TEISINGUMO TEISMO (didžioji kolegija) SPRENDIMAS
2024 m. sausio 30 d.(*)
„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis kovos su nusikalstamomis veikomis tikslais – Direktyva (ES) 2016/680–4 straipsnio 1 dalies c ir e punktai – Duomenų kiekio mažinimas – Saugojimo ribojimas – 5 straipsnis – Tinkami ištrynimo arba reguliaraus saugojimo poreikio patikrinimo terminai – 10 straipsnis – Biometrinių ir genetinių duomenų tvarkymas – Absoliutus būtinumas – 16 straipsnio 2 ir 3 dalys – Teisė reikalauti ištrinti duomenis – Duomenų tvarkymo apribojimas – Europos Sąjungos pagrindinių teisių chartijos 52 straipsnio 1 dalis – Fizinio asmens nuteisimas galutiniu nuosprendžiu ir vėlesnis teistumo panaikinimas – Duomenų saugojimas iki mirties – Teisės reikalauti ištrinti duomenis arba apriboti jų tvarkymą nebuvimas – Proporcingumas“
Byloje C‑118/22
dėl Varhoven administrativen sad (Vyriausiasis administracinis teismas, Bulgarija) 2022 m. sausio 10 d. nutartimi, kurią Teisingumo Teismas gavo 2022 m. vasario 17 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje
NG
prieš
Direktor na Glavna direktsia „Natsionalna politsia“ pri Ministerstvo na vatreshnite raboti – Sofija,
dalyvaujant
Varhovna administrativna prokuratura,
TEISINGUMO TEISMAS (didžioji kolegija),
kurį sudaro pirmininkas K. Lenaerts, pirmininko pavaduotojas L. Bay Larsen, kolegijų pirmininkai A. Arabadjiev, A. Prechal, K. Jürimäe, N. Piçarra ir O. Spineanu-Matei, teisėjai M. Ilešič, J.-C. Bonichot, L.S. Rossi, I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl ir D. Gratsias (pranešėjas),
generalinis advokatas P. Pikamäe,
posėdžio sekretorė R. Stefanova-Kamisheva, administratorė,
atsižvelgęs į rašytinę proceso dalį ir įvykus 2023 m. vasario 7 d. posėdžiui,
išnagrinėjęs pastabas, pateiktas:
– NG, atstovaujamo advokat P. Kuyumdzhiev,
– Bulgarijos vyriausybės, atstovaujamos M. Georgieva, T. Mitova ir E. Petranova,
– Čekijos vyriausybės, atstovaujamos O. Serdula, M. Smolek ir J. Vláčil,
– Airijos, atstovaujamos M. Browne, A. Joyce ir M. Tierney, padedamų BL D. Fennelly,
– Ispanijos vyriausybės, atstovaujamos A. Ballesteros Panizo ir J. Rodríguez de la Rúa Puig,
– Nyderlandų vyriausybės, atstovaujamos A. Hanje,
– Lenkijos vyriausybės, atstovaujamos B. Majczyna, D. Łukowiak ir J. Sawicka,
– Europos Komisijos, atstovaujamos A. Bouchagiar, C. Georgieva, H. Kranenborg ir F. Wilman,
susipažinęs su 2023 m. birželio 15 d. posėdyje pateikta generalinio advokato išvada,
priima šį
Sprendimą
1 Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvos (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuria panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016, p. 89) 5 straipsnio, siejamo su šios direktyvos 13 straipsnio 2 dalies b punktu ir 3 dalimi, išaiškinimo.
2 Šis prašymas pateiktas nagrinėjant NG ir Direktor na Glavna direktsia „Natsionalna politsia“ pri Ministerstvo na vatreshnite raboti – Sofia (Nacionalinės policijos generalinės direkcijos prie Vidaus reikalų ministerijos direktorius, Bulgarija, toliau – NPGD) ginčą dėl to, kad pastarasis atmetė NG prašymą išbraukti jį iš nacionalinio registro, į kurį Bulgarijos policijos institucijos įtraukia asmenis, dėl kurių vykdomas baudžiamasis persekiojimas pagal valstybinį kaltinimą už tyčinį nusikaltimą (toliau – policijos registras); prašymas grįstas šio asmens, nuteisto galutiniu apkaltinamuoju nuosprendžiu, teistumo panaikinimu.
Teisinis pagrindas
Sąjungos teisė
3 Direktyvos 2016/680 11, 14, 26, 27, 37, 47 ir 104 konstatuojamosiose dalyse nurodyta:
„(11) <…> tikslinga [teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo] sričių klausimus reglamentuoti direktyvoje, kurioje nustatytos specialios fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo, baudžiamojo persekiojimo arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais taisyklės, atsižvelgiant į specifinį tokios veiklos pobūdį. <…>
<…>
(14) Kadangi ši direktyva neturėtų būti taikoma asmens duomenų tvarkymui vykdant Sąjungos teisės nereglamentuojamą veiklą, su nacionaliniu saugumu susijusi veikla <…> neturėtų būti laikoma veikla, patenkančia į šios direktyvos taikymo sritį.
<…>
(26) <…> Reikėtų <…> užtikrinti, kad būtų surinkta ne per daug asmens duomenų ir kad asmens duomenys būtų saugomi ne ilgiau nei būtina tuo tikslu, kuriuo jie tvarkomi. Asmens duomenys turėtų būti tvarkomi tik tuo atveju, jei duomenų tvarkymo tikslo pagrįstai nebuvo galima pasiekti kitomis priemonėmis. Siekiant užtikrinti, kad duomenys būtų saugomi ne ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus. <…>
(27) Nusikalstamų veikų prevencijos, tyrimo ir baudžiamojo persekiojimo už jas tikslais kompetentingoms institucijoms būtina tvarkyti asmens duomenis, surinktus vykdant konkrečių nusikalstamų veikų prevenciją, tyrimą, jas nustatant ar traukiant baudžiamojon atsakomybėn už jas, neapsiribojant šiais tikslais, kad būtų galima geriau suprasti nusikalstamą veiklą ir nustatyti sąsajas tarp skirtingų nustatytų nusikalstamų veikų.
<…>
(37) Asmens duomenys, kurie yra itin opaus pobūdžio pagrindinių teisių ir laisvių atžvilgiu, turėtų būti ypač saugomi, kadangi dėl jų tvarkymo konteksto galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms. <…>
<…>
(47) <…> Fizinis asmuo taip pat turėtų turėti teisę į tai, kad duomenų tvarkymas būtų apribotas, <…> kai asmens duomenys turi būti išsaugoti, nes jie bus naudojami kaip įrodymas. Visų pirma vietoj asmens duomenų ištrynimo turėtų būti apribojamas tvarkymas, jeigu konkrečiu atveju yra pagrįstų priežasčių manyti, kad jų ištrynimas galėtų padaryti poveikį teisėtiems duomenų subjekto interesams. Tokiu atveju duomenys, kurių tvarkymas yra apribotas, turėtų būti tvarkomi tik tuo tikslu, dėl kurio jie nebuvo ištrinti. <…>
<…>
(104) Šioje direktyvoje užtikrinamos pagrindinės teisės ir laikomasi principų, pripažintų [Europos Sąjungos pagrindinių teisių chartijoje (toliau – Chartija)] ir įtvirtintų SESV, visų pirma teisės į privatų ir šeimos gyvenimą, teisės į asmens duomenų apsaugą, teisės į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą. Tų teisių apribojimai atitinka Chartijos 52 straipsnio 1 dalį, nes jie būtini siekiant atitikti Sąjungos pripažintus bendro intereso tikslus arba reikalingi kitų teisėms ir laisvėms apsaugoti.“
4 Šios direktyvos 1 straipsnio „Dalykas ir tikslai“ 1 dalyje nustatyta:
„Šioje direktyvoje nustatytos taisyklės, susijusios su fizinių asmenų apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais.“
5 Minėtos direktyvos 2 straipsnio „Taikymo sritis“ 1 ir 3 dalyse numatyta:
„1. Ši direktyva taikoma kompetentingų institucijų vykdomam asmens duomenų tvarkymui 1 straipsnio 1 dalyje išdėstytais tikslais.
<…>
3. Ši direktyva netaikoma asmens duomenų tvarkymui, kai:
a) duomenys tvarkomi vykdant veiklą, kuriai Sąjungos teisė netaikoma;
<…>“
6 Tos pačios direktyvos 3 straipsnyje „Apibrėžtys“ nustatyta:
„Šioje direktyvoje:
<…>
2. „duomenų tvarkymas“ – bet kokia <…> su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai <…> saugojimas <…>;
<…>“
7 Direktyvos 2016/680 4 straipsnio „Su asmens duomenų tvarkymu susiję principai“ 1 dalyje nustatyta:
„Valstybės narės numato, kad asmens duomenys turi būti:
<…>
c) tinkami, aktualūs ir ne pernelyg išsamūs tikslų, kuriais jie yra tvarkomi, atžvilgiu;
<…>
e) saugomi tokia forma, kad duomenų subjektų tapatybes būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais jie tvarkomi;
<…>“
8 Šios direktyvos 5 straipsnis „Saugojimo ir peržiūros terminai“ suformuluotas taip:
„Valstybės narės numato, kad turi būti nustatyti tinkami asmens duomenų ištrynimo arba asmens duomenų saugojimo poreikio periodinės peržiūros terminai. Tų terminų laikymasis užtikrinamas procedūrinėmis priemonėmis.“
9 Minėtos direktyvos 10 straipsnis „Specialių kategorijų asmens duomenų tvarkymas“ suformuluotas taip:
„<…> genetinių duomenų [ir] biometrinių duomenų tvarkymas siekiant vienareikšmiškai nustatyti fizinio asmens tapatybę <…> leidžiamas tik tada, jei tai tikrai būtina ir jei taikomos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės <…>“
10 Tos pačios direktyvos 13 straipsnio „Informacija, kuri padaroma prieinama duomenų subjektui arba kuri turi būti pateikta duomenų subjektui“ 2 dalyje nustatyta, kad, be šio straipsnio 1 dalyje nurodytos informacijos, valstybės narės teisės aktuose numato, kad duomenų valdytojas konkrečiais atvejais duomenų subjektui pateikia šioje 2 dalyje nurodytą papildomą informaciją, kad duomenų subjektas galėtų pasinaudoti savo teisėmis. Tarp šios papildomos informacijos, be kita ko, 2 dalies b punkte, nurodytas asmens duomenų saugojimo laikotarpis arba, jei tai neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti. Be to, Direktyvos 2016/680 13 straipsnio 3 dalyje nurodytos priežastys, dėl kurių valstybės narės gali priimti teisėkūros priemones, kuriomis informacijos teikimas duomenų subjektui pagal šio straipsnio 2 dalį atidedamas, apribojamas arba jo atsisakoma.
11 Direktyvos 2016/680 14 straipsnyje „Duomenų subjekto teisė susipažinti su asmens duomenimis“ nurodyta:
„Atsižvelgiant į 15 straipsnį, valstybės narės numato, kad duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei jie yra tvarkomi, kad jis turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:
<…>
d) jeigu įmanoma, numatomu asmens duomenų saugojimo laikotarpiu arba, jei tai neįmanoma, kriterijais, taikomais tam laikotarpiui nustatyti;
<…>“
12 Tos direktyvos 16 straipsnio „Teisė reikalauti ištaisyti ar ištrinti asmens duomenis ir apriboti jų tvarkymą“ 2 ir 3 dalyse nustatyta:
„2. Valstybės narės įpareigoja duomenų valdytoją nepagrįstai nedelsiant ištrinti asmens duomenis ir nustato duomenų subjekto teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų jo asmens duomenis, jeigu duomenų tvarkymu pažeidžiamos pagal 4, 8 ar 10 straipsnį priimtos nuostatos arba jeigu asmens duomenys turi būti ištrinti vykdant teisinę prievolę, kuri taikoma duomenų valdytojui.
3. Duomenų valdytojas apriboja duomenų tvarkymą jų neištrindamas, jeigu:
a) duomenų subjektas ginčija asmens duomenų tikslumą, o jų tikslumo arba netikslumo patvirtinti neįmanoma, arba
b) asmens duomenys turi būti išsaugoti įrodymų tikslais.
<…>“
13 Pagal minėtos direktyvos 20 straipsnį „Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga“ valstybės narės numato, kad duomenų valdytojas turi įgyvendinti tinkamas technines ir organizacines priemones, kad būtų laikomasi šios direktyvos reikalavimų ir apsaugotos duomenų subjektų teisės, visų pirma siekiant užtikrinti, kad pagal standartizuotą praktiką būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui.
14 Direktyvos 2016/680 29 straipsnio „Duomenų tvarkymo saugumas“ 1 dalyje nustatyta:
„Valstybės narės numato, kad duomenų valdytojas ir duomenų tvarkytojas, atsižvelgdam[i] į techninių galimybių išsivystymo lygį ir įgyvendinimo sąnaudas, taip pat į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir į įvairios tikimybės bei dydžio pavojų fizinių asmenų teisėms ir laisvėms, turi įgyvendinti tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, visų pirma kiek tai susiję su 10 straipsnyje nurodytu specialių kategorijų asmens duomenų tvarkymu.“
Bulgarijos teisė
Baudžiamasis kodeksas
15 Pagrindinės bylos aplinkybėmis taikytinos redakcijos Nakazatelen kodeks (Baudžiamasis kodeksas, DV Nr. 26, 1968 m. balandžio 2 d.), 82 straipsnio 1 dalyje nustatyta:
„Skirta bausmė nebevykdoma praėjus:
1) dvidešimčiai metų, jei skirtas laisvės atėmimas iki gyvos galvos be galimybės pakeisti arba įkalinimas iki gyvos galvos;
2) penkiolikai metų, jei skirtas laisvės atėmimas daugiau nei dešimt metų;
3) dešimčiai metų, jei skirtas laisvės atėmimas nuo trejų iki dešimties metų;
4) penkeriems metams, jei skirtas laisvės atėmimas iki trejų metų, ir
5) dvejiems metams – visais kitais atvejais.“
16 Šio kodekso 85 straipsnio 1 dalyje numatyta:
„Panaikintas teistumas išnyksta, ir ateityje nekyla pasekmių, pagal įstatymus siejamų su teistumu, išskyrus atvejus, kai įstatyme ar dekrete numatyta kitaip.“
17 Minėto kodekso 88a straipsnis suformuluotas taip:
„Jeigu nuo bausmės atlikimo praėjo 82 straipsnio 1 dalyje numatytas terminas ir nuteistasis nepadarė naujos tyčinės nusikalstamos veikos, dėl kurios baudžiamasis persekiojimas vykdomas pagal valstybinį kaltinimą ir už kurią numatyta laisvės atėmimo bausmė, teistumas ir jo pasekmės išnyksta, neatsižvelgiant į jokias įstatymo ar kito dekreto nuostatas.“
Vidaus reikalų ministerijos įstatymas
18 Pagrindinėje byloje taikytinos redakcijos Zakon za ministerstvoto na vatreshnite raboti (Vidaus reikalų ministerijos įstatymas; DV, Nr. 53, 2014 m. birželio 27 d.; toliau – Vidaus reikalų ministerijos įstatymas) 26 straipsnyje numatyta:
„(1) Tvarkydamos asmens duomenis, susijusius su nacionalinio saugumo užtikrinimo, kovos su nusikalstamumu, viešosios tvarkos palaikymo ir baudžiamojo proceso vykdymo veikla, Vidaus reikalų ministerijos institucijos:
<…>
3. gali tvarkyti visų būtinų kategorijų asmens duomenis;
<…>
(2) Šio straipsnio 1 dalyje nurodytų duomenų saugojimo arba periodinio patikrinimo, ar juos būtina saugoti, terminus nustato vidaus reikalų ministras. Tokie duomenys taip pat ištrinami pagal teismo aktą arba Asmens duomenų apsaugos komisijos sprendimu.“
19 Vidaus reikalų ministerijos įstatymo 27 straipsnyje nustatyta:
„Asmens duomenys, įtraukti į policijos registrą pagal 68 straipsnį, naudojami tik nacionalinio saugumo užtikrinimo, kovos su nusikalstamumu ir viešosios tvarkos palaikymo tikslais.“
20 Šio įstatymo 68 straipsnis suformuluotas taip:
„(1) Policijos institucijos į policijos registrą įtraukia asmenis, dėl kurių vykdomas baudžiamasis persekiojimas už tyčinį nusikaltimą pagal valstybinį kaltinimą. Tyrimą atliekančios institucijos privalo imtis būtinų priemonių, kad policijos institucijos įtrauktų šiuos asmenis į registrą.
(2) Įtraukimas į policijos registrą yra 1 dalyje nurodytų asmenų asmens duomenų tvarkymas, atliekamas pagal šį įstatymą.
(3) Kad galėtų įtraukti į policijos registrą, policijos institucijos privalo:
1. rinkti asmens duomenis, susijusius su Bulgarijos asmens tapatybės dokumentų įstatymo 18 straipsnyje nurodytais asmenimis;
2. paimti skaitmeninius asmenų pirštų atspaudus ir juos fotografuoti;
3. paimti ėminius asmenų DNR profiliavimo tikslais.
<…>
(6) Įrašas policijos registre išbraukiamas remiantis rašytiniu asmens duomenų valdytojo arba jo įgaliotų pareigūnų nurodymu ex officio arba gavus rašytinį ir pagrįstą asmens, kurio duomenys įtraukti į registrą, prašymą, jeigu:
1. įrašas buvo padarytas pažeidžiant teisės aktus;
2. baudžiamoji byla buvo nutraukta, išskyrus [Nakazartelno-protsesualen kodeks (Baudžiamojo proceso kodeksas)] 24 straipsnio 3 dalyje nurodytus atvejus;
3. baudžiamojoje byloje buvo priimtas išteisinamasis nuosprendis;
4. asmuo buvo atleistas nuo baudžiamosios atsakomybės ir jam buvo paskirta administracinė nuobauda;
5. asmuo yra miręs, tokiu atveju prašymą gali pateikti jo įpėdiniai.
<…>“
Pagrindinė byla ir prejudicinis klausimas
21 Vykstant ikiteisminiam tyrimui dėl melagingų parodymų davimo, t. y. nusikalstamos veikos, numatytos Baudžiamojo kodekso 290 straipsnio 1 dalyje, NG buvo įtrauktas į policijos registrą pagal Vidaus reikalų ministerijos įstatymo 68 straipsnį. Pasibaigus tyrimui dėl NG buvo parengtas kaltinamasis aktas, o 2016 m. birželio 28 d. nuosprendžiu, kuris 2016 m. gruodžio 2 d. buvo patvirtintas apeliacine tvarka, jis buvo pripažintas kaltu dėl nurodyto nusikaltimo ir nuteistas vienų metų laisvės atėmimo bausme, atidedant jos vykdymą. Atlikus bausmę NG teistumas buvo panaikintas nuo 2020 m. kovo 14 d., remiantis kartu taikomais Baudžiamojo kodekso 82 straipsnio 1 dalimi ir 88a straipsniu.
22 Remdamasis šiuo teistumo panaikinimu, 2020 m. liepos 15 d. NG pateikė Vidaus reikalų ministerijos kompetentingai teritorinei institucijai prašymą ištrinti su juo susijusį policijos registro įrašą.
23 2020 m. rugsėjo 2 d. sprendimu NPGD atmetė šį prašymą, motyvuodamas tuo, kad galutinis apkaltinamasis nuosprendis, įskaitant atvejus, kai teistumas panaikintas, nėra vienas iš Vidaus reikalų ministerijos įstatymo 68 straipsnio 6 dalyje išsamiai išvardytų policijos registro įrašo ištrynimo pagrindų.
24 2021 m. vasario 2 d. sprendimu Administrativen sad Sofia grad (Sofijos miesto administracinis teismas, Bulgarija), iš esmės remdamasis tais pačiais motyvais, atmetė NG skundą dėl šio NPGD sprendimo.
25 NG dėl to sprendimo pateikė kasacinį skundą prašymą priimti prejudicinį sprendimą pateikusiam teismui – Varhoven administrativen sad (Vyriausiasis administracinis teismas, Bulgarija). Pagrindinis kasacinio skundo argumentas grindžiamas iš Direktyvos 2016/680 5, 13 ir 14 straipsnių kylančio principo, pagal kurį asmens duomenų tvarkymas, nulemtas jų saugojimo, negali trukti neribotą laiką, pažeidimu. NG teigimu, taip faktiškai yra, nes teistumo panaikinimo nelaikant pagrindu ištrinti policijos registro įrašą, suinteresuotasis asmuo niekada negalėtų pasiekti, kad jo asmens duomenys, surinkti dėl nusikalstamos veikos, už kurią jis buvo nuteistas galutiniu nuosprendžiu, būtų ištrinti jam atlikus bausmę ir panaikinus teistumą.
26 Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, pirma, kad įrašymas į policijos registrą yra asmens duomenų tvarkymas, atliekamas Direktyvos 2016/680 1 straipsnio 1 dalyje nustatytais tikslais, todėl patenka į šios direktyvos taikymo sritį.
27 Antra, jis nurodo, kad teistumo panaikinimas nėra vienas iš Vidaus reikalų ministerijos įstatymo 68 straipsnio 6 dalyje išsamiai išvardytų pagrindų ištrinti policijos registro įrašą, o joks kitas motyvas netaikomas nagrinėjamu atveju, todėl suinteresuotajam asmeniui neįmanoma pasiekti, kad įrašas apie jį būtų ištrintas iš registro.
28 Trečia, prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad Direktyvos 2016/680 26 konstatuojamojoje dalyje įtvirtintos garantijos, kad nebūtų renkama per daug duomenų ir jie nebūtų saugomi ilgiau, nei būtina tais tikslais, dėl kurių jie tvarkomi, ir nurodyta, kad duomenų valdytojas turi nustatyti duomenų ištrynimo ar periodinės peržiūros terminus. Be to, iš šios direktyvos 34 konstatuojamosios dalies jis daro išvadą, kad tvarkant duomenis jos 1 straipsnio 1 dalyje išdėstytais tikslais turėtų būti atliekamos tų duomenų apribojimo, ištrynimo ar sunaikinimo operacijos. Anot jo, šie principai atsispindi minėtos direktyvos 5 straipsnyje ir 13 straipsnio 2 ir 3 dalyse.
29 Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla abejonių dėl to, ar pirmesniame punkte nurodytus tikslus atitinka nacionalinės teisės aktai, pagal kuriuos kompetentingos institucijos įgyja „beveik neribotą teisę“ tvarkyti duomenis Direktyvos 2016/680 1 straipsnio 1 dalyje nurodytais tikslais, o duomenų subjektas praranda teisę apriboti savo duomenų tvarkymą arba reikalauti juos ištrinti.
30 Šiomis aplinkybėmis Varhoven administrativen sad (Vyriausiasis administracinis teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šį prejudicinį klausimą:
„Ar pagal [Direktyvos 2016/680] 5 straipsnio, siejamo su šios direktyvos 13 straipsnio 2 dalies b punktu ir 3 dalimi, aiškinimą leidžiami nacionalinės teisės aktai, dėl kurių kompetentingos institucijos turi praktiškai neribotą teisę tvarkyti asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir (arba) dėl kurių eliminuojama duomenų subjekto teisė reikalauti apriboti duomenų tvarkymą ir ištrinti arba sunaikinti duomenis?“
Dėl prejudicinio klausimo
31 Pagal suformuotą jurisprudenciją, vykdant SESV 267 straipsnyje įtvirtintą nacionalinių teismų ir Teisingumo Teismo bendradarbiavimo procedūrą, pastarasis teismas nacionaliniam teismui turi pateikti naudingą atsakymą, kuris leistų išspręsti jo nagrinėjamą bylą. Tokiu atveju Teisingumo Teismui gali tekti performuluoti jam pateiktus klausimus. Be to, Teisingumo Teismui gali tekti atsižvelgti į Sąjungos teisės normas, kurių nacionalinis teismas nebuvo nurodęs savo klausime (2021 m. liepos 15 d. Sprendimo Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, 31 punktas ir jame nurodyta jurisprudencija).
32 Nagrinėjamu atveju prašymą priimti prejudicinį sprendimą pateikusio teismo klausimas kilo dėl to, kad, kaip matyti iš prašymo priimti prejudicinį sprendimą ir Bulgarijos vyriausybės per posėdį Teisingumo Teisme pateiktos informacijos, nė vienas iš policijos registre esančių asmens duomenų ištrynimą pateisinančių pagrindų, kurių išsamus sąrašas pateiktas Vidaus reikalų ministerijos įstatyme, netaikytinas pagrindinėje byloje nagrinėjamai situacijai, kai asmuo buvo galutinai nuteistas, net jeigu teistumas vėliau panaikintas, todėl šie duomenys saugomi šiame registre ir prieigą prie jų turinčios valdžios institucijos gali juos tvarkyti neribotą laiką iki pat šio asmens mirties.
33 Visų pirma, šiuo klausimu iš prašymo priimti prejudicinį sprendimą, ypač iš šio sprendimo 27 punkte apibendrintų argumentų, ir paties prejudicinio klausimo formuluotės matyti, kad nacionaliniam teismui abejonių iš esmės kyla dėl pagrindinėje byloje nagrinėjamų nacionalinės teisės aktų suderinamumo su proporcingumo principu. Kaip pabrėžta Direktyvos 2016/680 104 konstatuojamojoje dalyje, šioje direktyvoje įtvirtinti Chartijos 8 straipsnyje numatytos teisės į asmens duomenų apsaugą ir atitinkamai Chartijos 7 ir 47 straipsniais saugomos teisės į privatų ir šeimos gyvenimą bei teisės į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą apribojimai turi būti aiškinami taip, kad atitiktų jos 52 straipsnio 1 dalies reikalavimus, apimančius šio principo laikymąsi.
34 Savo klausime prašymą priimti prejudicinį sprendimą pateikęs teismas teisingai nurodo minėtos direktyvos 5 straipsnį, susijusį su asmens duomenų ištrynimo arba poreikio juos saugoti reguliaraus patikrinimo tinkamų terminų nustatymu. Kadangi 5 straipsnis glaudžiai susijęs tiek su tos pačios direktyvos 4 straipsnio 1 dalies c ir e punktais, tiek su jos 16 straipsnio 2 ir 3 dalimis, prejudicinį klausimą reikia suprasti kaip susijusį ir su šiomis dviem nuostatomis.
35 Be to, kadangi pagrindinėje byloje nagrinėjamuose nacionalinės teisės aktuose numatyta saugoti, be kita ko, biometrinius ir genetinius duomenis, priskiriamus prie specialių kategorijų asmens duomenų, kurių tvarkymas konkrečiai reglamentuotas Direktyvos 2016/680 10 straipsnyje, reikia konstatuoti, kad pateiktas klausimas taip pat susijęs su šios nuostatos aiškinimu.
36 Galiausiai iš prašymo priimti prejudicinį sprendimą aiškiai matyti Direktyvos 2016/680 13 straipsnio 2 dalies b punkto aiškinimo svarba. Žinoma, kaip pažymi prašymą priimti prejudicinį sprendimą pateikęs teismas, šio straipsnio 3 dalis taip pat atspindi principus, įtvirtintus, be kita ko, šios direktyvos 26 konstatuojamojoje dalyje. Vis dėlto iš Teisingumo Teismui pateiktos bylos medžiagos nematyti, kad pagrindinėje byloje taip pat būtų kalbama apie teisėkūros priemonę, kuria siekiama atidėti arba apriboti informacijos teikimą duomenų subjektui, kaip tai suprantama pagal šią 3 dalį.
37 Atsižvelgiant į tai, kas išdėstyta, reikia konstatuoti, kad savo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Direktyvos 2016/680 4 straipsnio 1 dalies c ir e punktai, siejami su jos 5 ir 10 straipsniais, 13 straipsnio 2 dalies b punktu, 16 straipsnio 2 ir 3 dalimis, atsižvelgiant į Chartijos 7 ir 8 straipsnius, turi būti aiškinami taip, kad pagal juos draudžiami nacionalinės teisės aktai, kuriuose numatyta, kad nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais policijos institucijos gali saugoti asmens duomenis, be kita ko, biometrinius ir genetinius, apie asmenis, pagal valstybinį kaltinimą galutiniu nuosprendžiu nuteistus už tyčinę nusikalstamą veiką, iki atitinkamo asmens mirties, taip pat ir teistumo panaikinimo atveju, nesuteikiant šiam asmeniui teisės reikalauti ištrinti šiuos duomenis arba prireikus apriboti jų tvarkymą.
38 Pirmiausia pažymėtina, kad pateiktas klausimas susijęs su asmens duomenų tvarkymu siekiant tikslų, kurie pagal Direktyvos 2016/680 1 straipsnio 1 dalį patenka į šios direktyvos taikymo sritį. Vis dėlto iš prašyme priimti prejudicinį sprendimą cituoto Vidaus reikalų ministerijos įstatymo 27 straipsnio matyti, kad policijos registre saugomi duomenys taip pat gali būti tvarkomi siekiant užtikrinti nacionalinį saugumą, o tokiam tvarkymui pagal šios direktyvos 2 straipsnio 3 dalies a punktą, siejamą su jos 14 konstatuojamąja dalimi, ši direktyva netaikoma. Taigi prašymą priimti prejudicinį sprendimą pateikęs teismas turės įsitikinti, kad pareiškėjo pagrindinėje byloje duomenys nėra saugomi nacionalinio saugumo užtikrinimo tikslu, turint omenyje tai, kad direktyvos 2 straipsnio 3 dalies a punkte numatyta Sąjungos teisės taikymo išimtis, kuri turi būti aiškinama siaurai (pagal analogiją žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 62 punktą ir jame nurodytą jurisprudenciją).
39 Pirmiausia reikia priminti, kad Chartijos 7 ir 8 straipsniuose užtikrinamos pagrindinės teisės į privataus gyvenimo gerbimą ir asmens duomenų apsaugą nėra absoliučios ir turi būti vertinamos atsižvelgiant į jų visuomeninę funkciją ir derinamos su kitomis pagrindinėmis teisėmis. Pagal Chartijos 52 straipsnio 1 dalį bet koks šių pagrindinių teisių įgyvendinimo apribojimas turi būti numatytas įstatymo ir juo turi būti paisoma šių pagrindinių teisių esmės ir proporcingumo principo. Remiantis šiuo principu, apribojimai galimi tik tuo atveju, kai jie būtini ir tikrai atitinka Sąjungos pripažintus bendrojo intereso tikslus arba reikalingi kitų asmenų teisėms ir laisvėms apsaugoti. Jie turi neviršyti to, kas yra griežtai būtina, o apribojimus nustatančiame teisės akte turi būti numatytos aiškios ir tikslios taisyklės, kuriomis būtų reglamentuojama šių apribojimų apimtis ir taikymas (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 105 punktą ir jame nurodytą jurisprudenciją).
40 Kaip iš esmės pažymėta Direktyvos 2016/680 26 konstatuojamojoje dalyje, šie reikalavimai netenkinami, jei nurodytą bendrojo intereso tikslą galima pagrįstai taip pat veiksmingai pasiekti kitomis priemonėmis, kurios mažiau ribotų duomenų subjektų pagrindines teises (pagal analogiją žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 110 punktą ir jame nurodytą jurisprudenciją).
41 Antra, pagal minėtos direktyvos 4 straipsnio 1 dalies c punktą valstybės narės turi numatyti, kad asmens duomenys būtų tinkami, aktualūs ir nepernelyg išsamūs tikslų, kuriais jie yra tvarkomi, atžvilgiu. Taigi pagal šią nuostatą reikalaujama, kad valstybės narės laikytųsi „duomenų kiekio mažinimo“ principo, kuris yra proporcingumo principo išraiška (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 98 punktą ir jame nurodytą jurisprudenciją).
42 Darytina išvada, kad, be kita ko, vykstant baudžiamajam procesui policijos vykdomas asmens duomenų rinkimas ir saugojimas šios direktyvos 1 straipsnio 1 dalyje nurodytais tikslais turi atitikti šiuos reikalavimus, kaip ir bet koks tvarkymas, patenkantis į šios direktyvos taikymo sritį. Be to, tokiu saugojimu suvaržomos pagrindinės teisės į privataus gyvenimo gerbimą ir į asmens duomenų apsaugą, neatsižvelgiant į tai, ar saugoma informacija yra neskelbtina, ar dėl šio suvaržymo suinteresuotieji asmenys patyrė nepatogumų arba ar saugomi duomenys vėliau bus naudojami (pagal analogiją žr. 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 44 punktą ir jame nurodytą jurisprudenciją).
43 Be to, kalbant konkrečiau apie minėtų duomenų saugojimo trukmės proporcingumą, pažymėtina, kad pagal Direktyvos 2016/680 4 straipsnio 1 dalies e punktą valstybės narės turi numatyti, kad šie duomenys būtų saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, dėl kurių jie tvarkomi.
44 Šiuo tikslu pagal direktyvos 5 straipsnį valstybės narės įpareigojamos nustatyti tinkamus asmens duomenų ištrynimo arba jų saugojimo poreikio periodinės peržiūros terminus, taip pat procedūrines priemones, užtikrinančias, šių terminų laikymąsi.
45 Kaip nurodyta Direktyvos 2016/680 26 konstatuojamojoje dalyje, šia nuostata siekiama užtikrinti, kad asmens duomenys nebūtų saugomi ilgiau, nei būtina, laikantis šios direktyvos 4 straipsnio 1 dalies e punkto reikalavimų. Žinoma, valstybėms narėms paliekama nustatyti tinkamus saugojimo terminus ir nuspręsti, ar jie taikomi šių duomenų ištrynimui, ar periodiniam poreikio juos saugoti patikrinimui, su sąlyga, kad šių terminų laikymasis užtikrinamas tinkamomis procedūrinėmis priemonėmis. Vis dėlto tam, kad šie terminai būtų „tinkami“, bet kuriuo atveju reikia, kad pagal minėtos direktyvos 4 straipsnio 1 dalies c ir e punktus, siejamus su Chartijos 52 straipsnio 1 dalimi, jie leistų prireikus ištrinti atitinkamus duomenis, jeigu jų nebereikėtų saugoti atsižvelgiant į tikslus, kuriais grindžiamas jų tvarkymas.
46 Būtent siekiant, kad duomenų subjektai galėtų patikrinti šį „tinkamumą“ ir prireikus prašyti ištrinti duomenis, Direktyvos 2016/680 13 straipsnio 2 dalies b punkte ir 14 straipsnio d punkte numatyta, kad, jeigu įmanoma, šie asmenys iš esmės gali būti informuoti apie asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, apie kriterijus, taikomus šiam laikotarpiui nustatyti.
47 Be to, Direktyvos 2016/680 10 straipsnis yra speciali nuostata, kuria reglamentuojamas specialių kategorijų asmens duomenų, be kita ko, biometrinių ir genetinių, tvarkymas. Šia nuostata siekiama užtikrinti didesnę duomenų subjekto apsaugą, nes dėl ypatingo jautrumo ir aplinkybių, kuriomis nagrinėjami duomenys yra tvarkomi, jie, kaip matyti iš minėtos direktyvos 37 konstatuojamosios dalies, gali kelti didelį pavojų pagrindinėms teisėms ir laisvėms, kaip antai teisei į privataus gyvenimo gerbimą ir teisei į asmens duomenų apsaugą, įtvirtintoms Chartijos 7 ir 8 straipsniuose (2023 m. sausio 26 d. Sprendimo Ministerstvo na vatreshnite raboti (Biometrinių ir genetinių duomenų registravimas policijoje), C‑205/21, EU:C:2023:49, 116 punktas ir jame nurodyta jurisprudencija).
48 Konkrečiau kalbant, šiame 10 straipsnyje įtvirtintas reikalavimas, kad neskelbtinus duomenis būtų leidžiama tvarkyti, „jei tai tikrai būtina“, ir tai yra griežtesnė tokių duomenų tvarkymo teisėtumo sąlyga ir, be kita ko, reiškia ypač griežtą „duomenų kiekio mažinimo“ principo, kylančio iš Direktyvos 2016/680 4 straipsnio 1 dalies c punkto ir dėl šio reikalavimo taikomo minėtiems neskelbtiniems duomenims, laikymosi kontrolę (šiuo klausimu žr. 2023 m. sausio 26 d. Sprendimo Ministerstvo na vatreshnite raboti (Biometrinių ir genetinių duomenų registravimas policijoje), C‑205/21, EU:C:2023:49, 117, 122 ir 125 punktus).
49 Galiausiai Direktyvos 2016/680 16 straipsnio 2 dalyje įtvirtinta teisė reikalauti ištrinti asmens duomenis, kai jų tvarkymu pažeidžiamos pagal šios direktyvos 4, 8 ar 10 straipsnius priimtos nuostatos arba kai šie duomenys turi būti ištrinti vykdant duomenų valdytojui taikomą teisinę prievolę.
50 Iš šio 16 straipsnio 2 dalies matyti, kad šia teise į duomenų ištrynimą gali būti pasinaudota, be kita ko, kai nagrinėjamų asmens duomenų saugojimas nėra arba nebėra būtinas atsižvelgiant į jų tvarkymo tikslus ir juo pažeidžiamos nacionalinės teisės nuostatos, kuriomis įgyvendinami minėtos direktyvos 4 straipsnio 1 dalies c ir e punktai, taip pat prireikus jos 10 straipsnis, arba kai toks ištrynimas būtinas tam, kad būtų laikomasi nacionalinėje teisėje šiuo tikslu pagal tos pačios direktyvos 5 straipsnį nustatyto termino.
51 Vis dėlto pagal Direktyvos 2016/680 16 straipsnio 3 dalį nacionalinėje teisėje turi būti numatyta, kad duomenų valdytojas apriboja tokių duomenų tvarkymą, užuot juos ištrynęs, kai pagal šios nuostatos a punktą duomenų subjektas ginčija asmens duomenų tikslumą, o šio tikslumo arba netikslumo patvirtinti neįmanoma arba jeigu pagal b punktą asmens duomenys turi būti saugomi įrodinėjimo tikslais.
52 Iš to, kas išdėstyta, matyti, kad šio sprendimo 41–51 punktuose išnagrinėtose Direktyvos 2016/680 nuostatose įtvirtinti bendri pagrindai, leidžiantys, be kita ko, užtikrinti, kad asmens duomenų saugojimas ir, konkrečiau kalbant, jo trukmė būtų apriboti tuo, kas būtina atsižvelgiant į saugojimo tikslus, valstybėms narėms paliekant galimybę laikantis šių pagrindų nustatyti konkrečias situacijas, kai duomenų subjekto pagrindinių teisių apsauga reikalauja ištrinti šiuos duomenis, ir momentą, kada tai turi būti padaryta. Vis dėlto, kaip iš esmės pažymėjo generalinis advokatas išvados 28 punkte, pagal šias nuostatas nereikalaujama, kad valstybės narės nustatytų absoliučius asmens duomenų saugojimo laiko limitus, kuriuos viršijus šie duomenys turėtų būti automatiškai ištrinti.
53 Nagrinėjamu atveju iš Teisingumo Teismo turimos bylos medžiagos matyti, kad pagal Vidaus reikalų ministerijos įstatymo 68 straipsnį policijos registre esantys asmens duomenys saugomi tik ikiteisminio tyrimo tikslais, konkrečiau kalbant, siekiant juos palyginti su kitais duomenimis, surinktais tiriant kitas nusikalstamas veikas.
54 Šiuo klausimu, pirma, reikia pabrėžti, kad duomenų apie galutiniu apkaltinamuoju nuosprendžiu nuteistus asmenis saugojimas policijos registre gali būti būtinas siekiant ankstesniame šio sprendimo punkte nurodytų tikslų, net išbraukus įrašą apie teistumą iš nuosprendžių registro ir panaikinus pasekmes, pagal nacionalinę teisę siejamas su šiuo teistumu. Iš tiesų, palyginus šių institucijų saugomus duomenis su tais, kurie buvo surinkti tiriant kitas nusikalstamas veikas, gali paaiškėti, kad šie asmenys taip pat dalyvavo darant tas kitas nusikalstamas veikas, už kurias jie dar nebuvo teisti, arba, priešingai, kad jie nekalti dėl tų veikų padarymo.
55 Toks duomenų saugojimas gali padėti siekti Direktyvos 2016/680 27 konstatuojamojoje dalyje nurodyto tikslo, pagal kurį nusikalstamų veikų prevencijos, tyrimo ir baudžiamojo persekiojimo už jas tikslais kompetentingoms institucijoms būtina tvarkyti asmens duomenis, surinktus vykdant konkrečių nusikalstamų veikų prevenciją, jas atskleidžiant, tiriant ar traukiant baudžiamojon atsakomybėn už jas, neapsiribojant šiais tikslais, kad būtų galima geriau suprasti nusikalstamą veiklą ir aptikti sąsajas tarp skirtingų nustatytų nusikalstamų veikų (šiuo klausimu žr. 2023 m. sausio 26 d. Sprendimo Ministerstvo na vatreshnite raboti (Biometrinių ir genetinių duomenų registravimas policijoje), C‑205/21, EU:C:2023:49, 98 punktą).
56 Antra, iš Teisingumo Teismo turimos bylos medžiagos matyti, kad pagrindinėje byloje nagrinėjamame policijos registre saugomi duomenų subjekto duomenys, nurodyti Bulgarijos teisės aktuose dėl asmens tapatybės dokumentų, jo pirštų atspaudų pavyzdžiai, nuotrauka ir ėminys DNR profiliavimo tikslais; kaip per teismo posėdį patvirtino Bulgarijos vyriausybė, šie duomenys papildomi duomenimis apie duomenų subjekto padarytas nusikalstamas veikas ir teistumus už jas. Šios skirtingos duomenų kategorijos gali būti būtinos siekiant patikrinti, ar duomenų subjektas dalyvavo darant kitas nusikalstamas veikas nei tos, už kurias jis buvo galutinai nuteistas. Todėl šie duomenys iš esmės gali būti laikomi tinkamais ir aktualiais atsižvelgiant į tikslus, kuriais jie tvarkomi, kaip tai suprantama pagal Direktyvos 2016/680 4 straipsnio 1 dalies c punktą.
57 Trečia, tokio saugojimo proporcingumas jo tikslams turi būti vertinamas taip pat atsižvelgiant į nacionalinėje teisėje numatytas tinkamas technines ir organizacines priemones, skirtas saugomų duomenų konfidencialumui užtikrinti ir apsaugoti juos nuo Direktyvos 2016/680 reikalavimams prieštaraujančio tvarkymo, kaip to reikalaujama pagal šios direktyvos 20 ir 29 straipsnius, visų pirma į jos 20 straipsnio 2 dalyje nurodytas priemones, užtikrinančias, kad bus tvarkomi tik tie asmens duomenys, kurie būtini kiekvienam konkrečiam jų tvarkymo tikslui pasiekti.
58 Ketvirta, kalbant apie pagrindinėje byloje nagrinėjamą asmens duomenų saugojimo trukmę, iš prašymo priimti prejudicinį sprendimą matyti, kad tik tuo atveju, kai duomenų subjektas galutinai nuteisiamas už tyčinę nusikalstamą veiką, dėl kurios baudžiamasis persekiojimas vykdomas pagal valstybinį kaltinimą, duomenys saugomi iki šio asmens mirties, o kitais atvejais pagal nacionalinės teisės aktus už tokią nusikalstamą veiką persekiojami asmenys išbraukiami iš registro.
59 Vis dėlto šiuo klausimu reikia konstatuoti, kad sąvoka „tyčinė nusikalstama veika, dėl kurios baudžiamasis persekiojimas vykdomas pagal valstybinį kaltinimą“ yra labai bendro pobūdžio ir gali būti taikoma daugeliui nusikalstamų veikų, neatsižvelgiant į jų pobūdį ir sunkumą (šiuo klausimu žr. 2023 m. sausio 26 d. Sprendimo Ministerstvo na vatreshnite raboti (Biometrinių ir genetinių duomenų registravimas policijoje), C‑205/21, EU:C:2023:49, 129 punktą).
60 Kaip iš esmės pažymėjo generalinis advokatas išvados 73 ir 74 punktuose, ne visi asmenys, galutinai nuteisti už nusikalstamą veiką, kurią apima ši sąvoka, kelia tokį patį pavojų įvykdyti kitas nusikalstamas veikas, kuris pateisintų vienodą jų duomenų saugojimo trukmę. Tam tikrais atvejais, atsižvelgiant į tokius veiksnius, kaip padaryto nusikaltimo pobūdis ir sunkumas arba recidyvo nebuvimas, nuteistojo keliama rizika nebūtinai pateisina duomenų apie jį saugojimą šiuo tikslu numatytame nacionaliniame registre iki jo mirties. Tokiais atvejais nebėra būtino ryšio tarp saugomų duomenų ir siekiamo tikslo (pagal analogiją žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 205 punktą). Taigi jų saugojimas neatitiktų Direktyvos 2016/680 4 straipsnio 1 dalies c punkte įtvirtinto duomenų kiekio mažinimo principo ir viršytų laikotarpį, būtiną siekiant tikslų, dėl kurių jie tvarkomi, priešingai, nei numatyta šios direktyvos 4 straipsnio 1 dalies e punkte.
61 Šiuo klausimu reikia pažymėti, kad, kaip iš esmės pažymėjo generalinis advokatas išvados 70 punkte, dėl tokio asmens teistumo panaikinimo, lemiančio įrašo apie jį išbraukimą iš nuosprendžių registro, kaip atsitiko pagrindinėje byloje, savaime negali išnykti poreikis saugoti jo duomenis policijos registre, nes juo siekiama skirtingų tikslų nei įrašais apie teistumą minėtame nuosprendžių registre. Vis dėlto, kai, kaip nagrinėjamu atveju, pagal taikytinas nacionalinės baudžiamosios teisės nuostatas toks teistumo panaikinimas siejamas su sąlyga, kad tam tikrą laikotarpį po bausmės atlikimo nebūtų padaryta nauja tyčinė nusikalstama veika, dėl kurios baudžiamasis persekiojimas vykdomas pagal valstybinį kaltinimą, toks panaikinimas gali rodyti, kad duomenų subjektas kelia mažesnę riziką, atsižvelgiant į kovos su nusikalstamumu ar viešosios tvarkos palaikymo tikslus, taigi gali sumažinti būtiną tokio saugojimo trukmę.
62 Penkta, pagal Chartijos 52 straipsnio 1 dalyje įtvirtintą proporcingumo principą reikalaujama, be kita ko, palyginti siekiamo tikslo svarbą su naudojimosi nagrinėjamomis pagrindinėmis teisėmis apribojimo sunkumu (šiuo klausimu žr. 2022 m. lapkričio 22 d. Sprendimo Luxembourg Business Registers, C‑37/20 ir C‑601/20, EU:C:2022:912, 66 punktą).
63 Nagrinėjamu atveju, kaip priminta šio sprendimo 35 punkte, asmens duomenų saugojimas atitinkamame policijos registre apima biometrinius ir genetinius duomenis. Taigi reikia pabrėžti, kad, atsižvelgiant į didelį pavojų, kurį tokių neskelbtinų duomenų tvarkymas kelia duomenų subjektų teisėms ir laisvėms, visų pirma kompetentingoms institucijoms atliekant užduotis Direktyvos 2016/680 1 straipsnio 1 dalyje nurodytais tikslais, ypatinga siekiamo tikslo svarba turi būti vertinama atsižvelgiant į visas reikšmingas aplinkybes. Tokios vertintinos aplinkybės apima, be kita ko, tai, kad duomenų tvarkymu siekiama konkretaus tikslo, susijusio su tam tikro sunkumo nusikalstamų veikų ar grėsmių visuomenės saugumui prevencija, baudimu už tokias nusikalstamas veikas arba apsauga nuo tokių grėsmių, taip pat konkrečias tokio tvarkymo aplinkybes (2023 m. sausio 26 d. Sprendimo Ministerstvo na vatreshnite raboti (Biometrinių ir genetinių duomenų registravimas policijoje), C‑205/21, EU:C:2023:49, 127 punktas).
64 Šiomis aplinkybėmis Teisingumo Teismas nusprendė, kad nacionalinės teisės aktai, kuriuose numatytas sistemingas kiekvieno asmens, kuriam pareikšti kaltinimai dėl ex officio persekiojamos tyčinės nusikalstamos veikos, biometrinių ir genetinių duomenų rinkimas, iš esmės prieštarauja Direktyvos 2016/680 10 straipsnyje įtvirtintam ir šio sprendimo 48 punkte primintam absoliutaus būtinumo reikalavimui. Iš tiesų tokie teisės aktai gali lemti, kad bus nediferencijuotai ir bendrai renkami daugumos asmenų, kuriems pareikšti kaltinimai, biometriniai ir genetiniai duomenys (šiuo klausimu žr. 2023 m. sausio 26 d. Sprendimo Ministerstvo na vatreshnite raboti (Biometrinių ir genetinių duomenų registravimas policijoje), C‑205/21, EU:C:2023:49, 128 ir 129 punktus).
65 Europos Žmogaus Teisių Teismas nusprendė, kad bendri ir nediferencijuoti įgaliojimai saugoti asmenų, įtariamų padarius nusikalstamas veikas, bet nenuteistų, skaitmeninius pirštų atspaudus, biologinius ėminius ir DNR profilius, kaip buvo numatyta šio teismo nagrinėtoje byloje ginčytuose nacionalinės teisės aktuose, neatspindėjo teisingos konkuruojančių viešųjų ir privačių interesų pusiausvyros, todėl tokių duomenų saugojimas laikytinas neproporcingu ieškovų teisės į privataus gyvenimo gerbimą suvaržymu ir negali būti pripažintas būtinu demokratinėje visuomenėje; taigi jis pripažino, kad šiuo suvaržymu pažeidžiamas 1950 m. lapkričio 4 d. Romoje pasirašytos Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8 straipsnis (2008 m. gruodžio 4 d. EŽTT sprendimo S ir Marper prieš Jungtinę Karalystę, CE:ECHR:2008:1204JUD003056204, 125 ir 126 punktai).
66 Žinoma, galutiniu nuosprendžiu jau nuteistų asmenų biometrinių ir genetinių duomenų saugojimas net iki jų mirties gali būti tikrai būtinas, kaip tai suprantama pagal Direktyvos 2016/680 10 straipsnį, be kita ko, tam, kad būtų galima patikrinti galimą šių asmenų dalyvavimą darant kitas nusikalstamas veikas ir prireikus pradėti jas padariusių asmenų baudžiamąjį persekiojimą ir juos nubausti. Iš tiesų reikėtų atsižvelgti į šios rūšies duomenų svarbą baudžiamiesiems tyrimams, įskaitant daugelį metų po nusikaltimų įvykdymo, ypač kai kalbama apie sunkius nusikaltimus (šiuo klausimu žr. 2020 m. vasario 13 d. EŽTT sprendimo Gaughran prieš Jungtinę Karalystę, CE:ECHR:2020:0213JUD004524515, 93 punktą).
67 Vis dėlto biometrinių ir genetinių duomenų saugojimas gali būti laikomas atitinkančiu reikalavimą, kad jis turi būti leidžiamas tik „jei tai tikrai būtina“, kaip tai suprantama pagal Direktyvos 2016/680 10 straipsnį, tik jeigu saugant atsižvelgiama į nusikalstamos veikos, dėl kurios priimtas galutinis apkaltinamasis nuosprendis, pobūdį ir sunkumą arba į kitas aplinkybes, pavyzdžiui, konkrečias šios nusikalstamos veikos padarymo aplinkybes, jos galimą ryšį su kitais vykstančiais tyrimais arba nuteistojo ankstesnius teistumus ar profilį. Taigi tuo atveju, kai nacionalinės teisės aktuose, kaip antai nagrinėjamuose pagrindinėje byloje, numatyta, kad į policijos registrą įrašyti galutiniu nuosprendžiu nuteistų duomenų subjektų biometriniai ir genetiniai duomenys saugomi iki šių asmenų mirties, šio saugojimo taikymo sritis, kaip konstatuota šio sprendimo 59 ir 60 punktuose, yra pernelyg plati, palyginti su tikslais, kuriais šie duomenys tvarkomi.
68 Šešta, kalbant, viena vertus, apie Direktyvos 2016/680 5 straipsnyje įtvirtintą valstybių narių pareigą numatyti tinkamų terminų nustatymą, reikia pažymėti, kad dėl šio sprendimo 59, 60 ir 67 punktuose nurodytų priežasčių ir atsižvelgiant į šios direktyvos 4 straipsnio 1 dalies c ir e punktų ir 10 straipsnio reikalavimus terminas gali būti laikomas „tinkamu“, kaip tai suprantama pagal nurodytą 5 straipsnį, visų pirma kiek tai susiję su kiekvieno asmens, pagal valstybinį kaltinimą galutiniu nuosprendžiu nuteisto už tyčinę nusikalstamą veiką, biometrinių ir genetinių duomenų saugojimu, tik jeigu juo atsižvelgiama į reikšmingas aplinkybes, dėl kurių būtina nustatyti tokią saugojimo trukmę, kaip antai nurodytas šio sprendimo 67 punkte.
69 Taigi, net jei nacionalinės teisės aktuose esanti nuoroda į duomenų subjekto mirties momentą gali būti laikoma „terminu“, kuriam suėjus saugomi duomenys turi būti ištrinti, kaip tai suprantama pagal minėtą 5 straipsnį, toks terminas gali būti laikomas „tinkamu“ tik esant ypatingoms pakankamai jį pateisinančioms aplinkybėms. Tačiau akivaizdu, kad taip nėra tuo atveju, kai jis bendrai ir nediferencijuojant taikomas kiekvienam galutinai nuteistam asmeniui.
70 Žinoma, kaip pažymėta šio sprendimo 45 punkte, Direktyvos 2016/680 5 straipsnyje valstybėms narėms paliekama nuspręsti, ar turi būti nustatyti šių duomenų ištrynimo ar jų saugojimo poreikio reguliaraus tikrinimo terminai. Vis dėlto iš to paties punkto taip pat matyti, jog tam, kad tokio reguliaraus tikrinimo terminai būtų laikomi „tinkamais“, reikia, kad, laikantis minėtos direktyvos 4 straipsnio 1 dalies c ir e punktų, siejamų su Chartijos 52 straipsnio 1 dalimi, jie leistų ištrinti atitinkamus duomenis, kai jų saugoti nebereikia. Dėl šio sprendimo pirmesniame punkte nurodytų priežasčių toks reikalavimas netenkinamas, jeigu, kaip šioje byloje, vienintelis atvejis, kai nacionalinės teisės aktuose numatytas duomenų apie asmenį, pagal valstybinį kaltinimą galutiniu nuosprendžiu nuteistą už tyčinę nusikalstamą veiką, ištrynimas, yra jo mirtis.
71 Kita vertus, kalbant apie šios direktyvos 16 straipsnio 2 ir 3 dalyse numatytas garantijas dėl teisės reikalauti ištrinti duomenis ir apriboti jų tvarkymą įgyvendinimo sąlygų, iš šio sprendimo 50 ir 51 punktų matyti, kad pagal šias nuostatas taip pat draudžiami nacionalinės teisės aktai, pagal kuriuos asmeniui, pagal valstybinį kaltinimą galutiniu nuosprendžiu nuteistam už tyčinę nusikalstamą veiką, neleidžiama pasinaudoti šiomis teisėmis.
72 Atsižvelgiant į tai, kas išdėstyta, į pateiktą klausimą reikia atsakyti: Direktyvos 2016/680 4 straipsnio 1 dalies c ir e punktai, siejami su jos 5 ir 10 straipsniais, 13 straipsnio 2 dalies b punktu, 16 straipsnio 2 ir 3 dalimis, atsižvelgiant į Chartijos 7 ir 8 straipsnius, turi būti aiškinami taip, kad pagal juos draudžiami nacionalinės teisės aktai, kuriuose numatyta, kad nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais policijos institucijos gali saugoti asmens duomenis, be kita ko, biometrinius ir genetinius, apie asmenis, pagal valstybinį kaltinimą galutiniu nuosprendžiu nuteistus už tyčinę nusikalstamą veiką, iki atitinkamo asmens mirties, taip pat ir teistumo panaikinimo atveju, nenustatant duomenų valdytojui pareigos reguliariai tikrinti, ar toks saugojimas tebėra būtinas, ir nesuteikiant minėtam asmeniui teisės reikalauti ištrinti šiuos duomenis, kai jų saugojimas nebėra būtinas atsižvelgiant į jų tvarkymo tikslus, arba prireikus apriboti jų tvarkymą.
Dėl bylinėjimosi išlaidų
73 Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.
Remdamasis šiais motyvais, Teisingumo Teismas (didžioji kolegija) nusprendžia:
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvos (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuria panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR 4 straipsnio 1 dalies c ir e punktai, siejami su jos 5 ir 10 straipsniais, 13 straipsnio 2 dalies b punktu, 16 straipsnio 2 ir 3 dalimis, atsižvelgiant į Europos Sąjungos pagrindinių teisių chartijos 7 ir 8 straipsnius,
turi būti aiškinami taip:
pagal juos draudžiami nacionalinės teisės aktai, kuriuose numatyta, kad nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais policijos institucijos gali saugoti asmens duomenis, be kita ko, biometrinius ir genetinius, apie asmenis, pagal valstybinį kaltinimą galutiniu nuosprendžiu nuteistus už tyčinę nusikalstamą veiką, iki atitinkamo asmens mirties, taip pat ir teistumo panaikinimo atveju, nenustatant duomenų valdytojui pareigos reguliariai tikrinti, ar toks saugojimas tebėra būtinas, ir nesuteikiant minėtam asmeniui teisės reikalauti ištrinti šiuos duomenis, kai jų saugojimas nebėra būtinas atsižvelgiant į jų tvarkymo tikslus, arba prireikus apriboti jų tvarkymą.
Parašai.