TEISINGUMO TEISMO (trečioji kolegija) SPRENDIMAS
2015 m. spalio 1 d.(*)
„Prašymas priimti prejudicinį sprendimą – Direktyva 95/46/EB – Asmens duomenų tvarkymas – 10 ir 11 straipsniai – Duomenų subjektų informavimas – 13 straipsnis – Išimtys ir apribojimai – Valstybės narės viešosios valdžios institucijos atliekamas mokestinių asmens duomenų perdavimas tvarkyti kitai viešosios valdžios institucijai“
Byloje C‑201/14
dėl Klužo apeliacinio teismo (Curtea de Apel Cluj, Rumunija) 2014 m. kovo 31 d. nutartimi, kurią Teisingumo Teismas gavo 2014 m. balandžio 22 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje
Smaranda Bara ir kt.
prieš
Președintele Casei Naționale de Asigurări de Sănătate,
Casa Naţională de Asigurări de Sănătate,
Agenţia Naţională de Administrare Fiscală (ANAF)
TEISINGUMO TEISMAS (trečioji kolegija)
kurį sudaro kolegijos pirmininkas M. Ilešič, teisėjai A. Ó Caoimh, C. Toader, E. Jarašiūnas ir C. G. Fernlund (pranešėjas),
generalinis advokatas P. Cruz Villalón,
posėdžio sekretorius L. Carrasco Marco, administratorius,
atsižvelgęs į rašytinę proceso dalį ir įvykus 2015 m. balandžio 29 d. posėdžiui,
išnagrinėjęs pastabas, pateiktas:
– Smaranda Bara ir kt., atstovaujamų avocați C. F. Costaş ir K. Kapcza,
– Casa Naţională de Asigurări de Sănătate, atstovaujamos V. Ciurchea,
– Rumunijos vyriausybės, atstovaujamos R. H. Radu, A. Buzoianu, A.‑G. Văcaru ir D. M. Bulancea,
– Čekijos vyriausybės, atstovaujamos M. Smolek ir J. Vláčil,
– Europos Komisijos, atstovaujamos I. Rogalski, B. Martenczuk ir J. Vondung,
susipažinęs su 2015 m. liepos 9 d. posėdyje pateikta generalinio advokato išvada,
priima šį
Sprendimą
1 Prašymas priimti prejudicinį sprendimą pateiktas dėl SESV 124 straipsnio ir 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355) 10, 11 ir 13 straipsnių išaiškinimo.
2 Šis prašymas pateiktas sprendžiant S. Bara ir kt. ginčą su Președintele Casei Naționale de Asigurări de Sănătate (Nacionalinės sveikatos draudimo kasos prezidentas), Casa Națională de Asigurări de Sănătate (Nacionalinė sveikatos draudimo kasa, toliau – CNAS) ir Agenția Națională de Administrare Fiscală (Nacionalinė mokesčių administravimo agentūra, toliau – ANAF) dėl tam tikrų duomenų tvarkymo.
Teisinis pagrindas
Sąjungos teisė
3 Direktyvos 95/46 2 straipsnyje „Sąvokos“ nustatyta:
„Šioje direktyvoje:
a) „asmens duomenys“ reiškia bet kurią informaciją, susijusią su asmeniu (duomenų subjektu), kurio tapatybė yra nustatyta arba gali būti nustatyta; asmuo, kurio tapatybė gali būti nustatyta, yra tas asmuo, kurio tapatybė gali būti nustatyta tiesiogiai ar netiesiogiai, ypač pasinaudojus nurodytu asmens identifikavimo kodu arba vienu ar keliais to asmens fizinei, fiziologinei, protinei, ekonominei, kultūrinei ar socialinei tapatybei būdingais veiksniais;
b) „asmens duomenų tvarkymas“ (tvarkymas) reiškia bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su asmens duomenimis, kaip antai: rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu padarant juos prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar naikinimas;
c) „asmens duomenų kaupimo rinkmenose sistema“ (rinkmenų sistema) reiškia bet kurį susistemintą pagal specifinius kriterijus prieinamų asmens duomenų rinkinį, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;
d) „duomenų valdytojas“ reiškia tokį fizinį ar juridinį asmenį, valstybės valdžios instituciją, agentūrą ar bet kurį kitą organą, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir būdus; jeigu tvarkymo tikslus ir būdus nusako nacionaliniai arba Bendrijos įstatymai bei norminiai aktai, tai duomenų valdytoją arba specifinius kriterijus, pagal kuriuos skiriamas duomenų valdytojas, gali apibrėžti nacionaliniai arba Bendrijos įstatymai;
<...>“
4 Šios direktyvos 3 straipsnis „Taikymo sritis“ suformuluotas taip:
„1. Ši direktyva taikoma automatiniais būdais tvarkant asmens duomenis ištisai arba dalimis ir neautomatiniais būdais tvarkant asmens duomenis, kai tie duomenys sudaro arba yra skirti sudaryti rinkmenų sistemos dalį.
2. Ši direktyva netaikoma tvarkant asmens duomenis:
– kai yra užsiimama tokia veikla, kuri nepatenka į Bendrijos teisės taikymo sritį, kaip antai veikla, kuri numatyta Europos Sąjungos sutarties V ir VI dalyse, taip pat kai atliekamos tvarkymo operacijos, susijusios su visuomenės saugumu, gynyba, valstybės saugumu (taip pat ir valstybės ekonomine gerove, kai tvarkymo operacija susijusi su valstybės saugumo klausimais) ir su valstybės veiksmais baudžiamosios teisės srityje;
– kai duomenis tvarko fizinis asmuo, užsiimdamas tik asmenine ar namų ūkio veikla.“
5 Minėtos direktyvos 6 straipsnyje, susijusiame su duomenų kokybės principais, nustatyta:
„1. Valstybės narės numato, kad asmens duomenys turi būti:
a) tvarkomi teisingai ir teisėtai;
b) surinkti įvardintais, aiškiai apibrėžtais ir teisėtais tikslais, o po to tvarkomi su šiais tikslais suderintais būdais. Tolesnis duomenų tvarkymas istoriniais, statistiniais ar moksliniais tikslais laikomas suderinamu dalyku, su sąlyga, kad valstybės narės numato atitinkamas apsaugos priemones;
c) adekvatūs, susiję ir savo apimtimi neviršijantys tikslų, kuriems jie renkami ir (arba) vėliau tvarkomi;
d) tikslūs ir, jei būtina, nuolat atnaujinami; turi būti imtasi visų reikalingų priemonių, kad duomenys, kurie yra netikslūs ar neišsamūs, palyginti su tikslais, dėl kurių jie buvo surinkti ar po to tvarkomi, būtų ištrinti arba ištaisyti;
e) laikomi tokio pavidalo, kad duomenų subjektų tapatybes būtų galima nustatyti ne ilgiau, nei tai yra reikalinga tais tikslais, dėl kurių duomenys buvo surinkti arba po to tvarkomi. Valstybės narės išdėsto asmens duomenų, ilgesnį laiką saugomų dėl istorinės, statistinės ar mokslinės paskirties, atitinkamas apsaugos priemones.
2. Duomenų valdytojo pareiga užtikrinti, kad būtų laikomasi šio straipsnio 1 dalies.“
6 Tos pačios direktyvos 7 straipsnyje, susijusiame su duomenų tvarkymo teisėtumo kriterijais, nustatyta:
„Valstybės narės numato, kad asmens duomenis galima tvarkyti tik tuo atveju, jeigu:
a) duomenų subjektas yra nedviprasmiškai davęs sutikimą;
b) tvarkyti reikia vykdant sutartį, kurią duomenų subjektas yra sudaręs kaip viena iš šalių, arba duomenų subjekto reikalavimu norint imtis priemonių prieš sudarant sutartį;
c) tvarkyti reikia vykdant teisinę prievolę, kuri privaloma duomenų valdytojui;
d) tvarkyti reikia norint apsaugoti gyvybinius duomenų subjekto interesus;
e) tvarkyti reikia vykdant užduotį, atliekamą visuomenės labui, arba įgyvendinant oficialius įgaliojimus, suteiktus duomenų valdytojui arba trečiajai šaliai, kuriai atskleidžiami duomenys; arba
f) tvarkyti reikia dėl teisėtų interesų, kurių siekia duomenų valdytojas arba trečioji šalis (šalys), kurioms atskleidžiami duomenys, išskyrus atvejus, kai duomenų subjekto, kuriam pagal 1 straipsnio 1 dalį reikalinga apsauga, teisės ir laisvės yra viršesnės nei šie interesai.“
7 Direktyvos 95/46 10 straipsnyje „Informavimas renkant duomenis iš duomenų subjekto“ nustatyta:
„Valstybės narės numato, kad duomenų valdytojas arba jo atstovas privalo duomenų subjektui, iš kurio renkami su juo susiję duomenys, suteikti bent tokią informaciją, jeigu jis jos dar neturi:
a) duomenų valdytojo arba jo atstovo, jei toks yra, tapatybė;
b) tikslai, dėl kurių ketinama tvarkyti šiuos duomenis;
c) bet kokia platesnė informacija, kaip antai:
– duomenų gavėjai ar gavėjų kategorijos,
– ar į klausimus atsakoma privaloma tvarka, ar savanoriškai, taip pat galimos neatsakymo pasekmės,
– teisės gauti informaciją ar teisės pataisyti duomenis apie save buvimas,
kiek tokios papildomos informacijos reikia, atsižvelgus į specifines duomenų rinkimo aplinkybes, kad būtų garantuotas teisingas subjekto duomenų tvarkymas.“
8 Šios direktyvos 11 straipsnis „Informavimas[,] kai duomenys gaunami ne iš duomenų subjekto“ suformuluotas taip:
„1. Kai duomenys gaunami ne iš duomenų subjekto, valstybės narės numato, kad tuo metu, kai imamasi užrašinėti asmens duomenis, arba, jeigu numatoma duomenis atskleisti trečiajai šaliai, ne vėliau kaip iki to laiko, kai duomenys atskleidžiami pirmą kartą, duomenų valdytojas arba [jo] atstovas privalo duomenų subjektui suteikti bent tokią informaciją, jeigu jis jos dar neturi:
a) duomenų valdytojo arba jo atstovo, jei toks yra, tapatybė;
b) tikslai, dėl kurių tvarkoma;
c) bet kokia platesnė informacija, kaip antai:
– tvarkomų duomenų kategorijos,
– duomenų gavėjai ar gavėjų kategorijos,
– teisės gauti informaciją ar teisės pataisyti duomenis apie save buvimas,
kiek tokios platesnės informacijos reikia, atsižvelgus į specifines duomenų tvarkymo aplinkybes, kad būtų garantuotas teisingas subjekto duomenų tvarkymas.
2. Šio straipsnio 1 dalis netaikoma, ypač tvarkant duomenis statistiniais sumetimais arba istorinių ar mokslinių tyrimų tikslais, kai tokią informaciją pateikti būtų neįmanoma arba pernelyg sunku, arba jeigu įstatymai aiškiai reikalauja duomenis įrašyti ar atskleisti. Tokiais atvejais valstybės narės užtikrina tinkamas apsaugos priemones.“
9 Remiantis šios direktyvos 13 straipsniu „Išimtys ir apribojimai“:
„1. Valstybės narės gali priimti teisines [įstatymines] priemones, kad apribotų 6 straipsnio 1 dalyje, 10 straipsnyje, 11 straipsnio 1 dalyje bei 12 ir 21 straipsniuose numatytų prievolių ir teisių mastą, kai toks apribojimas yra reikalinga apsaugos priemonė norint užtikrinti:
a) nacionalinį saugumą;
b) gynybą;
c) visuomenės saugumą;
d) kriminalinių nusikaltimų bei reglamentuojamų profesijų etikos pažeidimų prevenciją, tyrimą, išaiškinimą ir persekiojimą;
e) svarbius ekonominius ar finansinius valstybės narės ar Europos Sąjungos interesus, įskaitant ir monetarinius, biudžeto ar mokesčių klausimus;
f) kontrolės, tikrinimo ar taisyklių nustatymo funkciją, kuri susijusi, bent atsitiktinai, su įgaliojimų vykdymu c, d ir e punktuose nurodytais atvejais;
g) duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsaugą.
2. Tuomet, kai nėra jokio pavojaus pažeisti duomenų subjekto privatumą, valstybės narės gali teisine [įstatymine] priemone apriboti 12 straipsnyje numatytas teises, jeigu duomenys yra tvarkomi tik mokslinių tyrimų tikslais arba jeigu jie yra laikomi asmens duomenų pavidalu ne ilgiau, nei yra reikalinga tik statistikos sumetimais, tačiau laikomasi nuostatos dėl adekvačių teisinių apsaugos priemonių, ypač nuostatos, kad duomenys nebūtų naudojami taikant priemones ar priimant sprendimus dėl bet kurio konkretaus asmens.“
Rumunijos teisė
Įstatymas Nr. 95/2006
10 Iš prašymo priimti prejudicinį sprendimą matyti, kad 2006 m. balandžio 14 d. Įstatymo Nr. 95/2006 dėl sveikatos apsaugos reformos (Legea nr. 95/2006 privind reforma în domeniul sănătății, Monitorul Oficial al României, I dalis, Nr. 372, 2006 m. balandžio 28 d.) 215 straipsnyje numatyta:
„(1) Pareiga mokėti sveikatos draudimo įmokas tenka fiziniams arba juridiniams asmenims, įdarbinantiems asmenis pagal individualias darbo sutartis arba pagal įstatymuose numatytus specialius nuostatus, arba tam tikrais atvejais fiziniams asmenims.
(2) Juridiniai arba fiziniai asmenys, kuriems apdraustieji dirba, kiekvieną mėnesį privalo apdraustųjų pasirinktai sveikatos draudimo kasai pateikti deklaraciją apie pastariesiems tenkančias pareigas kasos atžvilgiu ir įrodymą, kad įmokos buvo sumokėtos.
<...>“
11 Šio įstatymo 315 straipsnyje nurodyta:
„Apdraustojo statusui nustatyti reikalingus duomenis sveikatos draudimo kasoms pagal protokolą neatlygintinai teikia valdžios įstaigos, valstybės ir kitos institucijos.“
CNAS prezidento sprendimas Nr. 617/2007
12 2007 m. rugpjūčio 13 d. CNAS prezidento sprendimo Nr. 617/2007 dėl metodologinių taisyklių, susijusių su pateisinamųjų dokumentų pateikimu siekiant įgyti apdraustojo arba įmokų nemokančio apdraustojo statusą, ir priverstinio vykdymo priemonių taikymo siekiant surinkti sumas, mokėtinas bendram nacionaliniam socialinio draudimo fondui, patvirtinimo (Monitorul Oficial al României, I dalis, Nr. 649, 2007 m. rugsėjo 24 d.) 35 straipsnyje nustatyta:
„<...> įmokų fondui mokėjimo pareigos, tenkančios pagal draudimo sutartis apdraustiems fiziniams asmenims, kurie nėra asmenys, iš kurių mokesčius surenka ANAF, atveju skolos įrodymas, atsižvelgiant į konkretų atvejį, yra deklaracija <...>, kompetentingo CAS [sveikatos draudimo kasos] organo parengtas pranešimas apie mokėtiną įmoką arba teismo sprendimas, susijęs su įsiskolinimais kasai. Kompetentingas CAS organas pranešimą apie mokėtiną įmoką gali pateikti ir remdamasis informacija, gauta iš ANAF pagal protokolą.“
2007 m. protokolas
13 Remiantis CNAS ir ANAF pasirašyto Protokolo Nr. P 5282/26.10.2007/95896/30.10.2007 (toliau – 2007 m. protokolas) 4 straipsniu:
„Įsigaliojus šiam protokolui, [ANAF] per atitinkamas jai pavaldžias struktūras elektroniniu formatu pateikia pradinę duomenų bazę, susijusią su:
a. asmenų, priskiriamų prie šio protokolo 1 straipsnio 1 dalyje numatytų kategorijų, pajamomis, ir – kartą per tris mėnesius – šios duomenų bazės atnaujinimus, pateikdama ją [CNAS] automatiniam duomenų tvarkymui tinkamu formatu, kaip numatyta šio protokolo 1 priede <...>
<...>“
Pagrindinė byla ir prejudiciniai klausimai
14 Ieškovai pagrindinėje byloje gauna pajamų iš savarankiškos veiklos. ANAF perdavė CNAS duomenis apie jų deklaruotas pajamas. Remdamasi šiais duomenimis, CNAS pareikalavo padengti sveikatos draudimo įmokų įsiskolinimą.
15 Ieškovai pagrindinėje byloje kreipėsi į Klužo apeliacinį teismą su ieškiniu, kuriame ginčija su jų pajamomis susijusių mokestinių duomenų perdavimo teisėtumą pagal Direktyvą 95/46. Jie tvirtina, kad, negavus aiškaus jų sutikimo ir iš anksto jų neinformavus, šie asmens duomenys buvo, remiantis paprastu vidaus protokolu, perduoti ir panaudoti kitais tikslais nei tie, kuriais jie iš pradžių buvo pateikti ANAF.
16 Iš prašymo priimti prejudicinį sprendimą matyti, kad, remiantis Įstatymu Nr. 95/2006, viešieji subjektai turi teisę perduoti asmens duomenis sveikatos draudimo kasoms, kad šios galėtų nustatyti atitinkamų asmenų draudimo statusą. Šie duomenys susiję su asmenų identifikavimu (pavardė, vardas, asmens identifikavimo numeris, adresas), tačiau neapima su pajamomis susijusių duomenų.
17 Prašymą priimti prejudicinį sprendimą pateikęs teismas siekia nustatyti, ar tam, kad CNAS galėtų tvarkyti duomenis, reikia iš anksto informuoti duomenų subjektus apie duomenų valdytojo tapatybę ir tikslą, kuriuo šie duomenys buvo perduoti. Tas teismas taip pat turi priimti sprendimą dėl to, ar duomenų perdavimas remiantis 2007 m. protokolu prieštarauja Direktyvos 95/46 nuostatoms, pagal kurias reikalaujama, kad bet koks duomenų subjektų teisių apribojimas būtų numatytas įstatyme ir kad būtų numatytos garantijos, visų pirma, tuomet, kai duomenys naudojami prieš šiuos asmenis.
18 Šiomis aplinkybėmis Klužo apeliacinis teismas nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:
„1. Ar nacionalinė mokesčių administravimo institucija, kaip valstybės narės kompetentingai ministerijai atstovaujantis organas, yra finansinė institucija, kaip tai suprantama pagal SESV 124 straipsnį?
2. Ar aktais, panašiais į administracinius aktus, kaip antai nacionalinės mokesčių administravimo institucijos ir kitos valstybinės institucijos pasirašytu protokolu, galima reglamentuoti duomenų apie valstybės narės piliečių pajamas bazės perdavimą iš vienos nacionalinės mokesčių administravimo institucijos kitai šios valstybės narės institucijai taip, kad tai nebūtų laikoma naudojimusi privilegija, kaip tai suprantama pagal SESV 124 straipsnį?
3. Ar SESV 124 straipsnyje esanti „rizikos ribojimo“ sąvoka apima duomenų bazės perdavimą siekiant valstybės narės piliečius priversti vykdyti pareigą mokėti socialines įmokas valstybės narės institucijai, kuriai perduodami minėti duomenys?
4. Ar asmens duomenis gali tvarkyti valdžios institucija, kuriai šie duomenys nebuvo adresuoti, jeigu tokia operacija gali sukelti turtinės žalos atgaline data?“
Dėl prejudicinių klausimų
Dėl priimtinumo
Dėl pirmojo–trečiojo klausimų priimtinumo
19 Remiantis nusistovėjusia teismo praktika, Teisingumo Teismas gali atsisakyti priimti sprendimą dėl nacionalinio teismo pateikto prejudicinio klausimo, kai akivaizdu, jog prašomas Sąjungos teisės išaiškinimas visiškai nesusijęs su pagrindinės bylos aplinkybėmis arba dalyku, kai problema yra hipotetinė arba kai Teisingumo Teismas neturi faktinės arba teisinės informacijos, būtinos naudingai atsakyti į jam pateiktus klausimus (žr. Sprendimo PreussenElektra, C‑379/98, EU:C:2001:160, 39 punktą ir jame nurodytą teismo praktiką).
20 Visose Teisingumo Teismui pateiktose pastabose nurodyta, kad su SESV 124 straipsnio išaiškinimu susiję pirmasis–trečiasis prejudiciniai klausimai nepriimtini, nes nesusiję su pagrindinės bylos dalyku.
21 Šiuo klausimu primintina, kad SESV 124 straipsnis yra ESV sutarties trečiosios dalies VIII antraštinėje dalyje, skirtoje ekonominei ir pinigų politikai. Šiuo straipsniu draudžiamos visokios rizikos ribojimu nepagrįstos priemonės, suteikiančios Sąjungos institucijoms, įstaigoms ar organams, centrinėms vyriausybėms, regioninėms, vietos ar kitoms valdžios institucijoms, kitoms viešosios teisės reglamentuojamoms įstaigoms arba valstybių narių valstybinėms įmonėms privilegiją naudotis finansų įstaigomis.
22 Šis draudimas pirmą kartą buvo nustatytas EB sutarties 104A straipsnyje (po pakeitimo – EB 102 straipsnis), kuris į EB sutartį buvo įterptas Mastrichto sutartimi. Jis priklauso prie su ekonomine politika susijusių ESV sutarties nuostatų, kuriomis siekiama skatinti valstybes nares laikytis patikimos biudžeto politikos siekiant išvengti to, kad valstybės skolos piniginis finansavimas ar privilegijuota viešųjų institucijų prieiga prie finansų rinkų lemtų pernelyg didelį įsiskolinimą arba pernelyg didelį valstybių narių deficitą (šiuo klausimu žr. Sprendimo Gauweiler ir kt., C‑62/14, EU:C:2015:400, 100 punktą).
23 Todėl akivaizdu, kad prašomas SESV 124 straipsnio išaiškinimas neturi jokio ryšio su pagrindinės bylos, kuri susijusi su asmens duomenų apsauga, aplinkybėmis arba dalyku.
24 Tai reiškia, kad į pirmąjį–trečiąjį klausimus atsakyti nereikia.
Dėl ketvirtojo klausimo priimtinumo
25 CNAS ir Rumunijos vyriausybė teigia, kad ketvirtasis klausimas yra nepriimtinas. Ši vyriausybė tvirtina, kad nėra jokio ryšio tarp ieškovų pagrindinėje byloje nurodytos žalos ir pagrindinėje byloje ginčijamų administracinių aktų panaikinimo.
26 Šiuo klausimu primintina, kad pagal nusistovėjusią Teisingumo Teismo praktiką nacionalinio teismo pateiktiems klausimams dėl Sąjungos teisės išaiškinimo, atsižvelgiant į jo paties nurodytas faktines aplinkybes ir teisinius pagrindus, kurių tikslumo Teisingumo Teismas neprivalo tikrinti, taikoma reikšmingumo prezumpcija. Nacionalinio teismo pateiktą prašymą priimti prejudicinį sprendimą Teisingumo Teismas gali atmesti, tik jei akivaizdu, jog prašymas išaiškinti Sąjungos teisę yra visiškai nesusijęs su pagrindinės bylos faktais ar dalyku, kai problema yra hipotetinė arba kai Teisingumo Teismas neturi faktinės ar teisinės informacijos, reikalingos naudingai atsakyti į jam pateiktus klausimus (Sprendimo Fish Legal ir Shirley, EU:C:2013:853, 30 punktas ir jame nurodyta teismo praktika).
27 Pažymėtina, kad pagrindinė byla susijusi su ANAF surinktų mokestinių duomenų tvarkymo teisėtumu. Prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas dėl Direktyvos 95/46 nuostatų aiškinimo atliekant šių duomenų perdavimo CNAS ir vėlesnio jų tvarkymo teisėtumo kontrolę. Taigi, ketvirtasis prejudicinis klausimas yra svarbus ir pakankamai aiškus, kad Teisingumo Teismas galėtų į jį naudingai atsakyti. Todėl prašymas priimti prejudicinį sprendimą, kiek jis susijęs su ketvirtuoju klausimu, laikytinas priimtinu.
Dėl bylos esmės
28 Ketvirtuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Direktyvos 95/46 10, 11 ir 13 straipsniai turi būti aiškinami taip, kad jais draudžiamos nacionalinės priemonės, kaip antai nagrinėjamos pagrindinėje byloje, kuriomis valstybės narės viešosios valdžios institucijai leidžiama perduoti asmens duomenis kitai viešosios valdžios institucijai ir vėliau juos tvarkyti, apie šį perdavimą ir tvarkymą neinformavus duomenų subjektų.
29 Remiantis prašymą priimti prejudicinį sprendimą pateikusio teismo nurodyta informacija konstatuotina, kad mokestiniai duomenys, kuriuos ANAF perduoda CNAS, yra asmens duomenys, kaip tai suprantama pagal šios direktyvos 2 straipsnio a punktą, nes tai yra „informacij[a], susijus[i] su asmeniu (duomenų subjektu), kurio tapatybė yra nustatyta arba gali būti nustatyta“ (Sprendimo Satakunnan Markkinapörssi ir Satamedia, C‑73/07, EU:C:2008:727, 35 punktas). Todėl tiek ANAF, t. y. institucijos, kuriai pavesta valdyti jos renkamų duomenų bazę, atliekamas jų perdavimas, tiek CNAS vykdomas vėlesnis jų tvarkymas yra „asmens duomenų tvarkymas“, kaip tai suprantama pagal tos pačios direktyvos 2 straipsnio b punktą (šiuo klausimu žr., be kita ko, sprendimų Österreichischer Rundfunk ir kt., C‑465/00, C‑138/01 ir C‑139/01, EU:C:2003:294, 64 punktą ir Huber, C‑524/06, EU:C:2008:724, 43 punktą).
30 Pagal Direktyvos 95/46 II skyriaus „Bendrosios asmens duomenų tvarkymo teisėtumo taisyklės“ nuostatas bet koks asmens duomenų tvarkymas, kuriam netaikomos šios direktyvos 13 straipsnyje numatytos leidžiančios nukrypti nuostatos, turi, pirma, atitikti šios direktyvos 6 straipsnyje nurodytus duomenų kokybės principus ir, antra, tenkinti vieną iš duomenų tvarkymo teisėtumo principų, išvardytų šios direktyvos 7 straipsnyje (sprendimų Österreichischer Rundfunk ir kt., C‑465/00, C‑138/01 ir C‑139/01, EU:C:2003:294, 65 punktas; Huber, C‑524/06, EU:C:2008:724, 48 punktas ir ASNEF ir FECEMD, C‑468/10 et C‑469/10, EU:C:2011:777, 26 punktas).
31 Be to, duomenų valdytojui ar jo atstovui taikoma informavimo pareiga, kurios sąlygos, įtvirtintos Direktyvos 95/46 10 ir 11 straipsniuose, įvairuoja atsižvelgiant į tai, ar šie duomenys renkami iš duomenų subjekto, ar ne iš jo, ir visa tai atsižvelgiant į šios direktyvos 13 straipsnyje numatytas leidžiančias nukrypti nuostatas.
32 Pirmiausia, kalbant apie minėtos direktyvos 10 straipsnį, pažymėtina, kad jame numatyta, jog duomenų valdytojas privalo duomenų subjektui, iš kurio renkami su juo susiję duomenys, suteikti šio straipsnio a–c punktuose nurodytą informaciją, jeigu šis subjektas jos dar neturi. Ši informacija susijusi su duomenų valdytojo tapatybe, šio tvarkymo tikslais ir bet kokia kita papildoma informacija, kuri būtina siekiant užtikrinti teisingą duomenų tvarkymą. Tarp papildomos informacijos, kuri būtina siekiant užtikrinti teisingą duomenų tvarkymą, tos pačios direktyvos 10 straipsnio c punkte aiškiai paminėti „duomenų gavėjai ar gavėjų kategorijos“ ir „teisės gauti informaciją ar teisės pataisyti duomenis apie save buvimas“.
33 Kaip pažymėjo generalinis advokatas savo išvados 74 punkte, reikalavimas informuoti duomenų subjektus apie jų asmens duomenų tvarkymą yra svarbus tuo, kad jis yra viena iš sąlygų, būtinų tam, kad šie asmenys pasinaudotų Direktyvos 95/46 12 straipsnyje numatyta teise gauti informaciją apie tvarkomus duomenis ir teise juos ištaisyti, taip pat šios direktyvos 14 straipsnyje numatyta teise pateikti prieštaravimą dėl minėtų duomenų tvarkymo.
34 Tai reiškia, kad Direktyvos 95/46 6 straipsnyje numatytas teisingo duomenų tvarkymo reikalavimas viešosios valdžios instituciją įpareigoja informuoti duomenų subjektus apie šių duomenų perdavimą kitai viešosios valdžios institucijai tam, kad ji juos tvarkytų kaip šių duomenų gavėja.
35 Iš šių prašymą priimti prejudicinį sprendimą pateikusio teismo paaiškinimų matyti, kad ANAF neinformavo ieškovų pagrindinėje byloje apie jų asmens duomenų perdavimą CNAS.
36 Tačiau Rumunijos vyriausybė teigia, kad ANAF, be kita ko, pagal Įstatymo Nr. 95/2006 315 straipsnį privalo regioninėms sveikatos draudimo kasoms pateikti informaciją, kuri būtina CNAS nustatant asmenims, gaunantiems pajamų iš savarankiškos veiklos, apdraustojo statusą.
37 Įstatymo Nr. 95/2006 315 straipsnyje aiškiai nustatyta: „Apdraustojo statusui nustatyti reikalingus duomenis sveikatos draudimo kasoms pagal protokolą neatlygintinai teikia valdžios įstaigos, valstybinės ir kitos institucijos.“ Tačiau iš prašymą priimti prejudicinį sprendimą pateikusio teismo paaiškinimų matyti, kad duomenys, kurių reikia nustatant apdraustojo statusą, kaip tai suprantama pagal šią nuostatą, neapima duomenų apie pajamas, nes pagal įstatymą apdraustojo statusas suteikiamas ir apmokestinamųjų pajamų neturintiems asmenims.
38 Tokiomis aplinkybėmis Įstatymo Nr. 95/2006 315 straipsnis negali būti išankstinė informacija, kaip ji suprantama pagal Direktyvos 95/46 10 straipsnį, dėl kurios duomenų valdytojas atleidžiamas nuo jam tenkančios pareigos informuoti asmenis, iš kurių jis renka duomenis apie jų pajamas, apie šių duomenų gavėjus. Todėl negali būti manoma, kad nagrinėjamas perdavimas atliktas laikantis Direktyvos 95/46 10 straipsnio nuostatų.
39 Reikia išnagrinėti, ar tokiam duomenų subjektų neinformavimui gali būti taikomas šios direktyvos 13 straipsnis. Iš šio 13 straipsnio 1 dalies e ir f punktų matyti, kad valstybės narės gali apriboti šios direktyvos 10 straipsnyje numatytų prievolių ir teisių mastą, kai toks apribojimas yra reikalinga apsaugos priemonė norint užtikrinti „svarbius ekonominius ar finansinius valstybės narės <...> interesus, įskaitant ir monetarinius, biudžeto ar mokesčių klausimus“, ir „kontrolės, tikrinimo ar taisyklių nustatymo funkciją, kuri susijusi, bent atsitiktinai, su įgaliojimų vykdymu c, d ir e punktuose nurodytais atvejais“. Tačiau minėtame 13 straipsnyje aiškiai reikalaujama, kad tokių apribojimų būtų imamasi įstatyminėmis priemonėmis.
40 Be prašymą priimti prejudicinį sprendimą pateikusio teismo nurodytos aplinkybės, kad duomenys apie pajamas nėra asmens duomenys, kurių reikia nustatant apdraustojo statusą, atkreiptinas dėmesys į tai, kad Įstatymo Nr. 95/2006 315 straipsnyje iš esmės tik numatytas pastarųjų asmens duomenų, kuriuos turi valdžios įstaigos, valstybės ir kitos institucijos, perdavimas. Iš prašymo priimti prejudicinį sprendimą taip pat matyti, kad informacijos, kurią galima perduoti, apibrėžtis ir šios informacijos perdavimo įgyvendinimo sąlygos buvo suformuluotos ne įstatymine priemone, o ANAF ir CNAS sudarytu 2007 m. protokolu, kuris nebuvo paskelbtas oficialiai.
41 Tokiomis aplinkybėmis negali būti manoma, jog įvykdytos Direktyvos 95/46 13 straipsnyje nustatytos sąlygos, kad valstybė narė galėtų nukrypti nuo teisių ir įsipareigojimų, išplaukiančių iš šios direktyvos 10 straipsnio.
42 Antra, kalbant apie minėtos direktyvos 11 straipsnį, pažymėtina, kad jo 1 dalyje numatyta, jog duomenų, kurie buvo gauti ne iš duomenų subjekto, valdytojas šiam subjektui turi pateikti a–c punktuose nurodytą informaciją. Ši informacija susijusi su duomenų valdytojo tapatybe, tvarkymo tikslais ir bet kokia papildoma informacija, kuri reikalinga siekiant užtikrinti teisingą duomenų tvarkymą. Tarp šios papildomos informacijos tos pačios direktyvos 11 straipsnio 1 dalies c punkte aiškiai minimos „tvarkomų duomenų kategorijos“ ir „teisės gauti informaciją ar teisės pataisyti duomenis apie save buvimas“.
43 Darytina išvada, kad, remiantis Direktyvos 95/46 11 straipsnio 1 dalies b ir c punktais, tokiomis kaip pagrindinės bylos aplinkybėmis tai, kad CNAS tvarko ANAF perduotus duomenis, reikštų, kad šių duomenų subjektai buvo informuoti apie šio tvarkymo tikslus ir tvarkomų duomenų kategorijas.
44 Tačiau iš prašymą priimti prejudicinį sprendimą pateikusio teismo paaiškinimų matyti, kad CNAS ieškovams pagrindinėje byloje nepateikė minėtos direktyvos 11 straipsnio 1 dalies a–c punktuose nurodytos informacijos.
45 Reikia pridurti, kad, remiantis Direktyvos 95/46 11 straipsnio 2 dalimi, šios direktyvos 11 straipsnio 1 dalies nuostatos netaikomos, be kita ko, tuomet, kai duomenų įrašymas arba perdavimas numatytas įstatyme, todėl valstybės narės turi numatyti tinkamas garantijas. Dėl šio sprendimo 40 ir 41 punktuose nurodytų motyvų Rumunijos vyriausybės nurodytos Įstatymo Nr. 95/2006 nuostatos ir 2007 m. protokolas negali būti priskiriami nei prie šios direktyvos 11 straipsnio 2 dalyje, nei prie 13 straipsnyje numatytos išimčių sistemos.
46 Atsižvelgiant į visa tai, kas išdėstyta, į pateiktą klausimą reikia atsakyti taip: Direktyvos 95/46 10, 11 ir 13 straipsniai turi būti aiškinami taip, kad jais draudžiamos nacionalinės priemonės, kaip antai nagrinėjamos pagrindinėje byloje, kuriomis valstybės narės viešosios valdžios institucijai leidžiama perduoti asmens duomenis kitai viešosios valdžios institucijai ir vėliau juos tvarkyti, apie šį perdavimą ar tvarkymą neinformavus duomenų subjektų.
Dėl bylinėjimosi išlaidų
47 Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti tas teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.
Remdamasis šiais motyvais, Teisingumo Teismas (trečioji kolegija) nusprendžia:
1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 10, 11 ir 13 straipsniai turi būti aiškinami taip, kad jais draudžiamos nacionalinės priemonės, kaip antai nagrinėjamos pagrindinėje byloje, kuriomis valstybės narės viešosios valdžios institucijai leidžiama perduoti asmens duomenis kitai viešosios valdžios institucijai ir vėliau juos tvarkyti, apie šį perdavimą ar tvarkymą neinformavus duomenų subjektų.
Parašai.