«Προδικαστική παραπομπή – Προστασία των δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρα 2, 4, 6, 10 και 86 – Δεδομένα ευρισκόμενα στην κατοχή δικαστηρίου σχετικά με ποινικές καταδίκες φυσικού προσώπου – Προφορική γνωστοποίηση τέτοιων στοιχείων σε εμπορική εταιρία λόγω διοργανώσεως διαγωνισμού από την ίδια – Έννοια της “επεξεργασίας δεδομένων προσωπικού χαρακτήρα” – Εθνική νομοθεσία περί προσβάσεως στα εν λόγω δεδομένα – Συμβιβασμός του δικαιώματος προσβάσεως του κοινού στα επίσημα έγγραφα και της προστασίας των δεδομένων προσωπικού χαρακτήρα»
Στην υπόθεση C‑740/22,
με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, την οποία υπέβαλε το Itä-Suomen hovioikeus (εφετείο Ανατολικής Φινλανδίας, Φινλανδία) με απόφαση της 30ής Νοεμβρίου 2022, η οποία περιήλθε στο Δικαστήριο στις 2 Δεκεμβρίου 2022, στο πλαίσιο της δίκης
Endemol Shine Finland Oy
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (έκτο τμήμα),
συγκείμενο από τους T. von Danwitz (εισηγητή), πρόεδρο τμήματος, P. G. Xuereb και I. Ziemele, δικαστές,
γενική εισαγγελέας: T. Ćapeta,
γραμματέας: A. Calot Escobar
έχοντας υπόψη την έγγραφη διαδικασία,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
– η Φινλανδική Κυβέρνηση, εκπροσωπούμενη από τις A. Laine και M. Pere,
– η Πορτογαλική Κυβέρνηση, εκπροσωπούμενη από τις P. Barros da Costa, M. J. Ramos και C. Vieira Guerra,
– η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τον A. Μπουχάγιαρ, τον H. Kranenborg και την I. Söderlund,
κατόπιν της αποφάσεως που έλαβε, αφού άκουσε τη γενική εισαγγελέα, να εκδικάσει την υπόθεση χωρίς ανάπτυξη προτάσεων,
εκδίδει την ακόλουθη
Απόφαση
1 Η υπό κρίση αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 2, παράγραφος 1, του άρθρου 4, σημείο 2, και του άρθρου 86 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1) (στο εξής: ΓΚΠΔ).
2 Η αίτηση υποβλήθηκε στο πλαίσιο δίκης με αντικείμενο άρνηση εθνικού δικαστηρίου να γνωστοποιήσει στην Endemol Shine Finland Oy δεδομένα σχετικά με ποινικές καταδίκες εις βάρος τρίτου.
Το νομικό πλαίσιο
Το δίκαιο της Ευρωπαϊκής Ένωσης
3 Οι αιτιολογικές σκέψεις 4, 10, 11, 15, 19 και 154 του ΓΚΠΔ έχουν ως εξής:
«(4) Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα πρέπει να προορίζεται να εξυπηρετεί τον άνθρωπο. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα· πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας. Ο παρών κανονισμός σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις ελευθερίες και αρχές που αναγνωρίζονται στον [Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης)], όπως κατοχυρώνονται στις Συνθήκες, ιδίως τον σεβασμό της ιδιωτικής και οικογενειακής ζωής, […] την προστασία των δεδομένων προσωπικού χαρακτήρα, την ελευθερία σκέψης, συνείδησης και θρησκείας, την ελευθερία έκφρασης και πληροφόρησης, την επιχειρηματική ελευθερία, το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου […]
[…]
(10) Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της [Ευρωπαϊκής] Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται προς συμμόρφωση με νομική υποχρέωση, προς εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να διατηρούν ή να θεσπίζουν εθνικές διατάξεις για τον περαιτέρω προσδιορισμό της εφαρμογής των κανόνων του παρόντος κανονισμού. Σε συνδυασμό με το γενικό και οριζόντιο δίκαιο περί προστασίας δεδομένων που αποσκοπεί στην εφαρμογή της οδηγίας 95/46/EΚ [του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 1)], στα κράτη μέλη ισχύουν διάφοροι τομεακοί νόμοι σε τομείς που χρειάζονται ειδικότερες διατάξεις. Ο παρών κανονισμός παρέχει επίσης περιθώρια χειρισμού στα κράτη μέλη, ώστε να εξειδικεύσουν τους κανόνες [τους], συμπεριλαμβανομένων αυτών που αφορούν την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (“ευαίσθητα δεδομένα”). Σε αυτόν τον βαθμό, ο παρών κανονισμός δεν αποκλείει το δίκαιο των κρατών μελών να προσδιορίζει τις περιστάσεις ειδικών καταστάσεων επεξεργασίας, μεταξύ άλλων τον ακριβέστερο καθορισμό των προϋποθέσεων υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη.
(11) Η αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση και τον λεπτομερή καθορισμό των δικαιωμάτων των υποκειμένων των δεδομένων, καθώς και των υποχρεώσεων όσων επεξεργάζονται και καθορίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και των αντίστοιχων εξουσιών παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα και των αντίστοιχων κυρώσεων για τις παραβιάσεις στα κράτη μέλη.
[…]
(15) Προκειμένου να αποτραπεί σοβαρός κίνδυνος καταστρατήγησης, η προστασία των φυσικών προσώπων θα πρέπει να είναι τεχνολογικά ουδέτερη και να μην εξαρτάται από τις χρησιμοποιούμενες τεχνικές. Η προστασία των φυσικών προσώπων θα πρέπει να εφαρμόζεται τόσο στην επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα, όσο και στη χειροκίνητη επεξεργασία, εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης. Τα αρχεία ή τα σύνολα αρχείων, καθώς και τα εξώφυλλά τους, τα οποία δεν είναι διαρθρωμένα σύμφωνα με συγκεκριμένα κριτήρια δεν θα πρέπει να υπάγονται στο πεδίο εφαρμογής του παρόντος κανονισμού.
[…]
(19) Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους και της ελεύθερης κυκλοφορίας των δεδομένων αυτών, αποτελεί το αντικείμενο ειδικής ενωσιακής νομικής πράξης. Ο παρών κανονισμός δεν θα πρέπει συνεπώς να εφαρμόζεται σε δραστηριότητες επεξεργασίας για τους σκοπούς αυτούς. Ωστόσο, τα δεδομένα προσωπικού χαρακτήρα που υφίστανται επεξεργασία από δημόσιες αρχές βάσει του παρόντος κανονισμού θα πρέπει, όταν χρησιμοποιούνται για αυτούς τους σκοπούς, να ρυθμίζονται από ειδικότερη ενωσιακή νομική πράξη, δηλαδή την οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου[, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της αποφάσεως-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ 2016, L 119, σ. 89)]. Τα κράτη μέλη μπορούν να αναθέτουν στις αρμόδιες αρχές κατά την έννοια της οδηγίας (ΕΕ) 2016/680 καθήκοντα που δεν ασκούνται απαραιτήτως για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους, ούτως ώστε η επεξεργασία δεδομένων προσωπικού χαρακτήρα για αυτούς τους άλλους σκοπούς, εφόσον εμπίπτει στο πεδίο εφαρμογής του ενωσιακού δικαίου, να υπάγεται στο πεδίο εφαρμογής του παρόντος κανονισμού.
Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις εν λόγω αρμόδιες αρχές για σκοπούς που εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού, τα κράτη μέλη θα πρέπει να μπορούν να διατηρούν ή να θεσπίζουν ειδικότερες διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού. Αυτές οι διατάξεις μπορούν να καθορίζουν με ακριβέστερο τρόπο ειδικές απαιτήσεις για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τις εν λόγω αρμόδιες αρχές για αυτούς τους άλλους σκοπούς, λαμβανομένων υπόψη των συνταγματικών, οργανωτικών και διοικητικών δομών των αντίστοιχων κρατών μελών. Όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς φορείς εμπίπτει στο πεδίο εφαρμογής του παρόντος κανονισμού, ο παρών κανονισμός θα πρέπει να προβλέπει τη δυνατότητα των κρατών μελών να περιορίζουν διά νόμου, υπό ειδικές συνθήκες, ορισμένες υποχρεώσεις και δικαιώματα, όταν ο περιορισμός αυτός συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για να διασφαλιστούν ειδικά σημαντικά συμφέροντα, μεταξύ άλλων η δημόσια ασφάλεια και η πρόληψη, διερεύνηση, ανίχνευση και δίωξη ποινικών αδικημάτων ή η εκτέλεση ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους. Αυτό έχει σημασία, για παράδειγμα, στο πλαίσιο του αγώνα ενάντια στο ξέπλυμα χρήματος ή των δραστηριοτήτων των εγκληματολογικών εργαστηρίων.
[…]
(154) Ο παρών κανονισμός επιτρέπει να λαμβάνεται υπόψη η αρχή της πρόσβασης του κοινού στα επίσημα έγγραφα κατά την εφαρμογή του παρόντος κανονισμού. Η πρόσβαση του κοινού σε επίσημα έγγραφα μπορεί να θεωρηθεί ως δημόσιο συμφέρον. Τα δεδομένα προσωπικού χαρακτήρα σε έγγραφα που τηρούνται από δημόσια αρχή ή δημόσιο φορέα θα πρέπει να μπορούν να κοινολογούνται δημοσίως από την εν λόγω αρχή ή τον φορέα εάν η κοινολόγηση προβλέπεται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπάγεται η δημόσια αρχή ή ο δημόσιος φορέας. Τα δίκαια αυτά θα πρέπει να συμφιλιώνουν την πρόσβαση του κοινού σε επίσημα έγγραφα και την περαιτέρω χρήση πληροφοριών του δημόσιου τομέα με το δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα και μπορούν, συνεπώς, να προβλέπουν την αναγκαία συμφιλίωση με το δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού. Η αναφορά σε δημόσιες αρχές και φορείς θα πρέπει εν προκειμένω να περιλαμβάνει όλες τις αρχές ή άλλους φορείς που καλύπτονται από το δίκαιο κράτους μέλους σχετικά με την πρόσβαση του κοινού σε έγγραφα. Η οδηγία 2003/98/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου [, της 17ης Νοεμβρίου 2003, για την περαιτέρω χρήση πληροφοριών του δημόσιου τομέα (ΕΕ 2003, L 345, σ. 90),] δεν θίγει και δεν επηρεάζει κατά κανένα τρόπο το επίπεδο προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα δυνάμει των διατάξεων του ενωσιακού δικαίου και του δικαίου των κρατών μελών και ιδίως δεν μεταβάλλει τις υποχρεώσεις και τα δικαιώματα που θεσπίζονται στον παρόντα κανονισμό. Ειδικότερα, η εν λόγω οδηγία δεν θα πρέπει να εφαρμόζεται σε έγγραφα στα οποία η πρόσβαση απαγορεύεται ή περιορίζεται δυνάμει των καθεστώτων πρόσβασης για λόγους προστασίας δεδομένων προσωπικού χαρακτήρα, ούτε σε τμήματα εγγράφων που είναι προσβάσιμα δυνάμει των εν λόγω καθεστώτων και περιέχουν δεδομένα προσωπικού χαρακτήρα η εκ νέου χρήση των οποίων προβλέπεται από το δίκαιο ότι είναι ασυμβίβαστη με το δίκαιο που αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.»
4 Το άρθρο 2 του ΓΚΠΔ, που τιτλοφορείται «Ουσιαστικό πεδίο εφαρμογής», ορίζει τα εξής:
«1. Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
2. Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:
α) στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης,
β) από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου 2 του τίτλου V της ΣΕΕ,
γ) από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας,
δ) από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.
3. Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά όργανα, φορείς, υπηρεσίες και οργανισμούς της Ένωσης, εφαρμόζεται ο κανονισμός (ΕΚ) αριθ. 45/2001 [του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 2001, L 8, σ. 1)]. Ο κανονισμός (ΕΚ) αριθ. 45/2001 και άλλες νομικές πράξεις της Ένωσης εφαρμοστέες σε μια τέτοια επεξεργασία δεδομένων προσωπικού χαρακτήρα προσαρμόζονται στις αρχές και τους κανόνες του παρόντος κανονισμού σύμφωνα με το άρθρο 98.
4. Ο παρών κανονισμός δεν θίγει την εφαρμογή της οδηγίας 2000/31/ΕΚ [του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 8ης Ιουνίου 2000, σχετικά με ορισμένες νομικές πτυχές των υπηρεσιών της κοινωνίας της πληροφορίας, ιδίως του ηλεκτρονικού εμπορίου, στην εσωτερική αγορά (Οδηγία για το ηλεκτρονικό εμπόριο) (ΕΕ 2000, L 178, σ. 1)], ιδίως των κανόνων για την ευθύνη των μεσαζόντων παροχής υπηρεσιών που προβλέπονται στα άρθρα 12 έως 15 της εν λόγω οδηγίας.»
5 Το άρθρο 4 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Ορισμοί», προβλέπει στα σημεία 1, 2, 6 και 7 τα εξής:
«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:
1) “δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (“υποκείμενο των δεδομένων”)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
2) “επεξεργασία”: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
[…]
6) “σύστημα αρχειοθέτησης”: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση·
7) “υπεύθυνος επεξεργασίας” το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους».
6 Το άρθρο 5 του εν λόγω κανονισμού, με τίτλο «Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα», έχει ως εξής:
«1. Τα δεδομένα προσωπικού χαρακτήρα:
α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων (“νομιμότητα, αντικειμενικότητα και διαφάνεια”),
β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· […] (περιορισμός του σκοπού”),
γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία (“ελαχιστοποίηση των δεδομένων”),
δ) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας (“ακρίβεια”),
ε) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· […] (“περιορισμός της περιόδου αποθήκευσης”),
στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων (“ακεραιότητα και εμπιστευτικότητα”).
[…]»
7 Το άρθρο 6 του εν λόγω κανονισμού, το οποίο φέρει τον τίτλο «Νομιμότητα της επεξεργασίας», προβλέπει στις παραγράφους 1 έως 3, τα εξής:
«1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
α) το υποκείμενο των δεδομένων έχει παράσχει συγκατάθεση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.
2. Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν πιο ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού όσον αφορά την επεξεργασία για τη συμμόρφωση με την παράγραφο 1 στοιχεία γ) και ε), καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και άλλα μέτρα προς εξασφάλιση σύννομης και θεμιτής επεξεργασίας, μεταξύ άλλων για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ.
3. Η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) ορίζεται σύμφωνα με:
α) το δίκαιο της Ένωσης, ή
β) το δίκαιο του κράτους μέλος στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.
Ο σκοπός της επεξεργασίας καθορίζεται στην εν λόγω νομική βάση ή, όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε), είναι η αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Η εν λόγω νομική βάση μπορεί να περιλαμβάνει ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού, μεταξύ άλλων: τις γενικές προϋποθέσεις που διέπουν τη σύννομη επεξεργασία από τον υπεύθυνο επεξεργασίας· τα είδη των δεδομένων που υποβάλλονται σε επεξεργασία· τα οικεία υποκείμενα των δεδομένων· τις οντότητες στις οποίες μπορούν να κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα και τους σκοπούς αυτής της κοινοποίησης· τον περιορισμό του σκοπού· τις περιόδους αποθήκευσης· και τις πράξεις επεξεργασίας και τις διαδικασίες επεξεργασίας, συμπεριλαμβανομένων των μέτρων για τη διασφάλιση σύννομης και θεμιτής επεξεργασίας, όπως εκείνα για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ. Το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο νόμιμο σκοπό.»
8 Το άρθρο 10 του ΓΚΠΔ, με τίτλο «Επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα», προβλέπει τα εξής:
«Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας που βασίζονται στο άρθρο 6 παράγραφος 1 διενεργείται μόνο υπό τον έλεγχο επίσημης αρχής ή εάν η επεξεργασία επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Πλήρες ποινικό μητρώο τηρείται μόνο υπό τον έλεγχο επίσημης αρχής.»
9 Το άρθρο 23 του ΓΚΠΔ, το οποίο τιτλοφορείται «Ορισμοί», προβλέπει τα ακόλουθα:
«1. Το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία των δεδομένων μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στα άρθρα 12 έως 22 και στο άρθρο 34, καθώς και στο άρθρο 5, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 12 έως 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:
[…]
στ) της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών,
[…]».
10 Το άρθρο 85 του ΓΚΠΔ, που φέρει τον τίτλο «Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης», ορίζει στην παράγραφο 1 τα εξής:
«Τα κράτη μέλη διά νόμου συμβιβάζουν το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης.»
11 Το άρθρο 86 του ΓΚΠΔ, που φέρει τον τίτλο «Επεξεργασία και πρόσβαση του κοινού σε επίσημα έγγραφα», προβλέπει τα εξής:
«Τα δεδομένα προσωπικού χαρακτήρα σε επίσημα έγγραφα που κατέχει δημόσια αρχή ή δημόσιος ή ιδιωτικός φορέας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον μπορούν να κοινοποιούνται από την εν λόγω αρχή ή φορέα σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται η δημόσια αρχή ή ο φορέας, προκειμένου να συμβιβάζεται η πρόσβαση του κοινού σε επίσημα έγγραφα με το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού.»
Το φινλανδικό δίκαιο
Ο νόμος περί προστασίας των δεδομένων προσωπικού χαρακτήρα (1050/2018)
12 Ο tietosuojalaki (1050/2018) [νόμος περί προστασίας δεδομένων προσωπικού χαρακτήρα (1050/2018)] ορίζει στο άρθρο 1 τα εξής:
«Ο παρών νόμος εξειδικεύει και συμπληρώνει τον [ΓΚΠΔ] και την εφαρμογή του σε εθνικό επίπεδο.»
13 Το άρθρο 28 του νόμου έχει ως εξής:
«Οι διατάξεις σχετικά με τη δημοσιότητα της δράσεως των δημοσίων αρχών εφαρμόζονται στο δικαίωμα προσβάσεως και στις άλλες μορφές γνωστοποιήσεως προσωπικών δεδομένων τα οποία προέρχονται από τα μητρώα φυσικών προσώπων που τηρούν δημόσιες αρχές.»
Ο νόμος περί δημοσιότητας της δράσεως των δημοσίων αρχών (621/1999)
14 Ο laki viranomaisten toiminnan julkisuudesta (621/1999) [νόμος περί δημοσιότητας της δράσεως των δημοσίων αρχών (621/1999)] προβλέπει στο άρθρο 13 τα εξής:
«Η αίτηση παροχής πληροφοριών σχετικά με το περιεχόμενο ενός επίσημου εγγράφου πρέπει να είναι αρκούντως ακριβής ώστε να επιτρέπει στη δημόσια αρχή να προσδιορίσει το έγγραφο το οποίο αφορά η αίτηση. Προκειμένου ο αιτούμενος τις πληροφορίες να μπορεί να ταυτοποιήσει το έγγραφο στο οποίο επιθυμεί να έχει πρόσβαση πρέπει να μπορεί να έχει στη διάθεσή του το βιβλίο εισερχομένων καθώς και άλλα αρχεία. Ο αιτούμενος τις πληροφορίες δεν είναι υποχρεωμένος να δηλώσει τα στοιχεία της ταυτότητάς του ούτε να αιτιολογήσει την αίτησή του, εκτός αν η δήλωση ή η αιτιολόγηση είναι απαραίτητη για την άσκηση της διακριτικής ευχέρειας η οποία έχει απονεμηθεί στη διοικητική αρχή ή προκειμένου η εν λόγω αρχή να διαπιστώσει κατά πόσον υφίσταται δικαίωμα προσβάσεως του αιτουμένου στο περιεχόμενο του εγγράφου.
Ο αιτούμενος πληροφορίες, όταν ζητεί πρόσβαση σε εμπιστευτικό έγγραφο, σε μητρώο φυσικών προσώπων τηρούμενο από δημόσια αρχή ή σε οποιοδήποτε άλλο έγγραφο στο οποίο μπορεί να επιτραπεί η πρόσβαση μόνον υπό ορισμένες προϋποθέσεις, πρέπει, εκτός αν υπάρχει ειδική διάταξη που ορίζει το αντίθετο, να αναφέρει τον σκοπό της χρήσεως των πληροφοριών και κάθε άλλο στοιχείο που είναι αναγκαίο για τον καθορισμό των προϋποθέσεων γνωστοποιήσεως των πληροφοριών αυτών και, εάν παρίσταται ανάγκη, να αναφέρει τον τρόπο με τον οποίο πρέπει να οργανωθεί η προστασία των πληροφοριών αυτών.»
15 Το άρθρο 16 του νόμου ορίζει τα εξής:
«Η πρόσβαση στο περιεχόμενο εγγράφου ευρισκόμενου στην κατοχή δημόσιας αρχής παρέχεται προφορικώς ή με παραμονή του εγγράφου στην αρμόδια αρχή για ενημέρωση, αντιγραφή ή ακρόαση ή ακόμη με χορήγηση αντιγράφου ή με εκτύπωση του εγγράφου. Παρέχεται πρόσβαση στο δημόσιο περιεχόμενο ενός εγγράφου σύμφωνα με την αίτηση, εκτός εάν τούτο εμποδίζει δυσανάλογα τη διοικητική δραστηριότητα, λόγω του μεγάλου αριθμού εγγράφων, της δυσκολίας αντιγραφής ενός εγγράφου ή για άλλους παρεμφερείς λόγους.
[…]
Εκτός αν ειδική διάταξη νόμου προβλέπει άλλως, επιτρέπεται η χορήγηση δεδομένων προσωπικού χαρακτήρα από μητρώο φυσικών προσώπων τηρούμενο από δημόσια αρχή υπό μορφή αντιγράφου ή εκτυπώσεως ή σε ηλεκτρονική μορφή, εφόσον ο λήπτης έχει δικαίωμα, βάσει των διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα, στην αποθήκευση και χρήση των δεδομένων αυτών. Ωστόσο, τα δεδομένα προσωπικού χαρακτήρα μπορούν να γνωστοποιούνται για σκοπούς άμεσης εμπορικής προωθήσεως και για τη μελέτη της κοινής γνώμης ή της αγοράς μόνον εφόσον τούτο προβλέπεται ειδικώς ή εάν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του.
[…]»
Ο νόμος περί δημοσιότητας της διαδικασίας ενώπιον των τακτικών δικαστηρίων (370/2007)
16 Κατά το άρθρο 1 του laki oikeudenkäynnin julkisudesta yleisissä tuomioistuimissa (370/2007) [νόμου περί δημοσιότητας της διαδικασίας ενώπιον των τακτικών δικαστηρίων (370/2007)]:
«Η διαδικασία και οι διαδικαστικές πράξεις είναι δημόσιες, εκτός αν ορίζεται άλλως στον παρόντα ή σε άλλον νόμο.»
Ο νόμος περί επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε ποινικές υποθέσεις και στο πλαίσιο της διαφυλάξεως της εθνικής ασφαλείας (1054/2018)
17 Το άρθρο 1 του laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018) [νόμου περί επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε ποινικές υποθέσεις και στο πλαίσιο της διαφυλάξεως της εθνικής ασφαλείας (1054/2018)] προβλέπει, στο πρώτο εδάφιό του, ότι ο ανωτέρω νόμος εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές όταν πρόκειται, μεταξύ άλλων, για επεξεργασία ποινικής υποθέσεως ενώπιον δικαστηρίου. Κατά το τέταρτο εδάφιό του, ο εν λόγω νόμος εφαρμόζεται μόνο σε επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του πρώτου εδαφίου, η οποία είναι αυτοματοποιημένη εν όλω ή εν μέρει ή στο πλαίσιο της οποίας τα δεδομένα τα οποία υποβάλλονται σε επεξεργασία αποτελούν ή προορίζονται να αποτελέσουν αρχείο ή μέρος αυτού.
18 Κατά το άρθρο 2, πρώτο εδάφιο, του εν λόγω νόμου:
«Οι διατάξεις σχετικά με τη δημοσιότητα της δράσεως των δημοσίων αρχών εφαρμόζονται στο δικαίωμα προσβάσεως και στις άλλες μορφές γνωστοποιήσεως προσωπικών δεδομένων τα οποία προέρχονται από μητρώα φυσικών προσώπων τηρούμενα από δημόσιες αρχές.»
Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
19 Η Endemol Shine Finland, προσφεύγουσα της κύριας δίκης, ζήτησε προφορικώς από το Etelä-Savon käräjäoikeus (πρωτοβάθμιο δικαστήριο του νότιου Savo, Φινλανδία) πληροφορίες σχετικά με τυχόν εκτιόμενες ή ήδη εκτιθείσες ποινικές καταδίκες φυσικού προσώπου που συμμετείχε σε διαγωνισμό διοργανωθέντα από την ανωτέρω εταιρία, προκειμένου να εξακριβώσει το ποινικό παρελθόν του εν λόγω προσώπου.
20 Το Etelä-Savon käräjäoikeus (πρωτοβάθμιο δικαστήριο του Νότιου Savo), μολονότι διέλαβε ότι το αίτημα αυτό αφορούσε δημόσιες αποφάσεις ή δημόσιες πληροφορίες κατά την έννοια του νόμου περί δημοσιότητας της διαδικασίας ενώπιον των δικαστηρίων, εντούτοις απέρριψε το αίτημα της προσφεύγουσας της κύριας δίκης. Κατά το ανωτέρω δικαστήριο, ο λόγος τον οποίον επικαλέστηκε η προσφεύγουσα της κύριας δίκης δεν αφορούσε την επεξεργασία ποινικών καταδικαστικών αποφάσεων ή αξιόποινων πράξεων, κατά την έννοια του άρθρου 7 του νόμου περί προστασίας των δεδομένων προσωπικού χαρακτήρα. Επειδή, κατά το ως άνω εθνικό δικαστήριο, επεξεργασία δεδομένων προσωπικού χαρακτήρα θα συνιστούσε και η αναζήτηση στα πληροφοριακά συστήματα του εν λόγω δικαστηρίου, οι ζητηθείσες πληροφορίες δεν θα μπορούσαν να είχαν γνωστοποιηθεί ούτε προφορικώς.
21 Η προσφεύγουσα της κύριας δίκης προσέβαλε την ανωτέρω απόφαση ενώπιον του Itä-Suomen hovioikeus (εφετείου Ανατολικής Φινλανδίας, Φινλανδία), το οποίο είναι το αιτούν δικαστήριο, υποστηρίζοντας ότι η προφορική παροχή των πληροφοριών τις οποίες ζητεί δεν συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ.
22 Το αιτούν δικαστήριο διερωτάται ως προς το κατά πόσον το άρθρο 2, παράγραφος 1, και το άρθρο 4, σημείο 2, του ΓΚΠΔ έχουν την έννοια ότι η προφορική παροχή πληροφοριών για τυχόν εκτιόμενες ή ήδη εκτιθείσες ποινικές καταδίκες φυσικού προσώπου συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα υπό το πρίσμα του ανωτέρω κανονισμού. Συναφώς, το αιτούν δικαστήριο επισημαίνει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις φινλανδικές δημόσιες αρχές διέπεται από τον νόμο περί προστασίας των δεδομένων προσωπικού χαρακτήρα. Εντούτοις, οι περιορισμοί που συνήθως συνδέονται με την επεξεργασία τέτοιων δεδομένων δεν έχουν εφαρμογή, λόγω του δημόσιου χαρακτήρα των ευρισκόμενων στην κατοχή των αρχών αυτών δεδομένων, αλλά και λόγω του άρθρου 28 του ίδιου νόμου και του άρθρου 2, δεύτερο εδάφιο, του νόμου περί επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε ποινικές υποθέσεις και στο πλαίσιο της διαφυλάξεως της εθνικής ασφαλείας (1054/2018).
23 Προκειμένου να συμβιβασθεί η προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα προσβάσεως του κοινού στις πληροφορίες, το άρθρο 16 του νόμου περί δημοσιότητας της δράσεως των δημοσίων αρχών (621/1999) περιορίζει τη γνωστοποίηση, υπό μορφή αντιγράφου, εκτυπώσεως ή υπό ηλεκτρονική μορφή, δεδομένων προσωπικού χαρακτήρα που προέρχονται από μητρώο φυσικών προσώπων τηρούμενο από δημόσια αρχή. Εντούτοις, δεδομένου ότι το άρθρο αυτό δεν έχει εφαρμογή στην προφορική γνωστοποίηση δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται σε μητρώα φυσικών προσώπων τα οποία ευρίσκονται στην κατοχή των δημοσίων αρχών, τίθεται το ερώτημα πώς πρέπει να διασφαλισθεί ο συμβιβασμός αυτός και πώς μπορούν να ληφθούν υπόψη σημαντικές παράμετροι σχετικές με την προστασία των δεδομένων προσωπικού χαρακτήρα όταν τα δεδομένα αυτά τα οποία περιλαμβάνονται σε μητρώα φυσικών προσώπων δημοσίων αρχών γνωστοποιούνται προφορικώς.
24 Υπό τις συνθήκες αυτές, το Itä-Suomen hovioikeus (εφετείο ανατολικής Φινλανδίας) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«1. Συνιστά η προφορική γνωστοποίηση δεδομένων προσωπικού χαρακτήρα επεξεργασία κατά την έννοια του άρθρου 2, παράγραφος 1, και του άρθρου 4, σημείο 2, του [ΓΚΠΔ];
2. Μπορεί το δικαίωμα πρόσβασης του κοινού σε επίσημα έγγραφα, όπως αυτό κατοχυρώνεται στο άρθρο 86 του [ΓΚΠΔ], να συμβιβασθεί με το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα βάσει του [ΓΚΠΔ], υπό την έννοια ότι μπορούν να παρέχονται απεριορίστως πληροφορίες από το μητρώο φυσικών προσώπων που τηρείται σε ένα δικαστήριο για ποινικές καταδίκες ή για αξιόποινες πράξεις φυσικού προσώπου, όταν ζητείται η προφορική γνωστοποίηση τέτοιων πληροφοριών στον αιτούμενο;
3. Έχει σημασία για την απάντηση στο δεύτερο ερώτημα το αν ο αιτούμενος την πρόσβαση είναι εταιρία ή φυσικό πρόσωπο;»
Επί των προδικαστικών ερωτημάτων
Επί του πρώτου προδικαστικού ερωτήματος
25 Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινισθεί αν το άρθρο 2, παράγραφος 1, και το άρθρο 4, σημείο 2, του ΓΚΠΔ έχουν την έννοια ότι η προφορική γνωστοποίηση πληροφοριών σχετικά με τυχόν εκτιόμενες ή ήδη εκτιθείσες ποινικές καταδίκες φυσικού προσώπου συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ, και, σε περίπτωση καταφατικής απαντήσεως, αν η επεξεργασία αυτή εμπίπτει στο καθ’ ύλην πεδίο εφαρμογής του ΓΚΠΔ, όπως αυτό ορίζεται στο άρθρο του 2, παράγραφος 1.
26 Προκαταρκτικώς, αφενός, υπενθυμίζεται ότι, για την ερμηνεία των εν λόγω διατάξεων του δικαίου της Ένωσης, πρέπει να λαμβάνεται υπόψη όχι μόνον το γράμμα τους, αλλά και το πλαίσιο στο οποίο εντάσσονται και οι σκοποί που επιδιώκονται με τη ρύθμιση της οποίας αποτελούν μέρος [απόφαση της 12ης Ιανουαρίου 2023, Österreichische Post (Πληροφορίες σχετικές με τους αποδέκτες προσωπικών δεδομένων), C‑154/21, EU:C:2023:3, σκέψη 29].
27 Αφετέρου, πρέπει να υπογραμμισθεί ότι στη διαφορά της κύριας δίκης δεν αμφισβητείται ότι οι πληροφορίες των οποίων τη γνωστοποίηση ζητεί η προσφεύγουσα της κύριας δίκης συνιστούν δεδομένα προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ.
28 Το άρθρο 4, παράγραφος 2, του ΓΚΠΔ ορίζει την «επεξεργασία» ως «κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα».
29 Από την έκφραση «κάθε πράξη» προκύπτει, μεταξύ άλλων, ότι ο νομοθέτης της Ένωσης θέλησε να προσδώσει στην έννοια της «επεξεργασίας» ευρύ περιεχόμενο, όπερ επιβεβαιώνεται από τον μη εξαντλητικό χαρακτήρα, ο οποίος εκφράζεται με τη λέξη «όπως», των πράξεων που απαριθμούνται στην εν λόγω διάταξη [πρβλ. αποφάσεις της 24ης Φεβρουαρίου 2022, Valsts ieņēmumu dienests (Επεξεργασία των δεδομένων προσωπικού χαρακτήρα για φορολογικούς σκοπούς), C‑175/20, EU:C:2022:124, σκέψη 35, και της 22ας Ιουνίου 2023, Pankki S, C‑579/21, EU:C:2023:501, σκέψη 46].
30 Η απαρίθμηση αυτή αφορά, μεταξύ άλλων, την κοινολόγηση με διαβίβαση, τη διάδοση και «κάθε άλλη μορφή διάθεσης», οι δε εργασίες αυτές μπορούν να είναι αυτοματοποιημένες ή μη αυτοματοποιημένες. Συναφώς, το άρθρο 4, σημείο 2, του ΓΚΠΔ δεν θέτει καμία προϋπόθεση όσον αφορά τη μορφή της «μη αυτοματοποιημένης» επεξεργασίας. Ως εκ τούτου, η έννοια της «επεξεργασίας» καλύπτει την προφορική γνωστοποίηση.
31 Η ανωτέρω ερμηνεία της εννοίας της «επεξεργασίας» επιρρωννύεται από τον σκοπό του ΓΚΠΔ, ο οποίος συνίσταται, μεταξύ άλλων, όπως προκύπτει από το άρθρο του 1 και τις αιτιολογικές του σκέψεις 1 και 10, στη διασφάλιση υψηλού επιπέδου προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων και, ειδικότερα, του δικαιώματός τους στην ιδιωτική ζωή έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, το οποίο κατοχυρώνεται στο άρθρο 8, παράγραφος 1, του Χάρτη και στο άρθρο 16, παράγραφος 1, ΣΛΕΕ [πρβλ. απόφαση της 4ης Μαΐου 2023, Bundesrepublik Deutschland (Ηλεκτρονική ταχυδρομική θυρίδα δικαστηρίου), C‑60/22, EU:C:2023:373, σκέψη 64]. Συγκεκριμένα, η δυνατότητα καταστρατηγήσεως της εφαρμογής του ΓΚΠΔ δια της προφορικής, αντί της έγγραφης, γνωστοποιήσεως δεδομένων προσωπικού χαρακτήρα θα ήταν προδήλως ασύμβατη προς τον σκοπό αυτόν.
32 Υπό τις συνθήκες αυτές, η έννοια της «επεξεργασίας» του άρθρου 4, σημείο 2, του ΓΚΠΔ οπωσδήποτε καλύπτει την προφορική γνωστοποίηση δεδομένων προσωπικού χαρακτήρα.
33 Ωστόσο, τίθεται ακόμη το ζήτημα αν μια τέτοια επεξεργασία εμπίπτει στο καθ’ ύλην πεδίο εφαρμογής του ΓΚΠΔ. Το άρθρο 2 του ΓΚΠΔ, το οποίο καθορίζει το εν λόγω πεδίο εφαρμογής, ορίζει, στην παράγραφο 1, ότι ο ΓΚΠΔ εφαρμόζεται στην «εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία» καθώς και στη «μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης».
34 Συναφώς, από το γράμμα της τελευταίας αυτής διατάξεως καθώς και από την αιτιολογική σκέψη 15 του ΓΚΠΔ προκύπτει ότι ο κανονισμός αυτός εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη διά χειρός επεξεργασία δεδομένων προσωπικού χαρακτήρα, προκειμένου να μην εξαρτάται η προστασία που παρέχει ο εν λόγω κανονισμός στα πρόσωπα των οποίων τα δεδομένα υποβάλλονται σε επεξεργασία από τις χρησιμοποιούμενες τεχνικές και να αποτρέπονται σοβαροί κίνδυνοι καταστρατηγήσεως της προστασίας αυτής. Ωστόσο, από το άρθρο και τις αιτιολογικές σκέψεις που προαναφέρθηκαν προκύπτει επίσης ότι ο ΓΚΠΔ εφαρμόζεται στη διά χειρός επεξεργασία δεδομένων προσωπικού χαρακτήρα μόνον εφόσον τα δεδομένα που υποβάλλονται σε επεξεργασία «περιλαμβάνονται ή πρόκειται να περιληφθούν σε «σύστημα αρχειοθέτησης» (πρβλ., κατ’ αναλογίαν, απόφαση της 10ης Ιουλίου 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, σκέψη 53).
35 Δεδομένου ότι η προφορική γνωστοποίηση συνιστά, αυτή καθεαυτήν, μη αυτοματοποιημένη επεξεργασία, τα δεδομένα που αποτελούν αντικείμενο της επεξεργασίας αυτής πρέπει, επομένως, να «περιλαμβάνονται» ή να «πρόκειται να περιληφθούν» σε «σύστημα αρχειοθέτησης» προκειμένου η εν λόγω επεξεργασία να εμπίπτει στο καθ’ ύλην πεδίο εφαρμογής του ΓΚΠΔ.
36 Όσον αφορά την έννοια του «συστήματος αρχειοθέτησης», το άρθρο 4, σημείο 6, του ΓΚΠΔ ορίζει ότι καλύπτει «κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση».
37 Συναφώς, το Δικαστήριο έχει κρίνει ότι, σύμφωνα με τον σκοπό που υπομνήσθηκε στη σκέψη 34 της παρούσας αποφάσεως, η ως άνω διάταξη ορίζει ευρέως την έννοια του «συστήματος αρχειοθέτησης», υπάγοντας σε αυτή, μεταξύ άλλων, «κάθε» διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα. Επιπλέον, η απαίτηση κατά την οποία το σύνολο δεδομένων προσωπικού χαρακτήρα πρέπει να έχει «διαρθρωμένο χαρακτήρα σύμφωνα με συγκεκριμένα κριτήρια» αποσκοπεί αποκλειστικά στο να καταστεί δυνατή η ευχερής εύρεση των δεδομένων που αφορούν ένα πρόσωπο. Πέραν της ανωτέρω απαιτήσεως, το άρθρο 4, σημείο 6, του ΓΚΠΔ δεν ορίζει ούτε τον τρόπο με τον οποίο πρέπει να είναι δομημένο το σύστημα αρχειοθετήσεως ούτε τη μορφή που πρέπει να έχει. Ειδικότερα, ούτε από τη διάταξη αυτή ούτε από καμία άλλη διάταξη του ΓΚΠΔ προκύπτει ότι τα επίμαχα δεδομένα προσωπικού χαρακτήρα πρέπει να περιλαμβάνονται σε δελτία ή ειδικούς καταλόγους ή ακόμη σε άλλο σύστημα αναζητήσεως, ώστε να μπορεί να γίνει δεκτό ότι υφίσταται σύστημα αρχειοθετήσεως κατά την έννοια του εν λόγω κανονισμού (βλ., κατ’ αναλογίαν, απόφαση της 10ης Ιουλίου 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, σκέψεις 56 έως 58).
38 Εν προκειμένω, από την αίτηση προδικαστικής αποφάσεως προκύπτει ότι τα δεδομένα που ζήτησε η προσφεύγουσα της κύριας δίκης περιλαμβάνονται σε «σύστημα αρχειοθετήσεως δεδομένων προσωπικού χαρακτήρα τηρούμενο από δικαστήριο». Επομένως, φαίνεται ότι τα δεδομένα αυτά περιλαμβάνονται σε σύστημα αρχειοθετήσεως κατά την έννοια του άρθρου 4, σημείο 6, του ΓΚΠΔ, όπερ εναπόκειται πάντως στο αιτούν δικαστήριο να εξακριβώσει, χωρίς να έχει σημασία αν τα εν λόγω δεδομένα περιλαμβάνονται σε ηλεκτρονικές βάσεις δεδομένων ή ακόμη σε φακέλους ή φυσικά μητρώα.
39 Υπό τις συνθήκες αυτές, στο πρώτο προδικαστικό ερώτημα προσήκει η απάντηση ότι το άρθρο 2, παράγραφος 1, και το άρθρο 4, σημείο 2, του ΓΚΠΔ έχουν την έννοια ότι η προφορική γνωστοποίηση πληροφοριών σχετικά με τυχόν εκτιόμενες ή ήδη εκτιθείσες ποινικές καταδίκες φυσικού προσώπου συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ, η οποία εμπίπτει στο καθ’ ύλην πεδίο εφαρμογής του, εφόσον οι πληροφορίες αυτές περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθετήσεως.
Επί του δευτέρου και του τρίτου προδικαστικού ερωτήματος
40 Με το δεύτερο και το τρίτο προδικαστικό ερώτημα, τα οποία πρέπει να εξετασθούν από κοινού, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινισθεί αν οι διατάξεις του ΓΚΠΔ, και ιδίως το άρθρο 86 αυτού, έχουν την έννοια ότι δεδομένα τα οποία αφορούν ποινικές καταδίκες φυσικού προσώπου και περιλαμβάνονται σε αρχείο το οποίο τηρείται από δικαστήριο δεν μπορούν να γνωστοποιούνται προφορικά, με σκοπό τη διασφάλιση της προσβάσεως του κοινού σε επίσημα έγγραφα, χωρίς να απαιτείται να αποδείξει το πρόσωπο το οποίο αιτείται την κοινοποίηση συγκεκριμένο συμφέρον για τη λήψη των εν λόγω δεδομένων, και αν η απάντηση στο ερώτημα αυτό διαφέρει αναλόγως του αν το πρόσωπο αυτό είναι εμπορική εταιρία ή φυσικό πρόσωπο.
41 Το ερώτημα αυτό ανακύπτει διότι η επίμαχη στην κύρια δίκη εθνική νομοθεσία δεν απαιτεί την τήρηση των εθνικών διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα όταν τα δεδομένα αυτά γνωστοποιούνται προφορικώς.
42 Συναφώς, υπενθυμίζεται ότι, δυνάμει του άρθρου 288, δεύτερο εδάφιο, ΣΛΕΕ, ο κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος. Επομένως, ακριβώς λόγω της φύσεώς τους και της λειτουργίας τους εντός του συστήματος των πηγών του δικαίου της Ένωσης, οι διατάξεις των κανονισμών παράγουν, κατά κανόνα, άμεσα αποτελέσματα στις εθνικές έννομες τάξεις, χωρίς να απαιτείται οι εθνικές αρχές να λάβουν μέτρα εφαρμογής (αποφάσεις της 16ης Ιουνίου 2022, Port de Bruxelles και Région de Bruxelles-Capitale, C‑229/21, EU:C:2022:471, σκέψη 47, και της 30ής Μαρτίου 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, σκέψη 77).
43 Επομένως, ένα εθνικό δικαστήριο οφείλει να εφαρμόσει τις απαιτήσεις του ΓΚΠΔ στο σύνολό του, ακόμη και αν δεν υφίσταται ειδική διάταξη του εφαρμοστέου εθνικού δικαίου η οποία να επιτρέπει να ληφθούν υπόψη τα συμφέροντα του προσώπου του οποίου τα δεδομένα προσωπικού χαρακτήρα διακυβεύονται (πρβλ. απόφαση της 2ας Μαρτίου 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, σκέψεις 44 και 59).
44 Από τις ανωτέρω σκέψεις προκύπτει ότι η προφορική γνωστοποίηση δεδομένων σχετικών με ποινικές καταδίκες φυσικού προσώπου μπορεί να πραγματοποιηθεί μόνον εφόσον πληρούνται οι προϋποθέσεις του ΓΚΠΔ, εφόσον τα δεδομένα αυτά περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθετήσεως.
45 Επισημαίνεται συναφώς ότι, κατά πάγια νομολογία του Δικαστηρίου, κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει, αφενός, να είναι σύμφωνη προς τις αρχές που διέπουν την επεξεργασία των δεδομένων, οι οποίες διατυπώνονται στο άρθρο 5 του ΓΚΠΔ και, αφετέρου, λαμβανομένης ιδίως υπόψη της αρχής της νομιμότητας της επεξεργασίας, την οποία προβλέπει η παράγραφος 1, στοιχείο αʹ, του άρθρου αυτού, να πληροί μία από τις προϋποθέσεις νομιμότητας της επεξεργασίας που απαριθμούνται στο άρθρο 6 του κανονισμού [πρβλ. αποφάσεις της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 96, και της 7ης Δεκεμβρίου 2023, SCHUFA Holding κ.λπ. (Scoring), C‑634/21, EU:C:2023:957, σκέψη 67].
46 Ειδικότερα, η επίμαχη στην κύρια δίκη επεξεργασία δεδομένων προσωπικού χαρακτήρα, ήτοι η προφορική κοινοποίηση στο κοινό δεδομένων σχετικών με ποινικά αδικήματα, ενδέχεται να εμπίπτει στο άρθρο 6, παράγραφος 1, στοιχείο εʹ, του ΓΚΠΔ, δυνάμει του οποίου η επεξεργασία είναι σύννομη, εάν, και στο μέτρο που, είναι «απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας» [πρβλ. απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 99].
47 Επιπλέον, όσον αφορά ειδικότερα τα δεδομένα σχετικά με ποινικές καταδίκες και αδικήματα, το άρθρο 10 του ΓΚΠΔ επιβάλλει πρόσθετους περιορισμούς στην επεξεργασία τους. Κατά τη διάταξη αυτή, η επεξεργασία των εν λόγω δεδομένων «μπορεί να διενεργείται μόνο υπό τον έλεγχο επίσημης αρχής», εκτός εάν «επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων» [πρβλ. απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima, (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 100].
48 Το Δικαστήριο έχει κρίνει ότι ούτε το άρθρο 6, παράγραφος 1, στοιχείο εʹ, ούτε το άρθρο 10 του ΓΚΠΔ απαγορεύουν κατά τρόπο γενικό και απόλυτο να έχει μια δημόσια αρχή την εξουσία ή και την υποχρέωση να κοινολογήσει δεδομένα προσωπικού χαρακτήρα στα πρόσωπα που υποβάλλουν σχετική αίτηση [πρβλ. απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima, (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 103].
49 Επομένως, ο ΓΚΠΔ δεν αντιτίθεται στη γνωστοποίηση δεδομένων προσωπικού χαρακτήρα στο κοινό όταν η γνωστοποίηση είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας, κατά την έννοια του άρθρου 6, παράγραφος 1, στοιχείο εʹ, του κανονισμού αυτού. Τούτο ισχύει ακόμη και όταν τα επίμαχα δεδομένα εμπίπτουν στο άρθρο 10 του ΓΚΠΔ, υπό την προϋπόθεση ότι η νομοθεσία που επιτρέπει τη γνωστοποίηση προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων [πρβλ. απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής) (C‑439/19, EU:C:2021:504, σκέψη 104).
50 Εν προκειμένω, από την απόφαση περί παραπομπής καθώς και από τις γραπτές παρατηρήσεις που υπέβαλε η Φινλανδική Κυβέρνηση προκύπτει ότι η εθνική νομοθεσία σχετικά με τη δημοσιότητα των ενεργειών των δημοσίων αρχών και τη δημοσιότητα της διαδικασίας ενώπιον των τακτικών δικαστηρίων αποσκοπεί στην εκπλήρωση της αποστολής δημοσίου συμφέροντος η οποία συνίσταται στην εξασφάλιση της δυνατότητας πρόσβασης του κοινού στα επίσημα έγγραφα.
51 Υπό τις συνθήκες αυτές, το αιτούν δικαστήριο ζητεί να διευκρινισθεί, ειδικότερα, αν η επίμαχη στην κύρια δίκη επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να θεωρηθεί σύννομη υπό το πρίσμα της αρχής της αναλογικότητας, ιδίως υπό το πρίσμα της σταθμίσεως που πρέπει να πραγματοποιείται μεταξύ, αφενός, του δικαιώματος προσβάσεως του κοινού σε επίσημα έγγραφα, το οποίο προβλέπεται στο άρθρο 86 του ΓΚΠΔ, και, αφετέρου, των θεμελιωδών δικαιωμάτων στον σεβασμό της ιδιωτικής ζωής και στην προστασία των δεδομένων προσωπικού χαρακτήρα, τα οποία κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη.
52 Ως προς το τελευταίο αυτό ζήτημα, υπενθυμίζεται ότι τα θεμελιώδη δικαιώματα στον σεβασμό της ιδιωτικής ζωής και στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτα, όπως αναφέρεται στην αιτιολογική σκέψη 4 του ΓΚΠΔ, αλλά πρέπει να λαμβάνονται υπόψη σε σχέση με τη λειτουργία τους στην κοινωνία και να σταθμίζονται με άλλα θεμελιώδη δικαιώματα. Επομένως, επιτρέπεται η επιβολή περιορισμών, υπό την προϋπόθεση ότι, σύμφωνα με το άρθρο 52, παράγραφος 1, του Χάρτη, προβλέπονται από τον νόμο και είναι σύμφωνοι με το βασικό περιεχόμενο των θεμελιωδών δικαιωμάτων καθώς και με την αρχή της αναλογικότητας. Βάσει της εν λόγω αρχής, περιορισμοί επιτρέπεται να επιβάλλονται μόνον εφόσον είναι αναγκαίοι και ανταποκρίνονται πραγματικά σε σκοπούς γενικού συμφέροντος τους οποίους αναγνωρίζει η Ένωση ή στην ανάγκη προστασίας των δικαιωμάτων και ελευθεριών των τρίτων. Οι περιορισμοί αυτοί πρέπει να μην υπερβαίνουν τα όρια του απολύτως αναγκαίου, ενώ η ρύθμιση που συνεπάγεται την επέμβαση πρέπει να προβλέπει σαφείς και ακριβείς κανόνες που να διέπουν την έκταση και την εφαρμογή του επίμαχου μέτρου [πρβλ. απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 105].
53 Προκειμένου να κριθεί αν η γνωστοποίηση στο κοινό δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας, κατά την έννοια του άρθρου 6, παράγραφος 1, στοιχείο εʹ, του ΓΚΠΔ, και αν η νομοθεσία που επιτρέπει μια τέτοια γνωστοποίηση προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, κατά την έννοια του άρθρου 10 του ΓΚΠΔ, πρέπει να εξακριβωθεί ιδίως αν η εν λόγω γνωστοποίηση, λαμβανομένης υπόψη της σοβαρότητας της επεμβάσεως στα θεμελιώδη δικαιώματα του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα την οποία συνεπάγεται, δικαιολογείται, και ιδίως αν τελεί σε αναλογία, χάριν επιτεύξεως των επιδιωκόμενων σκοπών [πρβλ. απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 106].
54 Όσον αφορά τη σοβαρότητα της επεμβάσεως στα δικαιώματα αυτά, το Δικαστήριο έχει κρίνει ότι η επεξεργασία δεδομένων σχετικών με ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφαλείας μπορεί, λόγω του ιδιαιτέρως ευαίσθητου χαρακτήρα των δεδομένων αυτών, να συνιστά ιδιαιτέρως σοβαρή επέμβαση στα θεμελιώδη δικαιώματα του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα, τα οποία κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη. Συγκεκριμένα, εφόσον τα δεδομένα αυτά αφορούν συμπεριφορές που προκαλούν την κοινωνική αποδοκιμασία, η παροχή προσβάσεως στα ίδια αυτά δεδομένα ενδέχεται να οδηγήσει σε στιγματισμό του υποκειμένου των δεδομένων και να αποτελέσει, ως εκ τούτου, σοβαρή επέμβαση στην ιδιωτική ή επαγγελματική ζωή του [πρβλ. απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψεις 74, 75 και 112].
55 Μολονότι η πρόσβαση του κοινού στα επίσημα έγγραφα, στην οποία αναφέρεται το αιτούν δικαστήριο, συνιστά, όπως προκύπτει από την αιτιολογική σκέψη 154 του ΓΚΠΔ, δημόσιο συμφέρον ικανό να νομιμοποιήσει τη γνωστοποίηση δεδομένων προσωπικού χαρακτήρα που περιέχονται σε τέτοια έγγραφα, εντούτοις η πρόσβαση σε αυτά πρέπει να συμβιβάζεται με τα θεμελιώδη δικαιώματα του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως εξάλλου επιτάσσει ρητώς το άρθρο 86 του ΓΚΠΔ. Λαμβανομένου υπόψη, μεταξύ άλλων, του ευαίσθητου χαρακτήρα των δεδομένων που αφορούν ποινικές καταδίκες και της σοβαρότητας της επεμβάσεως στα θεμελιώδη δικαιώματα του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων, την οποία συνεπάγεται η γνωστοποίηση των δεδομένων αυτών, πρέπει να γίνει δεκτό ότι τα ανωτέρω δικαιώματα υπερισχύουν του συμφέροντος του κοινού να αποκτήσει πρόσβαση στα επίσημα έγγραφα [πρβλ. απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής) (C‑439/19, EU:C:2021:504, σκέψη 120].
56 Για τον ίδιο λόγο, το δικαίωμα στην ελευθερία της πληροφορήσεως που προβλέπεται στο άρθρο 85 του ΓΚΠΔ δεν μπορεί να ερμηνευθεί υπό την έννοια ότι δικαιολογεί τη γνωστοποίηση σε κάθε πρόσωπο που υποβάλλει σχετικό αίτημα δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες [πρβλ. απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 121].
57 Συναφώς, είναι άνευ σημασίας αν το πρόσωπο το οποίο ζητεί πρόσβαση στα δεδομένα που αφορούν ποινικές καταδίκες είναι εμπορική εταιρία ή φυσικό πρόσωπο ή αν τα εν λόγω δεδομένα γνωστοποιούνται εγγράφως ή προφορικώς.
58 Λαμβανομένων υπόψη των ανωτέρω σκέψεων, στο δεύτερο και στο τρίτο προδικαστικό ερώτημα προσήκει η απάντηση ότι οι διατάξεις του ΓΚΠΔ, ιδίως το άρθρο του 6, παράγραφος 1, στοιχείο εʹ, και το άρθρο του 10, έχουν την έννοια ότι δεδομένα τα οποία αφορούν ποινικές καταδίκες φυσικού προσώπου και περιλαμβάνονται σε αρχείο τηρούμενο από δικαστήριο δεν μπορούν να γνωστοποιούνται προφορικά, με σκοπό τη διασφάλιση της πρόσβασης του κοινού σε επίσημα έγγραφα, χωρίς να απαιτείται να αποδείξει ο αιτούμενος τη γνωστοποίηση ειδικό συμφέρον για τη λήψη των εν λόγω δεδομένων, είναι δε άνευ σημασίας συναφώς αν το εν λόγω πρόσωπο είναι εμπορική εταιρία ή φυσικό πρόσωπο.
Επί των δικαστικών εξόδων
59 Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σε αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (έκτο τμήμα) αποφαίνεται:
1) Το άρθρο 2, παράγραφος 1, και το άρθρο 4, σημείο 2, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων),
έχουν την έννοια ότι:
η προφορική γνωστοποίηση πληροφοριών σχετικά με τυχόν εκτιόμενες ή ήδη εκτιθείσες ποινικές καταδίκες φυσικού προσώπου συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 4, σημείο 2, του ανωτέρω κανονισμού, η οποία εμπίπτει στο καθ’ ύλην πεδίο εφαρμογής του, εφόσον οι πληροφορίες αυτές περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθετήσεως.
2) Οι διατάξεις του κανονισμού (ΕΕ) 2016/679, ιδίως το άρθρο του 6, παράγραφος 1, στοιχείο εʹ, και το άρθρο του 10,
έχουν την έννοια ότι:
δεδομένα τα οποία αφορούν ποινικές καταδίκες φυσικού προσώπου και περιλαμβάνονται σε αρχείο τηρούμενο από δικαστήριο δεν μπορούν να γνωστοποιούνται προφορικά, με σκοπό τη διασφάλιση της πρόσβασης του κοινού σε επίσημα έγγραφα, χωρίς να απαιτείται να αποδείξει ο αιτούμενος τη γνωστοποίηση ειδικό συμφέρον για τη λήψη των εν λόγω δεδομένων, είναι δε άνευ σημασίας συναφώς αν το εν λόγω πρόσωπο είναι εμπορική εταιρία ή φυσικό πρόσωπο.
(υπογραφές)