ROZSUDOK SÚDNEHO DVORA (šiesta komora)
zo 7. marca 2024 (*)
„Návrh na začatie prejudiciálneho konania – Ochrana osobných údajov – Nariadenie (EÚ) 2016/679 – Články 2, 4, 6, 10 a 86 – Údaje, ktoré má súd k dispozícii a ktoré sa týkajú trestných odsúdení fyzickej osoby – Ústne oznámenie takýchto údajov obchodnej spoločnosti z dôvodu výberového konania, ktoré organizuje – Pojem ‚spracúvanie osobných údajov‘ – Vnútroštátna právna úprava upravujúca prístup k týmto údajom – Zosúladenie práva verejnosti na prístup k úradným dokumentom s ochranou osobných údajov“
Vo veci C‑740/22,
ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Itä‑Suomen hovioikeus (Odvolací súd pre východné Fínsko, Fínsko) 30. novembra 2022 a doručený Súdnemu dvoru 2. decembra 2022, ktorý súvisí s konaním:
Endemol Shine Finland Oy
SÚDNY DVOR (šiesta komora),
v zložení: predseda šiestej komory T. von Danwitz (spravodajca), sudcovia P. G. Xuereb a I. Ziemele,
generálna advokátka: T. Ćapeta,
tajomník: A. Calot Escobar,
so zreteľom na písomnú časť konania,
so zreteľom na pripomienky, ktoré predložili:
– fínska vláda, v zastúpení: A. Laine a M. Pere, splnomocnené zástupkyne,
– portugalská vláda, v zastúpení: P. Barros da Costa, M. J. Ramos a C. Vieira Guerra, splnomocnené zástupkyne,
– Európska komisia, v zastúpení: A. Bouchagiar, H. Kranenborg a I. Söderlund, splnomocnení zástupcovia,
so zreteľom na rozhodnutie prijaté po vypočutí generálnej advokátky, že vec bude prejednaná bez jej návrhov,
vyhlásil tento
Rozsudok
1 Návrh na začatie prejudiciálneho konania sa týka výkladu článku 2 ods. 1, článku 4 bodu 2 a článku 86 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“).
2 Tento návrh bol podaný v rámci konania týkajúceho sa odmietnutia vnútroštátneho súdu poskytnúť spoločnosti Endemol Shine Finland Oy údaje o trestných odsúdeniach týkajúcich sa tretej osoby.
Právny rámec
Právo Únie
3 Odôvodnenia 4, 10, 11, 15, 19 a 154 GDPR znejú takto:
„(4) Spracúvanie osobných údajov by malo byť určené na to, aby slúžilo ľudstvu. Právo na ochranu osobných údajov nie je absolútne právo; musí sa posudzovať vo vzťahu k jeho funkcii v spoločnosti a musí byť vyvážené s ostatnými základnými právami, a to v súlade so zásadou proporcionality. Toto nariadenie rešpektuje všetky základné práva a dodržiava slobody a zásady uznané v [Charte základných práv Európskej únie (ďalej len ‚Charta‘)], ako sú zakotvené v zmluvách, najmä rešpektovanie súkromného a rodinného života,… ochrana osobných údajov, sloboda myslenia, svedomia a náboženského vyznania, sloboda prejavu a právo na informácie, sloboda podnikania, právo na účinný prostriedok nápravy a na spravodlivý proces….
…
(10) S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci [Európskej ú]nie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch. Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by sa malo zabezpečiť v rámci celej Únie. Pokiaľ ide o spracúvanie osobných údajov na účely dodržania zákonnej povinnosti, plnenia úloh realizovaných vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, členské štáty by mali mať možnosť zachovať alebo zaviesť vnútroštátne predpisy, ktorými by sa spresnilo uplatňovanie pravidiel stanovených v tomto nariadení. Spolu so všeobecnými a horizontálnymi právnymi predpismi o ochrane údajov, ktorými sa vykonáva smernica 95/46/ES [smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 1; Mim. vyd. 13/015, s. 355)], prijali členské štáty viaceré sektorové právne predpisy v oblastiach, v ktorých sú potrebné špecifickejšie normy. Týmto nariadením sa tiež členským štátom dáva priestor na spresnenie svojich pravidiel vrátane pravidiel spracúvania osobitných kategórií osobných údajov (ďalej len ‚citlivé údaje‘). V danom rozsahu toto nariadenie nevylučuje právo členského štátu, ktorým sa vymedzujú okolnosti špecifických spracovateľských situácií vrátane presnejšieho stanovenia podmienok, za ktorých je spracúvanie osobných údajov v súlade so zákonom.
(11) Účinná ochrana osobných údajov v rámci celej Únie si vyžaduje posilnenie a spresnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje spracúvajú a o ich spracúvaní rozhodujú, ako aj zodpovedajúcich právomocí na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov a zodpovedajúcich sankcií za porušenia pravidiel v členských štátoch.
…
(15) S cieľom zabrániť vzniku závažného rizika obchádzania právnych predpisov by mala byť ochrana fyzických osôb technologicky neutrálna a nemala by závisieť od použitých technologických riešení. Ochrana fyzických osôb by sa mala vzťahovať na spracúvanie osobných údajov automatizovanými prostriedkami, ako aj na manuálne spracúvanie, ak sú osobné údaje uložené v informačnom systéme alebo do neho majú byť uložené. Súbory alebo komplexy súborov, ako aj ich titulné strany, ktoré nie sú štruktúrované podľa špecifických kritérií, by nemali patriť do rozsahu pôsobnosti tohto nariadenia.
…
(19) Ochrana fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti alebo jeho predchádzania a voľný pohyb takýchto údajov podlieha osobitnému právnemu aktu Únie. Toto nariadenie by sa preto nemalo vzťahovať na spracovateľské činnosti na takéto účely. Ak sa však osobné údaje spracúvané orgánmi verejnej moci podľa tohto nariadenia používajú na uvedené účely, mal by sa na ne vzťahovať špecifickejší právny akt Únie, a to smernica Európskeho parlamentu a Rady (EÚ) 2016/680 [z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 2016, s. 89)]. Členské štáty môžu poveriť príslušné orgány v zmysle smernice (EÚ) 2016/680 úlohami, ktoré nie sú nevyhnutne vykonávané na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti alebo predchádzania takémuto ohrozeniu, v dôsledku čoho spracúvanie osobných údajov na tieto iné účely, pokiaľ patria do pôsobnosti práva Únie, patrí do pôsobnosti tohto nariadenia.
Pokiaľ ide o spracúvanie osobných údajov uvedenými príslušnými orgánmi na účely patriace do rozsahu pôsobnosti tohto nariadenia, členské štáty by mali mať možnosť ponechať v platnosti alebo zaviesť podrobnejšie ustanovenia s cieľom prispôsobiť uplatňovanie pravidiel stanovených v tomto nariadení. V takýchto ustanoveniach sa môžu podrobnejšie stanoviť osobitné požiadavky na spracúvanie osobných údajov uvedenými príslušnými orgánmi na uvedené iné účely, pričom sa v nich zohľadní ústavná, organizačná a administratívna štruktúra príslušného členského štátu. Keď spracúvanie osobných údajov súkromnoprávnymi subjektmi patrí do rozsahu a pôsobnosti tohto nariadenia, mala by sa týmto nariadením členským štátom poskytnúť možnosť, aby za špecifických podmienok právnymi predpismi obmedzili určité povinnosti a práva, keď takéto obmedzenie predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti na ochranu konkrétnych dôležitých záujmov vrátane verejnej bezpečnosti a predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu. Je to relevantné napríklad v rámci boja proti praniu špinavých peňazí alebo činností forenzných laboratórií.
…
(154) Týmto nariadením sa umožňuje, aby sa pri jeho uplatňovaní zohľadňovala zásada prístupu verejnosti k úradným dokumentom. Prístup verejnosti k úradným dokumentom možno považovať za verejný záujem. Osobné údaje uvedené v dokumentoch, ktoré má v držbe orgán verejnej moci alebo verejnoprávny subjekt, by tento orgán verejnej moci alebo verejnoprávny subjekt mal môcť poskytnúť verejnosti, ak je takéto poskytnutie stanovené v práve Únie alebo v práve členského štátu, ktorým príslušný orgán verejnej moci alebo verejnoprávny subjekt podlieha. V takýchto právnych predpisoch by sa mal zosúladiť prístup verejnosti k úradným dokumentom a opakované použitie informácií verejného sektora s právom na ochranu osobných údajov a preto sa v nich môže ustanoviť potrebné zosúladenie s právom na ochranu osobných údajov podľa tohto nariadenia. Odkaz na orgány verejnej moci a verejnoprávne subjekty by mal v tejto súvislosti zahŕňať všetky orgány alebo iné subjekty, na ktoré sa vzťahuje právo členského štátu v oblasti prístupu verejnosti k dokumentom. Smernica Európskeho parlamentu a Rady 2003/98/ES [zo 17. novembra 2003 o opakovanom použití informácií verejného sektora (Ú. v. EÚ L 345, 2003, s. 90; Mim. vyd. 13/032, s. 701)] nemení a žiadnym spôsobom neovplyvňuje úroveň ochrany fyzických osôb pri spracúvaní osobných údajov podľa ustanovení práva Únie a práva členského štátu, a najmä nemení povinnosti a práva ustanovené v tomto nariadení. Uvedená smernica by sa nemala vzťahovať najmä na dokumenty, ku ktorým je prístup vylúčený alebo obmedzený na základe prístupových režimov z dôvodu ochrany osobných údajov, a na časti dokumentov dostupné na základe týchto režimov, ktoré obsahujú osobné údaje, ktorých opakované použitie je stanovené v práve ako nezlučiteľné s právom týkajúcim sa ochrany fyzických osôb pri spracúvaní osobných údajov.“
4 Článok 2 GDPR s názvom „Vecná pôsobnosť“ stanovuje:
„1. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.
2. Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov:
a) v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie;
b) členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2 hlavy V ZEÚ;
c) fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti;
d) príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania.
3. Na spracúvanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie sa uplatňuje nariadenie [Európskeho parlamentu a Rady] (ES) č. 45/2001 [z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi spoločenstva a o voľnom pohybe takýchto údajov (Ú. v. ES L 8, 2001, s. 1; Mim. vyd. 13/026, s. 102)]. Nariadenie (ES) č. 45/2001 a ostatné právne akty Únie uplatniteľné na takéto spracúvanie osobných údajov sa upravia podľa zásad a pravidiel tohto nariadenia v súlade s článkom 98.
4. Týmto nariadením preto nie je dotknuté uplatňovanie smernice [Európskeho parlamentu a Rady] 2000/31/ES [z 8. júna 2000 o určitých právnych aspektoch služieb informačnej spoločnosti na vnútornom trhu, najmä o elektronickom obchode (ďalej len „smernica o elektronickom obchode“) (Ú. v. ES L 178, 2000, s. 1; Mim. vyd. 13/025, s. 399)], najmä pravidlá týkajúce sa zodpovednosti poskytovateľov služieb informačnej spoločnosti uvedené v článkoch 12 až 15 uvedenej smernice.“
5 Článok 4 GDPR, nazvaný „Vymedzenie pojmov“, v bodoch 1, 2, 6 a 7 stanovuje:
„Na účely tohto nariadenia:
1. ‚osobné údaje‘ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len ‚dotknutá osoba‘); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;
2. ‚spracúvanie‘ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;
…
6. ‚informačný systém‘ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;
7. ‚prevádzkovateľ‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu.“
6 Článok 5 tohto nariadenia s názvom „Zásady spracúvania osobných údajov“ znie takto:
„1. Osobné údaje musia byť:
a) spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe (‚zákonnosť, spravodlivosť a transparentnosť‘);
b) získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi;… (,obmedzenie účelu‘);
c) primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú (‚minimalizácia údajov‘);
d) správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia (‚správnosť‘);
e) uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú;… (,minimalizácia uchovávania‘);
f) spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení (‚integrita a dôvernosť‘).
…“
7 Článok 6 tohto nariadenia s názvom „Zákonnosť spracúvania“ v odsekoch 1 až 3 stanovuje:
„1. Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:
a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;
b) spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;
c) spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;
d) spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;
e) spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
f) spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.
Písmeno f) prvého pododseku sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh.
2. Členské štáty môžu zachovať alebo zaviesť špecifickejšie ustanovenia s cieľom prispôsobiť uplatňovanie pravidiel tohto nariadenia s ohľadom na spracúvanie v súlade s odsekom 1 písm. c) a e), a to presnejším stanovením osobitných požiadaviek na spracúvanie a stanovením ďalších opatrení, ktorými sa zaistí zákonné a spravodlivé spracúvanie, vrátane požiadaviek na iné osobitné situácie spracúvania stanovené v kapitole IX.
3. Základ pre spracúvanie uvedené v odseku 1 písm. c) a e) musí byť stanovený:
a) v práve Únie alebo
b) v práve členského štátu vzťahujúcom sa na prevádzkovateľa.
Účel spracúvania sa stanoví v tomto právnom základe, alebo pokiaľ ide o spracúvanie uvedené v odseku 1 písm. e), spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Uvedený právny základ môže obsahovať osobitné ustanovenia na prispôsobenie uplatňovania pravidiel tohto nariadenia, vrátane: všeobecných podmienok vzťahujúcich sa na zákonnosť spracúvania prevádzkovateľom; typov spracúvaných údajov; dotknutých osôb; subjektov, ktorým sa môžu osobné údaje poskytnúť, a účel[ov], na ktoré ich možno poskytnúť; obmedzenia účelu; doby uchovávania; a spracovateľských operácií a postupov vrátane opatrení na zabezpečenie zákonného a spravodlivého spracúvania, ako napríklad tie na iné osobitné situácie spracúvania, ako sú stanovené v kapitole IX. Právo Únie alebo právo členského štátu musí spĺňať cieľ verejného záujmu a byť primerané sledovanému oprávnenému cieľu.“
8 Článok 10 GDPR má názov „Spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky“ a znie takto:
„Spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky alebo súvisiacich bezpečnostných opatrení založených na článku 6 ods. 1 sa vykonáva len pod kontrolou orgánu verejnej moci, alebo ak je spracúvanie povolené právom Únie alebo právom členského štátu poskytujúcim primerané záruky ochrany práv a slobôd dotknutých osôb. Každý komplexný register uznania viny za trestné činy sa vedie iba pod kontrolou orgánu verejnej moci.“
9 Článok 23 tohto nariadenia, nazvaný „Obmedzenia“, znie takto:
„1. V práve Únie alebo práve členského štátu, ktorému prevádzkovateľ alebo sprostredkovateľ podliehajú, sa prostredníctvom legislatívneho opatrenia môže obmedziť rozsah povinností a práv ustanovených v článkoch 12 až 22 a v článku 34, ako aj v článku 5, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam ustanoveným v článkoch 12 až 22, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť:
…
f) ochranu nezávislosti súdnictva a súdnych konaní;
…“
10 Článok 85 tohto nariadenia, nazvaný „Spracúvanie a sloboda prejavu a právo na informácie“, v odseku 1 stanovuje:
„Členské štáty právnymi prepismi zosúladia právo na ochranu osobných údajov podľa tohto nariadenia s právom na slobodu prejavu a právom na informácie vrátane spracúvania na žurnalistické účely a na účely akademickej, umeleckej alebo literárnej tvorby.“
11 Článok 86 GDPR, nazvaný „Spracúvanie a prístup verejnosti k úradným dokumentom“, stanovuje:
„Osobné údaje v úradných dokumentoch, ktoré má v držbe orgán verejnej moci alebo verejnoprávny alebo súkromnoprávny subjekt na účely splnenia úlohy realizovanej vo verejnom záujme, môže daný orgán alebo subjekt poskytnúť v súlade s právom Únie alebo právom členského štátu, ktorému orgán verejnej moci alebo verejnoprávny subjekt podlieha, s cieľom zosúladiť prístup verejnosti k úradným dokumentom s právom na ochranu osobných údajov podľa tohto nariadenia.“
Fínske právo
Zákon o ochrane osobných údajov (1050/2018)
12 Tietosuojalaki (1050/2018) [zákon o ochrane osobných údajov (1050/2018)] v § 1 stanovuje:
„Tento zákon spresňuje a dopĺňa nariadenie [GDPR] a jeho vykonávanie na vnútroštátnej úrovni.“
13 Ustanovenie § 28 tohto zákona znie takto:
„Ustanovenia týkajúce sa zverejňovania činnosti orgánov verejnej moci sa vzťahujú na právo na prístup a na iné formy oznamovania osobných údajov pochádzajúcich z informačných systémov týkajúcich sa osôb, ktoré vedú orgány verejnej moci.“
Zákon o verejnej povahe konania orgánov verejnej moci (621/1999)
14 Laki viranomaisten toiminnan julkisuudesta (621/1999) [zákon o verejnej povahe konania orgánov verejnej moci (621/1999)] vo svojom § 13 stanovuje:
„Žiadosť o poskytnutie informácií týkajúcich sa obsahu úradného dokumentu musí byť dostatočne presná, aby umožnila orgánu verejnej moci určiť dokument, ktorého sa žiadosť týka. Prostredníctvom registra a ďalších zoznamov sa žiadateľovi o informácie poskytne pomoc pri identifikácii spisu, ku ktorému žiada prístup. Kto podá žiadosť o informáciu, nemusí zverejniť svoju totožnosť ani odôvodniť svoju žiadosť, s výnimkou prípadu, ak by to bolo nevyhnutné pre výkon voľnej úvahy priznanej orgánu verejnej moci alebo na účely objasnenia otázky, či má žiadateľ nárok na informácie o obsahu spisu.
Ak žiadateľ o informácie žiada o prístup k dôvernému dokumentu, k súboru týkajúcemu sa osôb, ktorý vedie orgán verejnej moci, alebo k akémukoľvek inému dokumentu, ku ktorému možno poskytnúť prístup len za určitých podmienok, musí, pokiaľ nie je výslovne stanovené inak, uviesť účel použitia informácií a akýkoľvek iný údaj potrebný na určenie podmienok poskytnutia týchto informácií a prípadne uviesť, ako sa má zabezpečiť ochrana týchto informácií.“
15 Ustanovenie § 16 tohto zákona znie:
„Prístup k obsahu dokumentu v držbe orgánu verejnej moci sa poskytne ústne alebo sprístupnením tohto dokumentu pred orgánom verejnej moci na nahliadnutie, vyhotovenie kópie alebo vypočutie dokumentu, prípadne aj poskytnutím kópie alebo vytlačením dokumentu. Prístup k verejnému obsahu spisu sa poskytne v súlade so žiadosťou, pokiaľ to neprimerane nesťaží výkon administratívnej činnosti z dôvodu veľkého počtu dokumentov, ťažkostí s kopírovaním dokumentu alebo z iného porovnateľného dôvodu.
…
Pokiaľ zákon výslovne nestanovuje inak, osobné údaje pochádzajúce z informačného systému týkajúceho sa osôb, ktorý vedie orgán verejnej moci, sa môžu poskytnúť vo forme kópie, výtlačku alebo v elektronickej forme, ak má príjemca podľa platných predpisov o ochrane osobných údajov právo uchovávať a používať tieto údaje. Na účely priameho marketingu a prieskumu verejnej mienky alebo trhu sa však osobné údaje môžu poskytnúť len vtedy, ak sa to konkrétne stanovilo alebo ak dotknutá osoba udelila svoj súhlas.
…“
Zákon o verejnej povahe konaní na všeobecných súdoch (370/2007)
16 Podľa § 1 laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007) [zákon o verejnej povahe konaní pred všeobecnými súdmi (370/2007)]:
„Konanie a procesné úkony sú verejné, pokiaľ tento zákon alebo iný zákon nestanovuje inak.“
Zákon o spracovávaní osobných údajov v trestných veciach a v súvislosti so zachovávaním národnej bezpečnosti (1054/2018)
17 Ustanovenie § 1 laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018) [zákon o spracovávaní osobných údajov v trestných veciach a v súvislosti so zachovávaním národnej bezpečnosti (1054/2018)] stanovuje v prvom odseku, že tento zákon sa uplatňuje na spracovanie osobných údajov príslušnými orgánmi, najmä ak ide najmä o trestné konanie pred súdom. Podľa jeho štvrtého odseku sa uplatňuje len na spracovanie osobných údajov v zmysle prvého odseku, ktoré je úplne alebo čiastočne automatizované, alebo v rámci ktorého spracované údaje tvoria alebo majú tvoriť súbor údajov alebo jeho časť.
18 Podľa § 2 ods. 2 tohto zákona:
„Ustanovenia týkajúce sa zverejňovania činnosti orgánov verejnej moci sa vzťahujú na právo na prístup a na iné formy oznamovania osobných údajov pochádzajúcich z informačných systémov týkajúcich sa osôb, ktoré vedú orgány verejnej moci.“
Spor vo veci samej a prejudiciálne otázky
19 Endemol Shine Finland, žalobkyňa vo veci samej, ústne požiadala Etelä‑Savon käräjäoikeus (Súd prvej inštancie Južné Savo, Fínsko) o informácie týkajúce sa prípadných prebiehajúcich alebo už ukončených trestných konaní týkajúcich sa fyzickej osoby zúčastňujúcej sa na výberovom konaní organizovanom touto spoločnosťou s cieľom preukázať, že táto osoba má záznam v registri trestov.
20 Etelä‑Savon käräjäoikeus (Súd prvej inštancie Južné Savo) zamietol návrh žalobkyne vo veci samej, pričom usudzoval, že tento návrh sa týka verejných rozhodnutí alebo informácií v zmysle zákona o verejnej povahe konaní pred všeobecnými súdmi. Podľa tohto súdu dôvod uvádzaný žalobkyňou vo veci samej nepredstavuje dôvod týkajúci sa spracovania trestných odsúdení alebo priestupkov uvedený v § 7 zákona o ochrane osobných údajov. Aj proces vyhľadávania v informačných systémoch tohto súdu by predstavoval spracovanie osobných údajov, a preto požadované informácie nebolo možné podať ani ústne.
21 Žalobkyňa vo veci samej podala proti tomuto rozsudku odvolanie na Itä‑Suomen hovioikeus (Odvolací súd pre východné Fínsko, Fínsko), ktorý je vnútroštátnym súdom, ktorý podal návrh na začatie prejudiciálneho konania, pričom tvrdila, že ústne poskytnutie informácií, ktoré požaduje, nepredstavuje spracúvanie osobných údajov v zmysle článku 4 bodu 2 GDPR.
22 Vnútroštátny súd chce vedieť, či sa článok 2 ods. 1 a článok 4 bod 2 GDPR majú vykladať v tom zmysle, že ústne poskytnutie informácií o prípadne prebiehajúcom alebo ukončenom trestnom konaní proti fyzickej osobe predstavuje spracúvanie osobných údajov v zmysle tohto nariadenia. V tejto súvislosti tento súd uvádza, že spracovanie osobných údajov vykonávané fínskymi orgánmi verejnej moci sa riadi zákonom o ochrane osobných údajov. Obmedzenia bežne spojené so spracovaním takýchto údajov sa však neuplatňujú z dôvodu verejnej povahy údajov, ktoré majú k dispozícii tieto orgány, ale aj z dôvodu § 28 tohto zákona a § 2 druhého odseku zákona o spracovávaní osobných údajov v trestných veciach a v súvislosti so zachovávaním národnej bezpečnosti (1054/2018).
23 S cieľom zosúladiť ochranu osobných údajov s právom verejnosti na prístup k informáciám § 16 zákona o verejnej povahe konania orgánov verejnej moci (621/1999) obmedzuje oznamovanie osobných údajov pochádzajúcich z informačného systému týkajúceho sa osôb, ktorý vedie orgán verejnej moci, na poskytnutie kópie, výtlačku alebo poskytnutie v elektronickej forme. Vzhľadom na to, že tento paragraf sa neuplatňuje na ústne oznámenie osobných údajov uvedených v informačných systémoch týkajúcich sa osôb, ktoré majú k dispozícii orgány verejnej moci, treba si položiť otázku, ako zabezpečiť takéto zosúladenie a ako zohľadniť dôležité úvahy týkajúce sa ochrany osobných údajov, ak sa takéto osobné údaje obsiahnuté v informačných systémoch orgánov verejnej moci majú poskytnúť ústne.
24 Za týchto podmienok Itä‑Suomen hovioikeus (Odvolací súd pre východné Fínsko) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:
„1. Predstavuje ústne podanie informácií obsahujúcich osobné údaje spracúvanie osobných údajov v zmysle článku 2 ods. 1 a článku 4 bodu 2 [GDPR]?
2. Je možné prístup verejnosti k úradným dokumentom zosúladiť s právom na ochranu osobných údajov podľa [GDPR] spôsobom uvedeným v článku 86 tohto nariadenia tým, že z informačného systému osobných údajov vedeného súdom možno neobmedzene získať informácie o trestných odsúdeniach fyzickej osoby alebo priestupkoch, ktoré spáchala, ak žiadateľ predloží žiadosť o ústne podanie informácií?
3. Je pre odpoveď na druhú otázku relevantné, či je žiadateľom obchodná spoločnosť alebo jednotlivec?“
O prejudiciálnych otázkach
O prvej otázke
25 Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa článok 2 ods. 1 a článok 4 bod 2 nariadenia GDPR majú vykladať v tom zmysle, že ústne oznámenie informácií týkajúcich sa prípadných prebiehajúcich alebo už ukončených trestných konaní proti fyzickej osobe predstavuje spracúvanie osobných údajov v zmysle článku 4 bodu 2 tohto nariadenia, a ak áno, či toto spracúvanie patrí do vecnej pôsobnosti tohto nariadenia, ako je vymedzená v jeho článku 2 ods. 1.
26 Na úvod treba pripomenúť, že na účely výkladu týchto ustanovení práva Únie je potrebné zohľadniť nielen ich znenie, ale aj kontext, do ktorého patria, a ciele sledované právnou úpravou, ktorej sú súčasťou [rozsudok z 12. januára 2023, Österreichische Post (Informácie o príjemcoch osobných údajov), C‑154/21, EU:C:2023:3, bod 29].
27 Zároveň treba zdôrazniť, že v spore vo veci samej je nesporné, že informácie, ktorých poskytnutie žalobkyňa vo veci samej požaduje, predstavujú osobné údaje v zmysle článku 4 bodu 1 GDPR.
28 Článok 4 bod 2 tohto nariadenia definuje pojem „spracúvanie“ ako „operáciu alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov… bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami“.
29 Najmä z výrazu „operácia“ vyplýva, že normotvorca Únie zamýšľal priznať pojmu „spracúvanie“ široký rozsah, čo potvrdzuje demonštratívny výpočet činností vymenovaných v tomto ustanovení, vyjadrený pomocou výrazu „napríklad“ [pozri v tomto zmysle rozsudky z 24. februára 2022, Valsts ieņēmumu dienests (Spracovanie osobných údajov na daňové účely), C‑175/20, EU:C:2022:124, bod 35, a z 22. júna 2023, Pankki S, C‑579/21, EU:C:2023:501, bod 46].
30 Tento výpočet zahŕňa okrem iného poskytovanie prenosom, šírenie a „poskytovanie iným spôsobom“, pričom tieto operácie môžu byť automatizované alebo neautomatizované. V tejto súvislosti článok 4 bod 2 GDPR nestanovuje žiadnu podmienku, pokiaľ ide o formu „neautomatizovaného“ spracúvania. Pojem „spracúvanie“ teda zahŕňa aj ústnu komunikáciu.
31 Tento výklad pojmu „spracúvanie“ je podporený cieľom GDPR, ktorým je, ako vyplýva z jeho článku 1 a odôvodnení 1 a 10, zabezpečiť vysokú úroveň ochrany základných práv a slobôd fyzických osôb, najmä ich práva na súkromie v súvislosti so spracúvaním osobných údajov, zakotveného v článku 8 ods. 1 Charty a v článku 16 ods. 1 ZFEÚ [pozri v tomto zmysle rozsudok zo 4. mája 2023, Bundesrepublik Deutschland (Elektronická súdna schránka), C‑60/22, EU:C:2023:373, bod 64]. Možnosť obísť uplatňovanie tohto nariadenia prostredníctvom oznámenia osobných údajov ústnou cestou namiesto ich poskytnutia písomnou formou je totiž zjavne nezlučiteľná s týmto cieľom.
32 Za týchto podmienok pojem „spracúvanie“ uvedený v článku 4 bode 2 GDPR nevyhnutne zahŕňa ústne oznamovanie osobných údajov.
33 Na tomto mieste sa však ešte otvára otázka, či takéto spracúvanie patrí do vecnej pôsobnosti GDPR. Článok 2 tohto nariadenia, ktorý vymedzuje túto pôsobnosť, vo svojom odseku 1 stanovuje, že nariadenie sa uplatňuje na spracúvanie „vykonávané úplne alebo čiastočne automatizovanými prostriedkami“ a na spracúvanie „inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému“.
34 V tejto súvislosti zo znenia tohto posledného uvedeného ustanovenia, ako aj z odôvodnenia 15 GDPR vyplýva, že nariadenie sa uplatňuje tak na automatizované spracúvanie osobných údajov, ako aj na manuálne spracúvanie takýchto údajov, aby ochrana, ktorú toto nariadenie priznáva osobám, ktorých údaje sa spracúvajú, nezávisela od použitých techník a aby sa predišlo závažným rizikám obchádzania tejto ochrany. Z týchto ustanovení však tiež vyplýva, že nariadenie sa vzťahuje na manuálne spracovanie osobných údajov len vtedy, ak spracúvané údaje „tvoria súčasť informačného systému, alebo sú určené na to, aby tvorili súčasť informačného systému“ (pozri analogicky rozsudok z 10. júla 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 53).
35 Keďže ústne oznámenie ako také predstavuje spracúvanie, ktoré nie je automatizované, na to, aby toto spracúvanie patrilo do vecnej pôsobnosti GDPR, musia údaje, ktoré sú predmetom tohto spracúvania, „tvoriť súčasť“ alebo „byť určené na to“, aby tvorili súčasť „informačného systému“.
36 Pokiaľ ide o pojem „informačný systém“, článok 4 bod 6 GDPR stanovuje, že tento systém zahŕňa „akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe“.
37 V tejto súvislosti Súdny dvor už rozhodol, že v súlade s cieľom pripomenutým v bode 34 tohto rozsudku toto ustanovenie definuje pojem „informačný systém“ široko v tom zmysle, že ide o „akýkoľvek“ usporiadaný súbor osobných údajov. Zdá sa teda, že požiadavka, podľa ktorej súbor osobných údajov musí byť „usporiadaný podľa určených kritérií“, má za cieľ umožniť iba to, aby sa údaje týkajúce sa jednej osoby dali jednoducho vyhľadať. Bez ohľadu na túto požiadavku článok 4 bod 6 GDPR nestanovuje ani spôsob, akým má byť systém usporiadaný, ani formu, v akej má existovať. Z tohto ustanovenia ani zo žiadneho iného ustanovenia tohto nariadenia konkrétne nevyplýva, že na to, aby bolo možné dospieť k záveru o existencii informačného systému v zmysle tohto nariadenia, predmetné osobné údaje musia tvoriť súčasť určitých špecifických záznamov, registrov, respektíve iných vyhľadávacích systémov (pozri analogicky rozsudok z 10. júla 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, body 56 až 58).
38 V prejednávanej veci z návrhu na začatie prejudiciálneho konania vyplýva, že údaje požadované žalobkyňou vo veci samej sú obsiahnuté v „informačnom systéme osobných údajov vedenom súdom“. Zdá sa teda, že tieto údaje sú obsiahnuté v informačnom systéme v zmysle článku 4 bodu 6 GDPR – čo však musí overiť vnútroštátny súd – bez toho, aby bolo potrebné vedieť, či tieto údaje sú obsiahnuté v elektronických databázach alebo prípadne aj vo fyzických spisoch alebo registroch.
39 Za týchto podmienok treba na prvú otázku odpovedať tak, že článok 2 ods. 1 a článok 4 bod 2 GDPR sa majú vykladať v tom zmysle, že ústne oznámenie informácií týkajúcich sa prípadných prebiehajúcich alebo už ukončených trestných konaní proti fyzickej osobe predstavuje spracúvanie osobných údajov v zmysle článku 4 bodu 2 tohto nariadenia, ktoré patrí do vecnej pôsobnosti tohto nariadenia, pokiaľ tieto informácie tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.
O druhej a tretej otázke
40 Svojou druhou a treťou otázkou, ktoré treba preskúmať spoločne, sa vnútroštátny súd v podstate pýta, či sa ustanovenia GDPR, najmä jeho článok 86, majú vykladať v tom zmysle, že bránia tomu, aby sa údaje týkajúce sa trestných odsúdení fyzickej osoby, ktoré sa nachádzajú v informačnom systéme vedenom súdom, mohli poskytnúť ústne akejkoľvek osobe na účely zaručenia prístupu verejnosti k úradným dokumentom bez toho, aby osoba žiadajúca o poskytnutie musela preukázať osobitný záujem na získaní týchto údajov, a či sa odpoveď na túto otázku líši v závislosti od toho, či je táto osoba obchodnou spoločnosťou alebo jednotlivcom.
41 Táto otázka má svoj pôvod vo vnútroštátnej právnej úprave, o ktorú ide vo veci samej a ktorá si nevyžaduje dodržiavanie vnútroštátnych ustanovení týkajúcich sa ochrany osobných údajov, ak sa takéto údaje poskytujú ústne.
42 V tejto súvislosti treba pripomenúť, že podľa článku 288 druhého odseku ZFEÚ je nariadenie záväzné vo svojej celistvosti a je priamo uplatniteľné vo všetkých členských štátoch. Ustanovenia nariadení majú teda z dôvodu svojej povahy a funkcie v systéme prameňov práva Únie vo všeobecnosti bezprostredný účinok vo vnútroštátnych právnych poriadkoch bez toho, aby vnútroštátne orgány museli prijať vykonávacie opatrenia (rozsudky zo 16. júna 2022, Port de Bruxelles a Région de Bruxelles‑Capitale, C‑229/21, EU:C:2022:471, bod 47, ako aj z 30. marca 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, bod 77).
43 Vnútroštátny súd je teda povinný uplatniť požiadavky GDPR ako celku, aj keď v platnom vnútroštátnom práve neexistuje žiadne konkrétne ustanovenie, ktoré by umožňovalo zohľadniť záujmy osoby, o ktorej osobné údaje ide (pozri v tomto zmysle rozsudok z 2. marca 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, body 44 a 59).
44 Z predchádzajúcich úvah vyplýva, že údaje týkajúce sa trestných odsúdení fyzickej osoby sa môžu ústne oznámiť len vtedy, ak sú splnené podmienky GDPR, pokiaľ tieto údaje tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.
45 V tejto súvislosti treba pripomenúť, že podľa ustálenej judikatúry Súdneho dvora každé spracúvanie osobných údajov musí byť na jednej strane v súlade so zásadami týkajúcimi sa spracúvania údajov, ktoré sú stanovené v článku 5 GDPR, a na druhej strane najmä vzhľadom na zásadu zákonnosti spracúvania stanovenú v odseku 1 písm. a) tohto článku musí spĺňať jednu z podmienok zákonnosti spracúvania uvedených v článku 6 tohto nariadenia [pozri v tomto zmysle rozsudky z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 96, ako aj zo 7. decembra 2023, SCHUFA Holding a i. (Scoring), C‑634/21, EU:C:2023:957, bod 67].
46 Konkrétne sa na spracúvanie osobných údajov dotknutých vo veci samej, teda ústne oznámenie verejnosti údajov týkajúcich sa trestných činov, môže vzťahovať článok 6 ods. 1 písm. e) GDPR, podľa ktorého je spracúvanie zákonné vtedy a v rozsahu, v akom je „nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi“ [pozri v tomto zmysle rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 99].
47 Okrem toho, pokiaľ ide konkrétne o údaje týkajúce sa odsúdení za trestné činy a priestupky, článok 10 GDPR podmieňuje ich spracúvanie dodatočnými obmedzeniami. Podľa tohto ustanovenia sa spracúvanie týchto údajov „vykonáva len pod kontrolou orgánu verejnej moci“, pokiaľ to nie je „povolené právom Únie alebo právom členského štátu poskytujúcim primerané záruky ochrany práv a slobôd dotknutých osôb“ [pozri v tomto zmysle rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 100].
48 Súdny dvor už rozhodol, že ani článok 6 ods. 1 písm. e) GDPR, ani článok 10 tohto nariadenia všeobecne a úplne nezakazujú, aby bol orgán verejnej moci oprávnený alebo dokonca nútený oznámiť osobné údaje osobám, ktoré o to požiadajú [pozri v tomto zmysle rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 103].
49 GDPR teda nebráni tomu, aby boli osobné údaje oznámené verejnosti, ak je toto oznámenie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci v zmysle článku 6 ods. 1 písm. e) tohto nariadenia. To isté platí aj v prípade, keď sa na predmetné údaje vzťahuje článok 10 GDPR, pokiaľ právne predpisy povoľujúce toto oznámenie poskytujú primerané záruky pre práva a slobody dotknutých osôb [pozri v tomto zmysle rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 104].
50 V prejednávanej veci z rozhodnutia vnútroštátneho súdu, ako aj z písomných pripomienok predložených fínskou vládou vyplýva, že vnútroštátna právna úprava týkajúca sa zverejnenia žaloby orgánov verejnej moci a zverejnenia konania pred všeobecnými súdmi sa týka plnenia úlohy vo verejnom záujme, ktorá má umožniť zabezpečiť prístup verejnosti k úradným dokumentom.
51 Za týchto podmienok sa vnútroštátny súd snaží konkrétne zistiť, či spracúvanie osobných údajov, o ktoré ide vo veci samej, možno považovať za zákonné z hľadiska zásady proporcionality, najmä vzhľadom na nastolenie rovnováhy medzi právom verejnosti na prístup k úradným dokumentom uvedeným v článku 86 GDPR na jednej strane a základnými právami na rešpektovanie súkromného života a ochranu osobných údajov zakotvenými v článkoch 7 a 8 Charty na druhej strane.
52 V tejto poslednej uvedenej súvislosti treba pripomenúť, že základné práva na rešpektovanie súkromného života a ochranu osobných údajov nie sú absolútnymi výsadami, ako sa uvádza v odôvodnení 4 GDPR, ale musia sa vnímať vo vzťahu k ich úlohe v spoločnosti a musia byť v rovnováhe s inými základnými právami. Obmedzenia teda možno zaviesť, pokiaľ sú v súlade s článkom 52 ods. 1 Charty ustanovené zákonom a rešpektujú podstatu základných práv, ako aj zásadu proporcionality. Podľa poslednej uvedenej zásady možno obmedzenia zaviesť len vtedy, ak sú nevyhnutné a skutočne zodpovedajú cieľom všeobecného záujmu uznaným Úniou, alebo ak je to potrebné na ochranu práv a slobôd iných. Obmedzenia musia pôsobiť v rámci toho, čo je striktne nevyhnutné, a právna úprava obsahujúca zásah musí stanoviť jasné a presné pravidlá upravujúce rozsah a uplatnenie predmetného opatrenia [pozri v tomto zmysle rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 105].
53 Preto na účely určenia, či oznámenie verejnosti osobných údajov týkajúcich sa trestných odsúdení, o ktoré ide vo veci samej, je nevyhnutné na splnenie úlohy vo verejnom záujme alebo úlohy patriacej do výkonu verejnej moci v zmysle článku 6 ods. 1 písm. e) GDPR, a či právna úprava povoľujúca takéto oznámenie stanovuje primerané záruky pre práva a slobody dotknutých osôb v zmysle článku 10 tohto nariadenia, treba najmä overiť, či vzhľadom na závažnosť zásahu do základných práv na rešpektovanie súkromného života a ochranu osobných údajov, ktorý uvedené oznámenie spôsobuje, sa tento zásah zdá byť odôvodnený, a najmä primeraný na účely dosiahnutia sledovaných cieľov [pozri v tomto zmysle rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 106].
54 Pokiaľ ide o závažnosť zásahu do týchto práv, Súdny dvor už rozhodol, že spracúvanie údajov týkajúcich sa odsúdení za trestné činy a priestupky alebo súvisiacich bezpečnostných opatrení môže z dôvodu osobitnej citlivosti týchto údajov predstavovať osobitne závažný zásah do základných práv na rešpektovanie súkromného života a na ochranu osobných údajov zaručených článkami 7 a 8 Charty. Vzhľadom na to, že takéto údaje sa týkajú takých druhov správania, ktorých dôsledkom je nesúhlas spoločnosti, poskytnutie prístupu k takýmto údajom môže dotknutú osobu stigmatizovať a predstavovať tak závažný zásah do jej súkromného alebo profesijného života [pozri v tomto zmysle rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, body 74, 75 a 112].
55 Hoci prístup verejnosti k úradným dokumentom predstavuje, ako vyplýva z odôvodnenia 154 GDPR, verejný záujem, ktorý môže legitimizovať oznámenie osobných údajov uvedených v takýchto dokumentoch, tento prístup musí byť v súlade so základnými právami na rešpektovanie súkromného života a na ochranu osobných údajov, ako si to navyše výslovne vyžaduje článok 86 GDPR. Najmä vzhľadom na citlivosť údajov týkajúcich sa trestných odsúdení a závažnosť zásahu do základných práv na rešpektovanie súkromného života a na ochranu osobných údajov dotknutých osôb, ktorý sprístupnenie týchto údajov vyvoláva, treba usudzovať, že tieto práva prevažujú nad verejným záujmom na prístupe k úradným dokumentom [pozri v tomto zmysle rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 120].
56 Z toho istého dôvodu nemožno právo na informácie uvedené v článku 85 GDPR vykladať v tom zmysle, že odôvodňuje oznámenie osobných údajov týkajúcich sa trestných odsúdení každej osobe, ktorá o to požiada [pozri v tomto zmysle rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 121].
57 V tejto súvislosti nie je dôležité, či osobou, ktorá žiada o prístup k údajom týkajúcim sa trestných odsúdení, je obchodná spoločnosť alebo jednotlivec alebo či sa také údaje oznamujú písomne alebo ústne.
58 Vzhľadom na predchádzajúce úvahy treba na druhú a tretiu prejudiciálnu otázku odpovedať tak, že ustanovenia GDPR, najmä jeho článok 6 ods. 1 písm. e) a článok 10, sa majú vykladať v tom zmysle, že bránia tomu, aby sa údaje týkajúce sa trestných odsúdení fyzickej osoby, ktoré sa nachádzajú v informačnom systéme vedenom súdom, mohli poskytnúť ústne akejkoľvek osobe na účely zaručenia prístupu verejnosti k úradným dokumentom bez toho, aby osoba žiadajúca o poskytnutie musela preukázať osobitný záujem na získaní týchto údajov, pričom skutočnosť, či je takou osobou obchodná spoločnosť alebo jednotlivec, nie je v tejto súvislosti relevantná.
O trovách
59 Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.
Z týchto dôvodov Súdny dvor (šiesta komora) rozhodol takto:
1. Článok 2 ods. 1 a článok 4 bod 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),
sa majú vykladať v tom zmysle, že:
ústne oznámenie informácií týkajúcich sa prípadných prebiehajúcich alebo už ukončených trestných konaní proti fyzickej osobe predstavuje spracúvanie osobných údajov v zmysle článku 4 bodu 2 tohto nariadenia, ktoré patrí do vecnej pôsobnosti tohto nariadenia, pokiaľ tieto informácie tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.
2. Ustanovenia nariadenia 2016/679, najmä jeho článok 6 ods. 1 písm. e) a článok 10,
sa majú vykladať v tom zmysle, že:
bránia tomu, aby sa údaje týkajúce sa trestných odsúdení fyzickej osoby, ktoré sa nachádzajú v informačnom systéme vedenom súdom, mohli poskytnúť ústne akejkoľvek osobe na účely zaručenia prístupu verejnosti k úradným dokumentom bez toho, aby osoba žiadajúca o poskytnutie musela preukázať osobitný záujem na získaní týchto údajov, pričom skutočnosť, či je takou osobou obchodná spoločnosť alebo jednotlivec, nie je v tejto súvislosti relevantná.
Podpisy