–

VS, esindaja: V. Harizanova,

–

Inspektor v Inspektorata kam Visshia sadeben savet, esindaja: S. Mulyachka,

–

Bulgaaria valitsus, esindajad: M. Georgieva ja T. Mitova,

–

Tšehhi valitsus, esindajad: O. Serdula, M. Smolek ja J. Vláčil,

–

Madalmaade valitsus, esindajad: M. K. Bulterman ja J. M. Hoogveld,

–

Euroopa Komisjon, esindajad: H. Kranenborg ja I. Zaloguin,

1

Eelotsusetaotlus käsitleb küsimust, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT 2016, L 119, lk 89), artikli 1 lõiget 1 ja Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrust (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“), eeskätt selle määruse artikli 6 lõiget 1.

2

Taotlus on esitatud VSi ja Inspektor v Inspektorata kam Visshia sadeben saveti (kohtuvõimu ülemnõukogu inspektsioon, Bulgaaria; edaspidi „IVSS“) vahelises kohtuvaidluses Petrichi rajooni prokuratuuri (Bulgaaria) poolt VSi isikuandmete töötlemise seaduslikkuse üle.

3

Isikuandmete kaitse üldmääruse põhjendustes 19, 45 ja 47 on märgitud:

[…]

[…]

4

Isikuandmete kaitse üldmääruse artikli 2 „Sisuline kohaldamisala“ lõigetes 1 ja 2 on sätestatud:

„1.   Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.

2.   Käesolevat määrust ei kohaldata, kui

[…]

5

Isikuandmete kaitse üldmääruse artiklis 4 „Mõisted“ on ette nähtud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

[…]

[…]“.

6

Isikuandmete kaitse üldmääruse artikli 5 „Isikuandmete töötlemise põhimõtted“ lõikes 1 on sätestatud:

„Isikuandmete töötlemisel tagatakse, et

[…]

[…]“.

7

Isikuandmete kaitse üldmääruse artikkel 6 „Isikuandmete töötlemise seaduslikkus“ on sõnastatud järgmiselt:

„1.   Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

[…]

[…]

Esimese lõigu punkti f ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.

[…]

3.   Lõike 1 punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse:

Isikuandmete töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses või see on lõike 1 punktis e osutatud isikuandmete töötlemise osas vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. […]“.

8

Isikuandmete kaitse üldmääruse artikli 21 „Õigus esitada vastuväiteid“ lõikes 1 on sätestatud:

„Andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, mis toimub artikli 6 lõike 1 punkti e või f alusel […]. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.“

9

Isikuandmete kaitse üldmääruse artikli 23 „Piirangud“ lõikes 1 on ette nähtud, et vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 sätestatud kohustuste ja õiguste ulatust, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada eeskätt teatavad liidu või liikmesriigi olulised üldise huvi eesmärgid.

10

Direktiivi 2016/680 põhjendustes 8–12, 27 ja 29 on märgitud:

[…]

[…]

11

Selle direktiivi artikli 1 „Reguleerimisese ja eesmärgid“ lõikes 1 on sätestatud:

„Käesolevas direktiivis sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamiseks, uurimiseks, avastamiseks, nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks.“

12

Mõistete „isikuandmed“ ja „isikuandmete töötlemine“ määratlused on ära toodud vastavalt selle direktiivi artikli 3 „Mõisted“ lõigetes 1 ja 2 ning need kordavad isikuandmete kaitse üldmääruse artikli 4 punktides 1 ja 2 antud määratlusi.

13

Direktiivi 2016/680 artikli 3 punkti 7 alapunktis a ja punktis 8 on sätestatud:

„Käesolevas direktiivis kasutatakse järgmisi mõisteid:

[…]

7.   „pädev asutus“ –

[…]

8.   „vastutav töötleja“ – pädev asutus, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui isikuandmete töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses.“

14

Direktiivi 2016/680 artikli 4 „Isikuandmete töötlemise põhimõtted“ lõikes 1 on ette nähtud:

„Liikmesriigid näevad ette järgmist:

[…]

[…]“.

15

Direktiivi 2016/680 artikli 4 lõikes 2 on sätestatud:

„Isikuandmete töötlemine sama või muu vastutava töötleja poolt muul artikli 1 lõikes 1 sätestatud eesmärgil kui eesmärk, milleks isikuandmeid kogutakse, on lubatud niivõrd, kuivõrd:

16

Direktiivi 2016/680 artikli 6 „Andmesubjektide eri kategooriate eristamine“ kohaselt:

„Liikmesriigid näevad ette, et asjakohasel juhul võimaluste piires eristab vastutav töötleja isikuandmeid selgelt andmesubjektide eri kategooriate kaupa, nimelt:

[…]“.

17

Direktiivi 2016/680 artikli 9 „Isikuandmete töötlemise eritingimused“ lõigetes 1 ja 2 on sätestatud:

„1.   Artikli 1 lõikes 1 sätestatud eesmärkidel pädevate asutuste poolt kogutavaid isikuandmeid ei tohi töödelda muudel kui artikli 1 lõikes 1 sätestatud eesmärkidel, välja arvatud juhul, kui selline töötlemine on lubatud liidu või liikmesriigi õigusega. Kui isikuandmeid töödeldakse sellistel muudel eesmärkidel, kohaldatakse [isikuandmete kaitse üldmäärust], välja arvatud juhul, kui isikuandmeid töödeldakse tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse.

2.   Kui liikmesriigi õigusega on pädevatele asutustele antud muud ülesanded kui need, mida täidetakse artikli 1 lõikes 1 sätestatud eesmärkidel, kohaldatakse sellistel eesmärkidel isikuandmete töötlemisele [isikuandmete kaitse üldmäärust], välja arvatud juhul, kui isikuandmeid töödeldakse tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse.“

18

Bulgaaria Vabariigi põhiseaduse artikkel 127 sätestab:

„Prokuratuur tagab seaduste järgimise järgmiselt:

1.   ta juhib kohtueelset uurimist ja valvab selle õiguspärasuse üle;

2.   ta võib läbi viia kohtueelse uurimise;

3.   ta võtab süütegude eest vastutusele need toime pannud isikud ja esindab kriminaalasjades riiklikku süüdistust;

[…]“.

19

Isikuandmete kaitse seaduse (Zakon za zashtita na lichnite danni, DV nr 1, 4.1.2002; edaspidi „ZZLD“) artikli 1 kohaselt on selle seaduse eesmärk kaitsta füüsilisi isikuid isikuandmete kaitse üldmääruse kohaldamisalasse kuuluval isikuandmete töötlemisel ning samuti isikuandmete töötlemisel pädevate asutuste poolt kuritegude ennetamiseks, uurimiseks, avastamiseks ja nende eest vastutusele võtmiseks ning kriminaalkaristuste täitmisele pööramiseks, sealhulgas kaitseks avalikku julgeolekut ja avalikku korda ähvardavate ohtude eest ning selliste ohtude ennetamiseks.

20

ZZLD artikli 17 lõike 1 kohaselt tagab IVSS isikuandmete kaitse üldmääruse, ZZLD ja isikuandmete kaitset käsitlevate aktide järelevalve ja järgimise isikuandmete töötlemisel eeskätt prokuratuuri ja uurimisasutuste poolt õiguskaitse ülesannete täitmisel kuritegude tõkestamiseks, avastamiseks, uurimiseks, nende eest vastutusele võtmiseks ning kriminaalkaristuste täitmisele pööramiseks. ZZLD artikkel 38 ter annab asjaomasele isikule tema õiguste rikkumise korral – eelkõige kui seda teevad nimetatud asutused – õiguse esitada kaebus IVSSile.

21

ZZLD artikli 42 lõiked 2 ja 3, artikli 45 lõige 2 ja artikkel 47 rakendavad vastavalt direktiivi 2016/680 artikli 9 lõigete 1 ja 2, artikli 4 lõike 2 ja artikli 6 sätteid.

22

Kriminaalmenetluse seadustiku (Nakazatelno-protsesualen kodeks, DV nr 86, 28.10.2005) põhikohtuasjas kohaldatava redaktsiooni artiklis 191 on sätestatud:

„Kriminaalasjades viiakse läbi kohtueelne uurimine.“

23

Kriminaalmenetluse seadustiku põhikohtuasjas kohaldatava redaktsiooni artiklis 192 on sätestatud:

„Kohtueelne uurimine hõlmab uurimist ja prokuröri toiminguid pärast uurimise lõpetamist.“

24

Tsiviilkohtumenetluse seadustiku (Grazhdanski protsesualen kodeks, DV nr 59, 20.7.2007) põhikohtuasjas kohaldatava redaktsiooni artiklitega 8 ja 9 rakendatakse vastavalt võistlevuse ja poolte võrdsuse põhimõtet.

25

Tsiviilkohtumenetluse seadustiku põhikohtuasjas kohaldatavas redaktsiooni artikli 154 „Tõendamiskoormis“ lõikes 1 on ette nähtud:

„Iga pool peab tõendama need faktilised asjaolud, millel põhinevad tema nõuded või vastuväited.“

26

Seaduse, mis reguleerib riigi ja kohalike omavalitsusüksuste vastutust tekitatud kahju eest (Zakon za otgovornostta na darzhavata i obshtinite za vredi, DV nr 60, 5.8.1988), artiklis 2ter on ette nähtud:

„(1)   Riik vastutab kahju eest, mis on kodanikele ja juriidilistele isikutele tekitatud sellega, et on rikutud õigust asja läbi vaatamisele ja lahendi tegemisele mõistliku aja jooksul vastavalt [Roomas 4. novembril 1950 allkirjastatud Euroopa inimõiguste ja põhivabaduste kaitse] konventsiooni artikli 6 lõikele 1.

(2)   Lõikes 1 nimetatud kaebused vaadatakse läbi vastavalt tsiviilkohtumenetluse seadustikule ning kohus võtab arvesse menetluse kogukestust ja eset, selle faktilist ja õiguslikku keerukust, poolte ja nende menetlus- või seaduslike esindajate käitumist, teiste menetlusosaliste ja pädevate asutuste käitumist ning muid vaidluse nõuetekohaseks lahendamiseks asjakohaseid faktilisi asjaolusid.

[…]“.

27

2013. aastal algatas Petrichi rajooni prokuratuur kohtueelse menetluse nr 252/2013 tundmatu toimepanija suhtes seoses ühes baaris aset leidnud vahejuhtumi käigus toime pandud süüteoga, mida reguleerib karistusseadustiku (Nakazatelen Kodeks) artikli 325 lõige 1 koostoimes artikli 20 lõikega 2. Põhikohtuasja apellant VS osales selles menetluses süüteoohvrina.

28

Pärast mitut eeskätt VSi kohta esitatud kaebust, koostas Petrichi rajooni prokuratuur 2016. aastal mitu toimikut, mis sisaldasid selle isiku kohta teavet, kuid ei algatanud siiski kohtueelset menetlust, sest puudusid tõendid süüteo toimepanemise kohta.

29

2018. aastal esitas prokurör kohtueelses menetluses nr 252/2013 süüdistuse kõigile selles menetluse esemeks olevas vahejuhtumis osalenud isikutele, sealhulgas VSile.

30

VS esitas tsiviilkohtumenetluses Okrazhen sad Blagoevgradile (Blagoevgradi regionaalne kohus, Bulgaaria) Bulgaaria Vabariigi prokuratuuri vastu hagi, milles palus hüvitada kahju, mis väidetavalt tulenes kohtueelse menetluse nr 252/2013 liiga pikast kestusest. 15. oktoobri 2018. aasta kohtuistungil taotles Bulgaaria Vabariigi prokuratuuri esindav Petrichi rajooni prokuratuuri üks prokurör esimesena nimetatu kaitse tagamiseks nende toimikute esitamist kõnealuses menetluses, mille see prokuratuur oli 2016. aastal avanud ning mida on nimetatud käesoleva kohtuotsuse punktis 28. Eelotsusetaotlusest nähtub, et prokurör soovis seeläbi tõendada, et põhikohtuasja hageja väidetud terviseprobleemid ei olnud vastupidi viimase väidetele seotud nimetatud kohtueelse menetlusega, vaid olid tingitud politsei ja Petrichi rajooni prokuratuuri poolt nende toimikutega seoses läbiviidud kontrollidest. Samal kohtuistungil tegi Okrazhen sad Blagoevgrad (Blagoevgradi regionaalne kohus) kõnealusele rajooni prokuratuurile korralduse esitada asjaomastes toimikutes sisalduvate dokumentide tõestatud ärakirjad, mida selle prokuratuuri prokurör ka tegi.

31

VS esitas 12. märtsil 2020 IVSSile kaebuse, väites, et Petrichi rajooni prokuratuur on rikkunud isikuandmete kaitset käsitlevaid õigusnorme. Kõigepealt väitis ta oma esimeses väites, et prokuratuur kasutas õigusvastaselt tema kohta käivaid isikuandmeid, mis koguti ajal, mil teda peeti veel süüteoohvriks, et teda samas menetluses samade tegude eest vastutusele võtta. Seejärel tugines ta oma teises väites sellele, et käesoleva kohtuotsuse punktis 28 mainitud toimikute raames kogutud isikuandmete töötlemine – prokuratuur töötles neid tema sõnul kahju hüvitamise hagi raames, mille ta oli esitanud Bulgaaria Vabariigi prokuratuuri vastu – on õigusvastane. IVSS jättis 22. juuni 2020. aasta otsusega selle kaebuse rahuldamata.

32

VS esitas 31. juulil 2020 eelotsusetaotluse esitanud kohtule selle otsuse peale apellatsioonkaebuse, milles ta väidab esiteks, et teda puudutavate isikuandmete töötlemine kohtueelses menetluses nr 252/2013 on vastuolus eelkõige direktiivi 2016/680 põhimõtetega, ja teiseks on isikuandmete kaitse üldmääruse põhimõtetega vastuolus käesoleva kohtuotsuse punktis 28 nimetatud toimikute raames kogutud andmete töötlemine pärast seda, kui prokuratuur on keeldunud kohtueelse menetluse algatamisest.

33

Leides Euroopa Kohtu praktika põhjal, et põhikohtuasi puudutab isikuandmete töötlemist isikuandmete kaitse üldmääruse ja direktiivi 2016/680 kohaldamisalasse kuuluva tegevuse raames, soovib eelotsusetaotluse esitanud kohus teada, millised piirid on liidu õiguses kehtestatud seoses selliste isikuandmete hilisema töötlemisega, mille vastutav töötleja esialgu kogus kuriteo avastamise ja uurimise eesmärgil.

34

Eelkõige soovib eelotsusetaotluse esitanud kohus esiteks teada, kas juhul, kui Bulgaaria Vabariigi prokuratuur kui „pädev asutus“ direktiivi 2016/680 artikli 3 punkti 7 alapunkti a tähenduses ja „vastutav töötleja“ selle direktiivi artikli 3 punkti 8 tähenduses on kogunud kuriteo avastamise ja uurimise eesmärgil isikuandmeid, mis puudutavad isikut, keda peetakse andmete kogumise hetkel süüteoohvriks, vastab nende andmete hilisem töötlemine selle sama asutuse poolt kõnealuse isiku vastutusele võtmiseks mõnele selle direktiiviga hõlmatud muule eesmärgile kui eesmärk, milleks isikuandmeid kogutakse (direktiivi artikli 4 lõike 2 tähenduses).

35

Teiseks tõdeb eelotsusetaotluse esitanud kohus, et VSi esitatud kahju hüvitamise hagiga seoses tehtud viitel selle isiku kohta käivale teabele, mida sisaldavad toimikud, mille avas Petrichi rajooni prokuratuur 2016. aastal, on muu eesmärk kui see, milleks see teave koguti, ning märgib, et prokuratuur kui kostja ei tegutse seoses selle hagiga kuritegude ennetamise, uurimise, avastamise või nende eest vastutusele võtmise eesmärgil. Eelotsusetaotluse esitanud kohtul tekib siiski küsimus, kas pelk asjaolu, et pädeva tsiviilkohtu tähelepanu juhitakse asjaolule, et need toimikud puudutavad VSi, ja talle edastatakse kogu või osa sellest teabest, kujutab endast „isikuandmete“„töötlemist“ isikuandmete kaitse üldmääruse artikli 4 punktide 1 ja 2 tähenduses, mis kuulub selle määruse kohaldamisalasse vastavalt selle artikli 2 lõikele 1.

36

Lisaks leiab eelotsusetaotluse esitanud kohus sisuliselt, et põhikohtuasjas kerkib isikuandmete kaitse ja kohtumenetluse poole õiguste ühitamise küsimus, kui kohtumenetluse pool on need andmed kogunud vastutava töötlejana direktiivi 2016/680 artikli 3 punkti 8 tähenduses, võttes arvesse eelkõige isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f, mis käsitleb andmete töötlemise vajalikkust vastutava töötleja õiguspärase huvi korral.

37

Eelotsusetaotluse esitanud kohus leiab nimelt, et muud alused, mille korral isikuandmete kaitse üldmääruse kohaldamisalasse kuuluvat isikuandmete töötlemist peetakse seaduslikuks ning mis on sätestatud selle määruse artikli 6 lõike 1 esimeses lõigus, ei ole põhikohtuasjas asjakohased. Eelkõige leiab ta, et see, et prokuratuur esitab pädevale kohtule teavet kriminaaltoimikute kohta, mille ta on avanud, et tagada nii enda kaitse tsiviilkohtumenetluses, ei ole vajalik avalikes huvides oleva ülesande täitmiseks ega kuulu avaliku võimu teostamise alla nimetatud määruse artikli 6 lõike 1 esimese lõigu punkti e tähenduses.

38

Neil asjaoludel otsustas Administrativen sad – Blagoevgrad (Blagoevgradi halduskohus, Bulgaaria) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

39

Sissejuhatuseks tuleb märkida, et kuigi eelotsusetaotluse esitanud kohus on oma esimese küsimuse formaalselt piiranud direktiivi 2016/680 artikli 1 lõike 1 tõlgendamisega, ei takista see asjaolu Euroopa Kohtul esitada talle kõik tõlgenduselemendid, mis võivad olla tarvilikud põhikohtuasja lahendamiseks, tuletades selle kohtu esitatud kogu teabest ja eelkõige eelotsusetaotluse põhjendustest need liidu õiguse aspektid, mida on põhikohtuasja eset silmas pidades vaja tõlgendada (vt selle kohta 22. aprilli 2021. aasta kohtuotsus Profi Credit Slovakia, C‑485/19, EU:C:2021:313, punkt 50 ja seal viidatud kohtupraktika).

40

Sellest järeldub, et oma esimese küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas direktiivi 2016/680 artikli 1 lõiget 1 koostoimes sama direktiivi artikli 4 lõikega 2 ja artikliga 6 tuleb tõlgendada nii, et isikuandmete töötlemine vastab muule eesmärgile kui see, milleks neid andmeid koguti, kui neid andmeid koguti kuriteo uurimise ja avastamise eesmärgil ning asjaomast isikut peeti andmete kogumise ajal ohvriks, samas kui esimesena nimetatud töötlemise eesmärk on võtta see isik asjaomase kriminaaluurimise tulemusel vastutusele, ning kui see nii on, siis kas selline töötlemine on lubatud.

41

Väljakujunenud kohtupraktika kohaselt ei tule liidu õiguse sätte tõlgendamisel arvestada mitte üksnes sätte sõnastust, vaid ka konteksti ning selle õigusaktiga taotletavaid eesmärke, mille osaks säte on. Ka liidu õigusnormi kujunemislugu võib anda asjakohast teavet selle normi tõlgendamiseks (vt selle kohta 1. oktoobri 2019. aasta kohtuotsus Planet49, C‑673/17, EU:C:2019:801, punkt 48 ja seal viidatud kohtupraktika).

42

Esiteks tuleb kõigepealt märkida, et direktiivi eset käsitleva direktiivi 2016/680 artikli 1 lõike 1 sõnastus eristab sõnaselgelt tegevuste kategooriaid, millele võib vastata selle direktiivi kohaldamisalasse kuuluv isikuandmete töötlemine. Sellega seoses nähtub nimetatud sätte eri keeleversioonidest, eelkõige bulgaaria-, hispaania-, saksa-, kreeka-, inglis- ja itaaliakeelsest versioonist, et artikli 1 lõikes 1 nimetatud eri eesmärgid vastavad kuritegude „tõkestamisele“, nende „uurimisele“, „avastamisele“, nende eest „vastutusele võtmisele“ ja „kriminaalkaristuste täitmisele pööramisele“, „kaitsele“„avalikku julgeolekut ähvardavate ohtude eest“ ja nende „ennetamisele“.

43

Järgmiseks tuleb märkida, et selle direktiivi artikli 4 lõike 2 sõnastus, milles on sätestatud, et töötlemine „muul [selle direktiivi] artikli 1 lõikes 1 sätestatud eesmärgil kui eesmärk, milleks isikuandmeid kogutakse“, on lubatud tingimusel, et järgitakse selles sättes ette nähtud nõudeid, kinnitab sõnaselgelt, et artikli 1 lõikes 1 loetletud mõistetega „tõkestamine“, „uurimine“, „avastamine“, „vastutusele võtmine“, „kriminaalkaristuste täitmisele pööramine“, „avalikku julgeolekut ähvardavate ohtude eest kaitsmine“ ja „nende ennetamine“ taotletakse selle direktiivi kohaldamisalasse kuuluva isikuandmete töötlemise mitut eri eesmärki.

44

Seega tuleneb direktiivi 2016/680 artikli 1 lõike 1 sõnastusest endast koostoimes direktiivi artikli 4 lõikega 2, et kui isikuandmeid koguti kuriteo „uurimiseks“ ja „avastamiseks“ ning neid töödeldakse hiljem „vastutusele võtmise“ eesmärgil, siis vastavad andmete kogumine ja töötlemine eri eesmärkidele.

45

Lõpuks tuleb märkida, et direktiivi artikli 6 kohaselt on liikmesriikidel kohustus näha ette, et vastutav töötleja eristab asjakohasel juhul võimaluste piires isikuandmeid selgelt andmesubjektide eri kategooriate kaupa, nimelt selle artikli punktides a, b ja c nimetatud kategooriate kaupa, milleks on vastavalt isikud, kelle puhul on tõsine alus arvata, et nad on toime pannud või panevad varsti toime süüteo, isikud, kes on süüteos süüdi mõistetud, ja süüteoohvrid ja isikud, kelle puhul teatavad asjaolud annavad alust arvata, et nad võivad olla süüteo ohvrid.

46

Järelikult tuleb isikut, kelle isikuandmeid töödeldakse tema kriminaalkorras vastutusele võtmiseks, pidada kuuluvaks nende isikute kategooriasse, kelle puhul on tõsine alus arvata, et nad on toime pannud süüteo direktiivi 2016/680 artikli 6 punkti a tähenduses. Sellest tuleneb, et kui – nagu esimeses küsimuses kirjeldatud juhul – algul peeti seda isikut süüteoohvriks direktiivi artikli 6 punkti c tähenduses, annab see töötlemine tunnistust selle isiku kategooria muutumisest, mida vastutav töötleja peab arvesse võtma selles artiklis sätestatud nõude alusel eristada andmeid selgelt andmesubjektide eri kategooriate kaupa.

47

Samas tuleb tõdeda, et ei direktiivi 2016/680 artikli 1 lõige 1 ega artikli 4 lõige 2 ei viita selle direktiivi artiklile 6 ega selle sisule, et määrata kindlaks selle direktiivi kohaldamisalasse kuuluva isikuandmete töötlemise eesmärk.

48

Pealegi, nagu kohtujurist oma ettepaneku punktis 62 sisuliselt märkis, näitab direktiivi 2016/680 artiklis 6 kasutatud väljend „asjakohasel juhul võimaluste piires“ selgelt, et neid andmeid ei ole tingimata võimalik selgelt eristada, eelkõige juhul, kui – nagu käesolevas asjas – neid koguti kuriteo „avastamise“ või „uurimise“ eesmärgil ja olukorras, kus üks ja sama isik võib kuuluda mitmesse direktiivi artiklis 6 nimetatud isikute kategooriasse ning asjaomaste kategooriate määratlus võib kohtueelse menetluse raames muutuda asjaomaste faktiliste asjaolude järkjärgulise väljaselgitamise tulemusel.

49

Sellest tuleb järeldada, et artikkel 6 kehtestab artikli 4 lõikes 2 ette nähtud kohustusest erineva kohustuse, ja – nagu märkis kohtujurist oma ettepaneku punktides 61–64 – et see kohustus ei ole asjakohane selle kindlakstegemisel, kas isikuandmete töötlemine vastab muule eesmärgile kui see, milleks need andmed kogutakse (viimati nimetatud sätte tähenduses).

50

Teiseks, mis puudutab kõnealuse õigusakti konteksti, siis tuleb märkida, et direktiivi 2016/680 artikli 4 lõike 1 punktides b ja c on sätestatud esiteks, et isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ja õiguspärastel eesmärkidel ning neid ei töödelda viisil, mis on nende eesmärkidega vastuolus, ning teiseks peavad need andmed olema piisavad, asjakohased ega tohi olla liiased nende töötlemise eesmärkide suhtes. Need kaks nõuet on sõnastatud sisuliselt samamoodi isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktides b ja c; selles artiklis on täpsustatud, et need vastavad vastavalt eesmärgi piirangu ja võimalikult väheste andmete kogumise põhimõtetele.

51

Samas tuleb direktiivi põhjendust 29 silmas pidades märkida, et direktiivi artikli 4 lõige 2 lubab isikuandmete hilisemat töötlemist muul eesmärgil kui see, milleks need on kogutud, kui see eesmärk kuulub direktiivi artikli 1 lõikes 1 nimetatud eesmärkide hulka ning töötlemine vastab artikli 4 lõike 2 punktides a ja b sätestatud kahele tingimusele. Esiteks on vastutav töötleja volitatud töötlema selliseid isikuandmeid sellisel eesmärgil kooskõlas liidu või liikmesriigi õigusega. Teiseks peab töötlemine olema vajalik ja proportsionaalne kõnealuse muu eesmärgiga.

52

Eeskätt võivad kuritegude „tõkestamise“, „uurimise“ ja „avastamise“ eesmärgil kogutud isikuandmeid hiljem vajaduse korral töödelda eri pädevad asutused selleks, et „võtta vastutusele“ või „kriminaalkaristus täitmisele pöörata“, kui on tuvastatud kuritegu ja selle eest on seega vaja karistada.

53

Kui aga isikuandmeid kogutakse kuritegude „uurimiseks“ ja „avastamiseks“, peavad pädevad asutused koguma kogu teabe, mis võib olla asjasse puutuv, et teha kindlaks kõnealuse süüteokoosseisu moodustavad faktilised asjaolud staadiumis, kus neid asjaolusid ei ole veel tuvastatud. Seevastu „vastutusele võtmise“ eesmärgil isikuandmete töötlemisel on nende andmete eesmärk tõendada süüdistatavatele süüks pandavate tegude piisav tõenduslik väärtus ja nende tegude kriminaalõigusliku kvalifitseerimise õigsust, et pädev kohus saaks otsuse teha.

54

Järelikult ei ole esiteks isikuandmed, mis on vajalikud kuriteo „uurimiseks“ ja „avastamiseks“, süstemaatiliselt vajalikud „vastutusele võtmiseks“. Teiseks võivad isikuandmete töötlemise tagajärjed andmesubjektidele olla väga erinevad eelkõige seoses sellega, mil määral sekkutakse nende õigusesse andmekaitsele ja milline on töötlemise mõju nende õiguslikule olukorrale kõnealuses kriminaalmenetluses.

55

Lisaks tuleb märkida, et artikli 4 lõike 2 kohaldamisala ei piirdu isikuandmete töötlemisega seoses sama kuriteoga, mis õigustas nende andmete kogumist. Nimelt, nagu on märgitud direktiivi 2016/680 põhjenduses 27, võetakse direktiivis arvesse asjaolu, et kuritegevuse vastases võitluses pädevatel asutustel on vaja töödelda isikuandmeid muul eesmärgil kui see, milleks andmed koguti, eeskätt selleks, et saada teadmisi kuritegevuse kohta ja erinevaid avastatud süütegusid omavahel seostada.

56

Eeltoodust tuleneb, et direktiivi 2016/680 artikli 4 lõike 2 punktides a ja b sätestatud nõuete täitmiseks tuleb selle hindamisel, kas sama või muu vastutav töötleja on neid nõudeid täitnud isikuandmete töötlemisel muul artikli 1 lõikes 1 sätestatud eesmärgil kui see, milleks neid andmeid koguti, pidada iga artikli 1 lõikes 1 nimetatud eesmärki eripäraseks ja eraldiseisvaks.

57

Kolmandaks, mis puudutab kõnealuse õigusakti eesmärke, siis tuleb märkida, et nagu nähtub direktiivi 2016/680 põhjendustest 10 ja 11, soovis liidu seadusandja vastu võtta eeskirjad, mis võtavad arvesse selle direktiiviga hõlmatud valdkonna eripära.

58

Põhjenduses 12 on sellega seoses märgitud, et politsei või muude õiguskaitseasutuste tegevus, sealhulgas politsei toimingud juhul, kui eelnevalt pole teada, kas tegemist on süüteoga, keskenduvad peamiselt süütegude tõkestamisele, uurimisele, avastamisele või nende eest vastutusele võtmisele.

59

Sellest tuleneb, et liidu seadusandja soovis kehtestada eeskirjad, mis vastavad eripäradele, mis iseloomustavad selle direktiiviga reguleeritavas valdkonnas pädevate asutuste tegevust, võttes samas arvesse asjaolu, et tegemist on eri tegevustega, millel on neile ainuomased eesmärgid.

60

Sellist asjaomase sätte kontekstist ja selle õigusaktiga taotletavatest eesmärkidest, mille osaks see on, lähtuvat tõlgendust kinnitab selle kujunemislugu, eelkõige nõukogu põhjendused: nõukogu esimese lugemise seisukoht (EL) nr 5/2016 eesmärgiga võtta vastu Euroopa Parlamendi ja nõukogu direktiiv, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT 2016, C 158, lk 46). Nimelt õigustab nõukogu nendes põhjendustes selle sätte direktiivi 2016/680 lisamist sellega, et see „võimaldab näiteks prokuröril töödelda süüteo eest vastutusele võtmise eesmärgil samu isikuandmeid, mida politsei oli töödelnud süüteo avastamiseks, tingimusel et mõlemad näites toodud eesmärgid on hõlmatud [direktiivi] artikli 1 lõikega 1“.

61

Seega peab eelotsusetaotluse esitanud kohus põhikohtuasja lahendamiseks kindlaks tegema, kas VSi puudutavate isikuandmete töötlemine Petrichi rajooni prokuratuuri poolt selle isiku vastutusele võtmiseks võis olla lubatud direktiivi 2016/680 artikli 4 lõikes 2 sätestatud tingimusi arvestades, kontrollides esiteks, kas Bulgaaria karistusõigus võimaldab sellel asutusel niimoodi andmeid töödelda, ja teiseks, kas see oli taotletava eesmärgi saavutamiseks vajalik ja proportsionaalne.

62

Sellega seoses tuleb märkida, et sellise töötlemise vajalikkuse ja proportsionaalsuse hindamiseks võib eelotsusetaotluse esitanud kohus vajaduse korral arvesse võtta asjaolu, et vastutusele võtmise ülesandega asutusel peab olema võimalik tugineda kriminaaluurimise käigus kogutud andmetele kui tõenditele süüteokoosseisu moodustavate asjaolude kohta, eelkõige neile, mis puudutavad süüteos osalenud isikuid, tingimusel et need andmed on vajalikud nende isikute tuvastamiseks ja osaluse süüteo toimepanemises väljaselgitamiseks.

63

Kõike eeltoodut arvesse võttes tuleb esimesele küsimusele vastata, et direktiivi 2016/680 artikli 1 lõiget 1 koostoimes sama direktiivi artikli 4 lõikega 2 ja artikliga 6 tuleb tõlgendada nii, et isikuandmete töötlemine vastab muule eesmärgile kui see, milleks neid andmeid koguti, kui neid andmeid koguti kuriteo uurimise ja avastamise eesmärgil, samas kui esimesena nimetatud töötlemise eesmärk on võtta isik asjaomase kriminaalmenetluse tulemusel vastutusele – seda sõltumata asjaolust, et asjaomast isikut peeti andmete kogumise ajal ohvriks; ning nii, et selline töötlemine on lubatud direktiivi artikli 4 lõike 2 alusel tingimusel, et see vastab selles sättes ette nähtud tingimustele.

64

Teise küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt esiteks teada, kas direktiivi 2016/680 artikli 3 punkti 8, artikli 9 lõikeid 1 ja 2 ning isikuandmete kaitse üldmääruse artikli 2 lõikeid 1 ja 2 tuleb tõlgendada nii, et see määrus on kohaldatav isikuandmete töötlemise suhtes liikmesriigi prokuratuuri poolt eesmärgiga teostada oma kaitseõigusi riigivastutuse tuvastamise hagi raames, kui ta teavitab pädevat kohut selle hagi esitanud füüsilise isiku kohta käivatest toimikutest, mis on avatud selle direktiivi artikli 1 lõikes 1 nimetatud eesmärkidel, ja edastab need toimikud sellele kohtule, ja teiseks, kas jaatava vastuse korral tuleb selle määruse artikli 6 lõike 1 esimese lõigu punkti f tõlgendada nii, et sellist isikuandmete töötlemist võib pidada õiguspäraseks vastutava töötleja õigustatud huvi korral selle sätte tähenduses.

65

Oma kirjalikes seisukohtades seab IVSS kahtluse alla teise küsimuse vastuvõetavuse põhjusel, et eelotsusetaotluse esitanud kohus esitas selle VSi niisuguse väite läbivaatamisel, mis jäeti põhikohtuasjas edasikaevatud lahendiga selle esitamiseks õigusnormides ette nähtud tähtaja möödumise tõttu vastuvõetamatuna läbi vaatamata.

66

Euroopa Kohtu väljakujunenud kohtupraktika kohaselt eeldatakse, et liidu õiguse tõlgendamise küsimused, mille liikmesriigi kohus on esitanud õiguslikus ja faktilises raamistikus, mille ta on määratlenud omal vastutusel ja mille paikapidavuse kontrollimine ei ole Euroopa Kohtu ülesanne, on asjakohased. Liikmesriigi kohtu esitatud eelotsuse küsimusele vastamisest võib Euroopa Kohus keelduda vaid siis, kui on ilmselge, et taotletud liidu õiguse tõlgendusel ei ole mingit seost põhikohtuasja asjaolude või esemega, kui probleem on hüpoteetiline või kui Euroopa Kohtule ei ole teada talle esitatud küsimustele tarviliku vastuse andmiseks vajalikke faktilisi ja õiguslikke asjaolusid (vt selle kohta 27. septembri 2017. aasta kohtuotsus Puškár, C‑73/16, EU:C:2017:725, punkt 50 ja seal viidatud kohtupraktika).

67

Käesoleval juhul tuleb märkida, nagu täheldas ka kohtujurist oma ettepaneku punktides 76 ja 77, et VSi kaebuses IVSSile esitatud väidete vastuvõetavuse küsimus kuulub täielikult eelotsusetaotluse esitanud kohtu pädevusse. Lisaks märkis see kohus eelotsusetaotluses, et ta peab teist küsimust asjakohaseks vaatamata sellele, et IVSS jättis käesoleva kohtuotsuse punktis 65 nimetatud väite vastuvõetamatuna läbi vaatamata. Igal juhul ei ole Euroopa Kohtu ülesanne seda hinnangut läbi vaadata.

68

Seega on teine küsimus vastuvõetav.

69

Esimesena tuleb kindlaks teha, kas liikmesriigi prokuratuuri poolt selliste füüsilist isikut puudutavate andmete kasutamine, mille ta on kogunud ja mida ta on töödelnud direktiivi 2016/680 artikli 1 lõike 1 kohaldamisalasse kuuluvatel eesmärkidel selleks, et teostada oma kaitseõigusi tsiviilkohtumenetluses, kujutab endast „isikuandmete“„töötlemist“ isikuandmete kaitse üldmääruse artikli 4 punktide 1 ja 2 tähenduses.

70

Kõigepealt tuleb meenutada, et „isikuandmed“ isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses on „igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta“, kusjuures kohtupraktika kohaselt on see määratlus kohaldatav, kui teabe sisu, eesmärgi ja toime tõttu on asjaomane teave seotud konkreetse isikuga (20. detsembri 2017. aasta kohtuotsus Nowak, C‑434/16, EU:C:2017:994, punkt 35). Lisaks on isikuandmete kaitse üldmääruse artikli 4 punktis 2 mõiste „isikuandmete töötlemine“ määratletud kui „isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum“, näiteks eelkõige „lugemine“, „kasutamine“, „edastamise“, „levitamise“ või „muul moel kättesaadavaks tegemise teel avalikustamine“. Need määratlused väljendavad liidu seadusandja tahet anda neile kahele mõistele lai tähendus (vt selle kohta 20. detsembri 2017. aasta kohtuotsus Nowak, C‑434/16, EU:C:2017:994, punkt 34, ja 24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil), C‑175/20, EU:C:2022:124, punkt 35).

71

Sellega seoses tuleb esiteks märkida, et asjaolu, et tsiviilkohtumenetluse kostja teavitab oma kirjalikes seisukohtades või kohtuistungil pädevat kohut – kas või kokkuvõtlikult – toimikute avamisest füüsilise isiku kohta, kes selle menetluse algatamist taotles, eelkõige kuritegude „uurimiseks“ või „avastamiseks“, tähendab, et see kostja „luges“, „kasutas“ või „avalikustas“„isikuandmeid“ isikuandmete kaitse üldmääruse artikli 4 punktide 1 ja 2 tähenduses. Nii on see teave nii sisu, eesmärgi kui ka toime poolest seotud konkreetse isikuga, kelle saab tuvastada nii teabe avaldanud pool kui ka kohus, kellele see teave edastatakse.

72

Teiseks tähendab kostja poolt pädeva kohtu taotlusel selle füüsilise isiku suhtes läbiviidud menetluste toimikute esitamine vähemalt „isikuandmete“„kasutamist“ ja „edastamise teel avalikustamist“ isikuandmete kaitse üldmääruse artikli 4 punktide 1 ja 2 tähenduses.

73

Teisena tuleb meenutada, et isikuandmete kaitse üldmääruse artikli 2 lõikes 1 on selle määruse sisuline kohaldamisala määratletud laialt (22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 61), mis hõlmab „isikuandmete täielikult või osaliselt automatiseeritud töötlemis[t] ja isikuandmete automatiseerimata töötlemis[t], kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda“. Selle laia määratlusega kaasneb see, et isikuandmete kaitse üldmääruse artikli 2 lõikes 2 loetletud erandeid tuleb tõlgendada kitsalt. Nii on see eeskätt selle artikli lõike 2 punktis d sätestatud erandi puhul, mis käsitleb isikuandmete töötlemist pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise, nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise eesmärgil (vt selle kohta 24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil), C‑175/20, EU:C:2022:124, punktid 40 ja 41 ning seal viidatud kohtupraktika).

74

Nagu nähtub selle määruse põhjendusest 19, on Euroopa Kohus selles osas leidnud, et see erand on põhjendatud asjaoluga, et isikuandmete töötlemist pädeva asutuse poolt isikuandmete kaitse määruse artikli 2 lõike 2 punktis d nimetatud eesmärkidel reguleerib spetsiifilisem liidu õigusakt, nimelt direktiiv 2016/680, mis võeti vastu samal päeval kui isikuandmete kaitse üldmäärus (vt selle kohta 24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil), C‑175/20, EU:C:2022:124, punkt 42 ja seal viidatud kohtupraktika).

75

Nagu nähtub direktiivi 2016/680 põhjendusest 12, nägi liidu seadusandja selle direktiivi artiklis 9 ette eeskirjad isikuandmete töötlemise kohta muudel eesmärkidel kui need, mis on sätestatud selle direktiivi artikli 1 lõikes 1, mille jaoks need andmed koguti.

76

Sellega seoses näeb direktiivi 2016/680 artikli 9 lõige 1 esiteks ette, et isikuandmeid ei või põhimõtteliselt nii töödelda, välja arvatud juhul, kui see on lubatud liidu või liikmesriigi õigusega, ning teiseks kohaldatakse isikuandmete kaitse üldmäärust sellise töötlemise suhtes, välja arvatud juhul, kui see toimub tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse. Lisaks on selle direktiivi artikli 9 lõikes 2 ette nähtud, et isikuandmete kaitse üldmäärust kohaldatakse pädevate asutuste sellise töötlemise suhtes, mis toimub muude ülesannete raames kui need, mida teostatakse direktiivi artikli 1 lõikes 1 sätestatud eesmärkidel, välja arvatud juhul, kui isikuandmeid töödeldakse eespool nimetatud tegevuse käigus.

77

Käesoleva kohtuotsuse punktides 71 ja 72 nimetatud juhtudel on isikuandmete kogumine ja töötlemine liikmesriigi prokuratuuri poolt süütegude „tõkestamise“, „uurimise“, „avastamise“ ja nende eest „vastutusele võtmise“ eesmärgil kindlasti isikuandmete töötlemine direktiivi 2016/680 artikli 1 lõikes 1 sätestatud eesmärkidel sama direktiivi artikli 9 lõigete 1 ja 2 tähenduses.

78

Isegi kui riigivastutuse tuvastamise hagi on esitatud seetõttu, et prokuratuur rikkus kriminaalmenetluses väidetavalt õigust – näiteks käesoleval juhul väidetavalt õigust lahendi tegemisele mõistliku aja jooksul –, ei ole riigi kaitse sellise kaebuse raames eesmärk sellegipoolest tagada prokuratuuril direktiivi 2016/680 artikli 1 lõikes 1 sätestatud eesmärkidel lasuvate ülesannete kui selliste täitmine.

79

Lisaks, arvestades põhimõtet, mille kohaselt tuleb erandeid isikuandmete kaitse üldmääruse kohaldamisest tõlgendada kitsalt, ei saa sellist isikuandmete töötlemist käsitada toimununa „tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse“ isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a ning direktiivi 2016/680 artikli 9 lõigete 1 ja 2 tähenduses. Sellega seoses tuleneb kohtupraktikast, et selle väljendi ainus eesmärk on jätta isikuandmete kaitse üldmääruse kohaldamisalast välja isikuandmete töötlemine, mida riigiasutused teevad tegevuse raames, mille eesmärk on kaitsta riigi julgeolekut või tegevust, mille võib liigitada samasse kategooriasse. Ent ametiasutuse osalemine kostjana tsiviilkohtumenetluses riigivastutuse tuvastamise hagi raames ei teeni riigi julgeoleku kaitse eesmärki ning seda ei saa liigitada samasse tegevuskategooriasse (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punktid 66–68 ja seal viidatud kohtupraktika).

80

Kolmandana tuleb märkida, et käesoleva kohtuotsuse punktides 71 ja 72 osutatud isikuandmete töötlemise suhtes isikuandmete kaitse üldmääruse kohaldamise eesmärgil tuleb prokuratuuri pidada „vastutavaks töötlejaks“ mitte ainult isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses, vaid ka direktiivi 2016/680 artikli 3 punkti 8 tähenduses, kuna ta „üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid“ viimati nimetatud sätte tähenduses. Nimelt teavitab see asutus menetluse poolena pädevat kohut sellest, et teise poole suhtes on kriminaalasjades avatud toimikud, ja edastab need toimikud kohtule. See, et ta on „vastutav töötleja“, ei sõltu – arvestades selle mõiste laia määratlust, mille eesmärk on tagada andmesubjektide tõhus ja täielik kaitse – tema seotuse ega vastutuse määrast, mis võivad erineda pädeva kohtu omadest, kelle ülesanne on lubada sellist töötlemist või isegi anda korraldus seda teha (vt analoogia alusel 29. juuli 2019. aasta kohtuotsus Fashion ID, C‑40/17, EU:C:2019:629, punktid 66–70).

81

Sõltumata sellest, kas käesoleva kohtuotsuse punktis 80 nimetatud isikuandmete töötlemine kuulub direktiivi 2016/680 artikli 9 lõike 1 või lõike 2 kohaldamisalasse, nähtub nende lõigete sõnastusest ja omavahelisest seostusest, et isikuandmete kaitse üldmäärust kohaldatakse kogu selle direktiivi artikli 1 lõikes 1 nimetatud eesmärkidel kogutud isikuandmete töötlemise suhtes, kui see toimub muudel kui nimetatud eesmärkidel, välja arvatud juhul, kui asjaomane töötlemine ei kuulu liidu õiguse kohaldamisalasse, sealhulgas juhul, kui „vastutav töötleja“ direktiivi artikli 3 punkti 8 tähenduses on „pädev asutus“ direktiivi artikli 3 punkti 7 alapunkti a tähenduses ning ta töötleb isikuandmeid muude ülesannete raames kui need, mida ta täidab direktiivi artikli 1 lõikes 1 nimetatud eesmärkidel.

82

Kõike eeltoodut arvesse võttes tuleb asuda seisukohale, et isikuandmete kaitse üldmäärus on kohaldatav isikuandmete töötlemise suhtes liikmesriigi prokuratuuri poolt eesmärgiga teostada oma kaitseõigusi riigivastutuse tuvastamise hagi raames, kui ta teavitab esiteks pädevat kohut selle hagi esitanud füüsilise isiku kohta käivatest toimikutest, mis on avatud direktiivi 2016/680 artikli 1 lõikes 1 nimetatud eesmärkidel, ja edastab teiseks need toimikud sellele kohtule.

83

Tuleb meenutada, et isikuandmete kaitse üldmääruse artiklis 6 on loetletud ammendavalt juhud, mil isikuandmete töötlemist võib pidada õiguspäraseks (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 99).

84

Nende juhtude hulgas on isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktis e ette nähtud töötlemine, mis on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, ning selle määruse artikli 6 lõike 1 esimese lõigu punktis f on nimetatud töötlemine, mis on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid. Nimetatud määruse artikli 6 lõike 1 teise lõigu kohaselt ei kohaldata artikli 6 lõike 1 esimese lõigu punkti f ametiasutuste poolt nende ülesannete täitmisel toimuva töötlemise suhtes.

85

Tuleb märkida, et nagu Euroopa Komisjon oma kirjalikes seisukohtades õigesti märkis, tuleneb isikuandmete kaitse üldmääruse artikli 6 lõike 1 teise lõigu sõnastusest selgelt, et isikuandmete töötlemine ametiasutuse poolt tema ülesannete täitmisel ei saa kuuluda isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f kohaldamisalasse, mis käsitleb isikuandmete töötlemist, mis on vajalik vastutava töötleja õigustatud huvi korral. Nagu ilmneb isikuandmete kaitse üldmääruse põhjendusest 47 ja nagu komisjon väitis, ei ole viimati nimetatud säte kohaldatav sellisele andmetöötlusele, kuna selle õigusliku aluse peab ette nägema seadusandja. Sellest järeldub, et kui töötlemine ametiasutuse poolt on vajalik avalikes huvides oleva ülesande täitmiseks ja on seega hõlmatud selle määruse artikli 6 lõike 1 teises lõigus nimetatud ülesannetega, välistavad isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti e ja artikli 6 lõike 1 esimese lõigu punkti f kohaldamine teineteist vastastikku.

86

Enne küsimust selle kohta, kas isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkt f on kohaldatav, tuleb seega enne kindlaks teha, kas liikmesriigi prokuratuuri poolt selliste isikuandmete töötlemine, mida algul koguti seoses ühe või mitme direktiivi 2016/680 artikli 1 lõikes 1 sätestatud ülesandega, riigi või avalik-õigusliku organi kaitse tagamiseks vastutuse tuvastamise hagi raames, millega nõutakse riigi või avalik-õigusliku organi poolt nende ülesannete täitmisel tehtud vea tõttu tekkinud kahju hüvitamist, on vajalik avalikes huvides oleva ülesande täitmiseks või prokuratuuri poolt avaliku võimu teostamiseks selle määruse artikli 6 lõike 1 esimese lõigu punkti e tähenduses.

87

Nagu kohtujurist oma ettepaneku punktides 94 ja 100 sisuliselt märkis, võib juhul, kui prokuratuuri ülesanne on kaitsta riigi õigus- ja varalisi huve vastutuse tuvastamise hagi raames, milles vaidlustatakse ametiasutuse tegevus või käitumine talle kriminaalasjades usaldatud avalikes huvides ülesannete raames, nende huvide kaitse kujutada endast riigisisese õiguse alusel avalikes huvides ülesannet selle määruse artikli 6 lõike 1 esimese lõigu punkti e tähenduses.

88

Esiteks tagab see ametiasutus talle kui kostjale antud menetlusõigusi teostades hageja poolt kahtluse alla seatud avalikes huvides tehtud toimingute ja vastu võetud otsuste õiguskindluse. Tema seisukohavõtud hageja väidete ja argumentide kohta võimaldavad vastavalt olukorrale vältida ohtu, et need takistavad eeskirjade tõhusat kohaldamist, mis on tema kohus ülesannete raames, mille mittenõuetekohast täitmist talle süüks pannakse.

89

Teiseks võib sama ametiasutus oma kaitseväidetes ja -argumentides rõhutada – kui see vastab tõele – hageja kahju hüvitamise nõuete võimalikku põhjendamatust või ülemäärasust, et vältida eelkõige seda, et vastutuse tuvastamise hagi raames vaidlustatud avalikes huvides ülesannete täitmist pärsiks kahju hüvitamise hagide esitamise väljavaade, kui need ülesanded võivad kahjustada eraõiguslike isikute huve.

90

Sellega seoses ei ole tähtsust asjaolul, et riigivastutuse tuvastamise hagi raames tegutseb prokuratuur kostjana teiste pooltega võrdselt ega teosta avalikku võimu, nagu see on tema ülesannete täitmisel kriminaalasjades.

91

Käesoleval juhul nähtub eelotsusetaotlusest ning täpsustustest, mille Bulgaaria valitsus esitas oma vastuses Euroopa Kohtu küsimustele, et vastutuse tuvastamise hagi, mis on osaliselt põhikohtuasja aluseks, põhineb seadusel, mis reguleerib riigi ja kohalike omavalitsuste vastutust tekitatud kahju eest, mida on mainitud käesoleva kohtuotsuse punktis 26 ja mis näeb ette riigivastutuse korra kahju eest, mis on tekkinud seetõttu, et on rikutud õigust asja läbi vaatamisele ja lahendi tegemisele mõistliku aja jooksul, ning et vastavalt selle seaduse artiklile 7 on kohtuvaidluse pooleks see ametiasutus, kelle õigusvastased õigusaktid, tegevus või tegevusetus tekitasid kahju, ja kes astub sel alusel menetluses riigi asemele.

92

Nii erineb sellise vastutuse tuvastamise hagi raames väidetava kahju tekitanud ametiasutuse roll kostja rollist niisuguse avaliku teenistuja vastu esitatud riigi regressihagi raames, kelle isiklik vastutus on tekkinud rikkumisest oma ülesannete täitmisel, kuivõrd viimasel juhul on rolli eesmärk kaitsta erahuve (vt selle kohta 18. mai 2021. aasta kohtuotsus Asociaţia Forumul Judecătorilor din România jt, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 ja C‑397/19, EU:C:2021:393, punkt 225).

93

Seega tuleb eeltoodud kaalutlusi arvestades asuda seisukohale, et liikmesriigi prokuratuuri poolt selliste isikuandmete töötlemine, mida algul koguti või töödeldi seoses ühe või mitme direktiivi 2016/680 artikli 1 lõikes 1 sätestatud ülesandega, riigi kaitse tagamiseks vastutuse tuvastamise hagi raames, millega nõutakse prokuratuuri poolt oma ülesannete täitmisel tehtud vea tõttu tekkinud kahju hüvitamist, ei kuulu põhimõtteliselt mitte isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f, vaid pigem selle määruse artikli 6 lõike 1 esimese lõigu punkti e kohaldamisalasse.

94

Lisaks ei saa välistada, et kui liikmesriigi prokuratuur edastab vastutuse tuvastamise hagi raames riigi kaitse tagamiseks pädevale kohtule viimase taotlusel isikuandmed, kuulub ka see andmete edastamine isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti c kohaldamisalasse, kui vastavalt kohaldatavale riigisisesele õigusele on prokuratuur kohustatud selle taotluse rahuldama.

95

Neil asjaoludel tuleb eelotsusetaotluse esitanud kohtul selleks, et teha kindlaks, kas selline isikuandmete töötlemine, nagu on kõne all põhikohtuasjas, kuulub isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu nimetatud sätete kohaldamisalasse, kontrollida, kas vastavalt selle määruse artikli 6 lõikele 3 on riigisiseses õiguses kehtestatud esiteks sellise töötlemise alus ja teiseks andmete töötlemise eesmärgid või – mis puudutab artikli 6 lõike 1 esimese lõigu punkti e –, kas selline töötlemine on vajalik selleks, et prokuratuur saaks täita oma avalikes huvides ülesannet.

96

Lisaks tuleb eelotsusetaotluse esitanud kohtul kindlaks teha, kas see, et prokuratuur avalikustab vastutuse tuvastamise hagi esitajat puudutava teabe, mida sisaldavad toimikud, mis avati muudes asjades kui need, millega seoses esitati hagi, vastab muudele isikuandmete kaitse üldmääruses ette nähtud nõuetele ja eelkõige isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis c sätestatud „võimalikult väheste andmete kogumise“ põhimõttele, mille kohaselt peavad isikuandmed olema asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt, ning milles väljendub proportsionaalsuse põhimõte (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 98). Lisaks peab ta kontrollima, et isikuandmete töötlemisel olid tagatud asjakohased kaitsemeetmed, eelkõige võimalus esitada tõhusalt oma seisukoht prokuratuuri poolt sel puhul esitatud teabe ja tõendite kohta ning lisaks vastavalt isikuandmete kaitse üldmääruse artikli 21 lõikele 1 ka võimalus esitada vastuväiteid sellise teabe ja tõendite edastamisele pädevale kohtule, arvestades riigisiseses õiguses vastavalt selle määruse artikli 23 lõikele 1 sellisele vastuväidete esitamise õigusele ette nähtud piiranguid.

97

Kõike eeltoodut arvesse võttes tuleb teisele küsimusele vastata, et:

98

Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (viies koda) otsustab: