Правові акти Литви, які передбачають розкриття в Інтернеті частини даних декларацій приватних інтересів керівників установ, які отримують державні кошти, суперечать закону Європейського Союзу. Дотримання принципу прозорості у виконанні державних функцій має поєднуватися з основними правами, на які впливає відповідний захід, встановлюючи баланс між метою загального інтересу та основополжними правами, про які йде мова.
Керівник (ОТ) литовської неурядової організації, який здійснює діяльність у сфері охорони навколишнього середовища та отримує фінансування зі структурних фондів Союзу не подавав декларацію про приватні інтереси до Вищої комісії з питань службової етики, у зв’язку з чим вона прийняла рішення про невиконання цього обов’язку. OT оскаржив це рішення до Вільнюського окружного адміністративного суду. Цей суд звернувся до Суду ЄС із запитанням щодо відповідності правових актів Литви Загальному регламенту про захисту даних (GDPR) та Хартії основних прав Європейського Союзу, якою мірою ці акти вимагають публічної публікації даних приватних осіб. Національний суд також звернувся до Суду з проханням роз’яснити, чи публічна публікація в Інтернеті вмісту декларацій про приватні інтереси, які можуть опосередковано виявити «делікатні дані», становить обробку спеціальних категорій персональних даних у розумінні GDPR.
У рішенні Великої палати Суду ЄС у справі C-184/20, опублікованому 1 серпня 2022 року, встановлено, що GDPR і Директива 95/46, пов’язана з Хартією основних прав, забороняють національне законодавство, яке передбачає публічну публікацію в Інтернеті декларації осіб приватного права, які має подати кожен керівник органу, що отримує державні кошти, у частині, серед іншого, щодо персональних даних подружжя, співмешканця чи партнера декларанта, а також його родичів чи знайомих, які можуть мати конфлікт інтересів, або щодо будь-яких операції, укладених протягом останніх дванадцяти календарних місяців, вартість яких перевищує 3000 євро.
Суд зазначає, перш за все, представлені запитання стосуються лише публічної публікації в Інтернеті частини даних, які містяться в декларації приватних інтересів, і що публікація цих даних на веб-сайті означає їх обробку, як це розуміється відповідно до законодавства Союзу. Суд ЄС підкреслює, що законодавство Союзу передбачає повний і вичерпний перелік випадків, у яких обробка персональних даних може вважатися законною. Це стосується, зокрема, випадків, коли обробка даних необхідна для виконання юридичного зобов’язання, покладеного на контролера даних. Суд пояснює, що така обробка даних має ґрунтуватися на законодавстві Союзу або законодавстві держави-члена, що застосовується до контролера даних, і що ця правова основа має відповідати меті суспільних інтересів і бути пропорційною законній меті, що переслідується.
У зв’язку з цим Суд ЄС перш за все зазначає, що обробка персональних даних відповідно до положень національного законодавства стосується узгодження інтересів, оскільки вона спрямована на забезпечення пріоритетності громадських інтересів, під час прийняття рішень людьми, які працюють на державній службі, щоб гарантувати неупередженість цих рішень і запобігання ситуаціям конфлікту інтересів, а також виникненню та зростанню корупції на державній службі, як правило, відповідає цілям загального інтересу, визнаним Союзом.
Далі Суд заявляє, що обробка, про яку йде мова, видається придатною для реалізації цілей загального інтересу, які вона переслідує. Проте він нагадує, що захід також має відповідати вимозі необхідності, яка виконується, якщо заявлена мета загального інтересу не може бути належним чином і настільки ж ефективно досягнута іншими засобами, які б менш обмежували основні свободи та права суб’єктів даних, зокрема права на особисте життя та на захист персональних даних.
Суд пояснює, що умова, пов’язана з необхідністю обробки персональних даних, має розглядатися разом із так званим принципом «зменшення даних», згідно з яким персональні дані мають бути адекватними, релевантними та не виходити за рамки цілей для якими вони обробляються. Виходячи з цього, Суд дійшов висновку, що лише ті дані, публічне оприлюднення яких в Інтернеті дійсно могло б посилити гарантії чесності та неупередженості відповідальних осіб, запобігти конфлікту інтересів і допомогти боротися з корупцією в державному секторі, можуть оброблятися в у спосіб, передбачений положеннями відповідного національного законодавства.
У справі, яка розглядається, на думку Суду ЄС, публічне оприлюднення в Інтернеті персональних даних подружжя, співмешканця або партнера керівника установи, що отримує державні кошти, а також близьких йому осіб або інших відомих йому осіб, що може призвести до конфлікту інтересів, перевищує те, що є суворо необхідним, оскільки не здається, що заявлена мета суспільних інтересів не може бути досягнута. Суд також додає, що систематична публікація в Інтернеті переліку угод, укладених декларантом, вартістю понад 3000 євро не є суворо необхідною з огляду на поставлені цілі.
Нарешті, Суд порівняв силу обмеження з важливістю переслідуваної мети загального інтересу та дійшов висновку, що публічна публікація більшості персональних даних, які містяться в деклараціях приватних інтересів, в Інтернеті не відповідає вимогам збалансованості.
У зв’язку з цим Суд ЄС констатує, з одного боку, що боротьба з корупцією в Союзі є дуже важливою. З іншого боку, він зазначає, що коли вищезазначені дані будуть оприлюднені в Інтернеті, інформація про певні чутливі аспекти приватного життя суб’єктів даних може бути розкрита, і стане можливим створити надзвичайно детальну картину цього життя. Крім того, він зазначає, що ця обробка робить ці персональні дані вільно доступними в Інтернеті для потенційно необмеженої кількості людей. Таким чином, Суд ЄС встановив значне обмеження фундаментальних прав суб’єктів даних на приватне життя та захист персональних даних.
Однак Суд ЄС вважає, що публічне оприлюднення певних даних, які містяться в деклараціях приватних інтересів, такі як дані про членство в різних установах, їх індивідуальну діяльність або подарунки певної вартості, отримані від третіх осіб, декларанта або його дружини , співмешканця або партнера, чиї особисті імена не вказані, може бути виправдано перевагами, які така прозорість надає для заявленої мети.
Нарешті, Суд зазначає, що публічна публікація персональних даних, які можуть опосередковано розкривати конфіденційну інформацію про фізичну особу, на веб-сайті державного органу, відповідального за збір декларацій про приватні інтереси та перевірку їх змісту, є обробкою спеціальних категорій персональних даних в розумінні права Союзу. Це тлумачення підтверджується GDPR і метою Директиви 95/46 щодо забезпечення високого рівня захисту основних свобод і прав фізичних осіб під час обробки пов’язаних з ними персональних даних.