C-175/20 Tilnærmelse af lovgivningerne Valsts ienemumu dienests (Traitement des données personnelles à des fins fiscales) - Dom

C-175/20 Tilnærmelse af lovgivningerne Valsts ienemumu dienests (Traitement des données personnelles à des fins fiscales) - Dom

Foreløbig udgave

DOMSTOLENS DOM (Femte Afdeling)

24. februar 2022

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 2 – anvendelsesområde – artikel 4 – begrebet »behandling« – artikel 5 – principper for behandling – formålsbegrænsning – dataminimering – artikel 6 – lovlig behandling – behandling, der er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, som den dataansvarlige har fået pålagt – behandling, der er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige – artikel 23 – begrænsninger – behandling af oplysningerne til skatteformål – anmodning om fremsendelse af oplysninger vedrørende online-annoncer om salg af køretøjer – proportionalitet«

I sag C-175/20,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Administratīvā apgabaltiesa (appeldomstol i forvaltningsretlige sager, Letland) ved afgørelse af 11. marts 2020, indgået til Domstolen den 14. april 2020, i sagen

»SS« SIA

mod

Valsts ieņēmumu dienests,

har

DOMSTOLEN (Femte Afdeling),

sammensat af afdelingsformanden, E. Regan, Domstolens præsident, K. Lenaerts, som fungerende dommer i Femte Afdeling, formanden for Fjerde Afdeling, C. Lycourgos, og dommerne I. Jarukaitis og M. Ilešič (refererende dommer),

generaladvokat: M. Bobek,

justitssekretær: A. Calot Escobar,

på grundlag af den skriftlige forhandling,

efter at der er afgivet indlæg af:

– »SS« SIA ved M. Ruķers,

– den lettiske regering, først ved K. Pommere, V. Soņeca og L. Juškeviča, derefter ved K. Pommere, som befuldmægtigede,

– den belgiske regering ved J.-C. Halleux og P. Cottin, som befuldmægtigede, bistået af advokat C. Molitor,

– den græske regering ved E.-M. Mamouna og O. Patsopoulou, som befuldmægtigede,

– den spanske regering, først ved J. Rodríguez de la Rúa Puig og S. Jiménez García, derefter ved J. Rodríguez de la Rúa Puig, som befuldmægtigede,

– Europa-Kommissionen, først ved H. Kranenborg, D. Nardi og I. Rubene, derefter ved H. Kranenborg og I. Rubene, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 2. september 2021,

afsagt følgende

Dom

1 Anmodningen om præjudiciel afgørelse vedrører fortolkningen af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, berigtiget i EUT 2018, L 127, s. 2), bl.a. af denne forordnings artikel 5, stk. 1.

2 Anmodningen er blevet indgivet i forbindelse med en tvist mellem »SS« SIA og Valsts ieņēmumu dienests (skatte- og afgiftsmyndighed, Letland) (herefter »den lettiske skatte- og afgiftsmyndighed«) vedrørende en anmodning om fremsendelse af oplysninger vedrørende annoncer om salg af biler, der er indrykket på SS’ websted.

Retsforskrifter

EU-retten

Forordning 2016/679

3 Forordning 2016/679, der er baseret på artikel 16 TEUF, finder i henhold til dens artikel 99, stk. 2, anvendelse fra den 25. maj 2018.

4 Følgende fremgår af 1., 4., 10., 19., 26., 31., 39., 41. og 50. betragtning til denne forordning:

»(1) Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«) og i artikel 16, stk. 1, i [TEUF] fastsættes det, at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.

[...]

(4) Behandling af personoplysninger bør have til formål at tjene menneskeheden. Retten til beskyttelse af personoplysninger er ikke en absolut ret; den skal ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet. Denne forordning overholder alle de grundlæggende rettigheder og følger de frihedsrettigheder og principper, der anerkendes i chartret som forankret i traktaterne, navnlig respekten for privatliv og familieliv, hjem og kommunikation, beskyttelsen af personoplysninger, retten til at tænke frit, til samvittigheds- og religionsfrihed, ytrings- og informationsfrihed, frihed til at oprette og drive egen virksomhed, adgang til effektive retsmidler og til en retfærdig rettergang og kulturel, religiøs og sproglig mangfoldighed.

[...]

(10) For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for Unionen bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. [...]

[...]

(19) Beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskyttelsen mod og forebyggelsen af trusler mod den offentlige sikkerhed og den frie udveksling af sådanne oplysninger, er genstand for en specifik EU-retsakt. Denne forordning bør derfor ikke gælde for behandlingsaktiviteter med disse formål. Behandling af personoplysninger af offentlige myndigheder, som er omfattet af denne forordning, med henblik på disse formål bør imidlertid være genstand for en mere specifik EU-retsakt, Europa-Parlamentets og Rådets direktiv (EU) 2016/680 [af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT 2016, L 119, s. 89)]. [...]

[...]

(26) Principperne for databeskyttelse bør gælde for enhver information om en identificeret eller identificerbar fysisk person. [...] For at afgøre, om en fysisk person er identificerbar, bør alle midler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende. [...]

[...]

(31) Offentlige myndigheder, til hvem personoplysninger videregives i overensstemmelse med en retlig forpligtelse i forbindelse med udøvelsen af deres officielle hverv, såsom skatte- og toldmyndigheder, finansielle efterforskningsenheder, uafhængige administrative myndigheder eller finansielle markedsmyndigheder, der er ansvarlige for regulering af og tilsyn med værdipapirmarkederne, bør ikke betragtes som værende modtagere, hvis de modtager personoplysninger, der er nødvendige som led i en isoleret forespørgsel af almen interesse i overensstemmelse med EU-retten eller medlemsstaternes nationale ret. Anmodninger om videregivelse af oplysninger sendt af offentlige myndigheder bør altid være skriftlige, begrundede og lejlighedsvise og bør ikke vedrøre et register som helhed eller føre til samkøring af registre. Disse offentlige myndigheders behandling af personoplysninger bør være i overensstemmelse med de gældende databeskyttelsesregler afhængigt af formålet med behandlingen.

[...]

(39) [...] Princippet om gennemsigtighed tilsiger, at enhver information og kommunikation vedrørende behandling af disse personoplysninger er lettilgængelig og letforståelig, og at der benyttes et klart og enkelt sprog. Dette princip vedrører navnlig oplysningen til de registrerede om den dataansvarliges identitet og formålene med den pågældende behandling samt yderligere oplysninger for at sikre en rimelig og gennemsigtig behandling for de berørte fysiske personer og deres ret til at få bekræftelse og meddelelse om de personoplysninger vedrørende dem, der behandles. Fysiske personer bør gøres bekendt med risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger og med, hvordan de skal udøve deres rettigheder i forbindelse med en sådan behandling. Især bør de specifikke formål med behandlingen af personoplysninger være udtrykkelige og legitime og fastlagt, når personoplysningerne indsamles. Personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. Dette kræver navnlig, at det sikres, at perioden for opbevaring af personoplysningerne ikke er længere end strengt nødvendigt. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde. [...]

[...]

(41) Når denne forordning henviser til et retsgrundlag eller en lovgivningsmæssig foranstaltning, kræver det ikke nødvendigvis en lov, der er vedtaget af et parlament, med forbehold for krav i henhold til den forfatningsmæssige orden i den pågældende medlemsstat. En sådan national ret i medlemsstaterne, et sådant retsgrundlag eller en sådan lovgivningsmæssig foranstaltning bør imidlertid være klar(t) og præcis(t), og anvendelse heraf bør være forudsigelig for de personer, der er omfattet af dets/dens anvendelsesområde, jf. retspraksis fra [Domstolen] og Den Europæiske Menneskerettighedsdomstol.

[...]

(50) Behandling af personoplysninger til andre formål end de formål, som personoplysningerne oprindelig blev indsamlet til, bør kun tillades, hvis behandlingen er forenelig med de formål, som personoplysningerne oprindelig blev indsamlet til. I dette tilfælde kræves der ikke andet retsgrundlag end det, der begrundede indsamlingen af personoplysningerne. Hvis behandling er nødvendig for at udføre en opgave i samfundets interesse eller henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, kan EU-retten eller medlemsstaternes nationale ret fastsætte og præcisere de opgaver og formål, hvortil det bør være foreneligt og lovligt at foretage viderebehandling. Viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål bør anses for at være forenelige lovlige behandlingsaktiviteter. Retsgrundlaget i EU-retten eller medlemsstaternes nationale ret for behandling af personoplysninger kan også udgøre et retsgrundlag for viderebehandling. For at fastslå, om et formål med viderebehandling er foreneligt med det formål, som personoplysningerne oprindelig blev indsamlet til, bør den dataansvarlige efter at have opfyldt alle kravene til lovlighed af den oprindelige behandling bl.a. tage hensyn til enhver forbindelse mellem disse formål og formålet med den påtænkte viderebehandling, den sammenhæng, som personoplysningerne er blevet indsamlet i, navnlig de registreredes rimelige forventninger til den videre anvendelse heraf på grundlag af deres forhold til den dataansvarlige, personoplysningernes art, konsekvenserne af den påtænkte viderebehandling for de registrerede og tilstedeværelse af fornødne garantier i forbindelse med både de oprindelige og de påtænkte yderligere behandlingsaktiviteter.«

5 Artikel 2 i forordning 2016/679 med overskriften »Materielt anvendelsesområde« bestemmer:

»1. Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

2. Denne forordning gælder ikke for behandling af personoplysninger:

a) under udøvelse af aktiviteter, der falder uden for EU-retten

b) som foretages af medlemsstaterne, når de udfører aktiviteter, der falder inden for rammerne af afsnit V, kapitel 2, i TEU

c) som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter

d) som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.

[...]«

6 Forordningens artikel 4 med overskriften »Definitioner« er affattet således:

»I denne forordning forstås ved:

1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

2) »behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

[...]

6) »register«: enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag

7) »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; [...]

[...]

9) »modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. Offentlige myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel i henhold til EU-retten eller medlemsstaternes nationale ret, anses dog ikke for modtagere; de offentlige myndigheders behandling af disse oplysninger skal overholde de gældende databeskyttelsesregler afhængigt af formålet med behandlingen

[...]«

7 I den nævnte forordnings artikel 5 med overskriften »Principper for behandling af personoplysninger« fastsættes:

»1. Personoplysninger skal:

a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; [...] (formålsbegrænsning)

c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)

d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)

e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; [...] (»opbevaringsbegrænsning«)

f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

8 Samme forordnings artikel 6 med overskriften »Lovlig behandling« bestemmer:

»1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.

c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

d) Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

f) Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.

2. Medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af denne forordnings bestemmelser om behandling med henblik på overholdelse af stk. 1, litra c) og e), ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling, herunder for andre specifikke databehandlingssituationer som omhandlet i kapitel IX.

3. Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:

a) EU-retten, eller

b) medlemsstaternes nationale ret, som den dataansvarlige er underlagt.

Formålet med behandlingen skal være fastlagt i dette retsgrundlag eller for så vidt angår den behandling, der er omhandlet i stk. 1, litra e), være nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. [...] EU-retten eller medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges.

4. Når behandling til et andet formål end det, som personoplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten eller medlemsstaternes nationale ret, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i artikel 23, stk. 1, tager den dataansvarlige, for at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, bl.a. hensyn til følgende:

a) enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling

b) den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige

c) personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 9, eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 10

d) den påtænkte viderebehandlings mulige konsekvenser for de registrerede

e) tilstedeværelse af fornødne garantier, som kan omfatte kryptering eller pseudonymisering.«

9 Artikel 13, stk. 3, i forordning 2016/679 har følgende ordlyd:

»Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål og andre relevante yderligere oplysninger, jf. stk. 2.«

10 Denne forordnings artikel 14 bestemmer:

»1. Hvis personoplysningerne ikke er indsamlet hos den registrerede, giver den dataansvarlige den registrerede følgende oplysninger:

[...]

c) formålene med den behandling, som personoplysningerne skal bruges til, samt retsgrundlaget for behandlingen

[...]

5. Stk. 1-4 finder ikke anvendelse, hvis og i det omfang:

[...]

c) indsamling eller videregivelse udtrykkelig er fastsat i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser [...]

[...]«

11 Nævnte forordnings artikel 23, stk. 1, har følgende ordlyd:

»EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt, kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 og 34 samt artikel 5, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:

[...]

e) andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser, navnlig Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed

[...]«

12 I artikel 25, stk. 2, i forordning 2016/679 bestemmes:

»Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.«

Direktiv 2016/680

13 10. og 11. betragtning til direktiv 2016/680 har følgende ordlyd:

»(10) I erklæring nr. 21 om beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde, der er knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabontraktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke regler om beskyttelse af personoplysninger og om fri bevægelighed for personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 [TEUF] som følge af disse områders specifikke karakter.

(11) Det er derfor hensigtsmæssigt, at disse områder behandles i et direktiv, der fastsætter særlige regler for beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, idet disse aktiviteters særlige karakter respekteres. Disse kompetente myndigheder kan omfatte ikke blot offentlige myndigheder som judicielle myndigheder, politi eller andre retshåndhævende myndigheder, men også alle andre organer eller enheder, som i henhold til medlemsstaternes nationale ret udøver offentlig myndighed eller offentlige beføjelser med henblik på dette direktiv. Hvis det pågældende organ eller den pågældende enhed behandler personoplysninger til andre formål end med henblik på dette direktiv, finder forordning [2016/679] anvendelse. Forordning [2016/679] finder derfor anvendelse i tilfælde, hvor et organ eller en enhed indsamler personoplysninger til andre formål og viderebehandler disse personoplysninger for at opfylde en retlig forpligtelse, som det/den er underlagt. [...]«

14 Dette direktivs artikel 3 bestemmer:

»I dette direktiv forstås ved:

[...]

7. »kompetent myndighed«:

a) enhver offentlig myndighed, der er kompetent med hensyn til at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, eller

b) ethvert andet organ eller enhver anden enhed, som i henhold til medlemsstaternes nationale ret udøver offentlig myndighed og offentlige beføjelser med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed

[...]«

Lettisk ret

15 I henhold til artikel 15, stk. 6, i likums »Par nodokļiem un nodevām« (lov om skatter og afgifter, Latvijas Vēstnesis, 1995, nr. 26) i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »lov om skatter og afgifter«), er en udbyder af annonceringsydelser, der indrykkes på internettet, forpligtet til, på anmodning af den lettiske skattemyndighed, at fremlægge de oplysninger, som udbyderen råder over vedrørende de skatte- og afgiftspligtige personer, som har indrykket annoncer ved brug af udbyderens tjenester.

Tvisten i hovedsagen og de præjudicielle spørgsmål

16 SS udbyder annonceringsydelser på internettet og har hjemsted i Letland.

17 Den 28. august 2018 fremsendte den lettiske skatte- og afgiftsmyndighed en anmodning om oplysninger til SS i henhold til artikel 15, stk. 6, i lov om skatter og afgifter, hvori den anmodede dette selskab om at genoprette den adgang, som denne skatte- og afgiftsmyndighed rådede over til stelnumre på de køretøjer, der var genstand for en annonce indrykket på nævnte selskabs internetportal, samt til sælgernes telefonnumre, og om senest den 3. september 2018 at give myndigheden oplysninger om de annoncer, der var indrykket i perioden mellem den 14. juli og den 31. august 2018 under rubrikken med overskriften »Personbiler« på denne portal.

18 I denne anmodning blev det præciseret, at disse oplysninger, som omfattede et link til annoncen, annonceteksten, bilmærket, modellen, stelnummeret og bilens pris samt sælgerens telefonnummer, skulle indgives elektronisk i et format, der gjorde det muligt at filtrere eller udvælge oplysningerne.

19 Såfremt adgangen til de oplysninger, der fremgik af de annoncer, der var blevet offentliggjort på den pågældende internetportal, ikke kunne genoprettes, blev SS desuden opfordret til at angive begrundelsen herfor og til senest den tredje dag i hver måned at fremsende de relevante oplysninger vedrørende de annoncer, der var blevet indrykket i den foregående måned.

20 SS var af den opfattelse, at den lettiske skatte- og afgiftsmyndigheds anmodning om oplysninger ikke var i overensstemmelse med proportionalitetsprincippet og princippet om minimering af personoplysninger, der begge er fastsat i forordning 2016/679, og selskabet indgav derfor en klage over denne anmodning til den fungerende generaldirektør for den lettiske skatte- og afgiftsmyndighed.

21 Ved afgørelse af 30. oktober 2018 forkastede sidstnævnte denne klage, idet det bl.a. blev anført, at den lettiske skatte- og afgiftsmyndighed i forbindelse med behandlingen af de i hovedsagen omhandlede personoplysninger udøvede de beføjelser, som den er tillagt ved lov.

22 SS anlagde sag ved administratīvā rajona tiesa (distriktsdomstol i forvaltningsretlige sager, Letland) med påstand om annullation af denne afgørelse. Selskabet gjorde, ud over de argumenter, som det havde fremført i sin klage, gældende, at den nævnte afgørelse hverken angav det specifikke formål med den behandling af de personoplysninger, som den lettiske skatte- og afgiftsmyndighed påtænkte, eller mængden af de oplysninger, der var nødvendige for denne behandling, hvilket er i strid med artikel 5, stk. 1, i forordning 2016/679.

23 Ved dom af 21. maj 2019 frifandt administratīvā rajona tiesa (distriktsdomstol i forvaltningsretlige sager) sagsøgte, idet denne ret i det væsentlige udtalte, at den lettiske skatte- og afgiftsmyndighed havde ret til at anmode om adgang til oplysninger om alle personer og i ubegrænset omfang, medmindre disse oplysninger anses for at være uforenelige med formålet om skatteopkrævning. Denne ret fastslog desuden, at bestemmelserne i forordning 2016/679 ikke fandt anvendelse i forhold til denne myndighed.

24 SS har iværksat appel til prøvelse af denne dom ved den forelæggende ret, idet selskabet har gjort gældende, dels at den lettiske skatte- og afgiftsmyndighed var underlagt bestemmelserne i forordning 2016/679, dels at denne myndigheden, ved månedligt og uden tidsbegrænsning at kræve en betydelig mængde personoplysninger vedrørende et ubegrænset antal annoncer, uden at identificere de skatte- og afgiftspligtige, med hensyn til hvilke der vil blive indledt en skatte- og afgiftskontrol, har tilsidesat proportionalitetsprincippet.

25 Den forelæggende ret har oplyst, at det inden for rammerne af tvisten i hovedsagen er ubestridt, at gennemførelsen af den omhandlede anmodning om oplysninger er uløseligt forbundet med en behandling af personoplysninger, og at den lettiske skatte- og afgiftsmyndighed har ret til at indhente oplysninger, som er til rådighed for en udbyder af annonceringsydelser på internettet, og som er nødvendige for gennemførelsen af specifikke foranstaltninger vedrørende opkrævning af skatter og afgifter.

26 Tvisten i hovedsagen vedrører mængden og typen af oplysninger, som den lettiske skatte- og afgiftsmyndighed kan anmode om, hvorvidt disse er begrænsede eller ubegrænsede, samt spørgsmålet om, hvorvidt den meddelelsespligt, som SS er underlagt, skal være tidsbegrænset.

27 Den forelæggende ret er navnlig af den opfattelse, at det tilkommer denne at afgøre, om behandlingen af personoplysninger, under omstændigheder som de i hovedsagen omhandlede foretages på en gennemsigtig måde over for de registrerede, om de oplysninger, der er specificeret i den omhandlede anmodning om oplysninger, bliver indsamlet til udtrykkeligt angivne legitime formål, og om behandlingen af personoplysninger kun foretages, for så vidt som behandlingen reelt er nødvendig for den lettiske skatte- og afgiftsmyndigheds udøvelse af sine funktioner som omhandlet i artikel 5, stk. 1, i forordning 2016/679.

28 Med henblik herpå er det nødvendigt at definere de kriterier, der gør det muligt at vurdere, om en anmodning om oplysninger fra den lettiske skatte- og afgiftsmyndighed respekterer kernen i de grundlæggende friheder og rettigheder, og om den i hovedsagen omhandlede anmodning om oplysninger kan anses for nødvendig og forholdsmæssig i et demokratisk samfund med henblik på at sikre Unionens vigtige mål og de lettiske offentlige interesser på det budget- og skattemæssige område.

29 Under disse omstændigheder har Administratīvā apgabaltiesa (appeldomstol i forvaltningsretlige sager, Letland) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1) Skal de i [forordning 2016/679] fastsatte krav fortolkes således, at en af [skatte- og afgiftsmyndigheden] fremsat anmodning om oplysninger som den, der er genstand for den foreliggende sag, hvori der anmodes om videregivelse af data, som indeholder en betydelig mængde personoplysninger, skal opfylde de fastsatte krav i [forordning 2016/679] (navnlig i dens artikel 5, stk. 1)?

2) Skal de i [forordning 2016/679] fastsatte krav fortolkes således, at [den lettiske skatte- og afgiftsmyndighed] kan afvige fra bestemmelserne i [artikel 5, stk. 1, i forordning 2016/679], også selv om den gældende lovgivning i Republikken Letland ikke indrømmer den pågældende forvaltning en sådan beføjelse?

3) Kan det i forbindelse med fortolkningen af de i [forordning 2016/679] fastsatte krav fastslås, at der foreligger et legitimt formål, som kan begrunde den pligt, der pålægges ved en anmodning om oplysninger som den, der er genstand for den foreliggende sag, til at videregive alle de ønskede oplysninger i et ikke nærmere fastsat omfang og tidsrum, og uden at der fastsættes nogen udløbsdato for udførelsen af den pågældende anmodning om oplysninger?

4) Kan det i forbindelse med fortolkningen af de i [forordning 2016/679] fastsatte krav fastslås, at der foreligger et legitimt formål, som kan begrunde den pligt, der pålægges ved en anmodning om oplysninger som den, der er genstand for den foreliggende sag, til at videregive alle de ønskede oplysninger, selv når formålet med videregivelsen af oplysningerne ikke er angivet (eller ikke er angivet i sin helhed) i anmodningen om oplysninger?

5) Kan det i forbindelse med fortolkningen af de i [forordning 2016/679] fastsatte krav fastslås, at der foreligger et legitimt formål, som kan begrunde den pligt, der pålægges ved en anmodning om oplysninger som den, der er genstand for den foreliggende sag, til at videregive alle de ønskede oplysninger, selv når det i praksis er rettet mod samtlige registrerede, som har indrykket annoncer i afsnittet »Personbiler« på en portal?

6) Hvilke kriterier skal der anvendes ved kontrollen af, om [skatte- og afgiftsmyndigheden] i sin egenskab af dataansvarlig behørigt sikrer, at databehandlingen (herunder indsamlingen af oplysninger) er i overensstemmelse med de i [forordning 2016/679] fastsatte krav?

7) Hvilke kriterier skal der anvendes ved kontrollen af, om en anmodning om oplysninger som den, der er genstand for den foreliggende sag, er behørigt begrundet og har lejlighedsvis karakter?

8) Hvilke kriterier skal der anvendes ved kontrollen af, om behandlingen af personoplysninger finder sted i det nødvendige omfang og i overensstemmelse med de i [forordning 2016/679] fastsatte krav?

9) Hvilke kriterier skal der anvendes ved kontrollen af, om [skatte- og afgiftsmyndigheden] i sin egenskab af dataansvarlig sikrer, at databehandlingen er i overensstemmelse med de fastsatte krav i artikel 5, stk. 1, i [forordning 2016/679] (ansvarlighed)?«

De præjudicielle spørgsmål

Det første spørgsmål

30 Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om bestemmelserne i forordning 2016/679 skal fortolkes således, at en medlemsstats skatte- og afgiftsmyndigheds indsamling af oplysninger, der omfatter en betydelig mængde personoplysninger, hos en erhvervsdrivende er underlagt kravene i denne forordning, navnlig kravene i forordningens artikel 5, stk. 1.

31 Med henblik på at besvare dette spørgsmål må det for det første undersøges, om en sådan anmodning henhører under det materielle anvendelsesområde for forordning 2016/679, således som det er defineret i forordningens artikel 2, stk. 1, og for det andet, om den er opført blandt de behandlinger af personoplysninger, som denne forordnings artikel 2, stk. 2, udelukker fra dette anvendelsesområde.

32 I henhold til artikel 2, stk. 1, i forordning 2016/679 finder den for det første anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

33 I artikel 4, stk. 1, i forordning 2016/679 præciseres, at der ved »personoplysninger« forstås enhver form for information om en identificeret eller identificerbar fysisk person, dvs. om en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet. I 26. betragtning til denne forordning præciseres i denne henseende, at for at afgøre, om en fysisk person er identificerbar, bør alle midler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere den pågældende.

34 I forbindelse med tvisten i hovedsagen er det ubestridt, at de oplysninger, som den lettiske skatte- og afgiftsmyndighed har anmodet om videregivelse af, udgør personoplysninger som omhandlet i artikel 4, nr. 1), i forordning 2016/679.

35 I henhold til denne forordnings artikel 4, nr. 2), udgør indsamling, søgning, videregivelse ved transmission samt enhver form for overladelse af personoplysninger »behandling« som omhandlet i nævnte forordning. Det fremgår af denne bestemmelses ordlyd, navnlig af udtrykket »enhver aktivitet«, at EU-lovgiver har haft til hensigt at give begrebet »behandling« en vid rækkevidde. Denne fortolkning støttes af den ikke-udtømmende karakter, udtrykt ved udtrykket »f.eks.«, af de aktiviteter, der er anført i den nævnte bestemmelse.

36 I det foreliggende tilfælde kræver den lettiske skatte- og afgiftsmyndighed af den pågældende erhvervsdrivende, at vedkommende genopretter denne myndigheds adgang til stelnumrene på de køretøjer, der er genstand for en annonce indrykket på dennes internetportal, og at vedkommende fremsender oplysninger om de annoncer, der er indrykket på denne portal.

37 En sådan anmodning, hvorved en medlemsstats skatte- og afgiftsmyndighed anmoder en erhvervsdrivende om at videregive og stille personoplysninger til rådighed, som sidstnævnte er forpligtet til at levere og stille til rådighed for denne myndighed i henhold til denne medlemsstats nationale lovgivning, indleder en procedure for »indsamling« af disse oplysninger som omhandlet i artikel 4, nr. 2), i forordning 2016/679.

38 Den pågældende erhvervsdrivendes fremsendelse og overladelse af de nævnte oplysninger til denne myndighed indebærer i øvrigt en »behandling« som omhandlet i denne artikel 4, nr. 2).

39 For det andet skal det undersøges, om den aktivitet, hvorved en medlemsstats skatte- og afgiftsmyndighed hos en erhvervsdrivende søger at indsamle personoplysninger om visse skatte- og afgiftspligtige personer, kan anses for at være udelukket fra anvendelsesområdet for forordning 2016/679 i henhold til forordningens artikel 2, stk. 2.

40 I denne henseende bemærkes indledningsvis, at denne bestemmelse fastsætter undtagelser fra forordningens anvendelsesområde som defineret i dens artikel 2, stk. 1, og at disse undtagelser skal fortolkes strengt (dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 84).

41 Navnlig bestemmer artikel 2, stk. 2, litra d), i forordning 2016/679, at forordningen ikke finder anvendelse på behandling af personoplysninger, der foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner.

42 Som det fremgår af 19. betragtning til denne forordning, er denne undtagelse begrundet i den omstændighed, at behandling af personoplysninger til sådanne formål og af de kompetente myndigheder er reguleret af en specifik EU-retsakt, nemlig direktiv 2016/680, der blev vedtaget samme dag som forordning 2016/679, og som i artikel 3, nr. 7), definerer, hvad der skal forstås ved »kompetent myndighed«, idet en sådan definition skal anvendes analogt på denne forordnings artikel 2, stk. 2, litra d) (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 69).

43 Det fremgår af 10. betragtning til direktiv 2016/680, at begrebet »kompetent myndighed« skal forstås i forbindelse med beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde, under hensyntagen til de tilpasninger, der kan vise sig nødvendige i denne henseende som følge af disse områders specifikke karakter. I 11. betragtning til dette direktiv præciseres endvidere, at forordning 2016/679 gælder for den behandling af personoplysninger, som foretages af en »kompetent myndighed« som omhandlet i nævnte direktivs artikel 3, nr. 7), men til andre formål end de i dette direktiv fastsatte (dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 70).

44 Når en medlemsstats skatte- og afgiftsmyndighed anmoder en erhvervsdrivende om at videregive personoplysninger til myndigheden vedrørende visse skatte- og afgiftspligtige personer med henblik på skatteopkrævning og bekæmpelse af skattesvig, fremgår det således ikke, at den kan anses for at være en »kompetent myndighed« som omhandlet i artikel 3, nr. 7), i direktiv 2016/680, eller at sådanne anmodninger om oplysninger følgelig kan henhøre under den undtagelse, der er fastsat i artikel 2, stk. 2, litra d), i forordning 2016/679.

45 Selv om det ikke er udelukket, at de i hovedsagen omhandlede personoplysninger kan anvendes i forbindelse med strafforfølgninger, der i tilfælde af overtrædelser på skatteområdet vil kunne iværksættes mod visse af de pågældende personer, fremgår det desuden ikke, at disse oplysninger indsamles med det specifikke formål at foretage sådanne strafforfølgninger eller i forbindelse med statens aktiviteter på det strafferetlige område (jf. i denne retning dom af 27.9.2017, Puškár, C-73/16, EU:C:2017:725, præmis 40).

46 Følgelig er en medlemsstats skatte- og afgiftsmyndigheds indsamling af personoplysninger vedrørende annoncer om salg af køretøjer, der er indrykket på en erhvervsdrivendes websted, omfattet af det materielle anvendelsesområde for forordning 2016/679, og følgelig skal denne myndighed bl.a. overholde de principper vedrørende behandling af personoplysninger, der er anført i denne forordnings artikel 5.

47 Henset til samtlige ovenstående betragtninger skal det første spørgsmål besvares med, at bestemmelserne i forordning 2016/679 skal fortolkes således, at en medlemsstats skatte- og afgiftsmyndigheds indsamling af oplysninger, der omfatter en betydelig mængde personoplysninger, hos en erhvervsdrivende er underlagt kravene i denne forordning, navnlig kravene i forordningens artikel 5, stk. 1.

Det andet spørgsmål

48 Med det andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om bestemmelserne i forordning 2016/679 skal fortolkes således, at en medlemsstats skatte- og afgiftsmyndighed kan fravige bestemmelserne i denne forordnings artikel 5, stk. 1, selv om en sådan ret ikke er blevet tildelt denne myndighed i henhold til denne medlemsstats nationale ret.

49 Indledningsvis bemærkes, at forordning 2016/679, således som det fremgår af tiende betragtning hertil, bl.a. har til formål at sikre et højt niveau for beskyttelse af fysiske personer inden for Unionen.

50 Med henblik herpå fastsætter kapitel II og III i forordning 2016/679 henholdsvis principperne for behandling af personoplysninger og den registreredes rettigheder, som enhver behandling af personoplysninger skal overholde. Enhver behandling af personoplysninger skal navnlig overholde de principper vedrørende behandling af sådanne oplysninger, som er fastsat i den nævnte forordnings artikel 5 (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 208).

51 Artikel 23 i forordning 2016/679 tillader imidlertid Unionen og medlemsstaterne at vedtage »lovgivningsmæssige foranstaltninger«, der begrænser rækkevidden af de forpligtelser og rettigheder, der bl.a. er omhandlet i denne forordnings artikel 5, for så vidt som de svarer til rettighederne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser, navnlig væsentlige økonomiske eller finansielle interesser, herunder budget- og skatteanliggender.

52 I denne henseende fremgår det af 41. betragtning til forordning 2016/679, at henvisningen i denne forordning til en »lovgivningsmæssig foranstaltning« ikke nødvendigvis kræver en lov, der er vedtaget af et parlament.

53 Det skal dog bemærkes, at forordning 2016/679, således som det fremgår af fjerde betragtning hertil, overholder alle de grundlæggende rettigheder og følger de frihedsrettigheder og principper, der anerkendes i chartret som forankret i traktaterne, herunder bl.a. beskyttelsen af personoplysninger.

54 I overensstemmelse med chartrets artikel 52, stk. 1, første punktum, skal enhver begrænsning i udøvelsen af de rettigheder og friheder, der anerkendes ved chartret, herunder bl.a. retten til respekt for privatlivet, der er sikret ved chartrets artikel 7, og retten til beskyttelse af personoplysninger, der er fastsat i chartrets artikel 8, være fastlagt i lovgivningen, hvilket navnlig indebærer, at det retsgrundlag, som tillader indgreb i disse rettigheder, selv skal definere rækkevidden af begrænsningen af udøvelsen af den pågældende rettighed (jf. i denne retning dom af 6.10.2020, Privacy International, C-623/17, EU:C:2020:790, præmis 65 og den deri nævnte retspraksis).

55 I denne henseende har Domstolen desuden fastslået, at den lovgivning, som indebærer en foranstaltning, der tillader et sådant indgreb, skal fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af den pågældende foranstaltning, og som opstiller mindstekrav, således at de personer, hvis personoplysninger er blevet overført, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte disse oplysninger mod risikoen for misbrug (jf. i denne retning dom af 2.3.2021, Prokuratuur (Betingelser for adgang til data vedrørende elektronisk kommunikation), C-746/18, EU:C:2021:152, præmis 48 og den deri nævnte retspraksis).

56 Følgelig bør enhver foranstaltning, der vedtages i henhold til artikel 23 i forordning 2016/679, således som EU-lovgiver i øvrigt har fremhævet i 41. betragtning til denne forordning, være klar og præcis, og anvendelse heraf være forudsigelig for personer, der er omfattet af dens anvendelsesområde. Medlemsstaterne skal navnlig være i stand til at identificere de omstændigheder og betingelser, hvorunder rækkevidden af de rettigheder, som den nævnte forordning tillægger dem, kan begrænses.

57 Det følger af ovenstående betragtninger, at en medlemsstats skatte- og afgiftsmyndighed ikke kan fravige bestemmelserne i artikel 5 i forordning 2016/679 i mangel af et klart og præcist retsgrundlag i EU-retten eller i national ret, hvis anvendelse er forudsigeligt for personer, der er omfattet af disses anvendelsesområde, og som fastsætter de omstændigheder og betingelser, hvorunder rækkevidden af de forpligtelser og rettigheder, der er fastsat i denne artikel 5, kan begrænses.

58 Følgelig skal det andet spørgsmål besvares med, at bestemmelserne i forordning 2016/679 skal fortolkes således, at en medlemsstats skatte- og afgiftsmyndighed ikke kan fravige bestemmelserne i denne forordnings artikel 5, stk. 1, når en sådan ret ikke er blevet tildelt denne myndighed ved en lovgivningsmæssig foranstaltning som omhandlet i forordningens artikel 23, stk. 1.

Det tredje til det niende spørgsmål

59 Med det tredje til det niende spørgsmål, som skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om bestemmelserne i forordning 2016/679 skal fortolkes således, at de er til hinder for, at skatte- og afgiftsmyndigheden i en medlemsstat pålægger en udbyder af annoncer på internettet i en ubegrænset periode, og uden at formålet med denne anmodning om oplysninger er præciseret, at fremsende oplysninger vedrørende alle de skatte- og afgiftspligtige, der har indrykket annoncer i en af rubrikkerne på udbyderens internetportal, til myndigheden.

60 Indledningsvis bemærkes, at to behandlinger af personoplysninger kan finde sted i en situation som den i hovedsagen omhandlede. Som det fremgår af denne doms præmis 37 og 38, drejer det sig om skatte- og afgiftsmyndighedens indsamling af personoplysninger hos den pågældende tjenesteyder og i denne forbindelse om denne tjenesteyders videregivelse ved transmission af disse oplysninger til denne myndighed.

61 Som det fremgår af den retspraksis, der er nævnt i nærværende doms præmis 50, skal hver enkelt af disse behandlingsaktiviteter, med forbehold af de undtagelser, der er tilladt i henhold til artikel 23 i forordning 2016/679, overholde de principper for behandling af personoplysninger, der er fastsat i denne forordnings artikel 5, samt den registreredes rettigheder, der er opført i forordningens artikel 12-22.

62 I det foreliggende tilfælde er den forelæggende ret navnlig i tvivl om den omstændighed, dels at den behandling, der er nævnt i denne doms præmis 60, vedrører ubegrænsede mængder af oplysninger vedrørende en ubegrænset periode, dels at formålet med disse behandlinger ikke er præciseret i anmodningen om oplysninger.

63 I denne henseende skal det for det første fremhæves, at artikel 5, stk. 1, litra b), i forordning 2016/679 bestemmer, at personoplysninger bl.a. skal indsamles til udtrykkeligt angivne og legitime formål.

64 Indledningsvis indebærer kravet om, at formålene med behandlingen skal fastlægges, således som det fremgår af 39. betragtning til denne forordning, at disse skal identificeres senest ved indsamlingen af personoplysningerne.

65 Dernæst skal formålene med behandlingen være udtrykkelige, hvilket betyder, at disse skal angives klart.

66 Endelig skal disse formål være legitime. De skal følgelig sikre en lovlig behandling som omhandlet i nævnte forordnings artikel 6, stk. 1.

67 De behandlinger, der er omhandlet i denne doms præmis 60, indledes ved den anmodning om videregivelse af personoplysninger, som den lettiske skatte- og afgiftsmyndighed fremsender til udbyderen af annoncer, der indrykkes på internettet. Det fremgår i denne henseende, at denne tjenesteyder, i henhold til artikel 15, stk. 6, i lov om skatter og afgifter, er forpligtet til at imødekomme en sådan anmodning.

68 Henset til de betragtninger, der er anført i nærværende doms præmis 64 og 65, er det nødvendigt, at formålene med disse behandlinger klart fremgår af denne anmodning.

69 Forudsat at de formål, der således er anført i den nævnte anmodning, er nødvendige af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som skatte- og afgiftsmyndigheden har fået pålagt, er denne omstændighed, således som det fremgår af artikel 6, stk. 1, første afsnit, initio, og litra e), i forordning 2016/679, sammenholdt med denne forordnings artikel 6, stk. 3, andet afsnit, tilstrækkelig til, at de nævnte behandlinger ligeledes opfylder det lovlighedskrav, der er nævnt i nærværende doms præmis 66.

70 I denne henseende bemærkes, at skatteopkrævning og bekæmpelse af skattesvig skal betragtes som opgaver i samfundets interesse som omhandlet i artikel 6, stk. 1, første afsnit, litra e), i forordning 2016/679 (jf. analogt dom af 27.9.2017, Puškár, C-73/16, EU:C:2017:725, præmis 108).

71 Det følger heraf, at i et tilfælde, hvor videregivelsen af de omhandlede personoplysninger ikke direkte er baseret på den lovbestemmelse, der ligger til grund herfor, men følger af en anmodning fra den kompetente offentlige myndighed, er det nødvendigt, at denne anmodning præciserer de specifikke formål med indsamlingen af oplysninger, henset til opgaven i samfundets interesse eller offentlig myndighedsudøvelse med henblik på at gøre det muligt for modtageren af nævnte anmodning at sikre sig, at videregivelsen af de omhandlede personoplysninger er lovlig, og for de nationale domstole at foretage en kontrol af lovligheden af de pågældende behandlinger.

72 For det andet skal personoplysninger, i overensstemmelse med artikel 5, stk. 1, litra c), i forordning 2016/679 være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.

73 I denne henseende bemærkes, at ifølge fast retspraksis skal undtagelser og begrænsninger i princippet om beskyttelse af sådanne oplysninger holdes inden for det strengt nødvendige (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 110 og den deri nævnte retspraksis).

74 Det følger heraf, at den dataansvarlige, herunder når denne handler inden for rammerne af den opgave i samfundets interesse, som vedkommende er blevet pålagt, ikke generelt og udifferentieret kan foretage indsamling af personoplysninger, og at den pågældende skal afholde sig fra at indsamle oplysninger, som ikke er strengt nødvendige, henset til formålene med behandlingen.

75 I det foreliggende tilfælde bemærkes, at den lettiske skatte- og afgiftsmyndighed, således som det fremgår af denne doms præmis 17-19, har anmodet den pågældende erhvervsdrivende om til myndigheden at fremsende oplysninger vedrørende annoncer om salg af privatbiler indrykket på den erhvervsdrivendes websted mellem den 14. juli og den 31. august 2018, og i tilfælde af, at adgangen til disse oplysninger ikke ville kunne genskabes, om senest den tredje dag i hver måned til myndigheden at fremsende oplysninger vedrørende annoncer om salg af privatbiler indrykket på den erhvervsdrivendes websted i løbet af den foregående måned, uden at der i sidstnævnte anmodning blev angivet nogen form for tidsmæssig begrænsning.

76 Henset til de betragtninger, der er anført i nærværende doms præmis 74, tilkommer det den forelæggende ret at efterprøve, om formålet med indsamlingen af disse oplysninger kan opnås, uden at den lettiske skatte- og afgiftsmyndighed potentielt råder over oplysninger om alle de annoncer om salg af personbiler, der er indrykket på den nævnte operatørs websted, og navnlig om det er muligt, at denne administration udpeger visse annoncer ved hjælp af specifikke kriterier.

77 I denne forbindelse skal det fremhæves, at den dataansvarlige i overensstemmelse med det i artikel 5, stk. 2, i forordning 2016/679 fastsatte princip om ansvar skal være i stand til at godtgøre, at vedkommende overholder de principper for behandling af personoplysninger, der er fastsat i denne artikels stk. 1.

78 Det påhviler følgelig den lettiske skatte- og afgiftsmyndighed at godtgøre, at den i overensstemmelse med denne forordnings artikel 25, stk. 2, har søgt at minimere mængden af de personoplysninger, der skal indsamles, mest muligt.

79 Hvad angår den omstændighed, at den af den lettiske skatte- og afgiftsmyndighed fremsendte anmodning om oplysninger ikke fastsætter nogen tidsmæssig begrænsning i tilfælde af, at den pågældende udbyder af annonceydelser ikke genopretter adgangen til de annoncer, der er indrykket i den periode, der er anført i anmodningen, skal det bemærkes, at den dataansvarlige, henset til princippet om dataminimering, ligeledes er forpligtet til, i lyset af formålet med den påtænkte behandling, at begrænse perioden for indsamling af de omhandlede personoplysninger til det strengt nødvendige.

80 Den periode, som indsamlingen vedrører, kan derfor ikke overstige den varighed, der er strengt nødvendig for at nå det forfulgte mål af almen interesse.

81 Som det fremgår af nærværende doms præmis 77, påhviler bevisbyrden i denne henseende den lettiske skatte- og afgiftsmyndighed.

82 Den omstændighed, at de nævnte oplysninger indsamles, uden at den lettiske skatte- og afgiftsmyndighed i selve anmodningen om oplysninger har fastsat en tidsmæssig grænse for en sådan behandling, gør det imidlertid ikke i sig selv muligt at fastslå, at varigheden af behandlingen går ud over den tid, der er strengt nødvendig for at nå det tilsigtede mål.

83 I denne henseende bemærkes ikke desto mindre, at den lovgivning, som danner grundlag for behandlingen, for at opfylde det krav om proportionalitet, som artikel 5, stk. 1, litra c), i forordning 2016/679 er udtryk for (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 98 og den deri nævnte retspraksis), skal fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af den omhandlede foranstaltning, og som opstiller mindstekrav, således at de personer, hvis personoplysninger er berørt, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte disse oplysninger mod risikoen for misbrug. Denne lovgivning skal være retligt bindende i national ret og navnlig angive, under hvilke omstændigheder og på hvilke betingelser der kan vedtages en foranstaltning om behandling af sådanne oplysninger, hvorved det sikres, at indgrebet begrænses til det strengt nødvendige (dom af 6.10.2020, Privacy International, C-623/17, EU:C:2020:790, præmis 68 og den deri nævnte retspraksis).

84 Det følger heraf, at den nationale lovgivning, der regulerer en anmodning om oplysninger som den i hovedsagen omhandlede, skal være baseret på objektive kriterier med henblik på fastlæggelsen af de omstændigheder og betingelser, hvorunder en udbyder af online-tjenester er forpligtet til at videregive personoplysninger om sine brugere (jf. i denne retning dom af 6.10.2020, Privacy International, C-623/17, EU:C:2020:790, præmis 78 og den deri nævnte retspraksis).

85 Henset til samtlige ovenstående betragtninger skal det tredje til det niende spørgsmål besvares med, at bestemmelserne i forordning 2016/679 skal fortolkes således, at de ikke er til hinder for, at en medlemsstats skatte- og afgiftsmyndighed pålægger en udbyder af annoncer på internettet at fremsende oplysninger til myndigheden om de skatteydere, der har indrykket annoncer i en af rubrikkerne på denne internetportal, bl.a. for så vidt som disse oplysninger er nødvendige, henset til de særlige formål, hvortil de indsamles, og for så vidt som den periode, som indsamlingen af de nævnte data vedrører, ikke overskrider den varighed, der er strengt nødvendig for at nå det forfulgte mål af almen interesse.

Sagsomkostninger

86 Da sagernes behandling i forhold til hovedsagernes parter udgør et led i de sager, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Femte Afdeling) for ret:

1) Bestemmelserne i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en medlemsstats skatte- og afgiftsmyndigheds indsamling af oplysninger, der omfatter en betydelig mængde personoplysninger, hos en erhvervsdrivende er underlagt kravene i denne forordning, navnlig kravene i forordningens artikel 5, stk. 1.

2) Bestemmelserne i forordning 2016/679 skal fortolkes således, at en medlemsstats skatte- og afgiftsmyndighed ikke kan fravige bestemmelserne i denne forordnings artikel 5, stk. 1, når en sådan ret ikke er blevet tildelt denne myndighed ved en lovgivningsmæssig foranstaltning som omhandlet i forordningens artikel 23, stk. 1.

3) Bestemmelserne i forordning 2016/679 skal fortolkes således, at de ikke er til hinder for, at en medlemsstats skatte- og afgiftsmyndighed pålægger en udbyder af annoncer på internettet at fremsende oplysninger til myndigheden om de skatteydere, der har indrykket annoncer i en af rubrikkerne på denne internetportal, bl.a. for så vidt som disse oplysninger er nødvendige, henset til de særlige formål, hvortil de indsamles, og for så vidt som den periode, som indsamlingen af de nævnte data vedrører, ikke overskrider den varighed, der er strengt nødvendig for at nå det forfulgte mål af almen interesse.