Решение от 24.02.2022 по дело C-0175/2020 на СЕС

РЕШЕНИЕ НА СЪДА (пети състав)

24 февруари 2022 година ( *1 )

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 2 — Приложно поле — Член 4 — Понятие „обработване“ — Член 5 — Принципи, свързани с обработването — Ограничение на целите — Свеждане на данните до минимум — Член 6 — Законосъобразност на обработването — Обработване, необходимо за изпълнението на задача от обществен интерес, която е възложена на администратора — Обработване, необходимо за спазването на законово задължение, което се прилага спрямо администратора — Член 23 — Ограничения — Обработване на данни за данъчни цели — Искане за предоставяне на информация относно публикувани в интернет обяви за продажба на автомобили — Пропорционалност“

По дело C‑175/20

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Administratīvā apgabaltiesa (Регионален административен съд, Латвия) с акт от 11 март 2020 г., постъпил в Съда на 14 април 2020 г., в рамките на производство по дело

„SS“ SIA

срещу

Valsts ieņēmumu dienests,

СЪДЪТ (пети състав),

състоящ се от: E. Regan, председател на състава, K. Lenaerts, председател на Съда, изпълняващ функцията на съдия от пети състав, C. Lycourgos, председател на четвърти състав, I. Jarukaitis и M. Ilešič (докладчик), съдии,

генерален адвокат: M. Bobek,

секретар: A. Calot Escobar,

предвид изложеното в писмената фаза на производството,

като има предвид становищата, представени:

за „SS“ SIA, от M. Ruķers,

– за латвийското правителство, първоначално от K. Pommere, V. Soņeca и L. Juškeviča, а впоследствие от K. Pommere,

– за белгийското правителство, от J.‑C. Halleux и P. Cottin, подпомагани от C. Molitor, адвокат,

– за гръцкото правителство, от E.‑M. Mamouna и O. Patsopoulou,

– за испанското правителство, първоначално от J. Rodríguez de la Rúa Puig и S. Jiménez García, а впоследствие от J. Rodríguez de la Rúa Puig,

– за Европейската комисия, първоначално от H. Kranenborg и D. Nardi, както и I. Rubene, а впоследствие от H. Kranenborg и I. Rubene,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 2 септември 2021 г.,

постанови настоящото

Решение

1 Преюдициалното запитване се отнася до тълкуването на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на тези данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1 и поправка в ОВ L 127, 23.5.2018 г., стр. 2), и по-специално на член 5, параграф 1.

2 Запитването е отправено в рамките на спор между „SS“ SIA и Valsts ieņēmumu dienests (Държавна данъчна администрация, Латвия) (наричана по-нататък „латвийската данъчна администрация“) по повод на искане за предоставяне на информация относно обявите за продажба на автомобили, публикувани на уебсайта на SS.

Правна уредба

Правото на Съюза

Регламент 2016/679

3 Регламент 2016/679, който се основава на член 16 ДФЕС, се прилага по силата на член 99, параграф 2 от него, считано от 25 май 2018 г.

4 Съображения 1, 4, 10, 19, 26, 31, 39, 41 и 50 от този регламент гласят:

„(1)

Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 [ДФЕС] предвиждат, че всеки има право на защита на личните му данни.

[…] (4) Обработването на лични данни следва да е предназначено да служи на човечеството. Правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност. Настоящият регламент е съобразен с всички основни права и в него се спазват свободите и принципите, признати от Хартата, както са залегнали в Договорите, и по-специално зачитането на личния и семейния живот, дома и комуникациите, защитата на личните данни, свободата на мисълта, съвестта и религията, свободата на изразяване на мнение и свободата на информацията, свободата на стопанската инициатива, правото на ефективни правни средства за защита и на справедлив съдебен процес, както и културното, религиозното и езиковото многообразие.

[…] (10)

За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в Съюза, нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. […]

[…] (19)

Защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, както и свободното движение на такива данни, са предмет на специален правен инструмент на Съюза. Следователно настоящият регламент не следва да се прилага за дейности по обработване на лични данни за такива цели. Обработването на лични данни от страна на публичните органи по силата на настоящия регламент, когато е за тези цели, обаче следва да бъде уредено с по-специфичен правен акт на Съюза, а именно с Директива (ЕС) 2016/680 на Европейския парламент и на Съвета [от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ L 119, 2016 г., стр. 89)] […]

[…] (26)

Принципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. […] За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, като например подбирането на лица за извършване на проверка, с които е най-вероятно да си послужи администраторът или друго лице, за да идентифицира пряко или непряко даденото физическо лице. […]

[…] (31)

Публични органи, пред които се разкриват лични данни в съответствие с правно задължение за упражняване на официалната им функция, например данъчни и митнически органи, звена за финансово разследване, независими административни органи или органи за финансовите пазари, отговарящи за регулирането и надзора на пазарите на ценни книжа, не следва да се разглеждат като получатели, ако получават лични данни, които са необходими за провеждането на конкретно разследване от общ интерес, в съответствие с правото на Съюза или на държава членка. Исканията за разкриване на данни, изпратени от публичните органи, следва винаги да бъдат в писмена форма, да са обосновани и да засягат само отделни случаи и не следва да се отнасят до целия регистър с лични данни или да водят до свързване на регистри на лични данни. Обработването на личните данни от посочените публични органи следва да е в съответствие с приложимите правила за защита на данните съобразно целите на обработването.

[…] (39)

[…] Принципът на прозрачност изисква всяка информация и комуникация във връзка с обработването на тези лични данни да бъде леснодостъпна и разбираема и да се използват ясни и недвусмислени формулировки. Този принципа се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват. Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни, и за начините, по които да упражняват правата си по отношение на обработването. По-специално, конкретните цели, за които се обработват лични данни, следва да бъдат ясни и законни и определени към момента на събирането на личните данни. Личните данни следва да са адекватни, релевантни и ограничени до необходимото за целите, за които се обработват. Това налага по-специално да се гарантира, че срокът, за който личните данни се съхраняват, е ограничен до строг минимум. Личните данни следва да се обработват, единствено ако целта на обработването не може да бъде постигната в достатъчна степен с други средства. […]

[…] (41)

Когато в настоящия регламент се прави позоваване на правно основание или законодателна мярка, това не налага непременно приемането на законодателен акт от парламент, без с това да се засягат изискванията съгласно конституционния ред на съответната държава членка. При все това правото на държавата членка, правното основание или законодателната мярка обаче следва да бъдат ясни и точни и прилагането им да бъде предвидимо за правните субекти, както изисква съдебната практика на Съда и на Европейския съд по правата на човека.

[…] (50)

Обработването на лични данни за цели, различни от тези, за които първоначално са събрани личните данни, следва да бъде разрешено единствено когато обработването е съвместимо с целите, за които първоначално са събрани личните данни. В такъв случай не се изисква отделно правно основание, различно от това, с което е било разрешено събирането на личните данни. Ако обработването е необходимо за изпълнението на задача от обществен интерес или свързана с упражняването на официални правомощия, които са предоставени на администратора на лични данни, в правото на Съюза или в правото на държава членка могат да бъдат определени и уточнени задачите и целите, за които по-нататъшното обработване следва да се счита за съвместимо и законосъобразно. По-нататъшното обработване за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания, или за статистически цели следва да се разглежда като съвместими законосъобразни операции по обработване. Правното основание, предвидено от правото на Съюза или правото на държава членка за обработване на лични данни, може да предостави и правно основание за по-нататъшно обработване. За да установи дали дадена цел на по-нататъшно обработване е съвместима с целта, за която първоначално са събрани личните данни, администраторът на лични данни, след като е спазил всички изисквания относно законосъобразността на първоначалното обработване, следва да отчете, inter alia, всички връзки между тези цели и целите на предвиденото по-нататъшно обработване, в какъв контекст са събрани личните данни, по-специално основателните очаквания на субектите на данните въз основа на техните взаимоотношения с администратора по отношение на по-нататъшно използване на личните данни, естеството им, последствията от предвиденото по-нататъшно обработване на данни за субектите на данни и наличието на подходящи гаранции при операциите по първоначалното и предвиденото по-нататъшно обработване“.

5 Член 2 от Регламент 2016/679 е озаглавен „Материален обхват“ и гласи:

„1.Настоящият регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни.

2.Настоящият регламент не се прилага за обработването на лични данни:

а) в хода на дейности, които са извън приложното поле на правото на Съюза;

б) от държавите членки, когато извършват дейности, които попадат в приложното поле на дял V, глава 2 от Д[оговора за] ЕС;

в) от физическо лице в хода на чисто лични или домашни занимания;

г) от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност.

[…]“.

6 Член 4 от този регламент, озаглавен „Определения“, има следното съдържание:

„За целите на настоящия регламент:

1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата и умствената, икономическата, културната или социалната идентичност на това физическо лице;

2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

[…] 6) „регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

7) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; […]

[…] 9) „получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

[…]“.

7 Съгласно член 5 от посочения регламент, озаглавен „Принципи, свързани с обработването на лични данни“:

„1.Личните данни са:

а) обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б) събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; […] („ограничение на целите“)

в) подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

г) точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

д) съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; […] („ограничение на съхранението“);

е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);

2.Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

8 Член 6 от посочения регламент е озаглавен „Законосъобразност на обработването“ и гласи:

„1.Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

а) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Буква е) [от] първа алинея не се прилага за обработването, което се извършва от публични органи при изпълнението на техните задачи.

2.Държавите членки могат да запазят или въведат по-конкретни разпоредби, за да адаптират прилагането на правилата на настоящия регламент по отношение на обработването, необходимо за спазването на параграф 1, букви в) и д), като установят по-конкретно специални изисквания за обработването и други мерки, за да се гарантира законосъобразно и добросъвестно обработване, включително за други особени случаи на обработване на данни, предвидени в глава IX.

3.Основанието за обработването, посочено в параграф 1, букви в) и д), е установено от:

а) правото на Съюза; или

б) правото на държавата членка, което се прилага спрямо администратора.

Целта на обработването се определя в това правно основание или доколкото се отнася до обработването по параграф 1, буква д), то трябва да е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора. […] Правото на Съюза или правото на държавата членка се съобразява с обществения интерес и е пропорционално на преследваната легитимна цел.

4.Когато обработването за други цели, различни от тези, за които първоначално са били събрани личните данни, не се извършва въз основа на съгласието на субекта на данните или на правото на Съюза или правото на държава членка, което представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите по член 23, параграф 1, администраторът, за да се увери дали обработването за други цели е съвместимо с първоначалната цел, за която са били събрани личните данни, inter alia, взема под внимание:

а) всяка връзка между целите, за които са били събрани личните данни, и целите на предвиденото по-нататъшно обработване;

б) контекста, в който са били събрани личните данни, по-специално във връзка с отношенията между субекта на данните и администратора;

в) естеството на личните данни, по-специално дали се обработват специални категории лични данни съгласно член 9 или се обработват лични данни, отнасящи се до присъди и нарушения, съгласно член 10;

г) възможните последствия от предвиденото по-нататъшно обработване за субектите на данните;

д) наличието на подходящи гаранции, които могат да включват криптиране или псевдо[ано]нимизация“.

9 Съгласно 13, параграф 3 от Регламент 2016/679:

„Когато администраторът възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2“.

10 Член 14 от този регламент гласи:

„1.Когато личните данни не са получени от субекта на данните, администраторът предоставя на субекта на данните следната информация:

[…] в) целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

[…] 5.Параграфи 1—4 не се прилагат, когато и доколкото:

[…] в) получаването или разкриването е изрично разрешено от правото на Съюза или правото на държавата членка, което се прилага спрямо администратора и в което се предвиждат също подходящи мерки за защита на легитимните интереси на субекта на данните; […]

[…]“.

11 Съгласно член 23, параграф 1, буква д) от този регламент:

„В правото на Съюза или правото на държава членка, което се прилага спрямо администратора или обработващия лични данни, чрез законодателна мярка може да се ограничи обхватът на задълженията и правата, предвидени в членове 12—22 и в член 34, както и в член 5, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 12—22, когато подобно ограничение е съобразено със същността на основните права и свободи и представлява необходима и пропорционална мярка в едно демократично общество с цел да се гарантира:

[…] д) други важни цели от широк обществен интерес за Съюза или за държава членка, и по-специално важен икономически или финансов интерес на Съюза или на държава членка, включително паричните, бюджетните и данъчните въпроси, общественото здраве и социалната сигурност;

[…]“.

12 Член 25, параграф 2 от Регламент 2016/679 гласи:

„Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица“.

Директива 2016/680

13 Съображения 10 и 11 от Директива 2016/680 гласят:

„(10)

В Декларация № 21 относно защитата на личните данни в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, приложена към заключителния акт на Междуправителствената конференция, която прие Договора от Лисабон, конференцията признава, че може да са необходими специални правила относно защитата на личните данни и свободното движение на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество въз основа на член 16 от ДФЕС, поради специфичното естество на тези области.

(11)

Поради това е уместно тези области да бъдат предмет на директива, която установява специални правила за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, като се отчита специфичният характер на тези дейности. Такива компетентни органи могат да включват не само публични органи, например съдебните органи, полицията и други правоприлагащи органи, но и всеки друг орган или образувание, който по силата на правото на държавите членки упражнява публична власт и публични правомощия за целите на настоящата директива. Когато обаче подобен орган или образувание обработва лични данни за цели, различни от целите на настоящата директива, се прилага Регламент [2016/679]. Поради това Регламент [2016/679] се прилага в случаите, в които даден орган или образувание събира лични данни за други цели и допълнително обработва тези лични данни, за да се съобрази с правно задължение, с което е обвързан. […]“.

14 Член 3 от тази директива гласи:

„За целите на настоящата директива:

[…] 7. „компетентен орган“ означава:

а) всеки публичен орган, който е компетентен за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване; или

б) всякакъв друг орган или образувание, който по силата на правото на държава членка разполага с публична власт и публични правомощия за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване;

[…]“.

Латвийското право

15 Съгласно член 15, параграф 6 от Likums „Par nodokļiem un nodevām“ (Закон за данъците и таксите, Latvijas Vēstnesis, 1995 г., № 26), в редакцията му, приложима към спора по главното производство (наричан по-нататък „Законът за данъците и таксите“), доставчиците на услуги за публикуване на обяви в интернет са длъжни да предоставят по искане на латвийската данъчна администрация информацията, с която разполагат във връзка с данъчнозадължените лица, публикували обяви чрез техните услуги.

Спорът в главното производство и преюдициалните въпроси

16 SS е установен в Латвия доставчик на услуги за публикуване на обяви в интернет.

17 На 28 август 2018 г. латвийската данъчна администрация отправя до SS искане за предоставяне на информация на основание член 15, параграф 6 от Закона за данъците и таксите, в което приканва това дружество да възстанови достъпа, с който разполага данъчната администрация, до номерата на шасито на превозните средства, за които е публикувана обява на поддържания от това дружество интернет портал, както и до телефонните номера на продавачите и да ѝ предостави най-късно до 3 септември 2018 г. информация за обявите, публикувани в периода от 14 юли до 31 август 2018 г. в рубриката „Леки автомобили“ на този портал.

18 В искането се уточнява, че тази информация, включваща линк към обявата, текст на обявата, марка, модел, номер на шасито, цена и телефонен номер на продавача, трябва да се представи по електронен път във формат, позволяващ филтриране или подбиране на данни.

19 Освен това, ако достъпът до информацията, съдържаща се в обявите, публикувани на разглеждания интернет портал, не може да бъде възстановен, SS е приканено да посочи причините за това, както и да предоставя най-късно до трето число на всеки месец релевантната информация за обявите, публикувани през предходния месец.

20 Като счита, че искането за предоставяне на информация на латвийската данъчна администрация не е в съответствие със закрепените в Регламент 2016/679 принципи на пропорционалност и на свеждане до минимум на личните данни SS подава жалба по административен ред срещу това искане до изпълняващия длъжността генерален директор на латвийската данъчна администрация.

21 С решение от 30 октомври 2018 г. последният отхвърля жалбата, като по-специално посочва, че при обработването на разглежданите в главното производство лични данни латвийската данъчна администрация е упражнила предоставените ѝ със закон правомощия.

22 SS подава жалба пред Administratīvā rajona tiesa (Районен административен съд, Латвия) за отмяна на това решение. Освен доводите, изложени в жалбата по административен ред, то изтъква, че в това решение не е посочена нито конкретната цел на предвиденото от латвийската данъчна администрация обработване на лични данни, нито обема на данните, необходими за същото, в нарушение на член 5, параграф 1 от Регламент 2016/679.

23 С решение от 21 май 2019 г. Administratīvā rajona tiesa (Районен административен съд) отхвърля жалбата, като по същество посочва, че латвийската данъчна администрация е в правото си да иска достъп до данните за всяко лице и в неограничен обем, освен ако се счита, че въпросната информация не е в съответствие с целите на събирането на данъци. Освен това тази юрисдикция приема, че разпоредбите на Регламент 2016/679 не са приложими по отношение на тази администрация.

24 SS подава въззивна жалба срещу това решение пред запитващата юрисдикция, като изтъква, от една страна, че спрямо латвийската данъчна администрация се прилагат разпоредбите на Регламент 2016/679, и от друга страна, че като изисква всеки месец и без ограничение във времето значителни по обем лични данни относно неопределен брой обяви, без да посочва конкретните данъчнозадължени лица, срещу които ще бъдат образувани данъчни проверки, тази администрация е нарушила принципа на пропорционалност.

25 Запитващата юрисдикция посочва, че в рамките на спора по главното производство е безспорно, че изпълнението на разглежданото искане за предоставяне на информация е неразривно свързано с обработването на лични данни, както и че латвийската данъчна администрация има право да получи информацията, която е на разположение на доставчик на услуги за публикуване на обяви в интернет и е необходима за изпълнението на специфични мерки в областта на събирането на данъците.

26 Спорът в главното производство се отнасял до обема и вида на информацията, която латвийската данъчна администрация може да поиска, до ограничения или неограничен характер на същата, както и до въпроса дали задължението за предоставяне на информация, което е наложено на SS, трябва да бъде ограничено във времето.

27 По-специално запитващата юрисдикция счита, че следва да определи дали при обстоятелствата по главното производство обработването на лични данни се извършва по прозрачен начин спрямо засегнатите лица, дали информацията, указана в разглежданото искане, е поискана за конкретни, изрично указани и легитимни цели и дали обработването на лични данни се извършва само доколкото действително е необходимо за упражняването на функциите на латвийската данъчна администрация по смисъла на член 5, параграф 1 от Регламент 2016/679.

28 За тази цел било необходимо да се определят критериите, позволяващи да се прецени дали отправено от латвийската данъчна администрация искане за предоставяне на информация зачита същността на основните права и свободи и дали разглежданото в главното производство искане за предоставяне на информация може да се счита за необходимо и пропорционално в едно демократично общество, за да се гарантират важни цели на Съюза и на латвийските публични интереси в бюджетната и данъчната област.

29 При тези обстоятелства Administratīvā apgabaltiesa (Окръжен административен съд) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1) Трябва ли изискванията, определени в Регламент [2016/679], да се тълкуват в смисъл, че искане за предоставяне на информация, отправено от данъчна администрация, като разглежданото в случая, с което се иска предоставяне на информация, съдържаща значителен обем лични данни, следва да спазва изискванията, определени в Регламент 2016/679 (по-специално в член 5, параграф 1 от него)?

2) Трябва ли изискванията, определени в Регламент [2016/679], да се тълкуват в смисъл, че данъчната администрация може да се отклони от разпоредбата на член 5, параграф 1 от посочения регламент, дори когато действащата в Латвия правна уредба не предоставя такова правомощие на тази администрация?

3) Може ли да се счита, при тълкуване на изискванията, определени в Регламент [2016/679], че е налице легитимна цел, която може да обоснове задължението, наложено чрез искане за предоставяне на информация като разглежданото в случая, да се предоставят всички искани данни в неограничен обем и неограничен период от време, без да се определи дата на изтичане на срока за изпълнението на искането за предоставяне на информация?

4) Може ли да се счита, при тълкуване на изискванията, определени в Регламент [2016/679], че е налице легитимна цел, която може да обоснове задължението, наложено чрез искане за предоставяне на информация като разглежданото в случая, да се предоставят всички искани данни, дори когато в искането за предоставяне на информация не се посочва (или се посочва непълно) целта на разкриване на информацията?

5) Може ли да се счита, при тълкуване на изискванията, определени в Регламент [2016/679], че е налице легитимна цел, която може да обоснове задължението, наложено чрез искане за предоставяне на информация като разглежданото в случая, да се предоставят всички искани данни, дори когато на практика това се отнася до абсолютно всички субекти на данни, публикували обяви в секция „Леки автомобили“ на даден интернет портал?

6) Какви критерии следва да се прилагат, за да се провери дали данъчна администрация, действаща като администратор, гарантира надлежно, че обработването на данни (включително събирането на информация) е в съответствие с изискванията, определени в Регламент [2016/679]?

7) Какви критерии следва да се прилагат, за да се провери дали искане за предоставяне на информация като разглежданото в случая е надлежно обосновано и засяга само отделни случаи?

8) Какви критерии следва да се прилагат, за да се провери дали обработването на лични данни се извършва в необходимата степен и по начин, който е съвместим с изискванията, определени в Регламент [2016/679]?

9) Какви критерии следва да се прилагат, за да се провери дали данъчна администрация, действаща като администратор, гарантира съответствието на обработването на данни с изискванията, определени в член 5, параграф 1 от Регламент [2016/679] (отчетност)?“.

По преюдициалните въпроси

По първия въпрос

30 С първия си въпрос запитващата юрисдикция по същество иска да се установи дали разпоредбите на Регламент 2016/679 трябва да се тълкуват в смисъл, че изискванията на този регламент, по-специално посочените в член 5, параграф 1 важат за събирането от данъчната администрация на държава членка от икономически оператор на информация, която включва значително количество лични данни.

31 За да се отговори на този въпрос, следва да се провери, на първо място, дали такова искане попада в материалния обхват на Регламент 2016/679, както е определен в член 2, параграф 1, и на второ място, дали то не е сред обработването на лични данни, което член 2, параграф 2 от този регламент изключва от това приложно поле.

32 На първо място, съгласно член 2, параграф 1 от Регламент 2016/679 този регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни.

33 Член 4, точка 1 от Регламент 2016/679 уточнява, че „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или един или повече признаци, специфични за неговата физическа, физиологическа, генетична, психическа, икономическа, културна или социална идентичност. В това отношение в съображение 26 от този регламент се уточнява, че за да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, с които е най-вероятно да си послужи администраторът или от всяко друго лице, за да идентифицира пряко или непряко физическото лице.

34 В рамките на спора по главното производство е безспорно, че информацията, чието предоставяне иска латвийската данъчна администрация, представлява лични данни по смисъла на член 4, точка 1 от Регламент 2016/679.

35 Съгласно член 4, точка 2 от този регламент събирането, консултирането, разкриването чрез предаване и всяка форма на предоставяне на лични данни представляват „обработка“ по смисъла на посочения регламент. От текста на тази разпоредба, по-специално от израза „всяка операция“ следва, че законодателят на Съюза е искал да придаде широк обхват на понятието „обработване“. Това тълкуване се потвърждава от неизчерпателния характер на споменатите в посочената разпоредба операции, изразен с думата „като“.

36 В случая латвийската данъчна администрация изисква от съответния икономически оператор да възстанови достъпа на службите на тази администрация до номерата на шасито на превозните средства, за които е публикувана обява на неговия интернет портал, и да ѝ предостави информация относно публикуваните на този портал обяви.

37 С подобно искане, с което данъчната администрация на държава членка иска от икономически оператор разкриването и предоставянето на лични данни, които последният е длъжен да предаде и да ѝ предостави по силата на националната правна уредба на тази държава членка, се инициира процес на „събиране“ на тези данни по смисъла на член 4, точка 2 от Регламент 2016/679.

38 Освен това предаването и предоставянето на посочените данни на тази администрация от съответния икономически оператор предполага „обработване“ по смисъла на член 4, точка 2.

39 На второ място, следва да се провери дали операцията, с която данъчната администрация на държава членка иска да събере от икономически оператор личните данни, отнасящи се до някои данъчнозадължени лица, може да се счита за изключена от приложното поле на Регламент 2016/679 по силата на член 2, параграф 2.

40 В това отношение най-напред следва да се припомни, че тази разпоредба предвижда изключения от приложното поле на този регламент, така както е определено в член 2, параграф 1, и че тези изключения трябва да се тълкуват стриктно (решение от 16 юли 2020 г., Facebook Ireland и Schrems, C‑311/18, EU:C:2020:559, т. 84).

41 По-специално член 2, параграф 2, буква г) от Регламент 2016/679 предвижда, че той не се прилага за обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания.

42 Както следва от съображение 19 от този регламент, това изключение е мотивирано от обстоятелството, че обработването на лични данни за тези цели и от компетентните органи се урежда от по-специфичен акт на Съюза, а именно от Директива 2016/680, която е приета същия ден като Регламент 2016/679 и в член 3, параграф 7 от която се посочва какво следва да се разбира под „компетентен орган“, като това определение трябва да се приложи по аналогия към член 2, параграф 2, буква г) от този регламент (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 69).

43 От съображение 10 от Директива 2016/680 следва, че понятието „компетентен орган“ трябва да се разбира във връзка със защитата на личните данни в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, като се имат предвид промените, които могат да се окажат необходими в това отношение поради специфичното естество на тези области. Освен това в съображение 11 от тази директива се уточнява, че Регламент 2016/679 се прилага към обработването на лични данни, което се извършва от „компетентен орган“ по смисъла на член 3, точка 7 от посочената директива, но за цели, различни от предвидените в нея (решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения),C‑439/19, EU:C:2021:504, т. 70).

44 Така, когато иска от икономически оператор да му предостави лични данни относно определени данъчнозадължени лица за целите на събирането на данъци и за борбата с данъчните измами, данъчната администрация на държава членка явно не може да се счита за „компетентен орган“ по смисъла на член 3, точка 7 от Директива 2016/680, нито следователно подобни искания за предоставяне на информация могат да се считат за попадащи в обхвата на изключението, предвидено в член 2, параграф 2, буква г) от Регламент 2016/679.

45 Освен това, макар да не е изключено разглежданите в главното производство лични данни да могат да бъдат използвани в рамките на наказателни производства, които в случай на престъпление в данъчната област могат да бъдат образувани срещу определени засегнати лица, не изглежда тези данни да са събрани с конкретната цел за провеждане на такова наказателно преследване или в рамките на дейностите на държавата в областта на наказателното право (вж. в този смисъл решение от 27 септември 2017 г., Puškár,C‑73/16, EU:C:2017:725, т. 40).

46 Следователно събирането от данъчната администрация на държава членка на лични данни относно обявите за продажба на автомобили, публикувани на уебсайта на икономически оператор, попада в материалния обхват на Регламент 2016/679 и следователно то трябва да спазва по-специално принципите относно обработването на лични данни, посочени в член 5 от този регламент.

47 С оглед на всички изложени по-горе съображения на първия въпрос следва да се отговори, че разпоредбите на Регламент 2016/679 трябва да се тълкуват в смисъл, че изискванията на този регламент, по-специално посочените в член 5, параграф 1, се прилагат за събирането от данъчната администрация на държава членка от икономически оператор на информация, която предполага значително количество лични данни.

По втория въпрос

48 С втория си въпрос запитващата юрисдикция по същество иска да се установи дали разпоредбите на Регламент 2016/679 трябва да се тълкуват в смисъл, че данъчната администрация на държава членка може да дерогира разпоредбите на член 5, параграф 1 от този регламент, въпреки че такова правомощие не ѝ е предоставено от националното право на тази държава членка.

49 В самото начало следва да се припомни, че както следва от съображение 10, Регламент 2016/679 има за цел по-специално да осигури високо ниво на защита на физическите лица в рамките на Съюза.

50 За тази цел глави II и III от Регламент 2016/679 закрепват съответно принципите, уреждащи обработването на лични данни, както и правата на съответното физическо лице, които трябва да се зачитат при всяко обработване на лични данни. По-специално всяко обработване на лични данни трябва е в съответствие с принципите относно обработването на такива данни, прогласени в член 5 от посочения регламент (вж. в този смисъл решение от 6 октомври 2020 г., La Quadrature du Net и др., C‑511/18, C‑512/18 и C‑520/18, EU:C:2020:791, т. 208).

51 При все това член 23 от Регламент 2016/679 разрешава на Съюза и на държавите членки да приемат „законодателни мерки“, ограничаващи обхвата на задълженията и правата, предвидени по-специално в член 5 от този регламент, при условие че съответстват на правата и задълженията, предвидени в членове 12—22 от посочения регламент, когато подобно ограничаване е в съответствие със същността на основните права и свободи и представлява необходима и пропорционална мярка в едно демократично общество, за да се гарантират важни цели от общ обществен интерес за Съюза или за съответната държава членка, и по-специално важен икономически или финансов интерес, включително в бюджетната и данъчната област.

52 В това отношение от съображение 41 от Регламент 2016/679 следва, че позоваването в този регламент на „законодателна мярка“ не означава непременно, че се изисква приемането на законодателен акт от парламент.

53 При това положение следва да се припомни, че както се посочва в съображение 4, Регламент 2016/679 зачита всички основни права и спазва признатите в Хартата свободи и принципи, прогласени в Договорите, сред които по-специално е защитата на личните данни.

54 Съгласно член 52, параграф 1, първо изречение от Хартата обаче всяко ограничаване на упражняването на правата и свободите, признати от нея, сред които по-специално е правото на зачитане на личния живот, гарантирано с член 7 от Хартата, и правото на защита на личните данни, закрепено в член 8 от нея, трябва да бъде предвидено в закон, което по-специално означава, че самото правно основание, позволяващо намеса в тези права, трябва да определя обхвата на ограничението при упражняване на съответното право (вж. в този смисъл решение от 6 октомври 2020 г., Privacy International, C‑623/17, EU:C:2020:790, т. 65 и цитираната съдебна практика).

55 Освен това в тази връзка Съдът е приел, че правната уредба, съдържаща мярка, която позволява подобна намеса, трябва да предвижда ясни и точни правила, които уреждат обхвата и прилагането на разглежданата мярка и да налагат минимални изисквания, така че лицата, чиито лични данни са предадени, да разполагат с достатъчни гаранции, позволяващи ефикасна защита на тези данни срещу рискове от злоупотреби (вж. в този смисъл решение от 2 март 2021 г., Prokuratuur (Условия за достъп до данните за електронните съобщения), C‑746/18, EU:C:2021:152, т. 48 и цитираната съдебна практика).

56 Следователно всяка мярка, приета по силата на член 23 от Регламент 2016/679, както впрочем подчертава законодателят на Съюза в съображение 41 от този регламент, трябва да бъде ясна и точна, а прилагането ѝ да бъде предвидимо за правните субекти. По-конкретно, последните трябва да могат да установят обстоятелствата и условията, при които обхватът на предоставените им с посочения регламент права може да бъде ограничаван.

57 От изложените по-горе съображения следва, че данъчната администрация на държава членка не може да дерогира разпоредбите на член 5 от Регламент 2016/679 при липсата на ясно и точно правно основание от правото на Съюза или от националното право, чието прилагане е предвидимо за правните субекти и което предвижда обстоятелствата и условията, при които обхватът на предвидените в посочения член 5 задължения и права може да бъде ограничен.

58 Поради това на втория въпрос следва да се отговори, че разпоредбите на Регламент 2016/679 трябва да се тълкуват в смисъл, че данъчната администрация на държава членка не може да дерогира разпоредбите на член 5, параграф 1 от този регламент, когато такова право не ѝ е предоставено със законодателна мярка по смисъла на член 23, параграф 1.

По въпроси от трети до девети

59 С въпроси от трети до девети, които следва да се разгледат заедно, запитващата юрисдикция по същество иска да се установи дали разпоредбите на Регламент 2016/679 трябва да се тълкуват в смисъл, че не допускат данъчната администрация на държава членка да изисква от доставчик на услуги за публикуване на обяви в интернет, да ѝ предостави за неопределен период от време и без да се уточнява целта на това искане за предоставяне, информация относно всички данъчнозадължени лица, публикували обяви в една от рубриките на неговия интернет портал.

60 В самото начало следва да се отбележи, че двата вида обработване на лични данни могат да бъдат извършени в положение като разглежданото в главното производство. Както следва от точки 37 и 38 от настоящото решение, става въпрос за събирането на лични данни, което данъчната администрация извършва от съответния доставчик на услуги и в този контекст за разкриването чрез предаване на тези данни от този доставчик на посочената администрация.

61 Както следва от цитираната в точка 50 от настоящото решение съдебна практика, всяка от операциите по обработване трябва, освен при допуснатите в член 23 от Регламент 2016/679 дерогации, да спазва принципите относно обработването на лични данни, посочени в член 5 от този регламент, както и правата на субекта на данните, посочени в членове 12—22.

62 В случая запитващата юрисдикция иска да установи по-специално обстоятелството, от една страна, че посочените в точка 60 от настоящото решение операции по обработка се отнасят до информация с неопределен обем и за неопределен период от време, и от друга страна, че целта на това обработване не е уточнена в искането за предоставяне на информация.

63 В това отношение следва да се подчертае, на първо място, че член 5, параграф 1, буква б) от Регламент 2016/679 предвижда, че личните данни трябва да се събират по-специално за конкретни, изрично указани и легитимни цели.

64 Най-напред, изискването целите на обработването да бъдат конкретни, както следва от съображение 39 от този регламент, предполага, че те трябва да бъдат определени най-късно към момента на събирането на личните данни.

65 По-нататък, целите на обработването трябва да бъдат изрично указани, което означава, че те трябва да бъдат ясно посочени.

66 Накрая, тези цели трябва да са легитимни. Ето защо е важно те да осигуряват законосъобразност на обработването по смисъла на член 6, параграф 1 от този регламент.

67 Обработването, посочено в точка 60 от настоящото решение, започва с искането за предоставяне на лични данни, което латвийската данъчна администрация отправя до доставчика на услуги за публикуване на обяви в интернет. В това отношение е видно, че по силата на член 15, параграф 6 от Закона за данъците и таксите този доставчик е длъжен да удовлетвори подобно искане.

68 С оглед на съображенията, изложени в точки 64 и 65 от настоящото решение, е необходимо целите на това обработване да бъдат ясно посочени в това искане.

69 След като така указаните в посоченото искане цели са необходими за изпълнението на възложена на данъчната администрация задача от обществен интерес или свързана с упражняването на публичната власт, това обстоятелство е достатъчно, както следва от член 6, параграф 1, първа алинея, в началото и буква д) от Регламент 2016/679 във връзка с член 6, параграф 3, втора алинея от този регламент, за да може това третиране да отговаря и на изискването за законосъобразност, припомнено в точка 66 от настоящото решение.

70 В това отношение следва да се припомни, че събирането на данъци и борбата с данъчните измами трябва да се считат за задачи от обществен интерес по смисъла на член 6, параграф 1, първа алинея, буква д) от Регламент 2016/679 (вж. по аналогия решение от 27 септември 2017 г., Puškár, C‑73/16, EU:C:2017:725, т. 108).

71 От това следва, че когато разкриването на лични данни не се основава пряко на законовата разпоредба, която е правното основание за него, а е резултат от искане на компетентния публичен орган, е необходимо в това искане да се уточнят специфичните цели на това събиране на данни с оглед на задачата от обществен интерес или на упражняването на публична власт, за да може адресатът на искането да се увери, че предаването на разглежданите лични данни е законно, а съответните национални юрисдикции — да упражнят контрол за законосъобразност на въпросното обработване.

72 На второ място, съгласно член 5, параграф 1, буква в) от Регламент 2016/679 личните данни трябва да бъдат подходящи, релевантни и ограничени до необходимото с оглед на целите, за които се обработват.

73 В това отношение следва да се припомни, че съгласно постоянната съдебна практика изключенията и ограниченията на принципа на защита на такива данни трябва да се въвеждат в границите на строго необходимото (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 110 и цитираната съдебна практика).

74 От това следва, че администраторът, включително когато действа в рамките на възложената му задача от обществен интерес, не може да извършва общо и недиференцирано събиране на лични данни и че трябва да се въздържа от събиране на данни, които не са строго необходими с оглед на целите на обработването.

75 В случая следва да се отбележи, че видно от точки 17—19 от настоящото решение, латвийската данъчна администрация е поискала от съответния икономически оператор да ѝ предостави данни относно обявите за продажба на леки автомобили, публикувани на неговия уебсайт в периода между 14 юли и 31 август 2018 г., и в хипотезата, при която достъпът до тази информация не може да бъде възстановен, да ѝ предоставя най-късно до трето число на всеки месец релевантната информация за обявите за продажба на леки автомобили, публикувани на неговия уебсайт през предходния месец, без да е посочила каквото и да е времево ограничение на това искане.

76 С оглед на съображенията, изложени в точка 74 от настоящото решение, запитващата юрисдикция следва да провери дали целта на събирането на тези данни може да бъде постигната, без латвийската данъчна администрация потенциално да разполага с данни относно всички обяви за продажба на леки автомобили, публикувани на уебсайта на посочения оператор, и по-специално дали е възможно тази администрация да подбере някои обяви чрез конкретни критерии.

77 В този контекст следва да се подчертае, че в съответствие с принципа на отговорност, прогласен в член 5, параграф 2 от Регламент 2016/679, администраторът трябва да е в състояние да докаже, че спазва принципите, свързани с обработването на лични данни, посочени в параграф 1 от този член.

78 Поради това латвийската данъчна администрация трябва да докаже, че съгласно член 25, параграф 2 от този регламент тя се е опитала да сведе до минимум, доколкото е възможно, количеството лични данни, подлежащи на събиране.

79 Що се отнася до обстоятелството, че отправеното от латвийската данъчна администрация искане за предоставяне на информация не предвижда никакво времево ограничение в хипотезата, при която съответният доставчик на услуги за публикуване на обяви не възстанови достъпа до обявите, публикувани в определения в искането период, следва да се припомни, че с оглед на принципа на свеждане на данните до минимум администраторът също така е длъжен да ограничи съответния период на събиране на лични данни до строго необходимото с оглед на целта на предвиденото обработване.

80 Следователно периодът, за който се отнася събирането, не може да надхвърля строго необходимото за постигане на преследваната цел от общ интерес.

81 Както следва от точка 77 от настоящото решение, латвийската данъчна администрация носи тежестта на доказване в това отношение.

82 При все това обстоятелството, че посочените данни са събрани, без латвийската данъчна администрация да е определила в самото искане за предоставяне на информация времево ограничение за подобно обработване, само по себе си не позволява да се приеме, че продължителността на обработването надхвърля строго необходимото за постигане на преследваната цел.

83 В този контекст следва все пак да се припомни, че за да изпълни изискването за пропорционалност, изразено в член 5, параграф 1, буква в) от Регламент 2016/679 (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 98 и цитираната съдебна практика), правната уредба, която е правно основание за обработването, трябва да предвижда ясни и точни правила, които да уреждат обхвата и прилагането на разглежданата мярка и да установяват минимални изисквания, така че лицата, чиито данни са засегнати, да разполагат с достатъчни гаранции, позволяващи ефикасна защита на тези лични данни срещу рискове от злоупотреби. Тази правна уредба трябва да е задължителна по вътрешното право, и в частност да посочва обстоятелствата и условията, при които може да се приложи мярка за обработване на такива данни, като по този начин гарантира ограничаване на намесата до строго необходимото (решение от 6 октомври 2020 г., Privacy International, C‑623/17, EU:C:2020:790, т. 68 и цитираната съдебна практика).

84 От това следва, че национална правна уредба, която урежда искане за предоставяне на информация като разглежданото в главното производство, трябва да се основава на обективни критерии за определяне на обстоятелствата и условията, при които доставчик на услуги в интернет е длъжен да предостави лични данни относно неговите ползватели (вж. в този смисъл решение от 6 октомври 2020 г., Privacy International, C‑623/17, EU:C:2020:790, т. 78 и цитираната съдебна практика).

85 С оглед на всички изложени по-горе съображения на въпроси от трети до девети следва да се отговори, че разпоредбите на Регламент 2016/679 трябва да се тълкуват в смисъл, че допускат данъчната администрация на държава членка да изисква от доставчик на услуги за публикуване на обяви в интернет да ѝ предостави информация за данъчнозадължените лица, публикували обяви в една от рубриките на неговия интернет портал, при условие по-конкретно тези данни да са необходими с оглед на специфичните цели, за които се събират, и периодът, за който се отнася събирането на посочените данни, да не надхвърля строго необходимата продължителност за постигане на преследваната цел от общ интерес.

По съдебните разноски

86 С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (пети състав) реши:

1) Разпоредбите на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на тези данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) трябва да се тълкуват в смисъл, че изискванията на този регламент, по-специално посочените в член 5, параграф 1, се прилагат за събирането от данъчната администрация на държава членка от икономически оператор на информация, която предполага значително количество лични данни.

2) Разпоредбите на Регламент 2016/679 трябва да се тълкуват в смисъл, че данъчната администрация на държава членка не може да дерогира разпоредбите на член 5, параграф 1 от този регламент, когато такова право не ѝ е предоставено със законодателна мярка по смисъла на член 23, параграф 1.

3) Разпоредбите на Регламент 2016/679 трябва да се тълкуват в смисъл, че допускат данъчната администрация на държава членка да изисква от доставчик на услуги за публикуване на обяви в интернет да ѝ предостави информация за данъчнозадължените лица, публикували обяви в една от рубриките на неговия интернет портал, при условие по-конкретно тези данни да са необходими с оглед на специфичните цели, за които се събират, и периодът, за който се отнася събирането на посочените данни, да не надхвърля строго необходимата продължителност за постигане на преследваната цел от общ интерес.

Подписи

( *1 ) Език на производството: латвийски.

EurLex
Връзка към EurLex
Тематични области
Относими актове на ЕС
ДФЕС Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за... Директива 2016/680
Относимо национално законодателство
ДАНЪЧНО-ОСИГУРИТЕЛЕН ПРОЦЕСУАЛЕН КОДЕКС ЗАКОН ЗА ГРАЖДАНСКАТА РЕГИСТРАЦИЯ ЗАКОН ЗА ЕЛЕКТРОННАТА ТЪРГОВИЯ ЗАКОН ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ЗАКОН ЗА МЕРКИТЕ СРЕЩУ ИЗПИРАНЕТО НА ПАРИ ЗАКОН ЗА МИНИСТЕРСТВОТО НА ВЪТРЕШНИТЕ РАБОТИ ЗАКОН ЗА МИТНИЦИТЕ ЗАКОН ЗА СЪДЕБНАТА ВЛАСТ ЗАКОН ЗА ЧАСТНАТА ОХРАНИТЕЛНА ДЕЙНОСТ ЗАКОН ЗА ПРЕБРОЯВАНЕ НА ЗЕМЕДЕЛСКИТЕ СТОПАНСТВА В РЕПУБЛИКА БЪЛГАРИЯ ПРЕЗ 2020 Г. ЗАКОН ЗА КРЕДИТИТЕ ЗА НЕДВИЖИМИ ИМОТИ НА ПОТРЕБИТЕЛИ ЗАКОН ЗА ТЪРГОВСКИЯ РЕГИСТЪР И РЕГИСТЪРА НА ЮРИДИЧЕСКИТЕ ЛИЦА С НЕСТОПАНСКА ЦЕЛ ЗАКОН ЗА МЕРКИТЕ СРЕЩУ ФИНАНСИРАНЕТО НА ТЕРОРИЗМА ЗАКОН ЗА ДЪРЖАВНА АГЕНЦИЯ "НАЦИОНАЛНА СИГУРНОСТ"
Маркиране
Зареждане ...
Зареждане...