SODBA SODIŠČA (tretji senat)
z dne 1. oktobra 2015(*)
„Predhodno odločanje – Direktiva 95/46/ES – Obdelava osebnih podatkov – Člena 10 in 11 – Obvestitev posameznikov, na katere se podatki nanašajo – Člen 13 – Izjeme in omejitve – Prenos osebnih davčnih podatkov s strani javnega organa države članice z namenom, da jih obdela drug javni organ“
V zadevi C‑201/14,
katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo Curtea de Apel Cluj (Romunija) z odločbo z dne 31. marca 2014, ki je prispela na Sodišče 22. aprila 2014, v postopku
Smaranda Bara in drugi
proti
Președintele Casei Naționale de Asigurări de Sănătate,
Casa Naţională de Asigurări de Sănătate,
Agenţia Naţională de Administrare Fiscală (ANAF),
SODIŠČE (tretji senat),
v sestavi M. Ilešič, predsednik senata, A. Ó Caoimh, sodnik, C. Toader, sodnica, E. Jarašiūnas in C. G. Fernlund (poročevalec), sodnika,
generalni pravobranilec: P. Cruz Villalón,
sodna tajnica: L. Carrasco Marco, administratorka,
na podlagi pisnega postopka in obravnave z dne 29. aprila 2015,
ob upoštevanju stališč, ki so jih predložili:
– za Smarando Bara in druge C. F. Costaş in K. Kapcza, odvetnika,
– za Casa Naţională de Asigurări de Sănătate V. Ciurchea, agent,
– za romunsko vlado R. H. Radu ter A. Buzoianu, A.‑G. Văcaru in D. M. Bulancea, agenti,
– za češko vlado M. Smolek in J. Vláčil, agenta,
– za Evropsko komisijo I. Rogalski, B. Martenczuk in J. Vondung, agenti,
po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 9. julija 2015
izreka naslednjo
Sodbo
1 Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 124 PDEU ter členov 10, 11 in 13 Direktive 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355).
2 Ta predlog je bil vložen v okviru spora med S. Bara in drugimi na eni strani in Președintele Casei Naționale de Asigurări de Sănătate (predsednik nacionalnega zavoda za zdravstveno zavarovanje), Casa Națională de Asigurări de Sănătate (nacionalni zavod za zdravstveno zavarovanje, v nadaljevanju: CNAS) in Agenția Națională de Administrare Fiscală (nacionalna agencija davčne uprave, v nadaljevanju: ANAF) na drugi strani glede obdelave nekaterih podatkov.
Pravni okvir
Pravo Unije
3 Člen 2 Direktive 95/46, naslovljen „Opredelitev pojmov“, določa:
„V tej direktivi:
(a) ,osebni podatek‘ pomeni katero koli informacijo, ki se nanaša na določeno ali določljivo fizično osebo (,posameznik, na katerega se nanašajo osebni podatki‘); določljiva oseba je tista, ki se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali socialno identiteto;
(b) ,obdelava osebnih podatkov‘ (,obdelava‘) pomeni kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki z avtomatskimi sredstvi ali brez njih, kakršno je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali predelava, iskanje, posvetovanje, uporaba, posredovanje s prenosom, širjenje ali drugo razpolaganje, prilagajanje ali kombiniranje, blokiranje, izbris ali uničenje;
(c) ,zbirka osebnih podatkov‘ (,zbirka‘) pomeni vsak strukturiran niz osebnih podatkov, ki je dostopen v skladu s posebnimi merili, bodisi da je centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
(d) ,upravljavec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva obdelave določa nacionalna zakonodaja ali zakonodaja Skupnosti, lahko upravljavca ali posebna merila za njegovo imenovanje določi nacionalna zakonodaja ali zakonodaja Skupnosti;
[…]“
4 Člen 3 te direktive, naslovljen „Področje uporabe“, določa:
„1. Ta direktiva se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatskimi sredstvi in za drugačno obdelavo kakor z avtomatskimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni sestavljanju dela zbirke.
2. Ta direktiva se ne uporablja za obdelavo osebnih podatkov:
– med dejavnostjo, ki ne sodi na področje uporabe zakonodaje Skupnosti, kot so tiste, opredeljene v naslovih V in VI Pogodbe o Evropski uniji, in v vsakem primeru v postopkih obdelave v zvezi z javno varnostjo, obrambo, državno varnostjo (vključno z gospodarsko blaginjo države, kadar se postopek obdelave nanaša na zadeve državne varnosti) in pri dejavnostih države na področju kazenskega prava,
– s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti.“
5 Člen 6 navedene direktive, ki se nanaša na načela v zvezi s kakovostjo podatkov, določa:
„1. Države članice določijo, da morajo biti osebni podatki:
(a) pošteno in zakonito obdelani;
(b) zbrani za določene, izrecne ter zakonite namene in se ne smejo naprej obdelovati na način, ki je nezdružljiv s temi nameni. Nadaljnja obdelava podatkov v zgodovinske, statistične ali znanstvene namene se ne šteje za nezdružljivo, če države članice zagotovijo ustrezne zaščitne ukrepe;
(c) primerni, ustrezni in ne pretirani glede na namene, za katere se zbirajo in/ali naprej obdelujejo;
(d) točni in po potrebi ažurirani; uporabiti je treba vse primerne ukrepe za zagotovitev, da se podatki, ki so netočni ali nepopolni, zbrišejo ali popravijo, ob upoštevanju namenov, za katere so bili zbrani ali za katere se naprej obdelujejo;
(e) shranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se osebni podatki nanašajo, le toliko časa, kolikor je potrebno za namene, za katere so bili podatki zbrani ali za katere se naprej obdelujejo. Države članice določijo ustrezne zaščitne ukrepe za osebne podatke, shranjene za daljša obdobja za zgodovinsko, statistično ali znanstveno uporabo.
2. Upravljavec mora zagotoviti, da se ravna v skladu z odstavkom 1.“
6 Člen 7 navedene direktive, ki se nanaša na merila za zakonitost obdelave podatkov, določa:
„Države članice določijo, da se lahko osebni podatki obdelujejo samo, če:
(a) je posameznik, na katerega se osebni podatki nanašajo, nedvoumno dal svojo privolitev;
ali
(b) je obdelava potrebna za izvajanje pogodbe, katere stranka je posameznik, na katerega se nanašajo osebni podatki, ali pa za izvajanje ukrepov na zahtevo posameznika, na katerega se osebni podatki nanašajo, pred sklenitvijo pogodbe;
ali
(c) je obdelava potrebna za skladnost z zakonsko obveznostjo, ki velja za upravljavca;
ali
(d) je obdelava potrebna za varstvo življenjskih interesov posameznikov, na katere se osebni podatki nanašajo;
ali
(e) je obdelava potrebna za izvajanje naloge, ki se opravlja v javnem interesu ali pri izvrševanju javne oblasti, dodeljene upravljavcu ali tretji stranki, ki so ji posredovani podatki;
ali
(f) je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja stranka ali stranke, ki so jim osebni podatki posredovani, razen kadar nad takimi interesi prevladajo temeljne pravice in svoboščine posameznika, na katerega se osebni podatki nanašajo, ki se varujejo na podlagi člena 1(1).“
7 Člen 10 Direktive 95/46, naslovljen „Informacije v primerih zbiranja podatkov od posameznika, na katerega se osebni podatki nanašajo“, določa:
„Države članice določijo, da morata upravljavec ali njegov predstavnik zagotoviti posamezniku, na katerega se osebni podatki nanašajo in od katerega se podatki v zvezi z njim zbirajo, vsaj naslednje informacije, razen kadar jih že ima:
(a) istovetnost upravljavca ali [in] njegovega predstavnika, če obstaja;
(b) namene obdelave podatkov;
(c) vse nadaljnje informacije, npr:
– prejemnike ali vrste prejemnikov podatkov,
– ali so odgovori na vprašanja obvezni ali prostovoljni, pa tudi možne posledice, če ne odgovori,
– obstoj pravice do dostopa in pravice do popravka podatkov, ki se nanašajo nanj,
kolikor so take nadaljnje informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki zbirajo, za zagotovitev poštene obdelave glede na posameznika, na katerega se osebni podatki nanašajo.“
8 Člen 11 te direktive, naslovljen „Informacije, kadar podatki niso bili pridobljeni od posameznika, na katerega se osebni podatki nanašajo“, določa:
„1. Kadar podatki niso bili pridobljeni od posameznika, na katerega se osebni podatki nanašajo, države članice zagotovijo, da mora upravljavec ali njegov predstavnik med zbiranjem osebnih podatkov ali, če se predvideva posredovanje tretji stranki, najpozneje tedaj, ko se podatki prvič posredujejo, zagotoviti posamezniku, na katerega se osebni podatki nanašajo, vsaj naslednje informacije, razen kadar jih že ima:
(a) istovetnost upravljavca in njegovega predstavnika, če obstaja;
(b) namene obdelave;
(c) vse nadaljnje informacije, npr:
– vrste zadevnih podatkov,
– prejemnike ali vrste prejemnikov,
– obstoj pravice do dostopa in pravice do popravka podatkov, ki se nanašajo nanj,
kolikor so take nadaljnje informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki obdelujejo, za zagotovitev poštene obdelave glede na posameznika, na katerega se osebni podatki nanašajo.
2. Odstavek 1 se ne uporablja tam, kjer se predvsem za obdelavo v statistične namene ali zaradi zgodovinskih ali znanstvenih raziskav zagotovitev takih informacij izkaže za nemogočo, ali bi vključevala nesorazmeren napor, ali pa zakon izrecno določa zbiranje [beleženje] oziroma posredovanje. V teh primerih države članice zagotovijo ustrezne zaščitne ukrepe.“
9 Člen 13 navedene direktive, naslovljen „Izjeme in omejitve“, določa:
„1. Države članice lahko sprejmejo predpise za omejitev obsega obveznosti in pravic, opredeljenih v členih 6(1), 10, 11(1), 12 in 21, kadar taka omejitev predstavlja potrebni ukrep za zaščito:
(a) državne varnosti;
(b) obrambe;
(c) javne varnosti;
(d) preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj ali kršitve etike za zakonsko urejene poklice;
(e) pomembnega gospodarskega ali finančnega interesa države članice ali Evropske unije, vključno z denarnimi, proračunskimi in davčnimi zadevami;
(f) spremljanja, pregledovanja ali urejanja, povezanega, četudi občasno, z izvajanjem javne oblasti v primerih iz (c), (d) in (e);
(g) posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.
2. Ob upoštevanju ustreznih zakonskih zaščitnih ukrepov, predvsem da se podatki ne uporabijo za sprejemanje ukrepov ali odločitev v zvezi z določenim posameznikom, lahko države članice takrat, ko očitno ni nevarnosti za kršitev zasebnosti posameznika, na katerega se nanašajo osebni podatki, zakonsko omejijo pravice, ki jih opredeljuje člen 12, kadar se podatki obdelujejo samo v znanstvenoraziskovalne namene ali se hranijo v obliki, ki omogoča identifikacijo posameznika, za obdobje, ki ne presega potrebnega obdobja, česar edini namen je izdelava statistike.“
Romunsko pravo
Zakon št. 95/2006
10 Iz predložitvene odločbe je razvidno, da člen 215 Legea nr. 95/2006 privind reforma în domeniul sănătății (zakon št. 95/2006 o reformi zdravstvenega sektorja) z dne 14. aprila 2006 (Monitorul Oficial al României, del I, št. 372, z dne 28. aprila 2006) določa:
„(1) Prispevek za zdravstveno zavarovanje morajo plačevati fizične ali pravne osebe, ki zaposlujejo osebe na podlagi individualne pogodbe o zaposlitvi ali posebnega statuta, določenega z zakonom, in morebitne fizične osebe.
(2) Pravne ali fizične osebe, za katere zavarovanci opravljajo dejavnost, morajo zavodom za zdravstveno zavarovanje, ki jih svobodno izberejo zavarovanci, mesečno predložiti izjave s poimenskimi navedbami zavarovancev, v katerih so navedene njihove obveznosti do sklada, in dokazilo o izvedenem plačilu prispevkov.
[…]“
11 Člen 315 tega zakona določa:
„Organi, javne in druge institucije na podlagi protokola zavodom za zdravstveno zavarovanje brezplačno predložijo podatke, potrebne za potrditev statusa zavarovane osebe.“
Sklep predsednika CNAS št. 617/2007
12 Člen 35 sklepa predsednika CNAS št. 617/2007 z dne 13. avgusta 2007 o odobritvi metodoloških pravil, ki določajo, katera dokazila je treba predložiti za pridobitev statusa zavarovane osebe ali zavarovane osebe brez plačevanja prispevkov, in ki določajo ukrepe prisilne izvršbe za vračilo dolgovanih zneskov, ki se plačujejo v enotni nacionalni sklad za zdravstveno zavarovanje (Monitorul Oficial al României, del I, št. 649, z dne 24. septembra 2007), določa:
„[…] za obveznosti plačevanja v sklad za fizične osebe, ki se zavarujejo na podlagi zavarovalne pogodbe in se razlikujejo od tistih, za katere davčno izterjavo izvaja agencija ANAF, pomenijo dolžniški instrument, glede na posamezen primer, izjava […], odločba o odmeri, ki jo izda pristojni organ zavoda CAS [sklad za zdravstveno zavarovanje], in sodne odločbe o terjatvah sklada. Odločbo o odmeri lahko izda pristojni organ zavoda CAS na podlagi informacij, ki mu jih posreduje agencija ANAF v skladu s protokolom.“
Protokol iz leta 2007
13 Člen 4 protokola št. P 5282/26.10.2007/95896/30.10.2007, sklenjenega med zavodom CNAS in ANAF (v nadaljevanju: protokol iz leta 2007), določa:
„Po začetku veljavnosti tega protokola [ANAF] prek ustreznih podrejenih struktur v elektronski obliki [CNAS] zagotovi prvotno zbirko podatkov v zvezi z:
a) dohodki oseb, ki spadajo v kategorije iz člena 1(1) tega protokola, pri čemer se ta zbirka podatkov posodablja vsake tri mesece in je na nosilcu, ki je primeren za avtomatsko obdelavo, v skladu s prilogo št. 1 k temu protokolu […]
[…]“
Spor o glavni stvari in vprašanja za predhodno odločanje
14 Tožeče stranke iz postopka v glavni stvari so posamezniki, katerih dohodki izhajajo iz opravljanja samostojnih dejavnosti. ANAF je posredovala CNAS podatke o njihovih prijavljenih dohodkih. CNAS je na podlagi teh podatkov zahteval, da morajo v nacionalni sklad za zdravstveno zavarovanje plačati zaostale prispevke.
15 Tožeče stranke iz postopka v glavni stvari so pri Curtea de Apel Cluj vložile tožbo, s katero izpodbijajo zakonitost prenosa davčnih podatkov v zvezi z njihovimi dohodki glede na Direktivo 95/46. Trdijo, da so bili ti osebni podatki zgolj na podlagi internega protokola preneseni in uporabljeni za drugačne namene od tistih, zaradi katerih so bili prvotno posredovani ANAF, in sicer ne da bi tožeče stranke v to izrecno privolile in ne da bi bile o tem predhodno obveščene.
16 Iz predložitvene odločbe je razvidno, da so javni organi na podlagi zakona št. 95/2006 pooblaščeni na zavode za zdravstveno zavarovanje prenesti osebne podatke, da ti lahko ugotovijo, ali imajo posamezniki, na katere se nanašajo podatki, status zavarovane osebe. To so podatki o identiteti posameznikov (priimek, ime, identifikacijska številka, prebivališče), ne zajemajo pa podatkov o prejetih dohodkih.
17 Predložitveno sodišče želi ugotoviti, ali bi bilo treba zaradi obdelave podatkov s strani CNAS posameznike, na katere se nanašajo podatki, predhodno obvestiti o identiteti upravljavca podatkov in o namenu prenosa teh podatkov. Predložitveno sodišče se mora izreči tudi o tem, ali je prenos podatkov na podlagi protokola iz leta 2007 v nasprotju z določbami Direktive 95/46, ki zahtevajo, da je vsaka omejitev pravic posameznikov, na katere se nanašajo osebni podatki, vnaprej določena z zakonom in so zanjo določeni zaščitni ukrepi, zlasti če se ti podatki uporabijo proti tem posameznikom.
18 V teh okoliščinah je Curtea de Apel Cluj (pritožbeno sodišče v Cluju) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:
„1. Ali je nacionalni davčni organ kot organ, ki zastopa pristojno ministrstvo države članice, finančna institucija v smislu člena 124 PDEU?
2. Ali je mogoče z aktom, izenačenim z upravnimi akti, ali protokolom, sklenjenim med nacionalnim davčnim organom in drugo državno institucijo, urediti prenos zbirke podatkov o dohodkih državljanov države članice, ki jih nacionalni davčni organ predloži drugi državni instituciji, ne da bi šlo za privilegiran dostop, kakor je opredeljen v členu 124 PDEU?
3. Ali prenos zbirke podatkov, da bi se državljanom države članice naložile obveznosti plačila iz naslova socialnega prispevka, instituciji države članice, za katero se izvede prenos, spada v pojem načela skrbnega in varnega poslovanja v smislu člena 124 PDEU?
4. Ali lahko osebne podatke obdeluje organ, ki mu ti podatki niso bili namenjeni, če tak postopek retroaktivno povzroči premoženjsko škodo?“
Vprašanja za predhodno odločanje
Dopustnost
Dopustnost prvega, drugega in tretjega vprašanja
19 V skladu z ustaljeno sodno prakso lahko Sodišče zavrne vsebinsko obravnavo vprašanja za predhodno odločanje, ki ga postavi nacionalno sodišče, če je očitno, da zahtevana razlaga prava Unije nima nikakršne zveze z dejanskim stanjem ali predmetom spora o glavni stvari, če gre za hipotetičen problem ali če Sodišče nima na voljo dejanskih in pravnih elementov, da bi lahko na zastavljena vprašanja dalo koristne odgovore (glej sodbo PreussenElektra, C‑379/98, EU:C:2001:160, točka 39 in navedena sodna praksa).
20 V vseh stališčih, predloženih Sodišču, je izraženo nagibanje k temu, da so prvo, drugo in tretje vprašanje za predhodno odločanje glede razlage člena 124 PDEU nedopustna, ker niso povezana s predmetom spora o glavni svari.
21 V zvezi s tem je treba spomniti, da člen 124 PDEU spada v naslov VIII tretjega dela PDEU, ki se nanaša na ekonomsko in monetarno politiko. Ta člen prepoveduje vse ukrepe, ki ne temeljijo na načelih skrbnega in varnega poslovanja in ki vzpostavljajo privilegiran dostop institucij, organov, uradov ali agencij Unije, institucionalnih enot centralne, regionalne ali lokalne ravni države ter drugih oseb javnega prava ali javnih podjetij držav članic do finančnih institucij.
22 Ta prepoved izhaja iz člena 104 A Pogodbe ES (postal člen 102 ES), ki je bil v Pogodbo ES vnesen z Maastrichtsko pogodbo. Je del določb PDEU o ekonomski politiki, ki želi države članice spodbuditi k spoštovanju zdrave proračunske politike tako, da denarno financiranje javnega dolga ali privilegiran dostop javnih institucij do finančnih trgov ne bi vodila do čezmernega zadolževanja ali prevelikega primanjkljaja držav članic (glej v tem smislu sodbo Gauweiler in drugi, C‑62/14, EU:C:2015:400, točka 100).
23 Torej je očitno, da zaprošena razlaga člena 124 PDEU ni v nikakršni zvezi z dejanskim stanjem ali predmetom spora iz postopka v glavni stvari, ki se nanaša na varstvo osebnih podatkov.
24 Zato na prvo, drugo in tretje vprašanje ni treba odgovoriti.
Dopustnost četrtega vprašanja
25 CNAS in romunska vlada trdita, da je četrto vprašanje nedopustno. Ta vlada navaja, da ni nobene povezave med škodo, ki jo zatrjujejo tožeče stranke iz postopka v glavni stvari, in razveljavitvijo upravnih aktov, ki jo predlagajo v okviru postopka v glavni stvari.
26 V zvezi s tem je treba spomniti, da v skladu z ustaljeno sodno prakso Sodišča za vprašanja v zvezi z razlago prava Unije, ki jih nacionalna sodišča zastavijo v pravnem in dejanskem okviru, ki so ga pristojna opredeliti sama in katerega pravilnosti Sodišče ne preizkuša, velja domneva upoštevnosti. Sodišče lahko odločanje o predlogu za sprejetje predhodne odločbe, ki ga vloži nacionalno sodišče, zavrne samo, če je očitno, da zahtevana razlaga prava Unije nima nobene zveze z dejanskim stanjem ali predmetom spora v postopku v glavni stvari, če je problem hipotetičen ali če Sodišče nima na voljo dejanskih in pravnih elementov, da bi lahko na zastavljena vprašanja dalo koristne odgovore (sodba Fish Legal in Shirley, C‑279/12, EU:C:2013:853, točka 30 in navedena sodna praksa).
27 Poudariti je treba, da se zadeva v glavni stvari nanaša na zakonitost obdelave davčnih podatkov, ki jih je zbrala ANAF. Predložitveno sodišče se sprašuje glede razlage določb Direktive 95/46 v okviru nadzora zakonitosti prenosa teh podatkov na CNAS in njihove naknadne obdelave. Četrto vprašanje za predhodno odločanje je torej upoštevno in dovolj natančno, da Sodišče lahko nanj poda koristen odgovor. Zato je treba predlog za sprejetje predhodne odločbe obravnavati kot dopusten v delu, ki se nanaša na četrto vprašanje.
Vsebinska presoja
28 Predložitveno sodišče s četrtim vprašanjem v bistvu sprašuje, ali je treba člene 10, 11 in 13 Direktive 95/46 razlagati tako, da nasprotujejo nacionalnim ukrepom, kot so ti iz postopka v glavni stvari, ki javnemu organu države članice dopuščajo, da osebne podatke prenese na drug javni organ in da se jih naknadno obdela, ne da bi bili posamezniki, na katere se ti podatki nanašajo, obveščeni o tem prenosu in tej obdelavi.
29 V zvezi s tem je treba na podlagi navedb predložitvenega sodišča ugotoviti, da so davčni podatki, ki jih je ANAF prenesla na CNAS, osebni podatki v smislu člena 2(a) navedene direktive, saj gre za „informacije, ki se nanašajo na določeno ali določljivo fizično osebo“ (sodba Satakunnan Markkinapörssi in Satamedia, C‑73/07, EU:C:2008:727, točka 35). Tako prenos podatkov s strani ANAF – ki je organ, zadolžen za upravljanje s podatkovno zbirko, v kateri se zbirajo ti podatki – kot njihova naknadna obdelava s strani CNAS zato pomenita „obdelavo osebnih podatkov“ v smislu člena 2(b) te direktive (glej v tem smislu zlasti sodbi Österreichischer Rundfunk in drugi, C‑465/00, C‑138/01 in C‑139/01, EU:C:2003:294, točka 64, in Huber, C‑524/06, EU:C:2008:724, točka 43).
30 V skladu z določbami poglavja II Direktive 95/46, naslovljenega „Splošna pravila o zakonitosti obdelave osebnih podatkov“, mora, upoštevajoč odstopanja, ki so dopustna na podlagi člena 13 te direktive, vsaka obdelava osebnih podatkov, prvič, biti v skladu z načeli v zvezi s kakovostjo podatkov, ki so določena v členu 6 navedene direktive, in drugič, ustrezati enemu od meril za zakonitost obdelave podatkov, ki so navedena v členu 7 te direktive (sodbe Österreichischer Rundfunk in drugi, C‑465/00, C‑138/01 in C‑139/01, EU:C:2003:294, točka 65; Huber, C‑524/06, EU:C:2008:724, točka 48, in ASNEF in FECEMD, C‑468/10 in C‑469/10, EU:C:2011:777, točka 26).
31 Poleg tega za upravljavca podatkov ali njegovega predstavnika velja obveznost obvestitve, podrobne določbe glede te obveznosti, določene v členih 10 in 11 Direktive 95/46, pa se razlikujejo glede na to, ali so bili ti podatki zbrani pri posamezniku, na katerega se osebni podatki nanašajo, in sicer ob upoštevanju odstopanj iz člena 13 te direktive.
32 Prvič, glede člena 10 navedene direktive je treba poudariti, da ta določa, da mora upravljavec posamezniku, na katerega se osebni podatki nanašajo in od katerega se podatki v zvezi z njim zbirajo, zagotoviti informacije, navedene v tem členu v točkah (a) in (c), razen kadar jih ta posameznik že ima. Te informacije se nanašajo na identiteto upravljavca s temi podatki, na namene te obdelave ter nadaljnje informacije, potrebne za zagotovitev poštene obdelave podatkov. Med nadaljnjimi informacijami, ki so potrebne za zagotovitev poštene obdelave podatkov, člen 10(c) te direktive izrecno omenja „prejemnike ali vrste prejemnikov podatkov“ ter „obstoj pravice do dostopa in pravice do popravka podatkov, ki se nanašajo [na navedenega posameznika]“.
33 Kot je generalni pravobranilec poudaril v točki 74 sklepnih predlogov, je ta zahteva po obveščanju posameznikov, na katere se obdelava osebnih podatkov nanaša, še toliko pomembnejša, ker je ta zahteva pogoj za to, da lahko ti posamezniki izvajajo pravico dostopa do obdelanih podatkov in popravka teh podatkov, določeno v členu 12 Direktive 95/46, in pravico ugovora zoper obdelavo navedenih podatkov, kot je določena s členom 14 te direktive.
34 Iz tega sledi, da zahteva po pošteni obdelavi osebnih podatkov, določena v členu 6 Direktive 95/46, zavezuje javni organ, da posameznike, na katere se nanašajo podatki, obvesti o prenosu teh podatkov na drug javni organ z namenom, da jih slednji obdela kot prejemnik navedenih podatkov.
35 Iz pojasnil predložitvenega sodišča je razvidno, da ANAF tožečih strank iz postopka v glavni stvari ni obvestila o prenosu osebnih podatkov, ki se nanašajo nanje, na CNAS.
36 Romunska vlada pa navaja, da mora ANAF, med drugim na podlagi člena 315 zakona št. 95/2006, teritorialnim zavodom za zdravstveno zavarovanje poslati podatke, ki jih CNAS potrebuje za ugotovitev, ali imajo posamezniki, katerih dohodki izhajajo iz samostojnih dejavnosti, status zavarovane osebe.
37 Nedvomno člen 315 zakona št. 95/2006 izrecno določa, da „organi, javne in druge institucije na podlagi protokola zavodom za zdravstveno zavarovanje brezplačno predložijo podatke, potrebne za potrditev statusa zavarovane osebe“. Vendar je iz pojasnil predložitvenega sodišče razvidno, da podatki, potrebni za ugotovitev statusa zavarovane osebe, v smislu navedene določbe ne zajemajo podatkov o dohodkih, saj zakon status zavarovanih oseb priznava tudi osebam brez obdavčljivih dohodkov.
38 V teh okoliščinah člen 315 zakona št. 95/2006 ne more šteti za predhodno obvestitev – v smislu člena 10 Direktive 95/46 – na podlagi katere je upravljavec oproščen obveznosti obvestiti posameznike, pri katerih zbira podatke o njihovih dohodkih, o prejemnikih teh podatkov. Zato ni mogoče šteti, da je bil zadevni prenos podatkov opravljen v skladu z določbami člena 10 Direktive 95/46.
39 Proučiti je treba, ali je ta neobvestitev posameznikov, na katere se nanašajo podatki, lahko zajeta s členom 13 navedene direktive. Iz člena 13(1)(e) in (f) je namreč razvidno, da države članice lahko omejijo obseg obveznosti in pravic, opredeljenih v členu 10 te direktive, kadar taka omejitev pomeni potrebni ukrep za zaščito „pomembnega gospodarskega ali finančnega interesa države članice […], vključno z denarnimi, proračunskimi in davčnimi zadevami“ ter „spremljanja, pregledovanja ali urejanja, povezanega, četudi občasno, z izvajanjem javne oblasti v primerih iz (c), (d) in (e)“. Vendar navedeni člen 13 izrecno zahteva, da so take omejitve sprejete s predpisi.
40 Poleg okoliščine, ki jo navaja predložitveno sodišče, da podatki o dohodkih ne spadajo med osebne podatke, potrebne za ugotovitev statusa zavarovane osebe, je treba poudariti, da člen 315 zakona št. 95/2006 zgolj načeloma predvideva prenos zadnjenavedenih osebnih podatkov, ki jih imajo organi, javne in druge institucije. Iz predložitvene odločbe je tudi razvidno, da opredelitev prenosljivih podatkov ter podrobnosti glede izvedbe prenosa teh podatkov niso bile določene s predpisom, ampak s protokolom iz leta 2007, ki je bil sklenjen med ANAF in CNAS in ni bil uradno objavljen.
41 V teh okoliščinah ni mogoče šteti, da so izpolnjeni pogoji iz člena 13 Direktive 95/46, da državi članici ne bi bilo treba upoštevati pravic in obveznosti iz člena 10 te direktive.
42 Drugič, glede člena 11 navedene direktive je treba poudariti, da ta v odstavku 1 določa, da mora upravljavec podatkov, ki niso bili pridobljeni od posameznika, na katerega se osebni podatki nanašajo, temu posamezniku zagotoviti informacije, navedene v točkah od (a) do (c). Te informacije se nanašajo na istovetnost upravljavca, namene obdelave ter vse nadaljnje informacije, potrebne za zagotovitev poštene obdelave podatkov. Med temi nadaljnjimi informacijami člen 11(1)(c) te direktive izrecno navaja „vrste zadevnih podatkov“ ter „obstoj pravice do dostopa in pravice do popravka podatkov, ki se nanašajo nanj“.
43 Iz tega je razvidno, da se v skladu s členom 11(1)(b) in (c) Direktive 95/46 v okoliščinah zadeve v glavni stvari za obdelavo, ki jo izvaja CNAS, podatkov, ki jih je nanj prenesla ANAF, zahteva, da se posameznike, na katere se nanašajo ti podatki, obvesti o namenih te obdelave in o vrstah zadevnih podatkov.
44 Iz pojasnil predložitvenega sodišča pa je razvidno, da CNAS tožečim strankam iz postopka v glavni stvari ni zagotovil informacij, navedenih v členu 11(1), od (a) do (c), navedene direktive.
45 Poudariti je še treba, da se v skladu s členom 11(2) Direktive 95/46 določbe iz člena 11(1) te direktive ne uporabljajo tam, kjer zakon določa beleženje oziroma posredovanje podatkov, pri čemer morajo države članice zagotoviti ustrezne zaščitne ukrepe. Iz razlogov, navedenih v točkah 40 in 41 te sodbe, določbe zakona št. 95/2006, na katere se sklicuje romunska vlada, in protokol iz leta 2007 ne spadajo ne v obseg izjem iz člena 11(2) ne v obseg izjem iz člena 13 navedene direktive.
46 Glede na vse navedene ugotovitve je treba na postavljeno vprašanje odgovoriti, da je treba člene 10, 11 in 13 Direktive 95/46 razlagati tako, da nasprotujejo nacionalnim ukrepom, kot so ti iz postopka v glavni stvari, ki javnemu organu države članice dopuščajo, da osebne podatke prenese na drug javni organ in da se ti naknadno obdelajo, ne da bi bili posamezniki, na katere se ti podatki nanašajo, obveščeni o tem prenosu in tej obdelavi.
Stroški
47 Ker je ta postopek za stranke v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.
Iz teh razlogov je Sodišče (tretji senat) razsodilo:
Člene 10, 11 in 13 Direktive 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov je treba razlagati tako, da nasprotujejo nacionalnim ukrepom, kot so ti iz postopka v glavni stvari, ki javnemu organu države članice dopuščajo, da osebne podatke prenese na drug javni organ in da se ti naknadno obdelajo, ne da bi bili posamezniki, na katere se ti podatki nanašajo, obveščeni o tem prenosu in tej obdelavi.
Podpisi