62020CJ0175

SODBA SODIŠČA (peti senat)

z dne 24. februarja 2022 ( *1 )

„Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba (EU) 2016/679 – Člen 2 – Področje uporabe – Člen 4 – Pojem ‚obdelava‘ – Člen 5 – Načela obdelave – Omejitev namena – Najmanjši obseg podatkov – Člen 6 – Zakonitost obdelave – Obdelava, potrebna za opravljanje naloge v javnem interesu, dodeljene upravljavcu – Obdelava, potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca – Člen 23 – Omejitve – Obdelava podatkov v davčne namene – Zahteva za posredovanje informacij v zvezi z oglasi za prodajo vozil, ki so na spletu – Sorazmernost“

V zadevi C‑175/20,

katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo Administratīvā apgabaltiesa (regionalno upravno sodišče, Latvija) z odločbo z dne 11. marca 2020, ki je na Sodišče prispela 14. aprila 2020, v postopku

„SS“ SIA

proti

Valsts ieņēmumu dienests,

SODIŠČE (peti senat),

v sestavi E. Regan, predsednik senata, K. Lenaerts, predsednik Sodišča v funkciji sodnika petega senata, C. Lycourgos, predsednik četrtega senata, I. Jarukaitis in M. Ilešič (poročevalec), sodnika,

generalni pravobranilec: M. Bobek,

sodni tajnik: A. Calot Escobar,

na podlagi pisnega postopka,

ob upoštevanju stališč, ki so jih predložili:

–	za „SS“ SIA M. Ruķers,

–	za latvijsko vlado sprva K. Pommere, V. Soņeca in L. Juškeviča, nato K. Pommere, agentke,

–	za belgijsko vlado J.-C. Halleux in P. Cottin, agenta, skupaj s C. Molitorjem, avocat,

–	za grško vlado E.-M. Mamouna in O. Patsopoulou, agentki,

–	za špansko vlado sprva J. Rodríguez de la Rúa Puig in S. Jiménez García, nato J. Rodríguez de la Rúa Puig, agenta,

–	za Evropsko komisijo sprva H. Kranenborg, D. Nardi in I. Rubene, nato H. Kranenborg in I. Rubene, agenti,

po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 2. septembra 2021

izreka naslednjo

Sodbo

Predlog za sprejetje predhodne odločbe se nanaša na razlago Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2), zlasti njenega člena 5(1).

2	Ta predlog je bil vložen v okviru spora med družbo „SS“ SIA in Valsts ieņēmumu dienests (davčna uprava, Latvija) (v nadaljevanju: latvijska davčna uprava) v zvezi z zahtevo za posredovanje informacij glede oglasov za prodajo vozil, ki so bili objavljeni na spletnem mestu družbe SS.

Pravni okvir

Pravo Unije

Uredba 2016/679

3	Uredba 2016/679, ki temelji na členu 16 PDEU, se na podlagi svojega člena 99(2) uporablja od 25. maja 2018.

V uvodnih izjavah 1, 4, 10, 19, 26, 31, 39, 41 in 50 te uredbe je navedeno:

„(1)	Varstvo posameznikov pri obdelavi osebnih podatkov je temeljna pravica. V členu 8(1) Listine Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina) in členu 16(1) [PDEU] je določeno, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj.

[…]

(4)

Obdelava osebnih podatkov bi morala biti oblikovana tako, da služi ljudem. Pravica do varstva osebnih podatkov ni absolutna pravica; v skladu z načelom sorazmernosti jo je treba obravnavati glede na vlogo, ki jo ima v družbi, in jo uravnotežiti z drugimi temeljnimi pravicami. Ta uredba spoštuje vse temeljne pravice in upošteva svoboščine in načela, priznana z Listino, kakor so zajeta v Pogodbah, zlasti spoštovanje zasebnega in družinskega življenja, stanovanja in komunikacij, varstvo osebnih podatkov, svobodo misli, vesti in vere, svobodo izražanja in obveščanja, svobodo gospodarske pobude, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča ter kulturno, versko in jezikovno raznolikost.

[…]

(10)	Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v Uniji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. […]

[…]

(19)

Varstvo posameznikov pri obdelavi osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ter prosti pretok takih podatkov je urejeno v posebnem pravnem aktu Unije. Ta uredba se zato ne bi smela uporabljati za dejavnosti obdelave v navedene namene. Vendar pa bi moral obdelavo osebnih podatkov s strani javnih organov na podlagi te uredbe, kadar se uporablja za navedene namene, urejati bolj poseben pravni akt Unije, in sicer Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta [z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL 2016, L 119, str. 89)]. […]

[…]

(26)

Načela varstva podatkov bi se morala uporabljati za vse informacije v zvezi z določenim ali določljivim posameznikom. […] Pri ugotavljanju, ali je posameznik določljiv, bi bilo treba upoštevati vsa sredstva – kot je na primer izločitev – za katera se razumno pričakuje, da jih bo upravljavec ali druga oseba uporabila za neposredno ali posredno identifikacijo posameznika. […]

[…]

(31)

Javnih organov, ki so jim bili osebni podatki razkriti v skladu s pravno obveznostjo za izvajanje njihovih uradnih nalog, kot so davčni in carinski organi, finančne preiskovalne enote, neodvisni upravni organi ali organi finančnih trgov, pristojni za regulacijo in nadzor trgov vrednostnih papirjev, ne bi smeli šteti za uporabnike, če prejmejo osebne podatke, ki so potrebni za izvedbo določene preiskave v splošnem interesu, in sicer v skladu s pravom Unije ali države članice. Zahteve za razkritje, ki jih predložijo javni organi, bi morale biti vedno v pisni obliki, utemeljene in občasne ter ne bi smele zadevati celotne zbirke ali voditi k medsebojnemu povezovanju zbirk. Obdelava osebnih podatkov s strani teh javnih organov bi morala biti skladna z veljavnimi predpisi o varstvu podatkov glede na namene obdelave.

[…]

(39)

[…] Načelo preglednosti zahteva, da so vse informacije in sporočila, ki se nanašajo na obdelavo teh osebnih podatkov, lahko dostopni in razumljivi ter izraženi v jasnem in preprostem jeziku. To načelo zadeva zlasti informacije za posameznike, na katere se nanašajo osebni podatki, o istovetnosti upravljavca in namenih obdelave ter dodatne informacije za zagotovitev poštene in pregledne obdelave glede zadevnih posameznikov in njihove pravice do pridobitve potrditve in sporočila o obdelavi osebnih podatkov v zvezi z njimi. Posameznike bi bilo treba opozoriti na tveganja, pravila, zaščitne ukrepe in pravice v zvezi z obdelavo njihovih osebnih podatkov ter na to, kako lahko uresničujejo njihove pravice v zvezi s tako obdelavo. Zlasti posebni nameni, za katere se osebni podatki obdelujejo, bi morali biti izrecni in zakoniti ter določeni v času zbiranja osebnih podatkov. Osebni podatki bi morali biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Zato bi bilo treba zlasti zagotoviti, da je obdobje hrambe osebnih podatkov omejeno na najkrajše mogoče obdobje. Osebni podatki bi se lahko obdelali le, če namena obdelave ne bi bilo mogoče razumno doseči z drugimi sredstvi. […]

[…]

(41)

Kadar je v tej uredbi sklicevanje na pravno podlago ali zakonodajni ukrep, v ta namen ni nujno potreben zakonodajni akt, ki bi ga sprejel parlament, brez poseganja v zahteve v skladu z ustavnim redom zadevne države članice. Vendar bi morala biti takšna pravna podlaga ali zakonodajni ukrep jasna in natančna, njena oziroma njegova uporaba pa predvidljiva za osebe, na katere se nanašata, v skladu s sodno prakso Sodišča Evropske unije […] in Evropskega sodišča za človekove pravice.

[…]

(50)

Obdelava osebnih podatkov za druge namene kot tiste, za katere so bili osebni podatki prvotno zbrani, bi morala biti dovoljena le, kadar je združljiva z nameni, za katere so bili osebni podatki prvotno zbrani. V takšnem primeru ni potrebna ločena pravna podlaga od tiste, na podlagi katere so bili osebni podatki zbrani. Če je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, se lahko naloge in nameni, za katere bi se nadaljnja obdelava morala šteti za združljivo in zakonito, določijo in opredelijo s pravom Unije ali pravom držav članic. Nadaljnja obdelava v namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene bi morala veljati za združljivo zakonito dejanje obdelave. Pravna podlaga, ki se za obdelavo osebnih podatkov določi s pravom Unije ali pravom držav članic, je lahko tudi pravna podlaga za nadaljnjo obdelavo. Za ugotovitev, ali je namen nadaljnje obdelave združljiv z namenom, za katerega so bili osebni podatki prvotno zbrani, bi moral upravljavec, potem ko je izpolnil vse zahteve glede zakonitosti prvotne obdelave, med drugim upoštevati morebitno povezavo med prvotnimi nameni in nameni načrtovane nadaljnje obdelave; okoliščine, v katerih so bili osebni podatki zbrani, zlasti razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, o nadaljnji uporabi teh podatkov ob upoštevanju njihovega razmerja z upravljavcem; naravo osebnih podatkov; posledice načrtovane nadaljnje obdelave za te posameznike in obstoj ustreznih zaščitnih ukrepov, tako pri prvotnih kot načrtovanih nadaljnjih dejanjih obdelave.“

Člen 2 Uredbe 2016/679, naslovljen „Področje uporabe“, določa:

„1. Ta uredba se uporablja za obdelavo osebnih podatkov, ki se v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se ne izvaja z avtomatiziranimi sredstvi.

2. Ta uredba se ne uporablja za obdelavo osebnih podatkov:

(a)	v okviru dejavnosti zunaj področja uporabe prava Unije;

(b)	s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 2 naslova V PEU;

(c)	s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti;

(d)	s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem.

[…]“

Člen 4 te uredbe, naslovljen „Opredelitev pojmov“, določa:

„V tej uredbi:

(1)

,osebni podatki‘ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2)

‚obdelava‘ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

[…]

(6)	,zbirka‘ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(7)	,upravljavec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; […]

[…]

(9)

,uporabnik‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

[…]“

Člen 5 navedene uredbe, naslovljen „Načela v zvezi z obdelavo osebnih podatkov“, določa:

„1. Osebni podatki morajo biti:

(a)	obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (,zakonitost, poštenost in preglednost‘);

(b)	zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; […] (,omejitev namena‘);

(c)	ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (,najmanjši obseg podatkov‘);

(d)	točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (,točnost‘);

(e)	hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; […] (,omejitev hrambe‘);

(f)	obdelani na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (,celovitost in zaupnost‘).

2. Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati (,odgovornost‘).“

Člen 6 iste uredbe, naslovljen „Zakonitost obdelave“, določa:

„1. Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)	posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)	obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)	obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)	obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)	obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)

obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

2. Države članice lahko ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) odstavka 1, tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave, tudi za druge posebne primere obdelave iz poglavja IX.

3. Podlaga za obdelavo iz točk (c) in (e) odstavka 1 je določena v skladu s:

(a)	pravom Unije; ali

(b)	pravom države članice, ki velja za upravljavca.

Namen obdelave se določi v navedeni pravni podlagi ali pa je v primeru obdelave iz točke (e) odstavka 1 potreben za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu. […] Pravo Unije ali pravo države članice izpolnjuje cilj javnega interesa in je sorazmerno z zakonitim ciljem, za katerega si prizadeva.

4. Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije ali pravu države članice, ki predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 23(1), upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva:

(a)	kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave;

(b)	okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem;

(c)	naravo osebnih podatkov, zlasti ali se obdelujejo posebne vrste osebnih podatkov v skladu s členom 9 ali pa se obdelujejo osebni podatki v zvezi s kazenskimi obsodbami in prekrški v skladu s členom 10;

(d)	morebitne posledice načrtovane nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki;

(e)	obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.“

Člen 13(3) Uredbe št. 2016/679 določa:

„Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki zbrani, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.“

Člen 14 te uredbe določa:

„1. Kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo, upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije:

[…]

(c)	namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

[…]

5. Odstavki 1 do 4 se ne uporabljajo, kadar in kolikor:

[…]

(c)	je pridobitev ali razkritje izrecno določeno s pravom Unije ali pravom države članice, ki velja za upravljavca in s katerim so določeni ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki; […]

[…]“

Člen 23(1)(e) navedene uredbe določa:

„Pravo Unije ali pravo države članice, ki velja za upravljavca ali obdelovalca podatkov, lahko z zakonodajnim ukrepom omeji obseg obveznosti in pravic iz členov 12 do 22 in člena 34, pa tudi člena 5, kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 12 do 22, če taka omejitev spoštuje bistvo temeljnih pravic in svoboščin ter je potreben in sorazmeren ukrep v demokratični družbi za zagotavljanje:

[…]

(e)	drugih pomembnih ciljev v splošnem javnem interesu Unije ali države članice, zlasti pomembnega gospodarskega ali finančnega interesa Unije ali države članice, vključno z denarnimi, proračunskimi in davčnimi zadevami, javnim zdravjem in socialno varnostjo;

[…]“

Člen 25(2) Uredbe 2016/679 določa:

„Upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu posameznikov brez posredovanja zadevnega posameznika.“

Direktiva 2016/680

V uvodnih izjavah 10 in 11 Direktive 2016/680 je navedeno:

„(10)

V izjavi št. 21 o varstvu osebnih podatkov na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, ki je priložena Sklepni listini medvladne konference, ki je sprejela Lizbonsko pogodbo, je konferenca potrdila, da bi lahko bili zaradi posebne narave pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja na teh področjih potrebni posebni predpisi o varstvu osebnih podatkov in o prostem pretoku osebnih podatkov na podlagi člena 16 PDEU.

(11)

Zato je primerno, da ta področja ureja direktiva, v kateri so določena posebna pravila o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ob upoštevanju posebnih lastnosti teh dejavnosti. Ti pristojni organi lahko vključujejo ne le javne organe, kot so pravosodni organi, policija ali drugi organi preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, temveč tudi vse druge organe ali subjekte, ki v skladu z zakonodajo države članice izvajajo javno oblast in javna pooblastila za namene te direktive. Kadar takšen organ ali subjekt obdeluje osebne podatke za namene, ki so drugačni od namenov iz te direktive, se uporablja Uredba [2016/679]. Uredba [2016/679] se torej uporablja v primerih, ko organ ali subjekt zbira osebne podatke za druge namene in jih dodatno obdeluje, ker jih k temu zavezujejo pravne obveznosti. […]“

Člen 3 te direktive določa:

„V tej direktivi:

[…]

(7) ‚pristojni organ‘ pomeni:

(a)	kateri koli javni organ, ki je pristojen za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ali

(b)

kateri koli drug organ ali subjekt, ki v skladu s pravom države članice lahko opravlja javne funkcije ali izvaja javna pooblastila za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem;

[…]“

Latvijsko pravo

V skladu s členom 15(6) likums „Par nodokļiem un nodevām“ (zakon o davkih in dajatvah, Latvijas Vēstnesis, 1995, št. 26) v različici, ki se uporablja za spor o glavni stvari (v nadaljevanju: zakon o davkih in dajatvah), mora ponudnik storitev objavljanja oglasov na spletu na zahtevo latvijske davčne uprave predložiti informacije, s katerimi razpolaga, v zvezi z davčnimi zavezanci, ki so z naročilom njegovih storitev objavili oglase.

Spor o glavni stvari in vprašanja za predhodno odločanje

16	Družba SS je ponudnik storitev objavljanja oglasov na spletu s sedežem v Latviji.

Latvijska davčna uprava je 28. avgusta 2018 na družbo SS naslovila zahtevo za posredovanje informacij na podlagi člena 15(6) zakona o davkih in dajatvah, v kateri je to družbo pozvala, naj ponovno vzpostavi dostop te davčne uprave do številk šasij vozil, ki so predmet oglasov, objavljenih na spletnem portalu navedene družbe, in do telefonskih številk prodajalcev ter naj ji najpozneje do 3. septembra 2018 posreduje informacije o oglasih, objavljanih v rubriki, naslovljeni „Osebna vozila“, v obdobju med 14. julijem in 31. avgustom 2018.

18	V tej zahtevi je bilo pojasnjeno, da je treba te informacije, ki vključujejo povezavo do oglasa, njegovo besedilo, znamko, model, številko šasije in ceno vozila ter telefonsko številko prodajalca, elektronsko predložiti v formatu, ki omogoča filtriranje ali selekcijo podatkov.

Poleg tega je bila družba SS pozvana, naj, če dostopa do informacij iz oglasov, objavljenih na zadevnem spletnem portalu, ne bi bilo mogoče ponovno vzpostaviti, navede razlog za to in najpozneje tretji dan vsakega meseca predloži upoštevne informacije v zvezi z oglasi, objavljenimi v prejšnjem mesecu.

Ker je družba SS menila, da zahteva latvijske davčne uprave za posredovanje informacij ni v skladu z načeloma sorazmernosti in najmanjšega obsega osebnih podatkov, določenima v Uredbi 2016/679, je zoper to zahtevo vložila pritožbo pri vršilcu dolžnosti generalnega direktorja latvijske davčne uprave.

21	Ta je z odločbo z dne 30. oktobra 2018 to pritožbo zavrnil in med drugim navedel, da je latvijska davčna uprava v okviru obdelave osebnih podatkov iz postopka v glavni stvari izvajala pooblastila, ki so ji podeljena z zakonom.

Družba SS je pri administratīvā rajona tiesa (prvostopenjsko upravno sodišče, Latvija) vložila tožbo zaradi odprave te odločbe. Poleg trditev, ki jih je navedla v svoji pritožbi, je družba SS v tožbi trdila, da v navedeni odločbi ni naveden niti specifični namen obdelave osebnih podatkov, ki jo predvideva latvijska davčna uprava, niti količina podatkov, ki so za to obdelavo potrebni, kar je v nasprotju s členom 5(1) Uredbe 2016/679.

Administratīvā rajona tiesa (prvostopenjsko upravno sodišče) je s sodbo z dne 21. maja 2019 to tožbo zavrnilo in v bistvu navedlo, da je bila latvijska davčna uprava upravičena zahtevati dostop do informacij, ki se nanašajo na vse osebe in v neomejeni količini, razen če se te informacije štejejo za nezdružljive z nameni pobiranja davkov. To sodišče je poleg tega menilo, da se določbe Uredbe 2016/679 za to upravo ne uporabljajo.

Družba SS je zoper to sodbo pri predložitvenem sodišču vložila pritožbo, v kateri je trdila, prvič, da se določbe Uredbe 2016/679 uporabljajo za latvijsko davčno upravo in, drugič, da je ta uprava s tem, da je mesečno in brez časovne omejitve zahtevala veliko količino osebnih podatkov v zvezi z neomejenim številom oglasov, ne da bi opredelila davčne zavezance, zoper katere bi bil začet davčni nadzor, kršila načelo sorazmernosti.

Predložitveno sodišče navaja, da v okviru spora o glavni stvari ni sporno niti to, da je izvršitev zadevne zahteve za posredovanje informacij neločljivo povezana z obdelavo osebnih podatkov, niti to, da ima latvijska davčna uprava pravico pridobiti informacije, s katerimi razpolaga ponudnik storitev nameščanja oglasov na spletu in ki so nujne za izvajanje specifičnih ukrepov na področju pobiranja davkov.

26	Spor o glavni stvari naj bi se nanašal na količino in vrsto informacij, ki jih lahko latvijska davčna uprava zahteva, na njihovo omejenost ali neomejenost ter na vprašanje, ali je treba obveznost posredovanja, ki jo ima družba SS, časovno omejiti.

Predložitveno sodišče zlasti meni, da mora ugotoviti, ali se v okoliščinah zadeve v glavni stvari obdelava osebnih podatkov izvaja pregledno glede posameznikov, na katere se osebni podatki nanašajo, ali se informacije, navedene v zadevni zahtevi za posredovanje informacij, zahtevajo za določene, izrecne in zakonite namene ter ali se osebni podatki obdelujejo le, kolikor je dejansko potrebno za opravljanje nalog latvijske davčne uprave v smislu člena 5(1) Uredbe 2016/679.

Zato naj bi bilo treba opredeliti merila, na podlagi katerih je mogoče presoditi, ali se z zahtevo latvijske davčne uprave za posredovanje informacij spoštuje bistvo temeljnih svoboščin in pravic ter ali je mogoče v demokratični družbi zahtevo za posredovanje informacij iz postopka v glavni stvari šteti za potrebno in sorazmerno, da bi se zagotovilo doseganje pomembnih ciljev Unije ter latvijskih javnih interesov na proračunskem in davčnem področju.

V teh okoliščinah je Administratīvā apgabaltiesa (regionalno upravno sodišče, Latvija) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

„1.

Ali je treba zahteve, določene v Uredbi [2016/679], razlagati tako, da mora zahteva po informacijah, ki jo izda davčna uprava, kot je sporna zahteva iz postopka v glavni stvari, s katero se zahteva predložitev informacij, ki vsebujejo veliko osebnih podatkov, izpolnjevati zahteve, določene v Uredbi 2016/679 (zlasti v njenem členu 5(1))?

2.	Ali je treba zahteve, določene v Uredbi [2016/679], razlagati tako, da lahko davčna uprava odstopa od določb člena 5(1) navedene uredbe, čeprav veljavna zakonodaja Latvije navedeni upravi ne podeljuje takih pooblastil?

Ali je v okviru razlage zahtev, določenih v Uredbi [2016/679], mogoče šteti, da obstaja legitimen cilj, ki upravičuje obveznost, naloženo z zahtevo po informacijah, kakršna je ta iz postopka v glavni stvari, v skladu s katero je treba zagotoviti vse zahtevane podatke v neomejeni količini in za neomejeno časovno obdobje, ne da bi bil določen datum prenehanja izvrševanja navedene zahteve po informacijah?

Ali je v okviru razlage zahtev, določenih v Uredbi [2016/679], mogoče šteti, da obstaja legitimen cilj, ki upravičuje obveznost, naloženo z zahtevo po informacijah, kakršna je ta v postopku v glavni stvari, v skladu s katero je treba zagotoviti vse zahtevane podatke, čeprav v zahtevi po informacijah ni naveden (ali je naveden nepopoln) namen zagotavljanja informacij?

Ali je v okviru razlage zahtev, določenih v Uredbi [2016/679], mogoče šteti, da obstaja legitimen cilj, ki upravičuje obveznost, naloženo z zahtevo po informacijah, kakršna je ta iz postopka v glavni stvari, v skladu s katero je treba zagotoviti vse zahtevane podatke, tudi če se v praksi to nanaša na vse posameznike, ki so objavili oglase v razdelku portala, naslovljenem ‚Motorna vozila‘?

6.	Katera merila je treba uporabiti za preverjanje, ali davčna uprava, ki deluje kot upravljavec podatkov, ustrezno zagotavlja skladnost obdelave podatkov (vključno s pridobitvijo informacij) z zahtevami, določenimi v Uredbi [2016/679]?

7.	Katera merila je treba uporabiti za preverjanje, ali je zahteva po informacijah, kakršna je ta iz postopka v glavni stvari, ustrezno obrazložena in občasna?

8.	Katera merila je treba uporabiti za preverjanje, ali se obdelava osebnih podatkov izvaja v nujnem obsegu in v skladu z zahtevami, določenimi v Uredbi [2016/679]?

9.	Katera merila je treba uporabiti za preverjanje, ali davčna uprava, ki deluje kot upravljavec, zagotavlja skladnost obdelave podatkov z zahtevami, določenimi v členu 5(1) Uredbe [2016/679] (odgovornost)?“

Vprašanja za predhodno odločanje

Prvo vprašanje

Predložitveno sodišče s prvim vprašanjem v bistvu sprašuje, ali je treba določbe Uredbe 2016/679 razlagati tako, da se zahteve iz te uredbe, zlasti tiste iz njenega člena 5(1), uporabljajo za davčno upravo države članice, ko ta od gospodarskega subjekta zbira informacije z veliko količino osebnih podatkov.

Za odgovor na to vprašanje je treba na prvem mestu preveriti, ali taka zahteva spada na stvarno področje uporabe Uredbe št. 2016/679, kot je opredeljeno v njenem členu 2(1), na drugem mestu pa, ali ne spada med obdelave osebnih podatkov, ki so s členom2(2) te uredbe s tega področja uporabe izključene.

Na prvem mestu, člen 2(1) Uredbe 2016/679 določa, da se ta uredba uporablja za obdelavo osebnih podatkov, ki se v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se ne izvaja z avtomatiziranimi sredstvi.

Člen 4, točka 1, Uredbe 2016/679 določa, da „osebni podatek“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom, torej v zvezi s posameznikom, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. V uvodni izjavi 26 te uredbe je v zvezi s tem pojasnjeno, da je treba pri ugotavljanju, ali je posameznik določljiv, upoštevati vsa sredstva, za katera se razumno pričakuje, da jih bo upravljavec ali druga oseba uporabila za neposredno ali posredno identifikacijo posameznika.

34	V okviru spora o glavni stvari ni sporno, da so informacije, katerih posredovanje zahteva latvijska davčna uprava, osebni podatki v smislu člena 4, točka 1, Uredbe 2016/679.

Na podlagi člena 4, točka 2, te uredbe je zbiranje, vpogled, razkritje s posredovanjem ali drugačno omogočanje dostopa do osebnih podatkov „obdelava“ v smislu navedene uredbe. Iz besedila te določbe, zlasti iz izraza „vsako dejanje“, je razvidno, da je zakonodajalec Unije pojmu „obdelava“ želel dati širok obseg. To razlago potrjuje neizčrpnost dejanj, navedenih v tej določbi, ki je izražena z besedno zvezo „kot je“.

36	V obravnavanem primeru latvijska davčna uprava od zadevnega gospodarskega subjekta zahteva, naj službam te uprave ponovno vzpostavi dostop do številk šasij vozil, ki so v oglasih, objavljenih na njegovem spletnem portalu, in ji zagotovi informacije o oglasih, objavljenih na tem portalu.

Taka zahteva, s katero davčna uprava države članice od gospodarskega subjekta zahteva posredovanje in dajanje na voljo osebnih podatkov, ki ji jih mora ta subjekt zagotoviti in dati na voljo na podlagi nacionalne ureditve te države članice, sproži postopek „zbiranja“ teh podatkov v smislu člena 4, točka 2, Uredbe 2016/679.

38	Poleg tega to, da zadevni gospodarski subjekt tej upravi posreduje in da na voljo navedene podatke, zajema „obdelavo“ v smislu tega člena 4, točka 2.

39	Na drugem mestu, preučiti je treba, ali je za dejanje, s katerim želi davčna uprava države članice od gospodarskega subjekta zbrati osebne podatke, ki se nanašajo na nekatere davčne zavezance, mogoče šteti, da je na podlagi člena 2(2) Uredbe 2016/679 izključeno s področja uporabe te uredbe.

40	V zvezi s tem je treba najprej opozoriti, da ta določba predpisuje izjeme od področja uporabe te uredbe, kot je opredeljeno v njenem členu 2(1), in da je treba te izjeme razlagati ozko (sodba z dne 16. julija 2020, Facebook Ireland in Schrems, C‑311/18, EU:C:2020:559, točka 84).

41	Konkretno, člen 2(2)(d) Uredbe 2016/679 določa, da se ta uredba ne uporablja za obdelavo osebnih podatkov s strani pristojnih organov za namene preprečevanja in preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij.

Kot je razvidno iz uvodne izjave 19 te uredbe, je ta izjema utemeljena z okoliščino, da mora obdelavo osebnih podatkov v te namene in s strani javnih organov urejati poseben pravni akt Unije, in sicer Direktiva 2016/680, ki je bila sprejeta istega dne kot Uredba 2016/679, v njenem členu 3, točka 7, pa je opredeljeno, kako je treba razumeti izraz „pristojni organ“, pri čemer je treba tako opredelitev po analogiji uporabiti za člen 2(2)(d) te uredbe (glej v tem smislu sodbo z dne 22. junija 2021, Latvijas Republikas Saeima (Kazenske točke), C‑439/19, EU:C:2021:504, točka 69).

Iz uvodne izjave 10 Direktive 2016/680 izhaja, da je treba pojem „pristojni organ“ razumeti v povezavi z varstvom osebnih podatkov na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, ob upoštevanju prilagoditev, ki se lahko v zvezi s tem izkažejo za potrebne zaradi posebne narave teh področij. Poleg tega je v uvodni izjavi 11 te direktive pojasnjeno, da se za obdelavo osebnih podatkov, ki bi jo izvedel „pristojni organ“ v smislu člena 3, točka 7, navedene direktive, vendar za druge namene od tistih, ki so določeni v tej direktivi, uporablja Uredba 2016/679 (sodba z dne 22. junija 2021, Latvijas Republikas Saeima (Kazenske točke), C‑439/19, EU:C:2021:504, točka 70).

Tako ni razvidno niti to, da bi bilo mogoče davčno upravo države članice, kadar ta uprava od gospodarskega subjekta zahteva, naj ji posreduje osebne podatke v zvezi z nekaterimi davčnimi zavezanci za namene pobiranja davkov in boja proti davčnim goljufijam, šteti za „pristojni organ“ v smislu člena 3, točka 7, Direktive 2016/680, niti to, da bi zato take zahteve za posredovanje informacij lahko bile zajete z izjemo iz člena 2(2)(d) Uredbe 2016/679.

Poleg tega, čeprav ni izključeno, da bi se osebni podatki iz postopka v glavni stvari lahko uporabili v okviru kazenskega pregona, ki bi ga bilo mogoče v primeru kršitve na davčnem področju sprožiti zoper nekatere zadevne osebe, ni razvidno, da bi bili ti podatki zbrani s specifičnim namenom izvajanja takega kazenskega pregona ali v okviru dejavnosti države na področjih kazenskega prava (glej v tem smislu sodbo z dne 27. septembra 2017, Puškár, C‑73/16, EU:C:2017:725, točka 40).

Zato to, da davčna uprava države članice zbira osebne podatke, ki se nanašajo na oglase za prodajo vozil, objavljene na spletnem mestu gospodarskega subjekta, spada na stvarno področje uporabe Uredbe 2016/679 in mora zato ta uprava med drugim spoštovati načela v zvezi z obdelavo osebnih podatkov, določena v členu 5 te uredbe.

Glede na vse zgoraj navedeno je treba na prvo vprašanje odgovoriti, da je treba določbe Uredbe 2016/679 razlagati tako, da se zahteve iz te uredbe, zlasti tiste iz njenega člena 5(1), uporabljajo za zbiranje – od gospodarskega subjekta – informacij z veliko količino osebnih podatkov, ki ga izvaja davčna uprava države članice.

Drugo vprašanje

48	Predložitveno sodišče z drugim vprašanjem v bistvu sprašuje, ali je treba določbe Uredbe 2016/679 razlagati tako, da davčna uprava države članice lahko odstopa od določb člena 5(1) te uredbe, čeprav ji tako pooblastilo z nacionalnim pravom te države članice ni bilo podeljeno.

49	Najprej je treba opozoriti, da je namen Uredbe 2016/679, kot je razvidno iz njene uvodne izjave 10, med drugim zagotoviti visoko raven varstva fizičnih oseb v Uniji.

V ta namen so v poglavjih II in III Uredbe 2016/679 navedena načela, ki urejajo obdelavo osebnih podatkov oziroma pravice posameznika, na katerega se nanašajo osebni podatki, ki se morajo spoštovati pri vsaki obdelavi osebnih podatkov. Natančneje, vsaka obdelava osebnih podatkov mora biti med drugim skladna z načeli v zvezi z obdelavo takih podatkov, ki so določena v členu 5 navedene uredbe (glej v tem smislu sodbo z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točka 208).

Vendar je s členom 23 Uredbe 2016/679 Uniji in državam članicam dovoljeno, da sprejmejo „zakonodajne ukrepe“, s katerimi omejijo obseg obveznosti in pravic, med drugim tistih, ki so določene v členu 5 te uredbe, če te ustrezajo pravicam in obveznostim iz členov od 12 do 22 navedene uredbe, kadar se pri taki omejitvi spoštuje bistvo temeljnih pravic in svoboščin ter je ta omejitev potreben in sorazmeren ukrep v demokratični družbi za zagotavljanje doseganja pomembnih ciljev v splošnem javnem interesu Unije ali zadevne države članice, kot je, med drugim, pomemben gospodarski ali finančni interes, vključno s proračunskimi in davčnimi zadevami.

52	V zvezi s tem je iz uvodne izjave 41 Uredbe 2016/679 razvidno, da sklicevanje na „zakonodajni ukrep“ v tej uredbi ne pomeni nujno, da se zahteva, da parlament sprejme zakonodajni akt.

53	Ob tem je treba opozoriti, da se v Uredbi 2016/679, kot je navedeno v njeni uvodni izjavi 4, spoštujejo vse temeljne pravice in upoštevajo svoboščine in načela, priznana z Listino, kakor so zajeta v Pogodbah, med katerimi je zlasti varstvo osebnih podatkov.

V skladu s členom 52(1), prvi stavek, Listine pa mora biti kakršno koli omejevanje uresničevanja pravic in svoboščin, ki jih priznava ta listina, med katerimi sta med drugim pravica do spoštovanja zasebnega življenja, zagotovljena s členom 7 Listine, in pravica do varstva osebnih podatkov, določena v členu 8 te listine, predpisano z zakonom, kar zlasti pomeni, da mora biti že v pravni podlagi, ki omogoča poseg v te pravice, opredeljen obseg omejitve uresničevanja zadevne pravice (glej v tem smislu sodbo z dne 6. oktobra 2020, Privacy International, C‑623/17, EU:C:2020:790, točka 65 in navedena sodna praksa).

V zvezi s tem je Sodišče poleg tega presodilo, da morajo biti v okviru ureditve, ki zajema ukrep, ki omogoča tak poseg, določena jasna in natančna pravila, ki urejajo obseg in uporabo zadevnega ukrepa ter nalagajo minimalne zahteve, tako da imajo osebe, katerih osebni podatki so bili posredovani, zadostna jamstva, ki omogočajo učinkovito zaščito teh podatkov pred tveganjem zlorabe (glej v tem smislu sodbo z dne 2. marca 2021, Prokuratuur (Pogoji za dostop do podatkov o elektronskih komunikacijah), C‑746/18, EU:C:2021:152, točka 48 in navedena sodna praksa).

Zato morajo biti vsi ukrepi, sprejeti na podlagi člena 23 Uredbe 2016/679, kot je poleg tega zakonodajalec Unije poudaril v uvodni izjavi 41 te uredbe, jasni in natančni, njihova uporaba pa mora biti za posameznike predvidljiva. Zlasti morajo imeti ti posamezniki možnost identificirati okoliščine in pogoje, v katerih je obseg pravic, ki so jim podeljene z navedeno uredbo, lahko omejen.

Iz zgornjih preudarkov izhaja, da davčna uprava države članice ne sme odstopati od določb člena 5 Uredbe 2016/679, če ni jasne in natančne pravne podlage v pravu Unije ali nacionalnem pravu, katere uporaba je za posameznike predvidljiva ter ki določa okoliščine in pogoje, pod katerimi je mogoče omejiti obseg obveznosti in pravic iz tega člena 5.

58	Zato je treba na drugo vprašanje odgovoriti, da je treba določbe Uredbe 2016/679 razlagati tako, da davčna uprava države članice ne sme odstopati od določb člena 5(1) te uredbe, če ji tako pooblastilo ni bilo podeljeno z zakonodajnim ukrepom v smislu člena 23(1) navedene uredbe.

Vprašanja od tretjega do devetega

Predložitveno sodišče z vprašanji od tretjega do devetega, ki jih je treba obravnavati skupaj, v bistvu sprašuje, ali je treba določbe Uredbe 2016/679 razlagati tako, da nasprotujejo temu, da davčna uprava države članice ponudniku storitev objavljanja oglasov na spletu naloži, naj ji za časovno neomejeno obdobje in ne da bi bil natančno določen namen te zahteve za posredovanje informacij, sporoča informacije o vseh davčnih zavezancih, ki so objavili oglase v eni od rubrik njegovega spletnega portala.

Najprej je treba ugotoviti, da v položaju, kakršen je ta v postopku v glavni stvari, lahko pride do dveh obdelav osebnih podatkov. Kot je razvidno iz točk 37 in 38 te sodbe, gre za zbiranje osebnih podatkov s strani davčne uprave pri zadevnem ponudniku storitev in v tem okviru za razkritje s posredovanjem teh podatkov s strani tega ponudnika tej upravi.

Kot izhaja iz sodne prakse, navedene v točki 50 te sodbe, je treba pri vsakem od teh dejanj obdelave, brez poseganja v odstopanja, ki jih dopušča člen 23 Uredbe 2016/679, spoštovati načela v zvezi z obdelavo osebnih podatkov iz člena 5 te uredbe in pravice posameznika, na katerega se nanašajo osebni podatki, iz členov od 12 do 22 navedene uredbe.

V obravnavanem primeru se predložitveno sodišče sprašuje zlasti v zvezi z okoliščino, prvič, da se obdelavi, navedeni v točki 60 te sodbe, nanašata na informacije v neomejeni količini, ki se nanašajo na nedoločen čas, in drugič, da namen teh obdelav v zahtevi za posredovanje informacij ni natančno določen.

63	V zvezi s tem je treba na prvem mestu poudariti, da člen 5(1)(b) Uredbe 2016/679 določa, da morajo biti osebni podatki zbrani zlasti za določene, izrecne in zakonite namene.

64	Najprej, zahteva, da je treba določiti namene obdelave, pomeni, kot izhaja iz uvodne izjave 39 te uredbe, da je treba te opredeliti najpozneje ob zbiranju osebnih podatkov.

65	Dalje, nameni obdelave morajo biti izrecni, kar pomeni, da morajo biti jasno navedeni.

66	Nazadnje, ti nameni morajo biti zakoniti. Zato je pomembno, da zagotavljajo zakonito obdelavo v smislu člena 6(1) navedene uredbe.

67	Obdelavi iz točke 60 te sodbe se začneta z zahtevo za posredovanje osebnih podatkov, ki jo latvijska davčna uprava naslovi na ponudnika storitve objavljanja oglasov na spletu. V zvezi s tem je razvidno, da mora ta ponudnik na podlagi člena 15(6) zakona o davkih in dajatvah taki zahtevi ugoditi.

68	Glede na ugotovitve, navedene v točkah 64 in 65 te sodbe, morajo biti nameni teh obdelav v tej zahtevi jasno navedeni.

Če so nameni, ki so tako navedeni v tej zahtevi, potrebni za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je dodeljena davčni upravi, ta okoliščina, kot izhaja iz člena 6(1), prvi pododstavek, uvodni stavek in točka (e), Uredbe 2016/679 v povezavi s členom 6(3), drugi pododstavek, te uredbe, zadostuje za to, da navedeni obdelavi izpolnjujeta tudi zahtevo po zakonitosti, na katero je opozorjeno v točki 66 te sodbe.

70	V zvezi s tem je treba opozoriti, da je treba pobiranje davkov in boj proti davčnim goljufijam šteti za nalogi v javnem interesu v smislu člena 6(1), prvi pododstavek, točka (e), Uredbe 2016/679 (glej po analogiji sodbo z dne 27. septembra 2017, Puškár, C‑73/16, EU:C:2017:725, točka 108).

Iz tega sledi, da je v primeru, ko se posredovanje zadevnih osebnih podatkov ne opira neposredno na zakonsko določbo, ki je njegova podlaga, ampak izhaja iz zahteve pristojnega organa javne oblasti, potrebno, da se v tej zahtevi natančno navede, kateri so specifični nameni tega zbiranja podatkov glede na naloge v javnem interesu ali glede na izvajanje javne oblasti, da bi se naslovniku navedene zahteve omogočilo, da se prepriča, da je posredovanje zadevnih osebnih podatkov zakonito, nacionalnim sodiščem pa, da izvajajo nadzor nad zakonitostjo zadevnih obdelav.

72	Na drugem mestu, v skladu s členom 5(1)(c) Uredbe 2016/679 morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

V zvezi s tem je treba opozoriti, da morajo biti v skladu z ustaljeno sodno prakso odstopanja od in omejitve načela varstva takih podatkov omejeni na tisto, kar je nujno potrebno (glej v tem smislu sodbo z dne 22. junija 2021, Latvijas Republikas Saeima (Kazenske točke), C‑439/19, EU:C:2021:504, točka 110 in navedena sodna praksa).

74	Iz tega sledi, da upravljavec, tudi kadar deluje v okviru naloge v javnem interesu, ki mu je bila zaupana, ne sme na splošno in brez razlikovanja zbirati osebnih podatkov in da se mora vzdržati zbiranja podatkov, ki niso nujno potrebni za namene obdelave.

V obravnavanem primeru je treba poudariti, da je latvijska davčna uprava, kot je razvidno iz točk od 17 do 19 te sodbe, od zadevnega gospodarskega subjekta zahtevala, naj ji predloži podatke v zvezi z oglasi za prodajo osebnih vozil, objavljenimi na njegovem spletnem mestu med 14. julijem in 31. avgustom 2018, in da naj ji, če dostopa do teh informacij ne bi bilo mogoče ponovno vzpostaviti, najpozneje tretji dan vsakega meseca posreduje podatke v zvezi z oglasi za prodajo osebnih vozil, objavljenimi na njegovem spletnem mestu v prejšnjem mesecu, ne da bi to zadnjo zahtevo kakor koli časovno omejila.

Glede na preudarke, navedene v točki 74 te sodbe, mora predložitveno sodišče preveriti, ali je namen zbiranja teh podatkov mogoče doseči, ne da bi latvijska davčna uprava potencialno razpolagala s podatki v zvezi z vsemi oglasi za prodajo osebnih vozil, objavljenimi na spletnem mestu navedenega gospodarskega subjekta, in zlasti ali je mogoče, da se ta uprava osredotoči na nekatere oglase z uporabo specifičnih meril.

77	V tem okviru je treba poudariti, da mora biti upravljavec v skladu z načelom odgovornosti iz člena 5(2) Uredbe 2016/679 zmožen dokazati, da spoštuje načela v zvezi z obdelavo osebnih podatkov, določena v odstavku 1 tega člena.

78	Zato mora latvijska davčna uprava dokazati, da je v skladu s členom 25(2) te uredbe poskušala količino osebnih podatkov, ki jih je treba zbrati, zmanjšati na najmanjši možni obseg.

V zvezi z okoliščino, da v zahtevi za posredovanje informacij, ki jo je poslala latvijska davčna uprava, v primeru, da zadevni ponudnik storitev objavljanja oglasov ne bi ponovno vzpostavil dostopa do oglasov, objavljenih v obdobju, ki je predmet zahteve, ni nobene časovne omejitve, je treba opozoriti, da mora upravljavec ob upoštevanju načela najmanjšega obsega podatkov obdobje zbiranja zadevnih osebnih podatkov prav tako omejiti na nujno potrebno glede na cilj predvidene obdelave.

80	Zato obdobje, na katero se zbiranje nanaša, ne sme presegati trajanja, ki je nujno potrebno za dosego zastavljenega cilja v splošnem interesu.

81	Kot izhaja iz točke 77 te sodbe, dokazno breme v zvezi s tem nosi latvijska davčna uprava.

82	Vendar pa okoliščina, da se navedeni podatki zbirajo, ne da bi latvijska davčna uprava v sami zahtevi za posredovanje informacij opredelila časovno omejitev take obdelave, sama po sebi ne omogoča ugotovitve, da trajanje obdelave presega trajanje, ki je nujno potrebno za dosego zastavljenega cilja.

V tem okviru je treba vseeno opozoriti, da je za izpolnitev zahteve po sorazmernosti, ki je izražena v členu 5(1)(c) Uredbe 2016/679 (glej v tem smislu sodbo z dne 22. junija 2021, Latvijas Republikas Saeima (Kazenske točke), C‑439/19, EU:C:2021:504, točka 98 in navedena sodna praksa), potrebno, da so v okviru ureditve, na kateri temelji obdelava, določena jasna in natančna pravila, ki urejajo obseg in uporabo zadevnega ukrepa in nalagajo minimalne zahteve, tako da imajo osebe, za katerih osebne podatke gre, na voljo zadostna jamstva, ki omogočajo učinkovito varovanje teh podatkov pred tveganji zlorabe. Ta ureditev mora biti pravno zavezujoča v nacionalnem pravu, v njej pa mora biti zlasti določeno, v kakšnih okoliščinah in pod katerimi pogoji je mogoče sprejeti ukrep, ki predvideva obdelavo takih podatkov, s čimer se tako zagotovi, da je poseganje omejeno na to, kar je nujno potrebno (sodba z dne 6. oktobra 2020, Privacy International, C‑623/17, EU:C:2020:790, točka 68 in navedena sodna praksa).

Iz tega izhaja, da se mora nacionalna ureditev, s katero se ureja zahteva za posredovanje informacij, kot je ta iz postopka v glavni stvari, pri določitvi okoliščin in pogojev, pod katerimi je ponudnik spletnih storitev dolžan posredovati osebne podatke v zvezi s svojimi uporabniki, opreti na objektivna merila (glej v tem smislu sodbo z dne 6. oktobra 2020, Privacy International, C‑623/17, EU:C:2020:790, točka 78 in navedena sodna praksa).

Glede na vse zgornje preudarke je treba na vprašanja od tretjega do devetega odgovoriti, da je treba določbe Uredbe št. 2016/679 razlagati tako, da ne nasprotujejo temu, da davčna uprava države članice ponudniku storitev objavljanja oglasov na spletu naloži, naj ji posreduje informacije o davčnih zavezancih, ki so objavili oglase v eni od rubrik njegovega spletnega portala, zlasti če so ti podatki nujni glede na specifične namene, za katere se zbirajo, in če obdobje, na katero se zbiranje navedenih podatkov nanaša, ne presega obdobja, ki je nujno potrebno za dosego zastavljenega cilja v splošnem interesu.

Stroški

86	Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (peti senat) razsodilo:

Določbe Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) je treba razlagati tako, da se zahteve iz te uredbe, zlasti tiste iz njenega člena 5(1), uporabljajo za zbiranje – od gospodarskega subjekta – informacij z veliko količino osebnih podatkov, ki ga izvaja davčna uprava države članice.

2.	Določbe Uredbe 2016/679 je treba razlagati tako, da davčna uprava države članice ne sme odstopati od določb člena 5(1) te uredbe, če ji tako pooblastilo ni bilo podeljeno z zakonodajnim ukrepom v smislu člena 23(1) navedene uredbe.

Določbe Uredbe št. 2016/679 je treba razlagati tako, da ne nasprotujejo temu, da davčna uprava države članice ponudniku storitev objavljanja oglasov na spletu naloži, naj ji posreduje informacije o davčnih zavezancih, ki so objavili oglase v eni od rubrik njegovega spletnega portala, zlasti če so ti podatki nujni glede na specifične namene, za katere se zbirajo, in če obdobje, na katero se zbiranje navedenih podatkov nanaša, ne presega obdobja, ki je nujno potrebno za dosego zastavljenega cilja v splošnem interesu.

Podpisi

( *1 ) Jezik postopka: latvijščina.