WYROK TRYBUNAŁU (trzecia izba)
z dnia 1 października 2015 r.(*)
Odesłanie prejudycjalne – Dyrektywa 95/46/WE – Przetwarzanie danych osobowych – Artykuły 10 i 11 – Informowanie osób, których dane dotyczą – Artykuł 13 – Wyjątki i ograniczenia – Przekazanie przez organ administracji publicznej państwa członkowskiego podatkowych danych osobowych w celu przetwarzania ich przez inny organ administracji publicznej
W sprawie C‑201/14
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Curtea de Apel Cluj (Rumunia) postanowieniem z dnia 31 marca 2014 r., które wpłynęło do Trybunału w dniu 22 kwietnia 2014 r., w postępowaniu:
Smaranda Bara i in.
przeciwko
Președintele Casei Naționale de Asigurări de Sănătate,
Casa Naţională de Asigurări de Sănătate,
Agenţia Naţională de Administrare Fiscală (ANAF),
TRYBUNAŁ (trzecia izba),
w składzie: M. Ilešič, prezes izby, A. Ó Caoimh, C. Toader, E. Jarašiūnas i C.G. Fernlund (sprawozdawca), sędziowie,
rzecznik generalny: P. Cruz Villalón,
sekretarz: L. Carrasco Marco, administrator,
uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 29 kwietnia 2015 r.,
rozważywszy uwagi przedstawione:
– w imieniu Smarandy Bary i in. przez C.F. Costaşa oraz K. Kapczę, avocați,
– w imieniu Casa Naţională de Asigurări de Sănătate przez V. Ciurcheę, działającego w charakterze pełnomocnika,
– w imieniu rządu rumuńskiego przez R.H. Radu oraz przez A. Buzoianu, A.G. Văcaru oraz D.M. Bulanceę, działających w charakterze pełnomocników,
– w imieniu rządu czeskiego przez M. Smolka oraz J. Vláčila, działających w charakterze pełnomocników,
– w imieniu Komisji Europejskiej przez I. Rogalskiego oraz B. Martenczuka, a także przez J. Vondunga działających w charakterze pełnomocników,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 9 lipca 2015 r.,
wydaje następujący
Wyrok
1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy interpretacji art. 124 TFUE oraz art. 10, 11 i 13 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31 – wyd. spec. w jęz. polskim, rozdz. 13, t. 15, s. 355).
2 Wniosek ten został złożony w ramach sporu pomiędzy S. Barą a Președintele Casei Naționale de Asigurări de Sănătate (prezesem krajowej kasy ubezpieczeń zdrowotnych), Casa Națională de Asigurări de Sănătate (krajową kasą ubezpieczeń zdrowotnych, zwaną dalej „CNAS”) i Agenția Națională de Administrare Fiscală (krajową agencją administracji podatkowej, zwaną dalej „ANAF”) w przedmiocie przetwarzania pewnych danych.
Ramy prawne
Prawo Unii
3 Zgodnie z art. 2 dyrektywy 95/46, zatytułowanym „Definicje”:
„Do celów niniejszej dyrektywy:
a) »dane osobowe« oznacza[ją] wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (»osoby, której dane dotyczą«); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość;
b) »przetwarzanie danych osobowych« (»przetwarzanie«) oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie;
c) »zbiór danych« (»zbiór«) oznacza każdy uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów, scentralizowanych, zdecentralizowanych lub rozproszonych funkcjonalnie lub geograficznie;
d) »administrator danych« oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych; jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe;
[…]”.
4 Artykuł 3 tej dyrektywy, zatytułowany „Zakres obowiązywania”, sformułowany jest w sposób następujący:
„1. Niniejsza dyrektywa stosuje się do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.
2. Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych:
– w ramach działalności wykraczającej poza zakres prawa Wspólnoty, jak np. dane, o których stanowi tytuł V i VI Traktatu o Unii Europejskiej, a w żadnym razie do działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (łącznie z dobrą kondycją gospodarczą państwa, gdy działalność ta dotyczy spraw związanych z bezpieczeństwem państwa) oraz działalności państwa w obszarach prawa karnego,
– przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze”.
5 Artykuł 6 rzeczonej dyrektywy mówi o zasadach dotyczących jakości danych i stanowi:
„1. Państwa członkowskie zapewniają, aby dane osobowe były:
a) przetwarzane rzetelnie i legalnie;
b) gromadzone do określonych, jednoznacznych i legalnych celów oraz nie były poddawane dalszemu przetwarzaniu w sposób niezgodny z tym celem. Dalsze przetwarzanie danych w celach historycznych, statystycznych lub naukowych nie jest uważane za niezgodne z przepisami pod warunkiem ustanowienia przez państwa członkowskie odpowiednich środków zabezpieczających;
c) prawidłowe, stosowne oraz nienadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetworzone;
d) prawidłowe oraz, w razie konieczności, aktualizowane; należy podjąć wszelkie uzasadnione działania, aby zapewnić usunięcie lub poprawienie nieprawidłowych lub niekompletnych danych, biorąc pod uwagę cele, dla których zostały zgromadzone lub dla których są dalej przetwarzane;
e) przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez czas nie dłuższy, niż jest to konieczne do celów, dla których dane zostały zgromadzone lub dla których są dalej przetwarzane. Państwa członkowskie ustanowią odpowiednie środki zabezpieczające dla danych przechowywanych przez dłuższe okresy dla potrzeb historycznych, statystycznych i naukowych.
2. Na administratorze danych spoczywa obowiązek zapewnienia przestrzegania przepisów ust. 1”.
6 Artykuł 7 tej dyrektywy, obejmujący zasady dotyczące legalności przetwarzania danych, stanowi:
„Państwa członkowskie zapewniają, że dane osobowe mogą być przetwarzane tylko wówczas, gdy:
a) osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę; lub
b) przetwarzanie danych jest konieczne dla realizacji umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na życzenie osoby, której dane dotyczą, przed zawarciem umowy; lub
c) przetwarzanie danych jest konieczne dla wykonania zobowiązania prawnego, któremu administrator danych podlega; lub
d) przetwarzanie danych jest konieczne dla ochrony żywotnych interesów osób, których dane dotyczą; lub
e) przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie publicznym lub dla wykonywania władzy publicznej przekazanej administratorowi danych lub osobie trzeciej, przed którą ujawnia się dane; lub
f) przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom [osób trzecich], którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę [wymagają ochrony] na podstawie art. 1 ust. 1”.
7 Artykuł 10 dyrektywy 95/46, zatytułowany „Informacje w przypadku gromadzenia danych od osoby, której dane dotyczą”, stanowi:
„Państwa członkowskie zapewniają, aby administrator danych lub jego przedstawiciel miał obowiązek przedstawienia osobie, której dane dotyczą i od której gromadzone są dane, co najmniej następujących informacji, z wyjątkiem przypadku, kiedy informacje takie już posiada:
a) tożsamości administratora danych i ewentualnie jego przedstawiciela;
b) celów przetwarzania danych, do których dane są przeznaczone;
c) wszelkich dalszych informacji, jak np.:
– odbiorcy lub kategorie odbierających dane,
– tego, czy odpowiedzi na pytania są obowiązkowe, czy dobrowolne oraz ewentualne konsekwencje nieudzielenia odpowiedzi,
– istnienie prawa wglądu do swoich danych oraz ich sprostowania,
o ile takie dalsze informacje są potrzebne, biorąc pod uwagę szczególne okoliczności, w których dane są gromadzone, w celu zagwarantowania rzetelnego przetwarzania danych w stosunku do osoby, której dane dotyczą”.
8 Artykuł 11 tejże dyrektywy, zatytułowany „Informacje w przypadku uzyskiwania danych z innych źródeł niż osoba, której dane dotyczą”, ma następujące brzmienie:
„1. W przypadku gdy dane uzyskiwane są z innych źródeł niż osoba, której dane dotyczą, państwa członkowskie zapewniają, aby administrator danych lub jego przedstawiciel był zobowiązany od początku gromadzenia danych osobowych lub w przypadku ujawnienia danych osobie trzeciej, nie później niż do momentu, gdy dane są ujawniane po raz pierwszy, dostarczyć osobie, której dane dotyczą, co najmniej następujące informacje, z wyjątkiem przypadku, kiedy posiada już ona takie informacje:
a) tożsamość administratora i ewentualnie jego przedstawiciela;
b) cele przetwarzania danych;
c) wszelkie dalsze informacje, jak np.:
– kategorie potrzebnych danych,
– odbiorcy lub kategorie odbierających dane,
– istnienie prawa wglądu do swoich danych oraz ich sprostowania,
o ile takie dalsze informacje są konieczne, biorąc pod uwagę szczególne okoliczności, w których dane są gromadzone, w celu zagwarantowania rzetelnego przetwarzania danych w stosunku do osoby, której dane dotyczą.
2. Ustęp 1 nie ma zastosowania, w przypadku gdy szczególnie w przypadku przetwarzania danych do celów statystycznych, historycznych lub naukowych, dostarczenie takich informacji wymagałoby niewspółmiernie dużego wysiłku lub jeżeli gromadzenie lub ujawnianie informacji jest wyraźnie przewidziane przez prawo. W takich przypadkach państwa członkowskie zapewniają odpowiednie środki zabezpieczające”.
9 Zgodnie z art. 13 omawianej dyrektywy, zatytułowanym „Wyjątki i ograniczenia”:
„1. Państwo członkowskie może przyjąć środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków, przewidzianego w art. 6 ust. 1, art. 10, art. 11 ust. 1, art. 12 oraz 21, kiedy ograniczenie takie stanowi środek konieczny dla zabezpieczenia:
a) bezpieczeństwa narodowego;
b) obronności;
c) bezpieczeństwa publicznego;
d) działań prewencyjnych, prowadzonych czynności dochodzeniowo-śledczych i prokuratorskich w sprawach karnych lub sprawach o naruszenie zasad etyki w zawodach podlegających regulacji;
e) ważnego interesu ekonomicznego lub finansowego państwa członkowskiego lub Unii Europejskiej, łącznie z kwestiami pieniężnymi, budżetowymi i podatkowymi;
f) funkcji kontrolnych, inspekcyjnych i regulacyjnych związanych, nawet sporadycznie, z wykonywaniem władzy publicznej w przypadkach wymienionych w lit. c)–e);
g) ochrony osoby, której dane dotyczą oraz praw i wolności innych osób.
2. Z zastrzeżeniem obowiązku zapewnienia odpowiedniego stopnia ochrony prawnej, w szczególności, aby dane nie były wykorzystywane do podejmowania działań lub decyzji dotyczących konkretnych osób, państwa członkowskie mogą, w przypadku gdy wyraźnie nie występuje ryzyko naruszenia prywatności osoby, której dane dotyczą, ograniczyć przy pomocy środków legislacyjnych prawa przewidziane w art. 12, gdy dane są przetwarzane wyłącznie do celów badań naukowych lub przechowywane są w formie osobistej przez okres nieprzekraczający okresu koniecznego wyłącznie w celu sporządzenia statystyk”.
Prawo rumuńskie
Ustawa nr 95/2006
10 Z postanowienia odsyłającego wynika, że art. 215 Legea nr. 95/2006 privind reforma în domeniul sănătății (ustawy nr 95/2006 w sprawie reformy sektora zdrowotnego) z dnia 14 kwietnia 2006 r. (Monitorul Oficial al României, część I, nr 372, z dnia 28 kwietnia 2006 r.) przewiduje:
„1. Obowiązek płacenia składek na ubezpieczenie zdrowotne spoczywa na osobie fizycznej lub prawnej, która zatrudnia pracowników na podstawie indywidualnej umowy o pracę lub na podstawie szczególnego statutu przewidzianego przez prawo, a także, w stosownych przypadkach, na osobach fizycznych.
2. Osoby prawne lub fizyczne, na rzecz których ubezpieczeni świadczą pracę, są zobowiązane do comiesięcznego składania kasie chorych swobodnie wybranej przez ubezpieczonych deklaracji imiennych dotyczących spoczywających na nich zobowiązań wobec funduszu, a także dowodu opłacenia składek.
[…]”.
11 Artykuł 315 tejże ustawy głosi:
„Dane niezbędne do ustalenia statusu osoby ubezpieczonej zostaną nieodpłatnie przekazane kasom chorych przez organy, instytucje publiczne i inne instytucje na podstawie protokołu”.
Postanowienie prezesa CNAS nr 617/2007
12 Artykuł 35 postanowienia prezesa CNAS nr 617/2007 z dnia 13 sierpnia 2007 r. w sprawie zatwierdzenia zasad sporządzania dokumentów potwierdzających nabycie statusu osoby ubezpieczonej lub statusu osoby ubezpieczonej bez zapłaty składki i stosowania środków egzekucji służących odzyskaniu kwot należnych na rzecz krajowego funduszu ubezpieczeń zdrowotnych (Monitorul Oficial al României, część I, nr 649, z dnia 24 września 2007 r.) stanowi:
„[…] dla potrzeb zobowiązań płatniczych na rzecz funduszu spoczywających na osobach fizycznych ubezpieczonych na podstawie umowy ubezpieczenia, innych niż te, w przypadku których pobór podatku jest dokonywany przez ANAF, tytułem wierzytelności jest, stosownie do przypadku, deklaracja, […], decyzja podatkowa wydana przez właściwy organ CAS [kasy ubezpieczeń zdrowotnych], a także orzeczenie sądowe dotyczące wierzytelności funduszu. Decyzja podatkowa może zostać wydana przez właściwy organ CAS i na podstawie informacji uzyskanych od ANAF na podstawie protokołu”.
Protokół z 2007 r.
13 Zgodnie z art. 4 protokołu nr P 5282/26.10.2007/95896/30.10.2007 zawartego pomiędzy CNAS i ANAF (zwanego dalej „protokołem z 2007 r.”):
„Po wejściu w życie niniejszego protokołu [ANAF], za pośrednictwem właściwych podległych struktur, udostępni w postaci elektronicznej początkową wersję bazy danych o:
a) dochodach osób należących do kategorii, o których mowa w art. 1 ust. 1 niniejszego protokołu, oraz kwartalną aktualizację tej bazy danych na rzecz [CNAS] na nośniku umożliwiającym automatyczne przetwarzanie, zgodnie z załącznikiem 1 do niniejszego protokołu […]”.
Postępowanie główne i pytania prejudycjalne
14 Skarżący w postępowaniu głównym uzyskują dochody z pracy na własny rachunek. Dane dotyczące ich dochodów zostały przekazane CNAS przez ANAF. Na podstawie tychże danych CNAS zażądał wpłaty zaległych składek na rzecz systemu ubezpieczeń zdrowotnych.
15 Skarżący w postępowaniu głównym wnieśli do Curtea de Apel Cluj (sądu apelacyjnego w Klużu) skargę, w której podważają legalność przekazania danych podatkowych dotyczących ich dochodów w świetle dyrektywy 95/46. Podnoszą oni, że owe dane osobowe zostały przekazane i wykorzystane, na podstawie zwykłego wewnętrznego protokołu, do celów innych niż cele, w jakich początkowo ujawniono je ANAF, i to bez wyraźnej zgody skarżących i bez wcześniejszego poinformowania ich o tym.
16 Z postanowienia odsyłającego wynika, że podmioty publiczne są na podstawie ustawy nr 95/2006 uprawnione do przekazywania danych osobowych kasom ubezpieczeń zdrowotnych w celu umożliwienia im ustalenia statusu osoby ubezpieczonej, osób, których dane dotyczą. Dane te służą identyfikacji osób (imię, nazwisko, osobisty numer identyfikacyjny, adres), lecz nie obejmują informacji o uzyskiwanych dochodach.
17 Sąd odsyłający stara się ustalić, czy przetwarzanie danych przez CNAS wymagało wcześniejszego poinformowania osób, których dotyczyły dane o tożsamości administratora danych i o celu, w jakim dane te zostały przekazane. Sąd ten musi wypowiedzieć się również w kwestii tego, czy przekazanie danych na podstawie protokołu z 2007 r. było sprzeczne z przepisami dyrektywy 95/46 wymagającymi, aby wszelkie ograniczenia praw osób, których dotyczą dane były przewidziane w ustawie i aby towarzyszyły im środki zabezpieczające, w szczególności gdy dane te są wykorzystywane przeciwko tym osobom.
18 W tych okolicznościach Curtea de Apel Cluj postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy krajowy organ podatkowy jako organ reprezentujący właściwe ministerstwo państwa członkowskiego jest instytucją finansową w rozumieniu art. 124 TFUE?
2) Czy przekazanie bazy danych dotyczących dochodów obywateli państwa członkowskiego przez krajowy organ podatkowy innej instytucji państwa członkowskiego może zostać uregulowane aktem zrównanym z aktami administracyjnymi, to znaczy protokołem zawartym pomiędzy krajowym organem podatkowym i inną instytucją państwową, tak iż nie stanowi to dostępu uprzywilejowanego w rozumieniu art. 124 TFUE?
3) Czy przekazanie bazy danych, dokonane w celu nałożenia na obywateli państwa członkowskiego obowiązku zapłaty składki na ubezpieczenie społeczne na rzecz instytucji państwa członkowskiego, na rzecz której dokonano przekazania, wchodzi w zakres pojęcia »względów o charakterze ostrożnościowym« w rozumieniu art. 124 TFUE?
4) Czy dane osobowe mogą być przetwarzane przez organ, dla którego nie były przeznaczone, jeżeli operacja ta powoduje ze skutkiem wstecznym szkody majątkowe?”.
W przedmiocie pytań prejudycjalnych
W przedmiocie dopuszczalności
W przedmiocie dopuszczalności pytań od pierwszego do trzeciego
19 Zgodnie z utrwalonym orzecznictwem Trybunał może odmówić orzekania co do pytania prejudycjalnego przedstawionego przez sąd krajowy, gdy żądana wykładnia prawa Unii w sposób oczywisty nie ma żadnego związku ze stanem faktycznym lub przedmiotem sporu w postępowaniu głównym lub też gdy problem ma charakter hipotetyczny albo gdy Trybunał nie posiada wystarczającej wiedzy na temat okoliczności faktycznych i prawnych, aby odpowiedzieć na przedstawione mu pytania w użyteczny sposób (zob. wyrok PreussenElektra, C‑379/98, EU:C:2001:160, pkt 39 i przytoczone tam orzecznictwo).
20 We wszystkich przedłożonych Trybunałowi uwagach wskazano, że trzy pytania prejudycjalne od pierwszego do trzeciego dotyczące interpretacji art. 124 TFUE są niedopuszczalne, albowiem nie mają związku z przedmiotem sporu.
21 W tym względzie należy przypomnieć, że art. 124 TFUE znajduje się w części trzeciej w tytule VIII traktatu FUE dotyczącym polityki gospodarczej i pieniężnej. Zgodnie z tym postanowieniem zakazany jest każdy środek nieoparty na względach o charakterze ostrożnościowym, ustanawiający uprzywilejowany dostęp instytucji, organów lub jednostek organizacyjnych Unii, rządów centralnych, władz regionalnych, lokalnych lub innych władz publicznych, innych instytucji lub przedsiębiorstw publicznych państw członkowskich do instytucji finansowych.
22 Zakaz ten ma źródło w art. 104 A traktatu WE (po zmianie art. 102 WE), który został wprowadzony do traktatu WE przez traktat z Maastricht. Wspomniany artykuł zalicza się do postanowień traktatu FUE dotyczących polityki gospodarczej mających na celu zachęcenie państw członkowskich do prowadzenia zrównoważonej polityki budżetowej przy równoczesnym unikaniu sytuacji, w której finansowanie w ramach polityki pieniężnej deficytu budżetowego lub uprzywilejowany dostęp władz publicznych do rynków finansowych prowadziłyby do nadmiernego zadłużenia lub deficytu budżetowego państw członkowskich (zob. podobnie wyrok Gauweiler i in., C‑62/14, EU:C:2015:400, pkt 100).
23 Jest więc oczywiste, że interpretacja art. 124 TFUE, o którą wystąpiono, nie ma żadnego związku ze stanem faktycznym lub przedmiotem sporu w postępowaniu głównym, które dotyczy ochrony danych osobowych.
24 Z powyższego wynika, że nie należy udzielać odpowiedzi na trzy pierwsze pytania.
W przedmiocie dopuszczalności pytania czwartego
25 CNAS i rząd rumuński podnoszą, że pytanie czwarte jest niedopuszczalne. Rząd ów twierdzi, że nie ma żadnego związku pomiędzy szkodą podnoszoną przez skarżących w postępowaniu głównym a stwierdzeniem nieważności aktów administracyjnych zaskarżonych w postępowaniu głównym.
26 Należy przypomnieć, że zgodnie z utrwalonym orzecznictwem Trybunału pytania dotyczące wykładni prawa Unii, z którymi zwrócił się sąd krajowy w ramach stanu prawnego i faktycznego, za którego ustalenie jest on odpowiedzialny, przy czym prawidłowość tych ustaleń nie podlega ocenie przez Trybunał, korzystają z domniemania, iż mają znaczenie dla sprawy. Odmowa udzielenia przez Trybunał odpowiedzi na pytanie prejudycjalne postawione przez sąd krajowy jest możliwa jedynie wówczas, gdy żądana wykładnia prawa Unii w sposób oczywisty nie ma żadnego związku ze stanem faktycznym lub przedmiotem sporu toczącego się przed sądem krajowym lub też gdy problem ma charakter hipotetyczny albo gdy Trybunał nie posiada wystarczającej wiedzy na temat okoliczności faktycznych i prawnych, aby odpowiedzieć na postawione mu pytania w użyteczny sposób (zob. w szczególności wyrok Fish Legal i Shirley, C‑279/12, EU:C:2013:853, pkt 30 i przytoczone tam orzecznictwo).
27 Należy zaznaczyć, że sprawa w postępowaniu głównym dotyczy legalności przetwarzania danych podatkowych zgromadzonych przez ANAF. Sąd odsyłający zastanawia się nad interpretacją przepisów dyrektywy 95/46 w ramach kontroli legalności przekazywania tychże danych CNAS i dalszego przetwarzania. Czwarte pytanie jest więc istotne i wystarczająco szczegółowe, aby Trybunał mógł odpowiedzieć na nie w użyteczny sposób. W konsekwencji wniosek o wydanie orzeczenia w trybie prejudycjalnym należy uznać za dopuszczalny w zakresie pytania czwartego.
Co do istoty
28 Poprzez swe pytanie czwarte sąd odsyłający stara się w istocie ustalić, czy art. 10, 11 i 13 dyrektywy 95/46 należy interpretować w ten sposób, że przepisy te stoją na przeszkodzie środkom krajowym, takim jak rozpatrywane w postępowaniu głównym, które pozwalają organowi administracji publicznej państwa członkowskiego na przekazywanie danych osobowych innemu organowi administracji publicznej i na ich dalsze przetwarzanie, bez informowania osób, których dane dotyczą, o tymże przekazaniu i przetwarzaniu.
29 W tym względzie należy zauważyć, w oparciu o informacje dostarczone przez sąd odsyłający, że dane podatkowe przekazane CNAS przez ANAF stanowią dane osobowe w rozumieniu art. 2 lit. a) rzeczonej dyrektywy, albowiem chodzi o „informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej” (wyrok Satakunnan Markkinapörssi i Satamedia, C‑73/07, EU:C:2008:727, pkt 35). Zarówno przekazanie ich przez ANAF organowi odpowiedzialnemu za administrowanie bazą danych, w której są zgromadzone, jak też ich późniejsze przetwarzanie przez CNAS mają więc charakter „przetwarzania danych osobowych” w rozumieniu art. 2 lit. b) tejże dyrektywy (zob. podobnie w szczególności wyroki: Österreichischer Rundfunk i in., C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, pkt 64; a także Huber, C‑524/06, EU:C:2008:724, pkt 43).
30 Zgodnie z przepisami rozdziału II dyrektywy 95/46, zatytułowanego „Ogólne zasady legalności przetwarzania danych osobowych”, z zastrzeżeniem dozwolonych na mocy jej art. 13 odstępstw, każda operacja przetwarzania danych osobowych musi być zgodna z jednej strony z wyrażonymi w art. 6 tej dyrektywy zasadami odnoszącymi się do charakteru danych, a z drugiej strony – z jednym z kryteriów legalności przetwarzania danych, wymienionych w art. 7 tej dyrektywy (wyroki: Österreichischer Rundfunk i in., C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, pkt 65; Huber, C‑524/06, EU:C:2008:724, pkt 48, a także ASNEF i FECEMD, C‑468/10 i C‑469/10, EU:C:2011:777, pkt 26).
31 Ponadto administrator danych lub jego przedstawiciel ma obowiązek informacji, którego zasady, określone w art. 10 i 11 dyrektywy 95/46 różnią się w zależności od tego, czy owe dane zostały uzyskane od osoby, której dotyczą, bądź nie, z zastrzeżeniem wyjątków dopuszczanych na mocy art. 13 tej dyrektywy.
32 Po pierwsze, jeżeli chodzi o art. 10 rzeczonej dyrektywy, to przepis ten przewiduje, że administrator danych miał obowiązek przedstawienia osobie, której dane dotyczą i od której gromadzone są dane, informacji wymienionych w lit. a)–c) tego artykułu, z wyjątkiem przypadku, kiedy osoba ta informacje takie już posiada. Informacje te dotyczą tożsamości administratora danych, celów przetwarzania danych oraz wszelkich dalszych informacji potrzebnych w celu zagwarantowania rzetelnego przetwarzania danych. Wśród dodatkowych informacji potrzebnych w celu zapewnienia rzetelnego przetwarzania danych, art. 10 lit. c) omawianej dyrektywy wymienia wprost „odbiorców lub kategorie odbierających dane” oraz „istnienie prawa wglądu do […] danych [odnoszących się do osoby, której one dotyczą] oraz ich sprostowania”.
33 Jak zaznaczył rzecznik generalny w pkt 74 swej opinii, ów wymóg informowania osób, których dotyczy przetwarzanie ich danych osobowych, jest tym ważniejszy, iż stanowi warunek konieczny wykonywania przez te osoby ich prawa dostępu do przetwarzanych danych i sprostowania ich, przewidzianego w art. 12 dyrektywy 95/46, oraz ich prawa sprzeciwu wobec przetwarzania tych danych, o którym mowa w art. 14 tej dyrektywy.
34 Z powyższego wynika, że wymóg rzetelnego przetwarzania danych osobowych przewidziany w art. 6 dyrektywy 95/46 zobowiązuje organ administracji publicznej do informowania osób, których dane dotyczą, o ich przekazaniu innemu organowi administracji publicznej w celu ich przetworzenia przez ów drugi organ będący odbiorcą rzeczonych danych.
35 Z wyjaśnień sądu odsyłającego wynika, że skarżący w postępowaniu głównym nie zostali poinformowani przez ANAF o przekazaniu CNAS dotyczących ich danych osobowych.
36 Rząd rumuński podnosi jednak, że ANAF ma obowiązek, między innymi na podstawie art. 315 ustawy nr 95/2006 przekazywania regionalnym kasom ubezpieczenia zdrowotnego, informacji potrzebnych w celu ustalenia przez CNAS statusu osoby ubezpieczonej w odniesieniu do osób uzyskujących dochody z pracy na własny rachunek.
37 Artykuł 315 ustawy nr 95/2006 rzeczywiście wyraźnie przewiduje, że „dane niezbędne do ustalenia statusu osoby ubezpieczonej zostaną nieodpłatnie przekazane kasom chorych przez organy, instytucji publicznych i innych instytucji na podstawie protokołu”. Niemniej jednak z wyjaśnień sądu odsyłającego wynika, że dane niezbędne do ustalenia statusu osoby ubezpieczonej w rozumieniu tego przepisu nie obejmują danych dotyczących dochodów, albowiem ustawa uznaje, iż status osoby ubezpieczonej mają również osoby nieosiągające dochodów podlegających opodatkowaniu.
38 W tych okolicznościach art. 315 ustawy nr 95/2006 nie może stanowić, w rozumieniu art. 10 dyrektywy 95/46, wcześniejszego poinformowania pozwalającego na zwolnienie administratora danych z obowiązku poinformowania osób, od których uzyskuje dane dotyczące ich dochodów, o odbiorcach tychże danych. W konsekwencji nie można uznać, że omawiane przekazanie danych odbyło się z poszanowaniem art. 10 dyrektywy 95/46.
39 Należy zbadać, czy ów brak poinformowania osób, których dotyczą dane, może być objęty zakresem art. 13 rzeczonej dyrektywy. Z art. 13 ust. 1 lit. e) i f) dyrektywy wynika bowiem, że państwa członkowskie mogą ograniczyć zakres praw i obowiązków przewidzianych w jej art. 10, kiedy ograniczenie takie stanowi środek konieczny dla zabezpieczenia „ważnego interesu ekonomicznego lub finansowego państwa członkowskiego […], łącznie z kwestiami pieniężnymi, budżetowymi i podatkowymi” oraz „funkcji kontrolnych, inspekcyjnych i regulacyjnych związanych, nawet sporadycznie, z wykonywaniem władzy publicznej w przypadkach wymienionych w lit. c)–e)”. Niemniej jednak rzeczony art. 13 wyraźnie wymaga, aby ograniczenia te były przyjmowane w drodze środków ustawodawczych.
40 Tymczasem, poza podniesioną przez sąd odsyłający okolicznością, iż dane dotyczące dochodów nie zaliczają się do danych osobowych niezbędnych do ustalenia statusu osoby ubezpieczonej, należy podkreślić, że art. 315 ustawy nr 95/2006 przewiduje zasadniczo jedynie przekazanie tego drugiego rodzaju danych osobowych będących w posiadaniu organów, instytucji publicznych i innych instytucji. Z postanowienia odsyłającego wynika również, że definicja informacji, jakie mogą być przekazywane, oraz zasady, według których odbywa się owo przekazywanie, nie zostały określone w drodze środka ustawodawczego, lecz w protokole z 2007 r. zawartym pomiędzy ANAF i CNAS, który nie stał się przedmiotem oficjalnego opublikowania.
41 W tych okolicznościach nie można uznać, że zostały spełnione przesłanki określone w art. 13 dyrektywy 95/46 po to, aby państwo członkowskie mogło wprowadzić odstępstwa od praw i obowiązków wynikających z art. 10 tej dyrektywy.
42 Po drugie, jeżeli chodzi o art. 11 rzeczonej dyrektywy, to ust. 1 tego przepisu przewiduje, że gdy dane uzyskiwane są z innych źródeł niż osoba, której dane dotyczą, administrator danych musi dostarczyć osobie, której dane dotyczą, informacje wymienione w lit. a)–c). Informacje te dotyczą tożsamości administratora, celów przetwarzania danych oraz wszelkich dalszych informacji koniecznych w celu zagwarantowania rzetelnego przetwarzania danych. Wśród tych dalszych informacji art. 11 ust. 1 lit. c) omawianej dyrektywy wymienia wyraźnie „kategorie potrzebnych danych” oraz „istnienie prawa wglądu do swoich danych oraz ich sprostowania”.
43 Z powyższego wynika, że zgodnie z art. 11 ust. 1 lit. b) i c) dyrektywy 95/46 w okolicznościach sprawy w postępowaniu głównym przetwarzanie przez CNAS danych przekazanych przez ANAF wymagało, aby osoby, których dane te dotyczyły, były informowane o celach tego przetwarzania i o kategoriach potrzebnych danych.
44 Tymczasem z wyjaśnień udzielonych przez sąd odsyłający wynika, że CNAS nie dostarczył skarżącym w postępowaniu głównym informacji wymienionych w art. 11 ust. 1 lit. a–c) rzeczonej dyrektywy.
45 Należy dodać, że zgodnie z art. 11 ust. 2 dyrektywy 95/46 ustęp 1 tego przepisu nie ma zastosowania między innymi, jeżeli gromadzenie lub ujawnianie informacji są przewidziane przez ustawę, przy czym państwa członkowskie muszą wówczas zapewnić odpowiednie środki zabezpieczające. Ze względów wskazanych w pkt 40 i 41 niniejszego wyroku przepisy ustawy nr 95/2006, na które powołał się rząd rumuński, oraz protokół z 2007 r. nie mogą być objęte odstępstwami wynikającymi z art. 11 ust. 2 rzeczonej dyrektywy ani też z jej art. 13.
46 W świetle ogółu powyższych uwag na zadane pytanie należy odpowiedzieć, iż art. 10, 11 i 13 dyrektywy 95/46 należy interpretować w ten sposób, że przepisy te stoją na przeszkodzie środkom krajowym, takim jak rozpatrywane w postępowaniu głównym, które pozwalają organowi administracji publicznej państwa członkowskiego na przekazywanie danych osobowych innemu organowi administracji publicznej i na ich dalsze przetwarzanie, bez informowania osób, których dane dotyczą, o tymże przekazaniu i przetwarzaniu.
W przedmiocie kosztów
47 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (trzecia izba) orzeka, co następuje:
Artykuły 10, 11 i 13 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że przepisy te stoją na przeszkodzie środkom krajowym, takim jak rozpatrywane w postępowaniu głównym, które pozwalają organowi administracji publicznej państwa członkowskiego na przekazywanie danych osobowych innemu organowi administracji publicznej i na ich dalsze przetwarzanie, bez informowania osób, których dane dotyczą, o tymże przekazaniu i przetwarzaniu.
Podpisy