Language of document : ECLI:EU:C:2018:838

OPINIA RZECZNIKA GENERALNEGO

MANUELA CAMPOSA SÁNCHEZA-BORDONY

przedstawiona w dniu 17 października 2018 r.(1)

Sprawa C496/17

Deutsche Post AG

przeciwko

Hauptzollamt Köln

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Finanzgericht Düsseldorf (sąd ds. finansowych w Düsseldorfie, Niemcy)]

Odesłanie prejudycjalne – Prawa i obowiązki osób fizycznych w odniesieniu do przepisów prawa celnego – Status upoważnionego przedsiębiorcy – Kwestionariusz – Ochrona danych osobowych – Numer identyfikacji podatkowej – Urząd skarbowy właściwy dla poboru podatku dochodowego od osób fizycznych – Przetwarzanie danych niezbędne do wypełnienia obowiązku prawnego – Zasada ograniczenia celu przetwarzania danych osobowych






1.        Niemiecka administracja celna wymaga określonych danych osobowych osób pełniących funkcje kierownicze i pracowników przedsiębiorstw ubiegających się o uzyskanie lub utrzymanie statusu upoważnionego przedsiębiorcy (zwanego dalej „AEO”, z ang. Authorised Economic Operator), dzięki któremu traktowane są one korzystniej niż pozostali importerzy lub eksporterzy.

2.        Odesłanie prejudycjalne dotyczy wynikających z prawa Unii granic tych wymagań, zarówno w zakresie ściśle celnym, jak i w zakresie ochrony danych osobowych.

I.      Ramy prawne

A.      Prawo Unii

1.      Przepisy prawa celnego

a)      Kodeks celny

3.        Artykuł 38 rozporządzenia nr 952/2013(2) stanowi:

„1.      Przedsiębiorca mający siedzibę na obszarze celnym Unii i spełniający kryteria określone w art. 39 może złożyć wniosek o przyznanie statusu upoważnionego przedsiębiorcy.

[…]

2.      Status upoważnionego przedsiębiorcy obejmuje następujące rodzaje pozwoleń:

a)      upoważniony przedsiębiorca w zakresie uproszczeń celnych, które umożliwia mu korzystanie z niektórych uproszczeń zgodnie z przepisami prawa celnego; lub

b)      upoważniony przedsiębiorca w zakresie bezpieczeństwa i ochrony, które uprawnia do korzystania z ułatwień dotyczących bezpieczeństwa i ochrony.

[…]”.

4.        Artykuł 39 lit. a) przewiduje:

„Kryteria przyznawania statusu upoważnionego przedsiębiorcy obejmują:

a)      brak poważnego naruszenia lub powtarzających się naruszeń przepisów prawa celnego i przepisów podatkowych, w tym brak skazania za poważne przestępstwo karne związane z działalnością gospodarczą wnioskodawcy;

[…]”.

b)      Rozporządzenie wykonawcze do UKC(3)

5.        Zgodnie z art. 24 ust. 1:

„[…]

W przypadku gdy wnioskodawca nie jest osobą fizyczną, kryterium ustanowione w art. 39 lit. a) kodeksu uznaje się za spełnione, jeżeli w ciągu ostatnich trzech lat żadna z następujących osób nie dopuściła się poważnego lub powtarzającego się naruszenia przepisów prawa celnego i podatkowego ani poważnego przestępstwa karnego w związku z prowadzoną działalnością gospodarczą:

a)      wnioskodawca;

b)      osoba kierująca wnioskodawcą lub sprawująca kontrolę nad jego kierownictwem;

c)      pracownik odpowiedzialny za sprawy celne wnioskodawcy”.

c)      Rozporządzenie delegowane (UE) 2016/341(4)

6.        Zgodnie z art. 1:

„1.      Niniejsze rozporządzenie ustanawia środki przejściowe w zakresie środków wymiany i przechowywania danych, o których to środkach mowa w art. 278 kodeksu, do czasu wdrożenia systemów teleinformatycznych niezbędnych do stosowania przepisów kodeksu.

2.      Wymogi dotyczące danych, formatów i kodów, które należy stosować w okresach przejściowych określonych w niniejszym rozporządzeniu, rozporządzeniu delegowanym (UE) 2015/2446 oraz w rozporządzeniu wykonawczym Komisji (UE) 2015/2447, określono w załącznikach do niniejszego rozporządzenia”.

7.        Artykuł 5 stanowi:

„1.      Do daty aktualizacji systemu AEO, o której mowa w załączniku do decyzji wykonawczej 2014/255/UE, organy celne mogą zezwolić, w odniesieniu do wniosków i decyzji dotyczących AEO lub wszelkich późniejszych zdarzeń, które mogą mieć wpływ na pierwotny wniosek lub decyzję, na wykorzystanie środków innych niż techniki elektronicznego przetwarzania danych.

2.      W przypadkach, o których mowa w ust. 1 niniejszego artykułu, zastosowanie mają następujące postanowienia:

a)      wnioski o przyznanie statusu AEO są składane przy użyciu formularza, którego wzór określono w załączniku 6; oraz

b)      pozwolenia przyznające status AEO są wydawane przy użyciu formularza, którego wzór określono w załączniku 7”.

8.        Punkt 19 uwag wyjaśniających do aneksu VI odnosi się do treści formularza wniosku o przyznanie statusu AEO:

Nazwa, data i podpis wnioskodawcy:

Podpis: osoba podpisująca powinna podać swoje stanowisko. Osobą podpisującą powinna być zawsze osoba, która w pełni reprezentuje wnioskodawcę.

Nazwa: nazwa wnioskodawcy oraz pieczęć wnioskodawcy.

[…]

8.      Nazwiska głównych pracowników (dyrektorów zarządzających, kierowników działów, głównych księgowych, kierownika działu celnego itp.). Opis przyjętych zasad postępowania, w sytuacji gdy właściwy pracownik jest tymczasowo lub na stałe nieobecny.

9.      Nazwiska i stanowiska w ramach organizacji wnioskodawcy osób uprawnionych do wykonywania czynności celnych. Ocena poziomu wiedzy tych osób pod względem zastosowania technologii teleinformatycznej w sprawach celnych, procesach handlowych oraz ogólnych sprawach handlowych.

[…]”.

2.      Przepisy dotyczące ochrony danych: rozporządzenie RODO(5)

9.        Zgodnie z art. 4:

„Na użytek niniejszego rozporządzenia:

1)      »dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

2)      »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

[…]”.

10.      Artykuł 5 stanowi:

„Dane osobowe muszą być:

a)      przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);

b)      zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami (»ograniczenie celu«);

c)      adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (»minimalizacja danych«);

[…]”.

11.      Zgodnie z art. 6:

„1.      Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a)      osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

[…]

c)      przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

[…]

e)      przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

[…].

2.      Państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów niniejszego rozporządzenia w odniesieniu do przetwarzania służącego wypełnieniu warunków określonych w ust. 1 lit. c) i e); w tym celu mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX.

3.      Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:

a)      w prawie Unii; lub

b)      w prawie państwa członkowskiego, któremu podlega administrator.

Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. […] Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.

4.      Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:

a)      wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;

b)      kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;

c)      charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa zgodnie z art. 10;

d)      ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;

e)      istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji”.

12.      Zgodnie z art. 23 ust. 1 lit. e):

„Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

[…]

e)      innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu”.

B.      Prawo krajowe

1.      Abgabenordnung (ordynacja podatkowa)

13.      Paragraf 139a ust. 1 w brzmieniu mającym zastosowanie do okoliczności faktycznych w postępowaniu głównym stanowi:

„Dla celów jednoznacznej identyfikacji w postępowaniach podatkowych Bundeszentralamt für Steuern [centralny federalny urząd podatkowy] nadaje każdemu podatnikowi jeden i trwały numer (numer identyfikacyjny); podatnik lub osoba trzecia, przekazująca dane tego podatnika organom skarbowym, podają ów numer identyfikacyjny we wnioskach, zeznaniach oraz informacjach składanych organom skarbowym. Składa się on z ciągu cyfr, które nie mogą opierać się na innych danych dotyczących podatnika lub być ich pochodną; ostatnia cyfra jest cyfrą kontrolną […]”.

14.      Zgodnie z brzmieniem § 139b:

„1.      Osoba fizyczna może otrzymać nie więcej niż jeden numer identyfikacyjny […].

2.      Organy skarbowe mogą wzywać do podania i stosować numer identyfikacyjny jedynie wtedy, gdy jest to konieczne w celu wykonania ich ustawowych zadań lub jeśli przepis prawa wprost zezwala na wezwanie do podania lub stosowanie numeru identyfikacyjnego lub to nakazuje. Inne organy publiczne lub prywatne mogą:

1)      wzywać do podania i stosować numer identyfikacyjny, jeśli jest to konieczne w celu przekazywania danych pomiędzy nimi a organami skarbowymi lub jeśli na to wprost zezwala lub nakazuje to przepis ustawy;

[…]

3)      stosować uzyskany zgodnie z prawem numer identyfikacyjny podatnika w celu wypełnienia wszelkich obowiązków informacyjnych względem organów skarbowych, jeśli obowiązek informacyjny dotyczy tego samego podatnika, a uzyskanie i zastosowanie numeru było dopuszczalne na podstawie pkt 1 […].

3.      Centralny federalny urząd podatkowy gromadzi następujące dane dotyczące osób fizycznych:

1)      numer identyfikacyjny,

[…]

3)      nazwisko,

4)      wcześniej używane nazwiska,

5)      imiona,

6)      tytuł doktora,

[…]

8)      dzień i miejsce urodzenia,

9)      płeć,

10)      obecny lub ostatni znany adres,

11)      właściwe organy skarbowe,

12)      zakaz przekazywania informacji na podstawie Bundesmeldegsetz [federalnego prawa meldunkowego],

13)      dzień śmierci,

14)      dzień wprowadzenia i wyprowadzenia się.

4.      Wymienione w ust. 3 dane gromadzi się w celu:

1)      zapewnienia, by dana osoba uzyskała tylko jeden numer identyfikacyjny oraz by dany numer identyfikacyjny nie został nadany więcej niż jednokrotnie,

2)      ustalenia numeru identyfikacji podatkowej podatnika,

3)      ustalenia, jakie organy skarbowe są właściwe dla podatnika,

4)      umożliwienia przekazania właściwym organom danych, które podlegają poborowi na podstawie ustawy lub prawa międzynarodowego,

5)      umożliwienia organom skarbowym wypełnienia zadań wyznaczonych im przepisami prawa”.

2.      Einkommensteuergesetz (ustawa o podatku dochodowym od osób fizycznych)

15.      Paragraf 38 ust. 1 i 3 w brzmieniu mającym zastosowanie do okoliczności faktycznych w postępowaniu głównym stanowi:

„1.      W przypadku przychodów ze stosunku pracy podatek dochodowy od osób fizycznych pobierany jest przez potrącenie z wynagrodzenia (podatek od wynagrodzenia), o ile wynagrodzenie wypłacane jest przez pracodawcę […].

[…]

3.      Pracodawca pobiera podatek od wynagrodzenia na rachunek pracownika przy każdej wypłacie wynagrodzenia […]”.

16.      Paragraf 39 ust. 1 i 4 stanowi:

„1.      Dla celów dokonania potrącenia podatku od wynagrodzenia ustala się z inicjatywy pracownika wskaźniki potrącenia podatku od wynagrodzenia […]

[…].

4.      Wskaźniki potrącenia podatku od wynagrodzenia to:

1)      grupa podatkowa,

2)      liczba kwot wolnych od podatku ze względu na dziecko w przypadku grup podatkowych I–IV,

[…]”.

17.      Zgodnie z § 39e:

„1.      Centralny federalny urząd podatkowy ustala dla każdego pracownika zasadniczo automatycznie grupę podatkową oraz w odniesieniu do dzieci podlegających uwzględnieniu w przypadku grup podatkowych I–IV, liczbę kwot wolnych od podatku ze względu na dziecko […], będące wskaźnikami potrącenia podatku od wynagrodzenia (§ 39 ust. 4 zdanie pierwsze pkt 1 i 2) […]. Jeśli urząd skarbowy ustali wskaźniki potrącenia podatku od wynagrodzenia zgodnie z § 39, to przekazuje je centralnemu federalnemu urzędowi podatkowemu w celu udostępnienia ich do automatycznego pobrania przez pracodawcę […]

2.      W celu udostępnienia wskaźników potrącenia podatku od wynagrodzenia do automatycznego pobrania przez pracodawcę, centralny federalny urząd podatkowy przechowuje wskaźniki potrącenia podatku od wynagrodzenia dla numeru identyfikacyjnego, jak również w odniesieniu do każdego podatnika, poza danymi określonymi w § 139b ust. 3 ordynacji podatkowej, następujące dane:

1)      przynależność prawną do wspólnoty religijnej pobierającej podatek, wraz z datą wstąpienia i wystąpienia,

2)      podlegający rejestracji stan cywilny wraz z dniem rozpoczęcia lub zakończenia, w przypadku osób w związku małżeńskim także numer identyfikacyjny małżonka,

3)      dzieci wraz z ich numerami identyfikacyjnymi,

[…].

4.      W momencie nawiązania stosunku pracy pracownik przekazuje każdemu ze swoich pracodawców w celu pobrania przez nich wskaźników poboru podatku od wynagrodzenia informacje o:

1)      numerze identyfikacyjnym oraz dniu urodzenia,

[…].

W momencie rozpoczęcia stosunku pracy pracodawca zwraca się do centralnego federalnego urzędu podatkowego w drodze zdalnej transmisji danych o podanie zapisanych elektronicznie wskaźników poboru podatku od wynagrodzenia w odniesieniu do pracownika i uwzględnia je w koncie wynagrodzenia pracownika. […]

[…]”.

II.    Postępowanie główne i pytanie prejudycjalne

18.      Deutsche Post posiadała pozwolenia celne udzielone jej na podstawie rozporządzenia (EWG) nr 2913/92(6) i rozporządzenia (EWG) nr 2454/93(7), w szczególności pozwolenia upoważnionego odbiorcy i upoważnionego nadawcy. Korzystała także z ogólnej gwarancji w celu zapewnienia unijnej lub wspólnej procedury tranzytu. a ponadto, od początku obowiązywania w pełnym zakresie nowego kodeksu celnego z pozwolenia na prowadzenie magazynu czasowego składowania.

19.      Pismem z dnia 19 kwietnia 2017 r. Hauptzollamt (główny urząd celny) zwrócił się do Deutsche Post o udzielenie w terminie do dnia 19 maja 2017 r. odpowiedzi na pytania z dostępnego w Internecie kwestionariusza w zakresie samooceny część I (informacje dotyczące przedsiębiorstwa). Kwestionariusz ten zawierał m.in. następujące pytania:

„1.1.2. Proszę wskazać, o ile ma to zastosowanie do formy spółki, w jakiej działa Państwa przedsiębiorstwo:

[…]

c)      członków rad i rady nadzorczej z podaniem imienia, nazwiska, daty urodzenia, numeru identyfikacji podatkowej oraz właściwego urzędu skarbowego.

1.1.6.       Proszę wskazać kluczowe osoby pełniące funkcje kierownicze w przedsiębiorstwie (dyrektorów zarządzających, kierowników działów, kierownika księgowości, kierownika działu celnego itp.) i opisać mające do nich zastosowanie zasady reprezentacji. Wymagane dane obejmują co najmniej imię, nazwisko, datę urodzenia, numer identyfikacji podatkowej oraz właściwy urząd skarbowy.

[…]

1.3.1.       Proszę wskazać osoby odpowiedzialne w Państwa organizacji za sprawy celne lub osoby zajmujące się sprawami celnymi (np. pracowników zajmujących się sprawami celnymi, kierownika działu celnego) z podaniem imienia, nazwiska, daty urodzenia, numeru identyfikacji podatkowej, właściwego urzędu skarbowego oraz stanowiska w organizacji”.

20.      Hauptzollamt poinformował Deutsche Post, że w przypadku braku podjęcia niezbędnej współpracy wykazanie, że spełnione zostały warunki udzielenia pozwolenia na podstawie kodeksu celnego, będzie niemożliwe. Deutsche Post została także powiadomiona, że pozwolenia bezterminowe zostaną cofnięte, w wypadku gdy nie dojdzie do współpracy lub gdy nie będą już spełniane przesłanki dla wydania pozwolenia.

21.      Deutsche Post złożyła skargę do sądu odsyłającego, w której sprzeciwiła się obowiązkowi podania Hauptzollamt numerów identyfikacji podatkowej (zwanych dalej „NIP‑ami”) osób wskazanych w kwestionariuszu pytań w zakresie samooceny, a także danych dotyczących właściwych w stosunku do tych osób urzędów skarbowych. Wniosła do sądu o stwierdzenie, że nie jest zobowiązana udzielać odpowiedzi na pytania zawarte w tej części kwestionariusza.

22.      W uzasadnieniu skargi Deutsche Post podniosła, że:

–      liczba osób w jej przedsiębiorstwie objęta zakresem pytań jest bardzo duża oraz że ze względu na wymogi prawne dotyczące ochrony danych osobowych nie jest w stanie udzielić odpowiedzi na te pytania, gdyż niektórzy jej pracownicy nie są skłoni zgodzić się na przekazanie dotyczących ich danych. Ponadto krąg osób wskazanych w pytaniach zawartych w pkt 1.1.2 lit. c), 1.1.6 oraz 1.3.1 wykracza poza krąg osób wymienionych w art. 24 ust. 1 akapit drugi lit. b) i c) rozporządzenia wykonawczego do UKC;

–      sprawy jej pracowników w zakresie podatku dochodowego od osób fizycznych były nieistotne dla oceny, czy doszło do poważnych lub powtarzających się naruszeń przepisów prawa celnego i podatkowego albo do poważnych przestępstw karnych w związku z prowadzoną przez skarżącą działalnością gospodarczą. Przekazanie NIP‑ów tych osób nie było ani wymagane, ani odpowiednie w celu ustalenia jej rzetelności podatkowej.

23.      Hauptzollamt nie podzielił argumentów Deutsche Post i podniósł, że uzyskanie NIP‑u jest niezbędne w celu jednoznacznej identyfikacji odnośnych osób w ramach zapytania do urzędów skarbowych. Wymiana informacji przewidziana jest jedynie w sytuacji posiadania przez urzędy skarbowe informacji o poważnych lub powtarzających się naruszeniach przepisów prawa podatkowego. Nie bierze się przy tym pod uwagę umorzonych postępowań w sprawach karnych i w sprawach o grzywnę. Powtarzające się naruszenia przepisów prawa podatkowego są uwzględniane jedynie w przypadku, gdy częstotliwość ich występowania jest nieproporcjonalna do rodzaju i zakresu działalności gospodarczej wnioskodawcy.

24.      Zdaniem Hauptzollamt krąg osób objętych pytaniami odpowiada temu, jaki wskazany został w art. 24 ust. 1 akapit drugi rozporządzenia wykonawczego do UKC oraz w wytycznych Komisji w sprawie upoważnionych przedsiębiorców. Uwzględniając ocenę ryzyka w poszczególnych przypadkach, urząd ten sprawdza, jakich konkretnie osób dotyczyć ma wymiana informacji z urzędami skarbowymi. Jeśli chodzi o osoby zajmujące się sprawami celnymi, to w przypadku większych działów celnych zapytanie ogranicza się do osób pełniących funkcje kierownicze i zarządcze.

25.      Finanzgericht Düsseldorf (sąd ds. finansowych w Düsseldorfie, Niemcy) ma wątpliwości, czy pobieranie danych osobowych (takich jak NIP czy urzędy skarbowe właściwe dla poboru podatku dochodowego w odniesieniu do osób wskazanych w pkt 1.1.2 lit. c), 1.1.6 oraz 1.3.1 kwestionariusza) można uznać za dopuszczalne przetwarzanie tych danych w rozumieniu art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”).

26.      Ponadto wyraża wątpliwości, czy za niezbędne uznać można sięganie do danych osobowych pracowników i członków rady nadzorczej skarżącej zebranych dla celów poboru podatku dochodowego od osób fizycznych, gdyż nie mają one bezpośredniego związku z oceną jej rzetelności w sprawach celnych ani z działalnością gospodarczą Deutsche Post.

27.      W tej sytuacji sąd odsyłający zwrócił się do Trybunału z następującym pytaniem prejudycjalnym:

„Czy art. 24 ust. 1 akapit drugi rozporządzenia wykonawczego [do UKC] należy interpretować w ten sposób, że na jego podstawie dopuszczalne jest, by organy celne wzywały wnioskodawcę do podania NIP‑ów nadanych przez niemiecki federalny centralny urząd skarbowy dla celów poboru podatku dochodowego od osób fizycznych oraz urzędów skarbowych właściwych w sprawach wymiaru podatku dochodowego od osób fizycznych w odniesieniu do członków rady nadzorczej wnioskodawcy oraz działających u niego dyrektorów zarządzających, kierowników działów, kierownika księgowości, kierownika działu celnego, jak również osób odpowiedzialnych za sprawy celne i osób zajmujących się sprawami celnymi?”.

28.      Uwagi na piśmie zostały przedłożone przez Deutsche Post, Hauptzollamt, rządy hiszpański, węgierski i włoski, a także przez Komisję. Deutsch Post, Hauptzollamt i Komisja wzięły udział w rozprawie, która odbyła się w dniu 5 lipca 2018 r.

III. Odpowiedź na pytanie prejudycjalne

29.      Przed przystąpieniem do dokonania analizy istoty sprawy należy ustalić, czy w niniejszej sprawie zastosowanie mają przepisy Unii dotyczące ochrony danych osobowych.

30.      Wniosek o przekazanie danych został skierowany do Deutsche Post w dniu 19 kwietnia 2017 r., a zatem przed dniem wejścia w życie (25 maja 2018 r.) rozporządzenia RODO. Obowiązywała wówczas dyrektywa 95/46/WE(8), a mimo to zarówno sąd odsyłający, jak też uczestnicy postępowania prejudycjalnego – z wyjątkiem Komisji – zgadzają się, że wspomniane rozporządzenie ma zastosowanie w niniejszej sprawie.

31.      Wyjaśnienia tej pozornej anomalii szukać należy w charakterze postępowania krajowego. Jak wskazano w trakcie rozprawy, Deutsche Post nie wniosła skargi o stwierdzenie nieważności (Anfechtungsklage), którą sąd musiałby rozpatrzyć w oparciu o przepisy obowiązujące w momencie wystąpienia okoliczności faktycznych sprawy, lecz skargę o ustalenie (Feststellungsklage)(9), która powinna zostać rozpatrzona w oparciu o stan prawny obowiązujący w chwili rozprawy i wydania orzeczenia.

32.      Wykładnia procesowego prawa krajowego należy do sądu odsyłającego, w której to kwestii Trybunał się nie wypowiada. W związku z tym, jeżeli Trybunał uzna, że na mocy przepisów krajowych sprawa powinna zostać rozstrzygnięta ratione temporis na podstawie rozporządzenia RODO, a nie na podstawie dyrektywy 95/46, będzie musiał dokonać wykładni rozporządzenia, a nie tej dyrektywy(10).

33.      Pytanie prejudycjalne zmierza do uzyskania wykładni, a nie do ewentualnego stwierdzenia nieważności art. 24 ust. 1 rozporządzenia wykonawczego do UKC, w związku z czym pod uwagę należy wziąć rozporządzenie RODO oraz art. 7 i 8 karty(11). Sąd odsyłający nie podniósł, powtarzam, kwestii możliwej nieważności tego przepisu, który ogranicza się do wskazania warunków uzyskania statusu AEO, i który sam z siebie nie wymaga przekazywania ani przetwarzania danych osobowych przez osobę trzecią.

A.      Wykładnia art. 24 rozporządzenia wykonawczego do UKC

34.      Ze statusu AEO wynikają korzyści(12) dla przedsiębiorców, którzy w kontekście swoich transakcji celnych są uznawani za wiarygodnych na całym terytorium Unii (art. 5 ust. 5 kodeksu celnego). Pośród tych korzyści wyróżnić należy wynikające z art. 38 ust. 6 tego kodeksu uprzywilejowane w stosunku do innych przedsiębiorców traktowanie pod względem kontroli celnych. W zależności od rodzaju przyznanego pozwolenia AEO podlega mniejszej liczbie kontroli fizycznych i kontroli dokumentów.

35.      Z racji tego, że rzetelność i reputacja AEO muszą być zweryfikowane, przyznanie tego statusu jest uzależnione od spełnienia następujących warunków określonych w art. 39 kodeksu celnego(13):

–      zgodność z przepisami prawa celnego oraz z przepisami podatkowymi, a w szczególności brak skazania za poważne przestępstwa karne związane z działalnością gospodarczą wnioskodawcy;

–      wykazanie przez wnioskodawcę, iż posiada wysoki poziom kontroli swoich transakcji i przepływu towarów zapewniony poprzez system zarządzania ewidencją handlową oraz – w stosownych przypadkach – transportową, co umożliwia przeprowadzanie właściwych kontroli celnych;

–      udowodniona wypłacalność; oraz

–      w zależności od rodzaju statusu AEO – spełnienie praktycznych standardów w zakresie kompetencji lub kwalifikacji zawodowych bezpośrednio związanych z prowadzoną działalnością (AEOC) lub odpowiednie standardy bezpieczeństwa (AEOS).

36.      Wymagania te mają zastosowanie wobec wszystkich przedsiębiorców ubiegających się o uzyskanie statusu AEO, bez względu na to, czy są to osoby prawne czy fizyczne. W niniejszej sprawie, jako że Deutsche Post jest osobą prawną, wymaganie polegające na braku poważnego naruszenia lub powtarzających się naruszeń prawa celnego i przepisów podatkowych oraz braku skazania za poważne przestępstwa związane z jej działalnością gospodarczą rozciąga się na niektórych jej pracowników (pełniących najbardziej istotne funkcje, wskazane poniżej)(14). Tak też stanowi art. 24 rozporządzenia wykonawczego do UKC, przepis wydany w wykonaniu postanowień art. 39 lit. a) kodeksu celnego(15).

37.      Wskazane wyżej wymagania zgodnie z art. 24 rozporządzenia wykonawczego do UKC muszą spełniać „osoba kierująca wnioskodawcą lub sprawująca kontrolę nad jego kierownictwem” oraz „pracownik odpowiedzialny za sprawy celne wnioskodawcy”(16).

38.      Artykuł 24 rozporządzenia wykonawczego do UKC wyznacza granice, których organy celne nie mogą przekraczać przy formułowaniu żądań o udzielenie informacji o osobach podlegających badaniu. Muszą również uwzględniać ten przepis w odniesieniu do celu gromadzenia danych tych osób.

1.      Osoby fizyczne podlegające badaniu przed przyznaniem statusu AEO osobie prawnej

39.      Zgodnie z logiką art. 24 rozporządzenia wykonawczego do UKC w celu przyznania(17) statusu AEO organy celne muszą dysponować określonymi danymi osób zarządzających przedsiębiorstwami, a także osób fizycznych kierujących ich działalnością w zakresie spraw celnych(18).

40.      Brzmienie art. 24 rozporządzenia wykonawczego do UKC jest rygorystyczne: wymienia jedynie osobę kierującą (przedsiębiorcą wnioskującym o przyznanie statusu AEO) lub sprawującą kontrolę nad jego kierownictwem i] pracownika odpowiedzialnego za sprawy celne. Sposób użycia w przepisie liczby pojedynczej wymaga rygorystycznej wykładni tego przepisu, zwłaszcza że informacje, które mają zostać przekazane, stanowią dane osobowe. Zakres stosowania przepisu art. 24 rozporządzenia wykonawczego do UKC nie może zostać rozszerzony przez przepis stojący niżej w hierarchii norm, jak to jest w przypadku załącznika 6 do rozporządzenia delegowanego 2016/341.

41.      W ten sposób organy celne mogą zwracać się o dane osobowe w odniesieniu do:

–      osoby zarządzającej przedsiębiorstwem wnioskującym o przyznanie statusu AEO, którą zazwyczaj będzie osoba posiadająca uprawnienia kierownicze(19);

–      pracownika odpowiedzialnego za sprawy celne tego przedsiębiorstwa. Ma tutaj zastosowanie ta sama ścisła wykładnia i oznacza ona, że można żądać danych osobowych tylko osoby odpowiedzialnej za działalność celną przedsiębiorstwa.

42.      Opierając się na tym założeniu podzielam zdanie sądu odsyłającego, że żądanie danych osobowych członków rad lub rady nadzorczej przedsiębiorstwa nie jest uzasadnione brzmieniem art. 24 rozporządzenia wykonawczego do UKC. Przepis ten nie może także stanowić podstawy do żądania danych kierowników innych działów i kierowników księgowości, chyba że osobom tym przysługuje uprawnienie do podejmowania decyzji ostatecznych w przedsiębiorstwie lub zajmują się one jego sprawami celnymi.

2.      Informacje i dane, których mogą żądać organy celne

43.      Jak już zaznaczyłem, na podstawie art. 24 rozporządzenia wykonawczego do UKC uzyskiwać można jedynie informacje niezbędne do stwierdzenia braku „poważnych lub powtarzających się naruszeń przepisów prawa celnego i podatkowego”, czy też skazania za „poważne przestępstwo karne w związku z prowadzoną przez siebie działalnością gospodarczą”.

44.      Jest to zatem jedyny cel, jakiemu może służyć zbieranie informacji przez organy celne. Przepis nie wspomina jednak, jaki rodzaj danych jest właściwy do osiągnięcia tego celu – określenie tego należy do państw członkowskich przy uwzględnieniu, że mogą to być jedynie dane niezbędne do upewnienia się odnośnie do istnienia – lub braku – okoliczności mogących wpływać na rzetelność osób zarządzających przedsiębiorstwem.

45.      W celu ustalenia, czy wyżej wskazani pracownicy przedsiębiorstwa ubiegającego się o uzyskanie statusu AEO wykazują się uczciwością niezbędną do uzyskania zaufania ze strony organów celnych, art. 24 rozporządzenia wykonawczego do UKC zawiera trzy kategorie naruszeń:

–      „poważne lub powtarzające się naruszenia przepisów prawa celnego”. Przez „przepisy prawa celnego” należy rozumieć te, które zostały zdefiniowane w art. 5 pkt 2 kodeksu celnego(20). Ponieważ to właśnie administracja celna nadzoruje stosowanie tych przepisów, co do zasady posiada ona wystarczające dane. Hauptzollamt przyznaje, że posiada bezpośredni dostęp do federalnych baz danych z informacjami dotyczącymi naruszeń prawa celnego lub związanych z działalnością gospodarczą przedsiębiorstwa;

–      „poważne lub powtarzające się naruszenia przepisów prawa podatkowego” – pojęcie, które, jak wskazuje Komisja, obejmuje szerokie spektrum podatków(21). W przypadku tej drugiej kategorii organy celne w celu upewnienia się, że pracownicy przedsiębiorstwa ubiegającego się o uzyskanie statusu AEO nie byli karani za te naruszenia, muszą otrzymać niezbędne informacje od podmiotów trzecich;

–      „poważne przestępstw[a] karne w związku z prowadzoną przez siebie działalnością gospodarczą” – pojęcie, które, jak wskazuje Komisja, obejmuje takie przestępstwa, które zostały popełnione przez osoby zarządzające przedsiębiorstwem i jednocześnie poważnie godzą w jego reputację i nieposzlakowaną opinię w zakresie obejmującym kwestie celne(22). W tym przypadku również mowa jest o naruszeniach, o których zazwyczaj organy celne nie posiadają informacji na podstawie własnych danych.

46.      Jakie dane zgodnie z art. 24 rozporządzenia wykonawczego do UKC i w związku z przyznaniem statusu AEO mogą uzyskiwać organy celne w celu stwierdzenia istnienia opisanych wyżej naruszeń?

47.      Hauptzollamt utrzymuje, że musi dysponować NIP‑ami i danymi urzędów skarbowych właściwych dla osób pełniących funkcje kierownicze i pracowników Deutsche Post zarządzających jej sprawami celnymi. Twierdzi, że ponieważ wiele podatków podlega w Niemczech organom lokalnym, to tylko w ten sposób może ustalić, czy dokonali oni poważnych lub powtarzających się naruszeń przepisów prawa podatkowego. NIP stanowi podstawową informację umożliwiającą precyzyjne zwrócenie się do organów lokalnych o informacje o tych osobach.

48.      Deutsche Post stoi natomiast na stanowisku, że sytuacja jej pracowników w odniesieniu do podatku dochodowego od osób fizycznych nie ma znaczenia dla oceny, czy dopuścili się oni poważnych lub powtarzających się naruszeń przepisów prawa podatkowego. Przekazanie ich NIP‑ów nie byłoby zatem ani konieczne, ani właściwe do dokonania oceny jej rzetelności w sprawach celnych.

49.      Z uwag przedłożonych na piśmie oraz z wyjaśnień złożonych w toku rozprawy wynika, że NIP pełni rolę osobistego identyfikatora wykorzystywanego do różnych celów w relacjach między osobami fizycznymi a niemiecką administracją skarbową. Bezsporne jest, że jego podstawowe zastosowanie odnosi się do podatku dochodowego od osób fizycznych, co wyjaśnia powiązanie NIP‑u w postępowaniu głównym z urzędami skarbowymi właściwymi w sprawach poboru tego podatku.

50.      Wykładnia prawa niemieckiego nie należy do Trybunału, lecz do sądu odsyłającego. Sąd ten twierdzi, że NIP‑y osób zatrudnionych w Deutsche Post, nadane im przez centralny federalny urząd podatkowy (§ 139a ust. 1 zdanie pierwsze ordynacji podatkowej), zostały pobrane i są przechowywane jedynie w celu poboru podatku dochodowego od osób fizycznych w drodze potrącenia podatku od wynagrodzenia (§ 39e ust. 4 zdanie pierwsze pkt 1 ustawy o podatku dochodowym od osób fizycznych).

51.      Dane osobowe pracowników Deutsche Post, gromadzone w wyżej wskazanym celu, nie mają więc, według sądu odsyłającego, bezpośredniego związku z działalnością gospodarczą przedsiębiorstwa i, co za tym idzie, z oceną jego rzetelności w sprawach celnych(23).

52.      Uważam jednak, że z perspektywy przepisów celnych nic nie stoi na przeszkodzie temu, aby niemiecka administracja zwróciła się o NIP (oraz wskazanie urzędu właściwego w sprawach wymiaru podatku dochodowego od osób fizycznych) osoby pełniącej funkcje kierownicze oraz osoby odpowiedzialnej za sprawy celne przedsiębiorstwa ubiegającego się o przyznanie statusu AEO. Znajomość tych danych może służyć weryfikacji popełnienia (lub nie) przez te osoby naruszeń, z zastrzeżeniem przedstawionych dalej rozważań dotyczących ochrony tych danych osobowych.

53.      Argument sądu odsyłającego mógłby być trafny, gdyby istniało rozróżnienie (do którego sąd wydaje się odnosić) pomiędzy informacjami, które można uzyskać za pomocą NIP‑u, siłą rzeczy odnoszącymi się do każdej osoby fizycznej, a działalnością przedsiębiorstwa. Niemniej jednak chodzi tutaj o sprawdzenie, czy to właśnie te dwie osoby fizyczne, które pełnią funkcje w podmiocie ubiegającym się o uzyskanie statusu AEO, nie dopuściły się w ciągu ostatnich trzech lat takiego własnego (tzn. nieodnoszącego się do przedsiębiorstwa) zachowania, które podważa ich rzetelność, i zarażają, jeśli tak można powiedzieć, ich brakiem uczciwości – jeśli osoby te zostały w przeszłości skazane – cały podmiot, którym kierują lub za którego sprawy celne są odpowiedzialne.

B.      Artykuł 24 rozporządzenia wykonawczego do UKC a przepisy Unii dotyczące ochrony danych osobowych

54.      Podobnie jak inne dane o charakterze podatkowym, zakwalifikowane w ten sposób przez Trybunał(24), NIP stanowi dane osobowe w rozumieniu art. 4 pkt 1 rozporządzenia RODO, jako informacja dotycząca zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej(25).

55.      Wskazanie urzędów skarbowych właściwych w sprawach poboru podatku dochodowego od osób fizycznych w odniesieniu do określonej osoby w postanowieniu odsyłającym jest opisane jako ściśle powiązane z NIP‑em ze względu na federalną strukturę niemieckiego systemu podatkowego. W tym kontekście, w charakterze uzupełniającym, może być uważane za informację podatkową dotyczącą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

56.      Sąd odsyłający podkreśla, że automatyczna konsultacja NIP‑u umożliwia dostęp do szczególnie chronionych informacji(26). Jest to zatem instrument umożliwiający identyfikację posiadacza NIP‑u i uzyskanie określonych informacji na temat jej życia prywatnego i rodzinnego, pozostających w dyspozycji administracji.

57.      Czynności wykonywane przez administrację celną odnośnie do NIP‑ów w związku z podmiotami ubiegającymi się o uzyskanie statusu AEO mogą zostać zakwalifikowane jako zbieranie [danych] lub ujawnianie poprzez przesłanie. W obu przypadkach dochodzi do przetwarzania danych w rozumieniu art. 4 pkt 2 rozporządzenia RODO. Niemiecka administracja celna występuje o NIP‑y, uporządkowuje je i wykorzystuje w celu uzyskania od właściwych urzędów skarbowych informacji dotyczących możliwych poważnych lub powtarzających się naruszeń przepisów prawa podatkowego, których dopuściły się te osoby. Już zwykłe otrzymanie danych stanowi przetwarzanie, a tym bardziej przetwarzaniem jest ich uporządkowanie i późniejsze wykorzystanie w celu uzyskania informacji o osobach fizycznych(27).

58.      Analogicznie Trybunał orzekł, że z przetwarzaniem danych mamy do czynienia w przypadku przesłania danych od jednego do drugiego podmiotu publicznego(28), a także gdy pracodawca przekazuje dane organowi krajowemu(29). Z tego też względu przesłanie przez Deutsche Post danych osobowych osób pełniących funkcje kierownicze i pracowników Hauptzollamt stanowi „przetwarzanie danych” w rozumieniu rozporządzenia RODO.

59.      Zgodnie z art. 5 ust. 1 lit. b) rozporządzenia RODO wiodącą zasadą przetwarzania danych jest zasada ograniczenia celu, zgodnie z którą „dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami”(30).

60.      Należy zatem rozstrzygnąć, czy wykorzystanie przez Deutsche Post wymaganych NIP‑ów osób pełniących funkcje kierownicze i osób odpowiedzialnych za sprawy celne jest zgodne z celem gromadzenia tych danych osobowych określonym przez prawo krajowe.

61.      Sąd odsyłający przedstawia swoje wątpliwości w tym zakresie(31) i uważa, że nie istnieje bezpośredni związek pomiędzy NIP‑ami i urzędami skarbowymi właściwymi w sprawach poboru podatku dochodowego w odniesieniu do osób pełniących funkcje kierownicze i pracowników a działalnością Deutsche Post w zakresie spraw celnych. Jak zostało przedstawione w toku rozprawy i jak wyżej wyjaśniłem, wykorzystanie tych danych podatkowych jest przewidziane przez prawo niemieckie zasadniczo, chociaż nie wyłącznie, w ramach stosunku pracy pomiędzy pracodawcą a pracownikiem do celów poboru podatku dochodowego od osób fizycznych.

62.      NIP‑y (i, uzupełniająco, wskazanie urzędów skarbowych właściwych w sprawach wymiaru podatku dochodowego od osób fizycznych) stanowią zatem dane osobowe, które nie zostały skonstruowane w celu ich stosowania w ramach stosunków pomiędzy przedsiębiorstwem a niemiecką administracją celną w celu uzyskania lub zachowania statusu AEO. Mamy zatem do czynienia z przetwarzaniem danych, które zasadniczo nie jest związane z celem, dla którego zostały one uzyskane, wbrew zasadzie wynikającej z art. 5 ust. 1 lit. b) rozporządzenia RODO.

63.      Przetwarzanie danych tego rodzaju mogłoby jednak być uzasadnione. Wystarczyłoby na przykład, aby osoby fizyczne, których ono dotyczy, wyraziły swoją zgodę na podstawie art. 6 ust. 1 lit. a) rozporządzenia RODO. Jak jednak wynika z akt sprawy, pracownicy Deutsche Post się temu sprzeciwili, co wyklucza powyższe rozwiązanie.

64.      Inne możliwe uzasadnienia można znaleźć w art. 6 ust. 1(32), zgodnie z brzmieniem którego przetwarzanie jest zgodne z prawem, jeśli jest ono niezbędne „do wypełnienia obowiązku prawnego ciążącego na administratorze” [lit. c)] lub „do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi” [lit. e)](33). W obu przypadkach art. 6 ust. 3 rozporządzenia RODO stanowi, że podstawa przetwarzania musi być określona w prawie Unii albo w prawie państwa członkowskiego, któremu podlega administrator.

65.      Zgodność z prawem żądania kierowanego do Deutsche Post przez administrację celną oraz przetwarzania przez nią danych osobowych znajduje uzasadnienie w obowiązku prawnym(34) nałożonym na administrację, a polegającym na dokonaniu weryfikacji, tak aby przyznanie statusu AEO następowało tylko na rzecz przedsiębiorstw, których osoby pełniące funkcje kierownicze i osoby odpowiedzialne za sprawy celne nie dopuściły się wyżej wymienionych naruszeń. Ostatecznie obowiązek ten wynika z art. 24 rozporządzenia wykonawczego do UKC. Uważam więc, że istnieje uzasadnienie zawarte w art. 6 ust. 1 lit. c) rozporządzenia RODO.

66.      Zgodność z prawem przetwarzania NIP‑u osoby pełniącej funkcje kierownicze i osoby odpowiedzialnej za sprawy celne przedsiębiorstwa do celów przyznania statusu AEO również może znaleźć uzasadnienie w „sprawowaniu władzy publicznej powierzonej administratorowi” [art. 6 ust. 1 lit. e) rozporządzenia RODO](35), gdyż, aby administracja celna mogła wykonywać kontrolę przedsiębiorstw posiadających status AEO, nieuniknione jest sprawowanie przez nią władzy publicznej przyznanej jej w tym celu. Status ten oznacza pewne przekazanie funkcji kontroli celnej na rzecz AEO, równoważone przez szerokie uprawnienia administracji w zakresie weryfikacji i monitorowania rzetelności AEO.

67.      Żądanie i przetwarzanie danych, których dotyczy postępowanie, aczkolwiek zgodne z prawem na podstawie art. 6 ust. 1 lit. c) i e), mogą jednak skutkować pewnymi ograniczeniami praw przysługujących osobom, których te dane dotyczą, na podstawie art. 12–22 rozporządzenia RODO. Do sądu odsyłającego należy ustalenie, czy Hauptzollamt, przetwarzając te dane, nie ogranicza niektórych praw osób, których te dane dotyczą, np. prawa do dostępu, do sprostowania, do usunięcia lub do sprzeciwu.

68.      Gdyby takie ograniczenia istniały, mogłyby one być uzasadnione jako służące „ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu” [art. 23 ust. 1 lit. c) rozporządzenia RODO]. Środek nakładający takie ograniczenia nie mógłby ponadto naruszać „istoty podstawowych praw i wolności” i być „w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym”(36).

69.      Moim zdaniem cel polegający na zapewnieniu rzetelności celnej osoby pełniącej funkcje kierownicze i osoby odpowiedzialnej za sprawy celne na potrzeby przyznania statusu AEO z punktu widzenia gospodarczego, podatkowego i budżetowego może być uznany za ważny cel leżący w ogólnym interesie publicznym Unii i państwa niemieckiego. Kontrola rzetelności AEO sprzyja poborowi opłat celnych stanowiących dochód własny Unii, które są pobierane przez państwa członkowskie, a następnie przekazywane do budżetu Unii po uprzednim potrąceniu części tytułem opłaty za zarządzanie.

70.      Brak uczciwości osoby pełniącej funkcje kierownicze w przedsiębiorstwie i osoby odpowiedzialnej w nim za sprawy celne jest czynnikiem mogącym narazić na szwank rzetelność celną tego przedsiębiorstwa i mającym bezpośredni wpływ na przyznanie statusu AEO(37). Jak podkreśliłem w opinii w sprawie Impresa di Costruzioni Ing. E. Mantovani i Guerrato(38), logiczne jest, że na ocenę wiarygodności przedsiębiorstwa wpływają czyny karalne popełniane przez osoby odpowiedzialne za jego zarząd.

71.      Okoliczność ta uzasadnia badanie rejestrów podatkowych tych osób przez organy celne, obejmujące również okoliczności związane z opodatkowaniem podatkiem od osób fizycznych. Uważam, że w przypadku dopuszczenia się przez osobę pełniącą funkcję kierowniczą w przedsiębiorstwie lub osobę odpowiedzialną w nim za sprawy celne naruszenia prawa w związku z poborem tego lub jakiegokolwiek innego podatku, administracja celna powinna mieć możliwość uzyskania o tym informacji.

72.      Podobnie zbieranie i korzystanie z danych tego typu stanowią środki proporcjonalne do osiągnięcia celu określonego w art. 24 ust. 1 rozporządzenia wykonawczego do UKC(39). Jak wynika z wyjaśnień złożonych na rozprawie przez centralny federalny urząd podatkowy, federalna struktura państwa niemieckiego powoduje, że niektóre podatki, jak podatek dochodowy od osób fizycznych, podlegają organom lokalnym, dlatego w prawie niemieckim nie istnieją inne, alternatywne, mniej restrykcyjne środki. NIP jest najbardziej adekwatnym środkiem uzyskania informacji podatkowych przez federalną administrację podatkową ze strony różnych organów lokalnych(40).

73.      Należy przedstawić dwie ostatnie uwagi:

–      o przetwarzaniu danych osobowych (NIP i urząd skarbowy) osoby pełniącej funkcje kierownicze i osoby odpowiedzialnej za sprawy celne przedsiębiorstwa mającego status AEO administracja celna powinna na podstawie art. 13 i 14 rozporządzenia RODO poinformować te osoby, tak aby mogły one skorzystać z uprawnień przyznanych im przez art. 15–22 rozporządzenia RODO,

–      Trybunał uznał, że wymóg rzetelnego przetwarzania danych osobowych zobowiązuje organ administracji publicznej do informowania osób, których dane dotyczą, o ich przekazaniu innemu organowi administracji publicznej w celu ich przetworzenia przez ów drugi organ będący odbiorcą rzeczonych danych(41).

IV.    Wnioski

74.      W świetle powyższych rozważań proponuję, aby Trybunał odpowiedział na pytania Finanzgericht Düsseldorf (sądu ds. finansowych w Düsseldorfie, Niemcy) w następujący sposób:

1)      Artykuł 24 ust. 1 akapit drugi rozporządzenia wykonawczego Komisji (UE) 2015/2447 z dnia 24 listopada 2015 r. ustanawiającego szczegółowe zasady wykonania niektórych przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 952/2013 ustanawiającego unijny kodeks celny należy interpretować w ten sposób, że:

–        zezwala on administracji celnej na domaganie się od przedsiębiorstwa ubiegającego się o uzyskanie statusu upoważnionego przedsiębiorcy podania NIP‑u i oznaczenia urzędu skarbowego właściwego w sprawach poboru podatku dochodowego od osób fizycznych jedynie w odniesieniu do „osoby kierującej wnioskodawcą lub sprawującej kontrolę nad jego kierownictwem i pracownika odpowiedzialnego za sprawy celne wnioskodawcy”;

–        nie zezwala on na rozszerzenie żądania o takie dane o członków rady nadzorczej wnioskodawcy, ani o pozostałe osoby pełniące funkcje kierownicze i pracowników.

2)      Artykuł 6 ust. 1 lit. c) i e) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE upoważnia administrację celną do zbierania i przetwarzania danych osobowych, takich jak numery identyfikacji podatkowej i oznaczenie urzędu skarbowego właściwego w sprawach wymiaru podatku dochodowego od osób fizycznych osoby pełniącej funkcje kierownicze i osoby odpowiedzialnej za sprawy celne przedsiębiorstwa ubiegającego się o uzyskanie statusu upoważnionego przedsiębiorcy, chociażby nie wyrazili oni zgody, w celu wypełnienia obowiązku prawnego weryfikacji rzetelności tego przedsiębiorstwa w zakresie celnym, wynikającego z art. 24 ust. 1 akapit drugi rozporządzenia wykonawczego nr 2015/2447.



1      Język oryginału: hiszpański.


2      Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 952/2013 z dnia 9 października 2013 r. ustanawiające unijny kodeks celny (Dz.U. 2013, L 269, s. 1, zwane dalej „kodeksem celnym” lub „UKC”).


3      Rozporządzenie Komisji (UE) 2015/2447 z dnia 24 listopada 2015 r. ustanawiające szczegółowe zasady wykonania niektórych przepisów rozporządzenia nr 952/2013 (Dz.U. 2015, L 343, s. 558, zwane dalej „rozporządzeniem wykonawczym do UKC”).


4      Rozporządzenie Komisji z dnia 17 grudnia 2015 r. uzupełniające rozporządzenie nr 952/2013 w odniesieniu do przepisów przejściowych dotyczących niektórych przepisów unijnego kodeksu celnego w okresie, gdy nie działają jeszcze odpowiednie systemy teleinformatyczne, i zmieniające rozporządzenie delegowane Komisji (UE) 2015/2446 (Dz.U. 2016, L 69, s. 1).


5      Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwane dalej „rozporządzeniem RODO”).


6      Rozporządzenie Rady z dnia 12 października 1992 r. ustanawiające Wspólnotowy kodeks celny (Dz.U. 1992, L 302, s. 1 – wyd. spec. w jęz. polskim, rozdz. 2, t. 4, s. 307).


7      Rozporządzenie Komisji z dnia 2 lipca 1993 r. ustanawiające przepisy w celu wykonania rozporządzenia nr 2913/92 (Dz.U. 1993, L 253, s. 1 – wyd. spec. w jęz. polskim, rodz. 2, t. 6, s. 3).


8      Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31 – wyd. spec. w jęz. polskim, rozdz. 13, t. 15, s. 355).


9      Zgodnie z ust. 5 postanowienia odsyłającego „skarżąca wnosi o stwierdzenie, że […]”.


10      Ponieważ rozporządzenie RODO przejęło wiele postanowień dyrektywy 95/46 (którą zastępuje), to rozstrzygnięcie nie zależy w sposób istotny od zastosowania jednego lub drugiego aktu prawnego.


11      Trybunał stwierdził już, „że przepisy dyrektywy 95/46 regulujące kwestię przetwarzania danych osobowych mogącego naruszyć podstawowe wolności, a w szczególności prawo do poszanowania życia prywatnego, muszą być bezwzględnie interpretowane z punktu widzenia praw podstawowych gwarantowanych w karcie” (wyroki: z dnia 6 października 2015 r., Schrems, C‑362/14, EU:C:2015:650, pkt 38; z dnia 9 marca 2017 r., Manni, C‑398/15, EU:C:2017:197, pkt 39).


12      Wśród tych korzyści znajdują się m.in.: łatwiejsze objęcie uproszczonymi procedurami celnymi, wcześniejsze powiadomienie o kontroli celnej, mniejsza liczba kontroli fizycznych i kontroli dokumentów w porównaniu do innych przedsiębiorców, priorytetowe pod względem kontroli celnych traktowanie przesyłek wytypowanych do kontroli, możliwość wyboru miejsca kontroli, a także korzyści „pośrednie”, niezapisane wprost w przepisach celnych, ale mogące mieć bardzo pozytywny skutek dla ogółu transakcji handlowych AEO. Spełnienie przez AEO kryteriów bezpieczeństwa i ochrony oznacza, że zapewnia on bezpieczeństwo i ochronę łańcucha dostaw.


13      Zgodnie z art. 38 ust. 4 kodeksu celnego status AEO jest uznawany przez organy celne we wszystkich państwach członkowskich.


14      Zrozumiałe jest, że nie tylko pracownicy, ale i samo przedsiębiorstwo składające wniosek musi spełniać powyższe wymagania.


15      Artykuł 41 akapit pierwszy kodeksu celnego stanowi, że „Komisja przyjmuje, w drodze aktów wykonawczych, sposoby stosowania kryteriów, o których mowa w art. 39”.


16      Artykuł 5 rozporządzenia delegowanego 2016/341 stanowi, że wnioski o przyznanie statusu AEO są składane przy użyciu formularza, którego wzór określono w załączniku 6. W załączniku tym w pkt 19 uwag wyjaśniających wskazano, że formularz musi zawierać podpis osoby, która w pełni reprezentuje wnioskodawcę, z podaniem jej stanowiska, nazwiska oraz zawierać pieczęć wnioskodawcy. Ponadto, poza innymi danymi, wnioskodawca powinien podać „[n]azwiska głównych pracowników (dyrektorów zarządzających, kierowników działów, głównych księgowych, kierownika działu celnego itp.). Opis przyjętych zasad postępowania, w sytuacji gdy właściwy pracownik jest tymczasowo lub na stałe nieobecny”.


17      Dla uproszczenia odnoszę się dalej jedynie do przyznania statusu AEO, aczkolwiek ta sama argumentacja ma zastosowanie do utrzymania tego statusu.


18      Zobacz wytyczne Komisji Europejskiej dotyczące upoważnionych przedsiębiorców, TAXUD/B2/047/2011-REV6, z dnia 11 marca 2016 r., s. 126 i 127, w których zostały zebrane informacje, do których podania są zobowiązane przedsiębiorstwa w kwestionariuszu samooceny statusu AEO.


19      W przypadku wspólnego sprawowania funkcji zarządczych wniosek o udostępnienie danych mógłby dotyczyć wszystkich osób sprawujących łącznie funkcje zarządcze.


20      Za takie uważa się „ogół aktów prawnych obejmujący: a) niniejszy kodeks oraz przepisy uzupełniające lub wykonawcze przyjęte na szczeblu unijnym lub krajowym; b) wspólną taryfę celną; c) przepisy ustanawiające unijny system zwolnień celnych; d) umowy międzynarodowe zawierające przepisy z zakresu prawa celnego, jeżeli mają one zastosowanie w Unii”.


21      Między innymi podatki dotyczące obrotu towarami i usługami posiadające bezpośredni związek z działalnością gospodarczą wnioskodawcy (jak np. w przypadku VAT), podatki akcyzowe i związane z opodatkowaniem przedsiębiorstw.


22      W wytycznych Komisji Europejskiej dotyczących upoważnionych przedsiębiorców, TAXUD/B2/047/2011-REV6, z dnia 11 marca 2016 r., s. 37, są wymienione następujące naruszenia: oszustwo związane z upadłością (niewypłacalnością), każde naruszenie prawodawstwa w dziedzinie zdrowia, naruszenia w dziedzinie środowiska, na przykład nielegalne transgraniczne przemieszczanie odpadów niebezpiecznych, oszustwo związane z rozporządzeniem w sprawie produktów podwójnego zastosowania, udział w organizacji przestępczej, przekupstwo i korupcja, cyberprzestępczość, pranie pieniędzy, bezpośredni lub pośredni udział w działalności terrorystycznej, bezpośredni lub pośredni udział w promowaniu lub wspieraniu nielegalnej migracji do Unii.


23      Postanowienie odsyłające, pkt 16.


24      Wyroki: z dnia 1 października 2015 r., Bara i in. (C‑201/14, EU:C:2015:638, pkt 29); z dnia 27 września 2017 r., Puškár (C‑73/16, EU:C:2017:725, pkt 41).


25      Zgodnie z utrwalonym orzecznictwem poszanowanie życia prywatnego w kontekście przetwarzania danych osobowych odnosi się do wszelkich informacji dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (wyroki: z dnia 9 listopada 2010 r., Volker und Markus Schecke i Eifert, C‑92/09 i C‑93/09, EU:C:2010:662, pkt 52; z dnia 17 października 2013 r., Schwartz, C‑291/12, EU:C:2013:670, pkt 26).


26      [Wśród których znajdują się] m.in., zgodnie z postanowieniem odsyłającym: przynależność prawna do wspólnoty religijnej pobierającej podatek wraz z datą wstąpienia i wystąpienia, podlegający rejestracji stan cywilny wraz z dniem rozpoczęcia lub zakończenia, w przypadku osób w związku małżeńskim także numer identyfikacyjny małżonka oraz dzieci pracownika, w powiązaniu z kwotami wolnymi od podatku ze względu na dziecko.


27      W wyroku z dnia 27 września 2017 r., Puškár (C‑73/16, EU:C:2017:725, pkt 34) Trybunał uznał za „przetwarzanie danych osobowych” umieszczenie w wykazie nazwiska, krajowego numeru ewidencyjnego i NIP‑u osób podstawionych, których dane wykorzystywane są jako dane osoby pełniącej w danej osobie prawnej funkcje kierownicze. Wykaz ten został sporządzony przez dyrekcję ds. podatków i ceł oraz urząd ds. zwalczania przestępczości finansowej Republiki Słowackiej i zarówno jego utworzenie, jak i korzystanie z niego przez organy podatkowe różnych instancji zostały uznane za przetwarzanie danych.


28      Wyrok z dnia 1 października 2015 r., Bara i in. (C‑201/14, EU:C:2015:638, pkt 29).


29      „Gromadzenie, rejestracja, porządkowanie, przechowywanie, konsultowanie, wykorzystywanie takich danych przez pracodawcę lub ich przekazywanie przez niego organom krajowym właściwym w sprawach nadzoru nad warunkami pracy jest zatem „przetwarzaniem danych osobowych” w rozumieniu art. 2 lit. b) dyrektywy 95/46” (wyróżnienie moje) (wyrok z dnia 30 maja 2013 r., Worten, C‑342/12, EU:C:2013:355, pkt 20).


30      Artykuł ten dodaje, że dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami («»ograniczenie celu«)”.


31      Według sądu odsyłającego „numery identyfikacji podatkowej osób zatrudnionych przez skarżącą, nadane im przez centralny federalny urząd podatkowy (§ 139a ust. 1 zdanie pierwsze ordynacji podatkowej), zostały pobrane i są przechowywane jedynie w celu poboru podatku dochodowego od osób fizycznych w drodze potrącenia podatku od wynagrodzenia (§ 39e ust. 4 zdanie pierwsze pkt 1 ustawy o podatku dochodowym od osób fizycznych). Uzyskane w tym celu dane osobowe pracowników skarżącej nie mają więc bezpośredniego związku z oceną rzetelności tych osób w sprawach celnych. W szczególności dane osobowe pracowników skarżącej uzyskane dla celów poboru podatku dochodowego od osób fizycznych w drodze potrącenia podatku od wynagrodzenia nie mają związku z działalnością gospodarczą samej skarżącej”.


32      Przypomnieć także należy, że z celu polegającego na zapewnieniu równoważnego poziomu ochrony we wszystkich państwach członkowskich wynika, że art. 7 dyrektywy 95/46 przewiduje zamknięty i wyczerpujący wykaz przypadków, w których przetwarzanie danych osobowych może zostać uznane za zgodne z prawem (wyroki z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 i C‑469/10, EU:C:2011:777, pkt 30; z dnia 27 września 2017 r., Puškár, C‑73/16, EU:C:2017:725, pkt 105). Twierdzenie to rozciąga się na wyliczenie zawarte w art. 6 ust. 1 rozporządzenia RODO.


33      Wyroki: z dnia 20 maja 2003 r., Österreichischer Rundfunk i in. (C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, pkt 64; z dnia 30 maja 2013 r., Worten (C‑342/12, EU:C:2013:355, pkt 36).


34      Zgodnie z orzecznictwem Trybunału „wymóg, zgodnie z którym wszelkie ograniczenia w korzystaniu z praw podstawowych muszą być przewidziane ustawą, oznacza, że podstawa prawna umożliwiająca ingerencję w te prawa sama powinna definiować zakres ograniczenia w wykonywaniu danego prawa” [zob. podobnie opinia 1/15 (umowa UE–Kanada o danych PNR) z dnia 26 lipca 2017 r., EU:C:2017:592, pkt 139; wyrok z dnia 17 grudnia 2015 r., WebMindLicenses, C‑419/14, EU:C:2015:832, pkt 81].


35      W wyroku z dnia 27 września 2017 r., Puškár (C‑73/16, EU:C:2017:725, pkt 106–109) Trybunał stwierdził, że wykaz osób uznawanych przez słowacką dyrekcję ds. podatków i ceł za osoby podstawione utworzony w celu poprawy poboru podatków i zwalczania oszustw podatkowych był objęty zakresem zastosowania art. 7 lit. e) dyrektywy 95/46 [postanowienie zawarte w art. 6 ust. 1 lit. e) rozporządzenia RODO], ponieważ cele, którym służył, były w istocie zadaniami realizowanymi w interesie publicznym.


36      Zgodnie z art. 52 ust. 1 zdanie drugie karty ograniczenia zagwarantowanego przez art. 8 ust. 1 karty prawa do ochrony danych osobowych muszą, przy zachowaniu zasady proporcjonalności, ograniczać się do tego, co absolutnie konieczne (wyroki: z dnia 8 kwietnia 2014 r., Digital Rights Ireland i in., C‑293/12, i C‑594/12, EU:C:2014:238, pkt 52; z dnia 11 grudnia 2014 r., Ryneš, C‑212/13, EU:C:2014:2428, pkt 28; z dnia 6 października 2015 r., Schrems, C‑362/14, EU:C:2015:650, pkt 92).


37      W innych dziedzinach prawa Unii także występują przypadki, w których brak nieposzlakowanej opinii lub uczciwości osób pełniących funkcje kierownicze w przedsiębiorstwie ma wpływ na możliwość wykonywania przez to przedsiębiorstwo działalności gospodarczej czy też na skorzystanie z przywilejów. Przykładowo dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.U. 2013, L 176, s. 338) w art. 23 ust. 1 lit. b) stanowi, w związku z nabywaniem znacznych pakietów akcji w instytucjach kredytowych, że „właściwe organy, dla zapewnienia należytego i ostrożnego zarządzania instytucją kredytową, której akcje mają zostać nabyte, oraz mając na względzie prawdopodobny wpływ potencjalnego nabywcy na tę instytucję kredytową, oceniają odpowiedniość potencjalnego nabywcy oraz bezpieczeństwo finansowe planowanego nabycia na podstawie poniższych kryteriów: […] b) reputacja, wiedza, umiejętności i doświadczenie, zgodnie z art. 91 ust. 1, wszelkich członków organu zarządzającego oraz wszelkich członków kadry kierowniczej wyższego szczebla, którzy będą kierować działalnością instytucji kredytowej w wyniku planowanego nabycia”. Zobacz w tym zakresie moja opinia z dnia 27 czerwca 2018 r., Berlusconi i Fininvest (C‑219/17, EU:C:2018:502).


38      Sprawa C‑178/16 (EU:C:2017:487), pkt 54. W pkt 34 wydanego w tej sprawie wyroku z dnia 20 grudnia 2017 r. (EU:C:2017:1000) Trybunał stwierdził, że „prawo Unii jest oparte na założeniu, że osoby prawne działają poprzez osoby nimi zarządzające. Zachowanie tych ostatnich osób sprzeczne z etyką zawodową może zatem stanowić istotny czynnik w ocenie rzetelności przedsiębiorstwa. Jest zatem w pełni dopuszczalne, aby państwa członkowskie w wykonaniu przysługujących im kompetencji obejmujących określenie warunków wykonania fakultatywnych podstaw wykluczenia uznały za jeden z istotnych czynników do celów oceny rzetelności przedsiębiorstwa uczestniczącego w przetargu występowanie ewentualnych działań ze strony członków jego zarządu sprzecznych z etyką zawodową”.


39      Jeśli chodzi o poszanowanie zasady proporcjonalności, to zgodnie z utrwalonym orzecznictwem Trybunału ochrona prawa podstawowego do poszanowania życia prywatnego na poziomie Unii wymaga, aby odstępstwa od ochrony danych osobowych i jej ograniczenia zawierały się w granicach tego, co ściśle konieczne (wyroki: z dnia 8 kwietnia 2014 r., Digital Rights Ireland i in., C‑293/12 i C‑594/12, EU:C:2014:238, pkt 51, 52; z dnia 6 października 2015 r., Schrems, C‑362/14, EU:C:2015:650, pkt 92; z dnia 21 grudnia 2016 r., Tele2 Sverige i Watson i in., C‑203/15 i C‑698/15, EU:C:2016:970, pkt 96; z dnia 27 września 2017 r., Puškár, C‑73/16, EU:C:2017:725, pkt 112).


40      Podczas rozprawy dyskutowano, czy dostarczenie przez przedsiębiorstwo świadectw zgodności podatkowej osoby pełniącej w nim funkcje kierownicze i osoby odpowiedzialnej za sprawy celne mogłoby być rozwiązaniem mniej restrykcyjnym. Zgodnie z wyjaśnieniami Hauptzollamt nie jest to jednak możliwe, gdyż o świadectwa te wystąpić muszą osobiście i na własny koszt te osoby, a ponadto zawierają one więcej informacji niż jest to konieczne dla celów związanych ze statusem AEO. Ocena tych lub innych twierdzeń w tym zakresie należy do sądu odsyłającego.


41      Wyrok z dnia 1 października 2015 r., Bara i in. (C‑201/14, EU:C:2015:638, pkt 40).