ROZSUDOK SÚDNEHO DVORA (piata komora)

z 24. februára 2022 (*)

„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 2 – Pôsobnosť – Článok 4 – Pojem ‚spracúvanie‘ – Článok 5 – Zásady spracúvania – Obmedzenie účelu – Minimalizácia údajov – Článok 6 – Zákonnosť spracúvania – Spracúvanie nevyhnutné na plnenie úlohy realizovanej vo verejnom záujme, ktorou je poverený prevádzkovateľ – Spracúvanie nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa – Článok 23 – Obmedzenia – Spracúvanie údajov na daňové účely – Žiadosť o poskytnutie informácií týkajúcich sa inzerátov o predaji vozidiel uverejnených na internete – Proporcionalita“

Vo veci C‑175/20,

ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Administratīvā apgabaltiesa (Krajský správny súd, Lotyšsko) z 11. marca 2020 a doručený Súdnemu dvoru 14. apríla 2020, ktorý súvisí s konaním:

„SS“ SIA

proti

Valsts ieņēmumu dienests,

SÚDNY DVOR (piata komora),

v zložení: predseda piatej komory E. Regan, predseda Súdneho dvora K. Lenaerts, vykonávajúci funkciu sudcu piatej komory, predseda štvrtej komory C. Lycourgos, sudcovia I. Jarukaitis a M. Ilešič (spravodajca),

generálny advokát: M. Bobek,

tajomník: A. Calot Escobar,

so zreteľom na písomnú časť konania,

so zreteľom na pripomienky, ktoré predložili:

–        „SS“ SIA, v zastúpení: M. Ruķers,

–        lotyšská vláda, v zastúpení: pôvodne K. Pommere, V. Soņeca a L. Juškeviča, neskôr K. Pommere, splnomocnené zástupkyne,

–        belgická vláda, v zastúpení: J.‑C. Halleux a P. Cottin, splnomocnení zástupcovia, za právnej pomoci C. Molitor, avocat,

–        grécka vláda, v zastúpení: E.‑M. Mamouna a O. Patsopoulou, splnomocnené zástupkyne,

–        španielska vláda, v zastúpení: pôvodne J. Rodríguez de la Rúa Puig a S. Jiménez García, neskôr J. Rodríguez de la Rúa Puig, splnomocnení zástupcovia,

–        Európska komisia, v zastúpení: pôvodne H. Kranenborg, D. Nardi a I. Rubene, neskôr H. Kranenborg a I. Rubene, splnomocnení zástupcovia,

po vypočutí návrhov generálneho advokáta na pojednávaní 2. septembra 2021,

vyhlásil tento

Rozsudok

1        Návrh na začatie prejudiciálneho konania sa týka výkladu nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1), najmä článku 5 ods. 1 tohto nariadenia.

2        Tento návrh bol podaný v rámci sporu medzi „SS“ SIA a Valsts ieņēmumu dienests (daňová správa, Lotyšsko) (ďalej len „lotyšská daňová správa“) vo veci žiadosti o poskytnutie informácií týkajúcich sa inzerátov o predaji vozidiel uverejnených na internetovej stránke SS.

 Právny rámec

 Právo Únie

 Nariadenie 2016/679

3        Nariadenie 2016/679, ktoré je založené na článku 16 ZFEÚ, sa podľa článku 99 ods. 2 uplatňuje od 25. mája 2018.

4        Odôvodnenia 1, 4, 10, 19, 26, 31, 39, 41 a 50 tohto nariadenia stanovujú:

„(1)      Ochrana fyzických osôb v súvislosti so spracúvaním osobných údajov patrí medzi základné práva. V článku 8 ods. 1 Charty základných práv Európskej únie (ďalej len ‚Charta‘) a v článku 16 ods. 1 [ZFEÚ] sa stanovuje, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.

(4)      Spracúvanie osobných údajov by malo byť určené na to, aby slúžilo ľudstvu. Právo na ochranu osobných údajov nie je absolútne právo; musí sa posudzovať vo vzťahu k jeho funkcii v spoločnosti a musí byť vyvážené s ostatnými základnými právami, a to v súlade so zásadou proporcionality. Toto nariadenie rešpektuje všetky základné práva a dodržiava slobody a zásady uznané v Charte, ako sú zakotvené v zmluvách, najmä rešpektovanie súkromného a rodinného života, obydlia a komunikácie, ochrana osobných údajov, sloboda myslenia, svedomia a náboženského vyznania, sloboda prejavu a právo na informácie, sloboda podnikania, právo na účinný prostriedok nápravy a na spravodlivý proces, a kultúrna, náboženská a jazyková rozmanitosť.

(10)      S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci Únie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch. …

(19)      Ochrana fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti alebo jeho predchádzania a voľný pohyb takýchto údajov podlieha osobitnému právnemu aktu Únie. Toto nariadenie by sa preto nemalo vzťahovať na spracovateľské činnosti na takéto účely. Ak sa však osobné údaje spracúvané orgánmi verejnej moci podľa tohto nariadenia používajú na uvedené účely, mal by sa na ne vzťahovať špecifickejší právny akt Únie, a to smernica Európskeho parlamentu a Rady (EÚ) 2016/680 [z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 2016, s. 89)]. …

(26)      Zásady ochrany údajov by sa mali vzťahovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. … Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali brať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby. …

(31)      Orgány verejnej moci, ktorým sa poskytujú osobné údaje v súlade so zákonnou povinnosťou na výkon ich oficiálnej úlohy, napríklad daňové a colné orgány, finančné spravodajské jednotky, nezávislé správne orgány alebo orgány finančného trhu zodpovedné za reguláciu trhov s cennými papiermi a dohľad nad nimi, by sa nemali považovať za príjemcov, ak v súlade s právom Únie alebo právom členského štátu prijímajú osobné údaje, ktoré sú nevyhnutné na vykonávanie určitého zisťovania vo všeobecnom záujme. Žiadosti o poskytnutie by mali orgány verejnej moci zasielať vždy písomne, spolu so zdôvodnením, príležitostne a nemali by sa týkať celého informačného systému ani viesť ku prepojeniu informačných systémov. Uvedené orgány verejnej moci by mali osobné údaje spracúvať v súlade s platnými pravidlami ochrany údajov podľa účelov spracúvania.

(39)      … Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho. Uvedená zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania, a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania, pokiaľ ide o dotknuté fyzické osoby a ich právo získať potvrdenie a oznámenie spracúvaných osobných údajov, ktoré sa ich týkajú. Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako uplatňovať svoje práva pri takomto spracúvaní. Najmä konkrétne účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov. Osobné údaje by mali byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. To si vyžaduje najmä zabezpečenie toho, aby obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutný rozsah. Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami. …

(41)      Keď sa v tomto nariadení odkazuje na právny základ alebo legislatívne opatrenie, nemusí sa tým nevyhnutne vyžadovať legislatívny akt prijatý parlamentom, bez toho, aby boli dotknuté požiadavky vyplývajúce z ústavného poriadku dotknutého členského štátu. Takýto právny základ alebo legislatívne opatrenie by však mali byť jasné a presné a ich uplatňovanie by malo byť predvídateľné pre tie osoby, na ktoré sa vzťahujú, a to v súlade s judikatúrou Súdneho dvora… a Európskeho súdu pre ľudské práva.

(50)      Spracúvanie osobných údajov na iné účely ako na účely, na ktoré boli osobné údaje pôvodne získané, by malo byť umožnené len vtedy, ak je toto spracúvanie zlučiteľné s účelmi, na ktoré boli osobné údaje pôvodne získané. V takom prípade sa nevyžaduje žiadny iný samostatný právny základ, než je právny základ, ktorý umožňoval získavanie osobných údajov. Ak je spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, v práve Únie alebo v práve členského štátu sa môžu stanoviť a upraviť úlohy a účely, v prípade ktorých by sa malo ďalšie spracúvanie považovať za zlučiteľné a zákonné. Ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého či historického výskumu alebo štatistické účely by sa malo považovať za zlučiteľné so zákonnými spracovateľskými operáciami. Právny základ pre spracúvanie osobných údajov, ktorý je zakotvený v práve Únie alebo v práve členského štátu, môže byť aj právnym základom pre ďalšie spracúvanie. S cieľom zistiť, či je účel ďalšieho spracúvania v súlade s účelom, na ktorý boli osobné údaje pôvodne získané, by mal prevádzkovateľ po splnení všetkých požiadaviek zákonnosti pôvodného spracúvania zohľadniť okrem iného akékoľvek prepojenie medzi týmito účelmi a účelmi zamýšľaného ďalšieho spracúvania; kontext, v ktorom sa osobné údaje získali, najmä primerané očakávania dotknutých osôb vyplývajúce z ich vzťahu k prevádzkovateľovi, pokiaľ ide o ich ďalšie použitie; povahu osobných údajov; následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby; a existenciu primeraných záruk v pôvodných aj zamýšľaných operáciách ďalšieho spracúvania.“

5        Článok 2 nariadenia 2016/679 s názvom „Vecná pôsobnosť“ stanovuje:

„1.      Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

2.      Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov:

a)      v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie;

b)      členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2 hlavy V ZEÚ;

c)      fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti;

d)      príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania.

…“

6        Článok 4 tohto nariadenia, nazvaný „Vymedzenie pojmov“, znie:

„Na účely tohoto nariadenia:

1.      ‚osobné údaje‘ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len ‚dotknutá osoba‘); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

2.      ‚spracúvanie‘ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

6.      ‚informačný systém‘ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

7.      ‚prevádzkovateľ‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov;…

9.      ‚príjemca‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

…“

7        Podľa článku 5 daného nariadenia, nazvaného „Zásady spracúvania osobných údajov“:

„1.      Osobné údaje musia byť:

a)      spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe (‚zákonnosť, spravodlivosť a transparentnosť‘);

b)      získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi;… (‚obmedzenie účelu‘);

c)      primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú (‚minimalizácia údajov‘);

d)      správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia (‚správnosť‘);

e)      uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; (‚minimalizácia uchovávania‘);

f)      spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení (‚integrita a dôvernosť‘).

2.      Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“

8        Článok 6 toho istého nariadenia, nazvaný „Zákonnosť spracúvania“, uvádza:

„1.      Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

a)      dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;

b)      spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;

c)      spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;

d)      spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;

e)      spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;

f)      spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

Písmeno f) prvého pododseku sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh.

2.      Členské štáty môžu zachovať alebo zaviesť špecifickejšie ustanovenia s cieľom prispôsobiť uplatňovanie pravidiel tohto nariadenia s ohľadom na spracúvanie v súlade s odsekom 1 písm. c) a e), a to presnejším stanovením osobitných požiadaviek na spracúvanie a stanovením ďalších opatrení, ktorými sa zaistí zákonné a spravodlivé spracúvanie, vrátane požiadaviek na iné osobitné situácie spracúvania stanovené v kapitole IX.

3.      Základ pre spracúvanie uvedené v odseku 1 písm. c) a e) musí byť stanovený:

a)      v práve Únie alebo

b)      v práve členského štátu vzťahujúcom sa na prevádzkovateľa.

Účel spracúvania sa stanoví v tomto právnom základe, alebo pokiaľ ide o spracúvanie uvedené v odseku 1 písm. e), spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. … Právo Únie alebo právo členského štátu musí spĺňať cieľ verejného záujmu a byť primerané sledovanému oprávnenému cieľu.

4.      Ak spracúvanie na iné účely ako na účely, na ktoré boli osobné údaje získavané, nie je založené na súhlase dotknutej osoby alebo na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti na ochranu cieľov uvedených v článku 23 ods. 1, prevádzkovateľ na zistenie toho, či je spracúvanie na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného zohľadní:

a)      akékoľvek prepojenie medzi účelmi, na ktoré sa osobné údaje získali, a účelmi zamýšľaného ďalšieho spracúvania;

b)      okolnosti, za akých sa osobné údaje získali, najmä týkajúce sa vzťahu medzi dotknutými osobami a prevádzkovateľom;

c)      povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa článku 9 alebo osobné údaje týkajúce sa uznania viny za trestné činy a priestupky podľa článku 10;

d)      možné následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby;

e)      existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.“

9        Podľa článku 13 ods. 3 nariadenia 2016/679:

„Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a ďalšie relevantné informácie uvedené v odseku 2.“

10      Článok 14 tohto nariadenia stanovuje:

„1.      Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ poskytne dotknutej osobe tieto informácie:

c)      účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

5.      Odseky 1 až 4 sa neuplatňujú v rozsahu, v akom:

c)      sa získanie alebo poskytnutie výslovne stanovuje v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a v ktorom sa stanovujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby;…

…“

11      Podľa článku 23 ods. 1 písm. e) uvedeného nariadenia:

„V práve Únie alebo práve členského štátu, ktorému prevádzkovateľ alebo sprostredkovateľ podliehajú, sa prostredníctvom legislatívneho opatrenia môže obmedziť rozsah povinností a práv ustanovených v článkoch 12 až 22 a v článku 34, ako aj v článku 5, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam ustanoveným v článkoch 12 až 22, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť:

e)      iné dôležité ciele všeobecného verejného záujmu Únie alebo členského štátu, najmä predmet dôležitého hospodárskeho alebo finančného záujmu Únie alebo členského štátu vrátane peňažných, rozpočtových a daňových záležitostí, verejného zdravia a sociálneho zabezpečenia;

…“

12      V článku 25 ods. 2 nariadenia č. 2016/679 sa uvádza:

„Prevádzkovateľ vykoná primerané technické a organizačné opatrenia, aby zabezpečil, že štandardne sa spracúvajú len osobné údaje, ktoré sú nevyhnutné pre každý konkrétny účel spracúvania. Uvedená povinnosť sa vzťahuje na množstvo získaných osobných údajov, rozsah ich spracúvania, dobu ich uchovávania a ich dostupnosť. Konkrétne sa takýmito opatreniami zabezpečí, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.“

 Smernica 2016/680

13      Odôvodnenia 10 a 11 smernice 2016/680 stanovujú:

„(10)      Vo vyhlásení č. 21 o ochrane osobných údajov v oblastiach justičnej spolupráce v trestných veciach a policajnej spolupráce, pripojenom k záverečnému aktu medzivládnej konferencie, na ktorej bola prijatá Lisabonská zmluva, konferencia uznala, že vzhľadom na osobitný charakter uvedených oblastí sa možno budú musieť prijať osobitné pravidlá o ochrane osobných údajov a o voľnom pohybe osobných údajov v oblastiach justičnej spolupráce v trestných veciach a policajnej spolupráce na základe článku 16 ZFEÚ.

(11)      Je preto vhodné, aby uvedené oblasti boli upravené smernicou, v ktorej sa stanovia osobitné pravidlá týkajúce sa ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu pri rešpektovaní osobitnej povahy týchto činností. Medzi takéto príslušné orgány môžu patriť nielen orgány verejnej moci, ako napríklad justičné orgány, polícia alebo iné orgány presadzovania práva, ale aj akýkoľvek iný orgán alebo subjekt, ktorý je právom členského štátu poverený vykonávať verejnú moc a verejné právomoci na účely tejto smernice. Ak takýto orgán alebo subjekt spracúva osobné údaje na iné účely ako na účely tejto smernice, uplatňuje sa nariadenie [2016/679]. Nariadenie [2016/679] sa preto uplatňuje v prípadoch, keď orgán alebo subjekt získava osobné údaje na iné účely a ďalej spracúva tieto osobné údaje s cieľom splniť zákonnú povinnosť, ktorá sa naň vzťahuje. …“

14      Článok 3 tejto smernice stanovuje:

„Na účely tejto smernice:

7.      ‚príslušný orgán‘ je:

a)      akýkoľvek orgán verejnej moci príslušný v oblasti predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu, alebo

b)      akýkoľvek iný orgán alebo subjekt, ktorý bol právom členského štátu poverený vykonávať verejnú moc a verejné právomoci na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu;

…“

 Lotyšské právo

15      Podľa § 15 ods. 6 likums „Par nodokļiem un nodevām“ (zákon o daniach a poplatkoch, Latvijas Vēstnesis, 1995, č. 26) v znení uplatniteľnom v spore vo veci samej (ďalej len „zákon o daniach a poplatkoch“) je poskytovateľ internetových reklamných služieb povinný na žiadosť lotyšskej daňovej správy poskytnúť informácie, ktoré má k dispozícii, o daňových subjektoch, ktoré uverejnili inzeráty na internete s využitím jeho služieb.

 Spor vo veci samej a prejudiciálne otázky

16      SS je poskytovateľ internetových reklamných služieb so sídlom v Lotyšsku.

17      Dňa 28. augusta 2018 lotyšská daňová správa zaslala SS žiadosť o poskytnutie informácií na základe § 15 ods. 6 zákona o daniach a poplatkoch, v ktorej túto spoločnosť požiadala, aby obnovila prístup, ktorý mala táto daňová správa k identifikačným číslam vozidiel, ktoré boli predmetom inzercie uverejnenej na internetovom portáli uvedenej spoločnosti, ako aj k telefónnym číslam predávajúcich, a aby jej najneskôr do 3. septembra 2018 poskytla informácie o inzerátoch uverejnených v období od 14. júla do 31. augusta 2018 v sekcii s názvom „Osobné autá“ na uvedenom portáli.

18      Táto žiadosť spresňovala, že tieto informácie, vrátane odkazu na inzerát, textu inzerátu, značky, modelu, identifikačného čísla vozidla a ceny vozidla, ako aj telefónneho čísla predávajúceho, mali byť predložené elektronicky vo formáte, ktorý umožňuje filtrovanie či výber údajov.

19      Okrem toho za predpokladu, že by nebolo možné obnoviť prístup k informáciám nachádzajúcim sa v predmetných v inzerátoch uverejnených na príslušnom internetovom portáli, SS bola vyzvaná, aby uviedla dôvod tejto nemožnosti, ako aj aby najneskôr v tretí deň každého mesiaca poskytla relevantné informácie týkajúce sa inzerátov uverejnených za predchádzajúci mesiac.

20      Keďže sa SS domnievala, že žiadosť lotyšskej daňovej správy o poskytnutie informácií nebola v súlade so zásadami proporcionality a minimalizácie osobných údajov zakotvenými v nariadení 2016/679, podala proti tejto žiadosti sťažnosť generálnemu riaditeľovi lotyšskej daňovej správy.

21      Rozhodnutím z 30. októbra 2018 tento riaditeľ zamietol túto sťažnosť, pričom najmä uviedol, že v rámci spracúvania osobných údajov, o ktoré ide vo veci samej, lotyšská daňová správa vykonáva právomoci, ktoré jej boli zverené zákonom.

22      SS podala na Administratīvā rajona tiesa (Okresný správny súd, Lotyšsko) žalobu o neplatnosť tohto rozhodnutia. Okrem argumentov, ktoré uviedla vo svojej sťažnosti, v nej tvrdila, že v uvedenom rozhodnutí nie je uvedený konkrétny účel spracúvania osobných údajov, ktorý lotyšská daňová správa predpokladá, ani množstvo údajov, ktoré sú na to potrebné, čo je v rozpore s článkom 5 ods. 1 nariadenia 2016/679.

23      Rozsudkom z 21. mája 2019 Administratīvā rajona tiesa (Okresný správny súd) túto žalobu zamietol, pričom v podstate uviedol, že lotyšská daňová správa bola oprávnená požadovať prístup k informáciám týkajúcim sa akejkoľvek osoby a v neobmedzenom množstve, pokiaľ sa tieto informácie nepovažujú za nezlučiteľné s cieľmi súvisiacimi s výberom daní. Tento súd okrem toho konštatoval, že ustanovenia nariadenia 2016/679 sa vo vzťahu k tomuto správnemu orgánu neuplatňujú.

24      SS sa proti tomuto rozsudku odvolala na vnútroštátny súd, ktorý podal návrh na začatie prejudiciálneho konania, pričom tvrdila jednak, že na lotyšskú daňovú správu sa vzťahujú ustanovenia nariadenia 2016/679 a jednak, že táto správa tým, že požaduje veľké množstvo osobných údajov týkajúcich sa neobmedzeného počtu inzerátov na mesačnej báze, bez toho, aby boli identifikovaní daňovníci, u ktorých sa bude vykonávať daňová kontrola, porušila zásadu proporcionality.

25      Vnútroštátny súd uvádza, že v rámci sporu vo veci samej nie je sporné, že výkon predmetnej žiadosti o poskytnutie informácií je neoddeliteľne spojený so spracúvaním osobných údajov, ani to, že lotyšská daňová správa má právo získavať informácie, ktoré sú dostupné poskytovateľovi služieb umiestňovania reklamy na internete a sú potrebné na vykonanie konkrétnych opatrení v oblasti výberu dane.

26      Spor vo veci samej sa týka množstva a druhu informácií, ktoré môže lotyšská daňová správa požadovať, obmedzenej alebo neobmedzenej povahy týchto informácií a otázky, či oznamovacia povinnosť, ktorej podlieha SS, mala byť časovo obmedzená.

27      Predovšetkým sa vnútroštátny súd domnieva, že mu prináleží určiť, či sa za okolností, o aké ide vo veci samej, spracúvanie osobných údajov vykonáva transparentným spôsobom vo vzťahu k dotknutým osobám, či sa informácie uvedené v predmetnej žiadosti o poskytnutie informácií požadujú na konkrétne určené, výslovne uvedené a legitímne účely a či sa spracúvanie osobných údajov vykonáva len v rozsahu, v akom je skutočne nevyhnutné na výkon funkcií lotyšskej daňovej správy v zmysle článku 5 ods. 1 nariadenia 2016/679.

28      Na tento účel je potrebné vymedziť kritériá umožňujúce posúdiť, či žiadosť lotyšskej daňovej správy o poskytnutie informácií rešpektuje podstatu slobôd a základných práv a či žiadosť o poskytnutie informácií, o ktorú ide vo veci samej, možno považovať za nevyhnutnú a primeranú v demokratickej spoločnosti na zabezpečenie dôležitých cieľov Únie a lotyšských verejných záujmov v oblasti rozpočtu a daní.

29      Za týchto okolností Administratīvā apgabaltiesa (Krajský správny súd, Lotyšsko) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

„1.      Majú sa požiadavky stanovené v nariadení [2016/679] vykladať v tom zmysle, že žiadosť o informácie vydaná daňovou správou, o akú ide v prejednávanej veci, ktorou sa žiada o poskytnutie informácií, ktoré obsahujú značné množstvo osobných údajov, musí spĺňať požiadavky stanovené v nariadení 2016/679 (najmä v jeho článku 5 ods. 1)?

2.      Majú sa požiadavky stanovené v nariadení [2016/679] vykladať v tom zmysle, že daňová správa sa môže odchýliť od článku 5 ods. 1 uvedeného nariadenia, aj keď právna úprava platná v Lotyšsku nepriznáva daňovej správe takú právomoc?

3.      Možno sa pri výklade požiadaviek stanovených v nariadení [2016/679] domnievať, že existuje legitímny cieľ, ktorý odôvodňuje povinnosť uloženú prostredníctvom žiadosti o poskytnutie informácií, o akú ide v prejednávanej veci, poskytovať všetky vyžiadané údaje v neobmedzenom množstve a na neobmedzenú dobu, pričom nie je stanovený termín, do ktorého sa má uvedená žiadosť o poskytnutie informácií plniť?

4.      Možno sa s ohľadom na požiadavky stanovené v nariadení [2016/679] domnievať, že existuje legitímny cieľ, ktorý odôvodňuje povinnosť uloženú prostredníctvom žiadosti o poskytnutie informácií, o akú ide v prejednávanej veci, poskytovať všetky vyžiadané údaje, aj keď v žiadosti o poskytnutie informácií nie je uvedený (alebo je uvedený neúplne) účel poskytovania týchto informácií?

5.      Možno sa pri výklade požiadaviek stanovených v nariadení [2016/679] domnievať, že existuje legitímny cieľ, ktorý odôvodňuje povinnosť uloženú prostredníctvom žiadosti o poskytnutie informácií, o akú ide v prejednávanej veci, poskytovať všetky vyžiadané údaje, aj keď v praxi sa to týka úplne všetkých dotknutých osôb, ktoré uverejnili inzeráty v časti portálu, nazvanej ‚Osobné autá‘?

6.      Aké kritériá sa majú uplatniť pri overovaní, či daňová správa, ktorá bude vystupovať ako prevádzkovateľ, náležite zaručí, aby spracúvanie údajov (a to aj vrátane získavania informácií) bolo v súlade s požiadavkami stanovenými v nariadení [2016/679]?

7.      Aké kritériá sa majú uplatniť pri overovaní, či žiadosť o poskytnutie informácií, o akú ide v prejednávanej veci, je náležite odôvodnená a má príležitostný charakter?

8.      Aké kritériá sa majú uplatniť pri overovaní, či sa spracúvanie osobných údajov vykonáva v nevyhnutnom rozsahu a spôsobom, ktorý je zlučiteľný s požiadavkami stanovenými v nariadení [2016/679]?

9.      Aké kritériá sa majú uplatniť pri overovaní, či daňová správa, ktorá vystupuje ako prevádzkovateľ, zaručuje súlad spracúvania údajov s požiadavkami stanovenými v článku 5 ods. 1 nariadenia [2016/679] (zodpovednosť)?“

 O prejudiciálnych otázkach

 O prvej otázke

30      Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa ustanovenia nariadenia 2016/679 majú vykladať v tom zmysle, že požiadavkám tohto nariadenia, najmä požiadavkám uvedeným v článku 5 ods. 1 tohto nariadenia podlieha získavanie, daňovou správou členského štátu od hospodárskeho subjektu, informácií zahŕňajúcich veľké množstvo osobných údajov.

31      S cieľom odpovedať na túto otázku treba overiť v prvom rade, či takáto žiadosť patrí do vecnej pôsobnosti nariadenia 2016/679, ako je vymedzená v jeho článku 2 ods. 1, a v druhom rade, či nepatrí medzi spracúvanie osobných údajov, ktoré článok 2 ods. 2 tohto nariadenia vylučuje z danej pôsobnosti.

32      Po prvé podľa článku 2 ods. 1 nariadenia 2016/679 sa toto nariadenie vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

33      Článok 4 bod 1 nariadenia 2016/679 spresňuje, že pod „osobnými údajmi“ treba chápať akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby, t. j. osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby. Odôvodnenie 26 tohto nariadenia v tejto súvislosti spresňuje, že na určenie toho, či je fyzická osoba identifikovateľná, by sa mali brať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije na priamu alebo nepriamu identifikáciu fyzickej osoby.

34      V rámci sporu vo veci samej je nesporné, že informácie, ktorých poskytnutie požaduje lotyšská daňová správa, predstavujú osobné údaje v zmysle článku 4 bodu 1 nariadenia 2016/679.

35      Podľa článku 4 bodu 2 tohto nariadenia získavanie, prehliadanie, poskytovanie prenosom, ako aj poskytovanie iným spôsobom osobných údajov predstavujú „spracúvanie“ v zmysle uvedeného nariadenia. Zo znenia tohto ustanovenia, a najmä z výrazu „[každá] operácia“ vyplýva, že normotvorca Únie zamýšľal priznať pojmu „spracúvanie“ široký rozsah. Tento výklad potvrdzuje demonštratívna povaha operácií uvedených v danom ustanovení, ktorá je vyjadrená slovným spojením „napríklad“.

36      V prejednávanej veci lotyšská daňová správa od dotknutého hospodárskeho subjektu vyžaduje, aby obnovil prístup tejto daňovej správy k identifikačným číslam vozidiel, ktoré boli predmetom inzerátov uverejnených na jeho internetovom portáli, a aby jej poskytol informácie o inzerátoch uverejnených na tomto portáli.

37      Takouto žiadosťou, ktorou daňová správa členského štátu požaduje od hospodárskeho subjektu prenos a sprístupnenie osobných údajov, ktoré je tento hospodársky subjekt povinný poskytnúť a sprístupniť jej na základe vnútroštátnej právnej úpravy daného členského štátu, sa začína proces „získavania“ týchto údajov v zmysle článku 4 bodu 2 nariadenia 2016/679.

38      Okrem toho prenos a sprístupnenie uvedených údajov tejto daňovej správe zo strany predmetného hospodárskeho subjektu znamená „spracúvanie“ v zmysle tohto článku 4 bodu 2.

39      Po druhé treba preskúmať, či operáciu, ktorou sa daňová správa členského štátu snaží získať od hospodárskeho subjektu osobné údaje týkajúce sa určitých daňovníkov, možno považovať za vylúčenú z pôsobnosti nariadenia 2016/679 na základe jeho článku 2 ods. 2.

40      V tejto súvislosti treba na úvod pripomenúť, že dané ustanovenie stanovuje výnimky z pôsobnosti uvedeného nariadenia, ako je vymedzená v jeho článku 2 ods. 1, a že tieto výnimky sa majú vykladať reštriktívne (rozsudok zo 16. júla 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 84).

41      Konkrétne článok 2 ods. 2 písm. d) nariadenia 2016/679 stanovuje, že toto nariadenie sa nevzťahuje na spracúvanie osobných údajov vykonávané príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií.

42      Ako vyplýva z odôvodnenia 19 uvedeného nariadenia, táto výnimka je odôvodnená okolnosťou, že spracúvanie osobných údajov na takéto účely a príslušnými orgánmi sa riadi osobitným aktom Únie, a to smernicou 2016/680, ktorá bola prijatá v ten istý deň ako nariadenie 2016/679 a ktorá vo svojom článku 3 bode 7 definuje pojem „príslušný orgán“, pričom takáto definícia sa musí analogicky uplatniť na článok 2 ods. 2 písm. d) tohto nariadenia [pozri v tomto zmysle rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 69].

43      Z odôvodnenia 10 smernice 2016/680 vyplýva, že pojem „príslušný orgán“ treba chápať v súvislosti s ochranou osobných údajov v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce, berúc do úvahy úpravy, ktoré môžu byť z tohto hľadiska nevyhnutné z dôvodu osobitnej povahy týchto oblastí. Okrem toho odôvodnenie 11 tejto smernice spresňuje, že nariadenie 2016/679 sa uplatňuje na spracúvanie osobných údajov, ktoré vykonáva „príslušný orgán“ v zmysle článku 3 bodu 7 uvedenej smernice, ale na iné účely než tie, ktoré sú v nej stanovené [rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 70].

44      Keď teda daňová správa členského štátu žiada hospodársky subjekt, aby jej poskytol osobné údaje týkajúce sa určitých daňovníkov na účely výberu dane a boja proti daňovým podvodom, nezdá sa, že by táto daňová správa mohla byť považovaná za „príslušný orgán“ v zmysle článku 3 bodu 7 smernice 2016/680, a teda ani to, že by sa na takéto žiadosti o poskytnutie informácií mohla vzťahovať výnimka stanovená v článku 2 ods. 2 písm. d) nariadenia 2016/679.

45      Okrem toho, hoci nie je vylúčené, že osobné údaje, o ktoré ide vo veci samej, možno použiť v rámci trestných stíhaní, ktoré by mohli byť vedené v prípade daňového trestného činu proti určitým osobám, tieto údaje zrejme nie sú získavané s osobitným cieľom vedenia týchto trestných stíhaní alebo v rámci činností štátu týkajúcich sa oblastí trestného práva (pozri v tomto zmysle rozsudok z 27. septembra 2017, Puškár, C‑73/16, EU:C:2017:725, bod 40).

46      Získavanie osobných údajov týkajúcich sa inzerátov o predaji vozidiel uverejnených na internetovej stránke hospodárskeho subjektu daňovou správou členského štátu preto patrí do vecnej pôsobnosti nariadenia 2016/679 a v dôsledku toho musí táto správa rešpektovať najmä zásady týkajúce sa spracúvania osobných údajov stanovené v článku 5 tohto nariadenia.

47      Vzhľadom na všetky predchádzajúce úvahy treba na prvú otázku odpovedať tak, že ustanovenia nariadenia 2016/679 sa majú vykladať v tom zmysle, že požiadavkám tohto nariadenia, najmä požiadavkám uvedeným v jeho článku 5 ods. 1 podlieha získavanie informácií obsahujúcich značné množstvo osobných údajov daňovou správou členského štátu od hospodárskeho subjektu.

 O druhej otázke

48      Svojou druhou otázkou sa vnútroštátny súd v podstate pýta, či sa ustanovenia nariadenia 2016/679 majú vykladať v tom zmysle, že daňová správa členského štátu sa môže odchýliť od ustanovení článku 5 ods. 1 tohto nariadenia, hoci jej takéto právo nepriznáva vnútroštátne právo tohto členského štátu.

49      Na úvod treba pripomenúť, že cieľom nariadenia 2016/679, ako vyplýva z jeho odôvodnenia 10, je najmä zabezpečiť vysokú úroveň ochrany fyzických osôb v rámci Únie.

50      Na tento účel kapitoly II a III nariadenia 2016/679 uvádzajú zásady, ktorými sa riadi spracúvanie osobných údajov, resp. aké práva dotknutej osoby musí dodržiavať každé spracúvanie osobných údajov. Konkrétne musí byť každé spracúvanie osobných údajov v súlade so zásadami stanovenými v článku 5 uvedeného nariadenia (pozri v tomto zmysle rozsudok zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 208).

51      Článok 23 nariadenia 2016/679 však oprávňuje Úniu a členské štáty prijať „legislatívne opatrenia“ obmedzujúce rozsah povinností a práv stanovených najmä v článku 5 tohto nariadenia, a to do tej miery, v akej spĺňajú práva a povinnosti stanovené v článkoch 12 až 22 uvedeného nariadenia, ak takéto obmedzenie rešpektuje podstatu slobôd a základných práv a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť určité dôležité ciele všeobecného verejného záujmu Únie alebo dotknutého členského štátu, akým je najmä dôležitý hospodársky alebo finančný záujem, vrátane rozpočtových a daňových záležitostí.

52      V tejto súvislosti z odôvodnenia 41 nariadenia 2016/679 vyplýva, že odkaz na „legislatívne opatrenie“ v tomto nariadení nevyhnutne neznamená, že sa vyžaduje prijatie legislatívneho aktu parlamentom.

53      Vzhľadom na to treba pripomenúť, že nariadenie 2016/679, ako sa uvádza v jeho odôvodnení 4, rešpektuje všetky základné práva a dodržiava slobody a zásady uznané v Charte, ako sú zakotvené v Zmluvách, medzi ktoré patrí najmä ochrana osobných údajov.

54      V súlade s článkom 52 ods. 1 prvou vetou Charty každé obmedzenie výkonu práv a slobôd priznaných v Charte, medzi ktoré patrí najmä právo na rešpektovanie súkromného života zaručené článkom 7 Charty a právo na ochranu osobných údajov zakotvené v jej článku 8, musí byť stanovené zákonom, čo konkrétne predpokladá, že samotný právny základ, ktorý umožňuje zásah do týchto práv, musí vymedzovať rozsah obmedzenia výkonu dotknutého práva (pozri v tomto zmysle rozsudok zo 6. októbra 2020, Privacy International, C‑623/17, EU:C:2020:790, bod 65 a citovanú judikatúru).

55      V tejto súvislosti Súdny dvor okrem iného rozhodol, že právna úprava obsahujúca opatrenie umožňujúce takýto zásah musí stanoviť jasné a presné pravidlá, ktoré budú upravovať pôsobnosť a uplatnenie predmetného opatrenia a ukladať minimálne požiadavky tak, aby osoby, ktorých osobné údaje boli prenesené, mali dostatočné záruky umožňujúce účinne chrániť tieto údaje pred rizikom zneužitia [pozri v tomto zmysle rozsudok z 2. marca 2021, Prokuratuur (Podmienky prístupu k údajom týkajúcim sa elektronických komunikácií), C‑746/18, EU:C:2021:152, bod 48 a citovanú judikatúru].

56      V dôsledku toho každé opatrenie prijaté na základe článku 23 nariadenia 2016/679, ako to navyše zdôraznil normotvorca Únie v odôvodnení 41 tohto nariadenia, musí byť jasné a presné a jeho uplatňovanie musí byť predvídateľné pre tie osoby, na ktoré sa vzťahuje. Konkrétne musia byť schopné identifikovať okolnosti a podmienky, za akých môže byť rozsah práv, ktoré im priznáva uvedené nariadenie, predmetom obmedzenia.

57      Z predchádzajúcich úvah vyplýva, že daňová správa členského štátu sa nemôže odchýliť od ustanovení článku 5 nariadenia 2016/679 v prípade neexistencie jasného a presného právneho základu práva Únie alebo vnútroštátneho práva, ktorého uplatnenie je pre osoby, na ktoré sa vzťahuje, predvídateľné, a ktorý by určoval okolnosti a podmienky, za ktorých možno obmedziť rozsah povinností a práv stanovených v tomto článku 5.

58      Preto treba na druhú otázku odpovedať tak, že ustanovenia nariadenia 2016/679 sa majú vykladať v tom zmysle, že daňová správa členského štátu sa nemôže odchýliť od ustanovení článku 5 ods. 1 tohto nariadenia, pokiaľ jej takéto právo nebolo priznané legislatívnym opatrením v zmysle článku 23 ods. 1 tohto nariadenia.

 O tretej až deviatej otázke

59      Svojou treťou až deviatou otázkou, ktoré treba preskúmať spoločne, sa vnútroštátny súd v podstate pýta, či sa ustanovenia nariadenia 2016/679 majú vykladať v tom zmysle, že bránia tomu, aby daňová správa členského štátu uložila poskytovateľovi internetových reklamných služieb povinnosť oznámiť jej – v neobmedzene dlhom období a bez spresnenia účelu tejto žiadosti o poskytnutie informácií – informácie týkajúce sa všetkých daňovníkov, ktorí uverejnili inzeráty v jednej z rubrík internetového portálu tohto poskytovateľa.

60      Na úvod je potrebné uviesť, že v situácii, o akú ide vo veci samej, sa pravdepodobne uskutočňujú dve operácie spracúvania osobných údajov. Ako vyplýva z bodov 37 a 38 tohto rozsudku, ide o získavanie osobných údajov, ktoré uskutočňuje daňová správa od dotknutého poskytovateľa služieb, a v tomto rámci o poskytovanie týchto údajov prenosom od tohto poskytovateľa tejto daňovej správe.

61      Ako vyplýva z judikatúry citovanej v bode 50 tohto rozsudku, každá z týchto operácií spracúvania údajov musí, okrem výnimiek povolených podľa článku 23 nariadenia 2016/679, rešpektovať zásady týkajúce sa spracúvania osobných údajov uvedené v článku 5 tohto nariadenia, ako aj práva dotknutej osoby uvedené v článkoch 12 až 22 tohto nariadenia.

62      V prejednávanej veci sa vnútroštátny súd najmä pýta na okolnosť jednak, že spracúvanie uvedené v bode 60 tohto rozsudku sa týka informácií v neobmedzenom množstve vzťahujúcich sa na neurčité obdobie a jednak, že účel tohto spracúvania nie je v žiadosti o poskytnutie informácií špecifikovaný.

63      V tejto súvislosti treba v prvom rade zdôrazniť, že článok 5 ods. 1 písm. b) nariadenia 2016/679 stanovuje, že osobné údaje musia byť získavané najmä na konkrétne určené, výslovne uvedené a legitímne účely.

64      V prvom rade požiadavka, podľa ktorej účely spracúvania majú byť určené, znamená, ako vyplýva z odôvodnenia 39 tohto nariadenia, že tieto účely musia byť identifikované najneskôr v čase získavania osobných údajov.

65      Ďalej účely spracúvania musia byť výslovne uvedené, čo znamená, že musia byť uvedené jasne.

66      Napokon tieto účely musia byť legitímne. Je preto dôležité, aby tieto účely zabezpečovali zákonné spracúvanie v zmysle článku 6 ods. 1 daného nariadenia.

67      Spracúvanie uvedené v bode 60 tohto rozsudku sa začína žiadosťou o poskytnutie osobných údajov, ktorú lotyšská daňová správa adresuje poskytovateľovi internetových reklamných služieb. V tejto súvislosti je zrejmé, že podľa § 15 ods. 6 zákona o daniach a poplatkoch je tento poskytovateľ povinný takejto žiadosti vyhovieť.

68      Vzhľadom na úvahy uvedené v bodoch 64 a 65 tohto rozsudku je potrebné, aby účely tohto spracúvania boli v tejto žiadosti jasne uvedené.

69      Ak teda sú účely takto uvedené v danej žiadosti nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej daňovej správe, táto okolnosť postačuje, ako vyplýva z článku 6 ods. 1 prvého pododseku úvodnej časti a písm. e) nariadenia 2016/679 v spojení s článkom 6 ods. 3 druhým pododsekom tohto nariadenia, na to, aby uvedené spracúvanie spĺňalo tiež požiadavku zákonnosti pripomenutú v bode 66 tohto rozsudku.

70      V tejto súvislosti treba pripomenúť, že výber daní a boj proti daňovým podvodom treba považovať za úlohy vo verejnom záujme v zmysle článku 6 ods. 1 prvého pododseku písm. e) nariadenia 2016/679 (pozri analogicky rozsudok z 27. septembra 2017, Puškár, C‑73/16, EU:C:2017:725, bod 108).

71      Z toho vyplýva, že v prípade, keď poskytnutie predmetných osobných údajov nevyplýva priamo z právneho ustanovenia, ktoré je základom tohto poskytnutia, ale vyplýva zo žiadosti príslušnej verejnej správy, je potrebné, aby táto žiadosť spresňovala, aké sú konkrétne účely tohto získavania údajov z hľadiska úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci, aby sa adresátovi uvedenej žiadosti umožnilo uistiť sa, že prenos dotknutých osobných údajov je zákonný, a aby vnútroštátne súdy mohli preskúmať zákonnosť dotknutého spracúvania.

72      V druhom rade podľa článku 5 ods. 1 písm. c) nariadenia 2016/679 musia byť osobné údaje primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.

73      V tejto súvislosti treba pripomenúť, že podľa ustálenej judikatúry výnimky a obmedzenia týkajúce sa zásady ochrany takýchto údajov sa musia uplatňovať v rámci toho, čo je striktne nevyhnutné [pozri v tomto zmysle rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 110 a citovanú judikatúru].

74      Z toho vyplýva, že aj keď prevádzkovateľ koná v rámci úlohy realizovanej vo verejnom záujme, ktorá mu bola zverená, nemôže všeobecne a nediferencovane pristúpiť k získavaniu osobných údajov a zároveň sa musí zdržať získavania údajov, ktoré nie sú striktne nevyhnutné vzhľadom na účely spracúvania.

75      V prejednávanej veci treba uviesť, že ako vyplýva z bodov 17 až 19 tohto rozsudku, lotyšská daňová správa požiadala dotknutý hospodársky subjekt, aby jej poskytol údaje týkajúce sa inzerátov o predaji osobných automobilov uverejnených na jeho internetovej stránke v období od 14. júla do 31. augusta 2018, a keby sa prístup k týmto informáciám nedal obnoviť, aby jej najneskôr v tretí deň každého mesiaca poskytoval údaje týkajúce sa inzerátov o predaji osobných automobilov uverejnených na jeho internetovej stránke za predchádzajúci mesiac bez toho, aby sa na túto žiadosť vzťahovalo akékoľvek časové obmedzenie.

76      Vzhľadom na úvahy uvedené v bode 74 tohto rozsudku prináleží vnútroštátnemu súdu overiť, či účel získavania týchto údajov možno dosiahnuť bez toho, aby lotyšská daňová správa prípadne disponovala údajmi týkajúcimi sa všetkých inzerátov o predaji osobných automobilov uverejnených na internetovej stránke uvedeného subjektu, a najmä či je možné, aby sa táto daňová správa zameriavala na určité inzeráty podľa osobitých kritérií.

77      V tejto súvislosti treba zdôrazniť, že v súlade so zásadou zodpovednosti uvedenou v článku 5 ods. 2 nariadenia 2016/679 musí prevádzkovateľ vedieť preukázať, že dodržiava zásady týkajúce sa spracúvania osobných údajov uvedené v odseku 1 tohto článku.

78      Lotyšskej daňovej správe preto prináleží, aby preukázala, že sa v súlade s článkom 25 ods. 2 tohto nariadenia snažila v rámci možností minimalizovať množstvo osobných údajov, ktoré sa majú získavať.

79      Pokiaľ ide o okolnosť, že žiadosť o poskytnutie informácií, ktorú zaslala lotyšská daňová správa, nestanovuje žiadne časové obmedzenie v prípade, že dotknutý poskytovateľ reklamných služieb neobnoví prístup k inzerátom uverejneným v období špecifikovanom v žiadosti, treba pripomenúť, že vzhľadom na zásadu minimalizácie údajov je prevádzkovateľ povinný tiež obmedziť na striktne nevyhnutné, s ohľadom na plánovaný cieľ spracúvania údajov, aj obdobie získavania predmetných osobných údajov.

80      Obdobie, na ktoré sa získavanie vzťahuje, nemôže preto presiahnuť dobu striktne nevyhnutnú na dosiahnutie sledovaného cieľa všeobecného záujmu.

81      Ako vyplýva z bodu 77 tohto rozsudku, dôkazné bremeno v tejto súvislosti nesie lotyšská daňová správa.

82      Okolnosť, že uvedené údaje sú získavané bez toho, aby lotyšská daňová správa v samotnej žiadosti o poskytnutie informácií definovala časové obmedzenie takéhoto spracúvania, však sama osebe neumožňuje dospieť k záveru, že dĺžka spracúvania prekračuje dobu striktne nevyhnutnú na dosiahnutie sledovaného cieľa.

83      V tejto súvislosti však treba pripomenúť, že na účely splnenia požiadavky proporcionality, ktorej vyjadrením je článok 5 ods. 1 písm. c) nariadenia 2016/679 [pozri v tomto zmysle rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 98 a citovanú judikatúru], musí právna úprava, na ktorej sa zakladá spracúvanie, stanoviť jasné a presné pravidlá, ktoré budú upravovať pôsobnosť a uplatnenie predmetného opatrenia a ukladať minimálne požiadavky tak, aby osoby, ktorých osobné údaje sú dotknuté, mali dostatočné záruky umožňujúce účinne chrániť tieto údaje pred rizikom zneužitia. Táto právna úprava musí byť podľa vnútroštátneho práva právne záväzná a musí najmä vymedziť okolnosti a podmienky, za akých možno prijať opatrenie upravujúce spracúvanie takýchto údajov, čím zaručí, aby zásah nešiel nad rámec toho, čo je striktne nevyhnutné (rozsudok zo 6. októbra 2020, Privacy International, C‑623/17, EU:C:2020:790, bod 68 a citovaná judikatúra).

84      Z toho vyplýva, že vnútroštátna právna úprava, ktorá upravuje žiadosť o poskytnutie informácií, o akú ide vo veci samej, musí byť založená na objektívnych kritériách, na účely vymedzenia okolností a podmienok, za ktorých je poskytovateľ online služieb povinný poskytnúť osobné údaje o svojich používateľoch (pozri v tomto zmysle rozsudok zo 6. októbra 2020, Privacy International, C‑623/17, EU:C:2020:790, bod 78 a citovanú judikatúru).

85      Vzhľadom na všetky predchádzajúce úvahy treba na tretiu až deviatu otázku odpovedať tak, že ustanovenia nariadenia 2016/679 sa majú vykladať v tom zmysle, že nebránia tomu, aby daňová správa členského štátu uložila poskytovateľovi internetových reklamných služieb povinnosť oznámiť jej informácie týkajúce sa daňovníkov, ktorí uverejnili inzeráty v jednej z rubrík internetového portálu tohto poskytovateľa, najmä pokiaľ sú tieto údaje potrebné na účely, na ktoré sa osobné údaje získavajú, a pokiaľ obdobie, ktorého sa získavanie týka, nepresiahne dobu striktne nevyhnutnú na dosiahnutie sledovaného cieľa všeobecného záujmu.

 O trovách

86      Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

Z týchto dôvodov Súdny dvor (piata komora) rozhodol takto:

1.      Ustanovenia nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), sa majú vykladať v tom zmysle, že požiadavkám tohto nariadenia, najmä požiadavkám uvedeným v jeho článku 5 ods. 1 podlieha získavanie informácií obsahujúcich značné množstvo osobných údajov daňovou správou členského štátu od hospodárskeho subjektu.

2.      Ustanovenia nariadenia 2016/679 sa majú vykladať v tom zmysle, že daňová správa členského štátu sa nemôže odchýliť od ustanovení článku 5 ods. 1 tohto nariadenia, pokiaľ jej takéto právo nebolo priznané legislatívnym opatrením v zmysle článku 23 ods. 1 tohto nariadenia.

3.      Ustanovenia nariadenia 2016/679 sa majú vykladať v tom zmysle, že nebránia tomu, aby daňová správa členského štátu uložila poskytovateľovi internetových reklamných služieb povinnosť oznámiť jej informácie týkajúce sa daňovníkov, ktorí uverejnili inzeráty v jednej z rubrík internetového portálu tohto poskytovateľa, najmä pokiaľ sú tieto údaje potrebné na účely, na ktoré sa osobné údaje získavajú, a pokiaľ obdobie, ktorého sa získavanie týka, nepresiahne dobu striktne nevyhnutnú na dosiahnutie sledovaného cieľa všeobecného záujmu.

Podpisy


*      Jazyk konania: lotyština.