și Hotărârea din 30 martie 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, punctul 77).

43      Astfel, o instanță națională este obligată să aplice cerințele RGPD în ansamblul său, chiar dacă nu există o dispoziție specifică în dreptul național aplicabil care să permită luarea în considerare a intereselor persoanei ale cărei date cu caracter personal sunt în discuție (a se vedea în acest sens Hotărârea din 2 martie 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, punctele 44 și 59).

44      Din considerațiile care precedă rezultă că comunicarea orală a datelor referitoare la condamnări penale ale unei persoane fizice nu poate avea loc decât dacă sunt îndeplinite condițiile prevăzute de RGPD, în măsura în care aceste date fac parte sau sunt destinate să facă parte dintr‑un sistem de evidență a datelor.

45      În acest sens, trebuie amintit că, potrivit jurisprudenței constante a Curții, orice prelucrare a datelor cu caracter personal trebuie, pe de o parte, să fie conformă cu principiile legate de prelucrarea datelor enunțate la articolul 5 din RGPD și, pe de altă parte, având în vedere în special principiul legalității prelucrării, prevăzut la alineatul (1) litera (a) al acestui articol, să îndeplinească una dintre condițiile de legalitate a prelucrării enumerate la articolul 6 din acest regulament [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 96, precum și Hotărârea din 7 decembrie 2023, SCHUFA Holding și alții (Scoring), C‑634/21, EU:C:2023:957, punctul 67].

46      În special, prelucrarea datelor cu caracter personal în discuție în litigiul principal, și anume comunicarea orală publică a datelor referitoare la infracțiuni, poate intra sub incidența articolului 6 alineatul (1) litera (e) din RGPD, în temeiul căruia prelucrarea este legală numai dacă și în măsura în care este „necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul” [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 99].

47      În plus, în ceea ce privește mai precis datele referitoare la condamnări penale și infracțiuni, articolul 10 din RGPD supune prelucrarea lor unor restricții suplimentare. În conformitate cu această dispoziție, prelucrarea acestor date „se efectuează numai sub controlul unei autorități de stat”, cu excepția cazului în care este „autorizată de dreptul Uniunii sau de dreptul intern, care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate” [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 100].

48      Curtea a statuat deja că nici articolul 6 alineatul (1) litera (e) din RGPD, nici articolul 10 din acest regulament nu interzic în mod general și absolut ca o autoritate publică să fie abilitată sau chiar obligată să comunice date cu caracter personal persoanelor care solicită acest lucru [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 103].

49      Astfel, RGPD nu se opune comunicării datelor cu caracter personal publicului atunci când este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice, în sensul articolului 6 alineatul (1) litera (e) din acest regulament. Aceeași este situația atunci când datele în cauză intră sub incidența articolului 10 din RGPD, cu condiția ca legislația care autorizează această comunicare să prevadă garanții adecvate pentru drepturile și libertățile persoanelor în cauză [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 104].

50      În speță, din decizia de trimitere, precum și din observațiile scrise prezentate de guvernul finlandez reiese că legislația națională privind publicitatea activității autorităților publice și cea privind publicitatea procedurii în fața instanțelor de drept comun urmăresc îndeplinirea misiunii de interes public care permite asigurarea accesului publicului la documentele oficiale.

51      În aceste condiții, instanța de trimitere urmărește să stabilească în special dacă prelucrarea datelor cu caracter personal în discuție în litigiul principal poate fi considerată legală în raport cu principiul proporționalității, în special în raport cu evaluarea comparativă care trebuie efectuată între, pe de o parte, dreptul de acces public la documente oficiale, prevăzut la articolul 86 din RGPD, și, pe de altă parte, drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal, consacrate la articolele 7 și 8 din cartă.

52      În această din urmă privință, trebuie amintit că drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal nu sunt prerogative absolute, ci trebuie să fie luate în considerare în raport cu funcția lor în societate și trebuie echilibrate cu alte drepturi fundamentale. Astfel, pot fi impuse restrângeri, cu condiția ca, în conformitate cu articolul 52 alineatul (1) din cartă, acestea să fie prevăzute de lege și să respecte substanța drepturilor fundamentale, precum și principiul proporționalității. În temeiul acestui din urmă principiu, pot fi impuse restrângeri numai în cazul în care acestea sunt necesare și numai dacă răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și a libertăților celorlalți. Acestea trebuie să fie efectuate în limitele strictului necesar, iar reglementarea care presupune o ingerință trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 105].

53      Pentru a stabili dacă o comunicare publică a unor date cu caracter personal referitoare la condamnări penale, precum cea în discuție în litigiul principal, este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice, în sensul articolului 6 alineatul (1) litera (e) din RGPD, și dacă legislația care autorizează o astfel de comunicare prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate, în sensul articolului 10 din acest regulament, este necesar să se verifice în special dacă, având în vedere gravitatea ingerinței în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal cauzată de comunicarea menționată, aceasta pare justificată și în special proporțională în raport cu scopul realizării obiectivelor urmărite [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 106].

54      În ceea ce privește gravitatea ingerinței în aceste drepturi, Curtea a statuat deja că prelucrarea datelor referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe este, din cauza caracterului deosebit de sensibil al acestor date, susceptibilă să constituie o ingerință deosebit de gravă în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal, garantate de articolele 7 și 8 din cartă. Astfel, întrucât asemenea date privesc conduite care determină dezaprobarea socială, acordarea unui acces la aceleași date este susceptibilă să stigmatizeze persoana în cauză și să constituie, așadar, o ingerință gravă în viața sa privată sau profesională [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctele 74, 75 și 112].

55      Deși accesul public la documente oficiale constituie, așa cum decurge din considerentul (154) al acestui regulament, un interes public care poate legitima comunicarea unor date cu caracter personal care figurează în asemenea documente, trebuie asigurat un echilibru între acest acces și drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal, după cum impune de altfel în mod expres articolul 86 din RGDP. Or, având în vedere printre altele caracterul sensibil al datelor referitoare la condamnări penale și gravitatea ingerinței în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal ale persoanelor în cauză pe care o provoacă divulgarea acestor date, trebuie să se considere că aceste drepturi prevalează asupra interesului publicului de a avea acces la documente oficiale [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 120].

56      Pentru același motiv, dreptul la libertatea de informare prevăzut la articolul 85 din RGPD nu poate fi interpretat în sensul că justifică comunicarea oricărei persoane care solicită acest lucru a unor date cu caracter personal referitoare la condamnări penale [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 121].

57      În această privință, este irelevant dacă persoana care solicită accesul la datele referitoare la condamnările penale este o societate comercială sau un particular sau dacă comunicarea unor astfel de date se efectuează pe cale scrisă sau orală.

58      Având în vedere considerațiile care precedă, trebuie să se răspundă la a doua și la a treia întrebare preliminară că dispozițiile RGPD, în special articolul 6 alineatul (1) litera (e) și articolul 10 din acesta, trebuie interpretate în sensul că se opun ca date referitoare la condamnări penale ale unei persoane fizice care fac parte dintr‑un sistem de evidență a datelor ținut de o instanță să poată fi comunicate oral oricărei persoane în vederea garantării unui acces public la documente oficiale, fără ca persoana care solicită comunicarea să trebuiască să justifice un interes specific în obținerea datelor menționate, fiind irelevantă în această privință împrejurarea că persoana respectivă este o societate comercială sau un particular.

 Cu privire la cheltuielile de judecată

59      Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera a șasea) declară:

1)      Articolul 2 alineatul (1) și articolul 4 punctul 2 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

trebuie interpretate în sensul că

comunicarea orală a unor informații referitoare la eventuale condamnări penale în curs sau deja executate la care a fost supusă o persoană fizică constituie o prelucrare de date cu caracter personal, în sensul articolului 4 punctul 2 din acest regulament, care intră în domeniul de aplicare material al regulamentului menționat, în măsura în care aceste informații fac parte sau sunt destinate să facă parte dintrun sistem de evidență a datelor.

2)      Dispozițiile Regulamentului 2016/679, în special articolul 6 alineatul (1) litera (e) și articolul 10 din acesta,

trebuie interpretate în sensul că

se opun ca date referitoare la condamnări penale ale unei persoane fizice care fac parte dintrun sistem de evidență a datelor ținut de o instanță să poată fi comunicate oral oricărei persoane în vederea garantării unui acces public la documente oficiale, fără ca persoana care solicită comunicarea să trebuiască să justifice un interes specific în obținerea datelor menționate, fiind irelevantă în această privință împrejurarea că persoana respectivă este o societate comercială sau un particular.

Semnături

*      Limba de procedură: finlandeza.