Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62017CC0496

    Stanovisko generálního advokáta M. Campos Sánchez-Bordony přednesené dne 17. října 2018.
    Deutsche Post AG v. Hauptzollamt Köln.
    Žádost o rozhodnutí o předběžné otázce podaná Finanzgericht Düsseldorf.
    Řízení o předběžné otázce – Celní unie – Celní kodex Unie – Článek 39 – Status oprávněného hospodářského subjektu – Prováděcí nařízení (EU) 2015/2447 – Článek 24 odst. 1 druhý pododstavec – Žadatel, který není fyzická osoba – Dotazník – Shromažďování osobních údajů – Směrnice 95/46/ES – Články 6 a 7 – Nařízení (EU) 2016/679 – Články 5 a 6 – Zpracování osobních údajů.
    Věc C-496/17.

    ECLI identifier: ECLI:EU:C:2018:838

    STANOVISKO GENERÁLNÍHO ADVOKÁTA

    MANUELA CAMPOS SÁNCHEZ-BORDONY

    přednesené dne 17. října 2018 ( 1 )

    Věc C‑496/17

    Deutsche Post AG

    proti

    Hauptzollamt Köln

    [žádost o rozhodnutí o předběžné otázce podaná Finanzgericht Düsseldorf (finanční soud v Düsseldorfu, Německo)]

    „Předběžná otázka – Práva a povinnosti osob v souvislosti s celními předpisy – Status oprávněného hospodářského subjektu – Dotazník – Ochrana osobních údajů – Daňové identifikační číslo – Finanční úřad příslušný k vyměření daně z příjmu – Zpracování údajů nezbytné pro splnění právní povinnosti – Zásada účelového omezení zpracování osobních údajů“

    1. 

    Německá celní správa požaduje od podniků, které se ucházejí o získání nebo udržení statusu oprávněného hospodářského subjektu (dále jen „AEO“), s nímž požívají výhodnějšího zacházení než ostatní dovozci a vývozci, určité osobní údaje vedoucích pracovníků a zaměstnanců.

    2. 

    Předběžná otázka se týká omezení, která unijní právo klade na tyto požadavky, ať už výhradně v celní oblasti, nebo v oblasti ochrany osobních údajů.

    I. Právní rámec

    A.   Unijní právo

    1. Celní předpisy

    a) Celní kodex

    3.

    Článek 38 nařízení č. 952/2013 ( 2 ) stanoví:

    „1.   Hospodářský subjekt, který je usazen na celním území Unie a který splňuje kritéria stanovená v článku 39, může požádat o status oprávněného hospodářského subjektu.

    […]

    2.   Status oprávněného hospodářského subjektu spočívá v těchto typech povolení:

    a)

    povolení oprávněného hospodářského subjektu pro celní zjednodušení, které umožňuje držiteli využívat některých zjednodušení v souladu s celními předpisy; nebo

    b)

    povolení oprávněného hospodářského subjektu pro bezpečnost a zabezpečení, které opravňuje držitele ke zjednodušením týkajícím se bezpečnosti a zabezpečení.

    […]“

    4.

    Článek 39 písm. a) stanoví:

    „Kritérii pro udělení statusu oprávněného hospodářského subjektu jsou:

    a)

    žadatel se nedopustil žádného vážného nebo opakovaného porušení celních nebo daňových předpisů a nemá žádný záznam, pokud jde o závažné trestné činy související s jeho hospodářskou činností;

    […]“

    b) Prováděcí nařízení (EU) 2015/2447 ( 3 )

    5.

    V souladu s čl. 24 odst. 1:

    „[…]

    Pokud žadatel není fyzická osoba, považuje se kritérium stanovené v čl. 39 písm. a) kodexu za splněné, pokud se za poslední tři roky žádná z níže vyjmenovaných osob nedopustila závažného či opakovaného porušení celních a daňových předpisů, ani nemá žádný záznam, pokud jde o závažné trestné činy související s její hospodářskou činností:

    a)

    žadatel;

    b)

    osoba, která je pověřena vedením žadatele nebo která vykonává kontrolu nad řízením společnosti;

    c)

    zaměstnanec odpovědný za celní záležitosti žadatele.“

    c) Nařízení v přenesené pravomoci (EU) 2016/341 ( 4 )

    6.

    Podle článku 1:

    „1.   Tímto nařízením se stanoví přechodná opatření ke způsobům výměny a uchovávání údajů uvedeným v článku 278 kodexu, dokud nebudou v provozu elektronické systémy, které jsou pro uplatňování kodexu nezbytné.

    2.   Požadavky na údaje, formáty a kódy, které se mají používat po přechodná období stanovená v tomto nařízení, v nařízení v přenesené pravomoci (EU) 2015/2446, kterým se doplňuje nařízení (EU) č. 952/2013, a v prováděcím nařízení (EU) 2015/2447, kterým se stanoví prováděcí pravidla k některým ustanovením nařízení (EU) č. 952/2013, jsou stanoveny v přílohách tohoto nařízení.“

    7.

    Článek 5 stanoví:

    „1.   Do data modernizace systému AEO uvedeného v příloze prováděcího rozhodnutí 2014/255/EU mohou celní orgány povolit, aby v souvislosti se žádostmi a rozhodnutími týkajícími se AEO nebo jakýmikoli následnými událostmi, které mohou mít vliv na původní žádost či rozhodnutí, byly použity jiné způsoby než metody elektronického zpracování dat.

    2.   V případech uvedených v odstavci 1 platí, že:

    a)

    žádost o status AEO se předkládá ve formátu podle tiskopisu uvedeného v příloze 6 a

    b)

    povolení udělující status AEO je vydáváno ve formátu podle tiskopisu uvedeného v příloze 7.“

    8.

    Bod 19 vysvětlivek přílohy 6 upravuje obsah formuláře žádosti o status AEO:

    „Název, datum a podpis žadatele:

    Podpis: osoba podepisující žádost uvede svou funkci. Osobou podepisující žádost musí být vždy zástupce žadatele pověřený zastupováním v plné šíři.

    Název: Název a razítko žadatele.

    […]

    8.

    Jména hlavních řídících pracovníků (výkonných ředitelů, vedoucích oddělení, hlavních účetních, vedoucího oddělení cel apod.). Popis používaných postupů v případě dočasné nebo trvalé nepřítomnosti příslušného pracovníka.

    9.

    Jména a funkce zaměstnanců organizace žadatele, kteří jsou odborníky na celní řízení. Hodnocení úrovně znalostí těchto osob ve vztahu k používání informačních technologií v celních a obchodních procesech a v obecných obchodních záležitostech.

    […]“

    2. Právní předpisy o ochraně osobních údajů: nařízení (EU) 2016/679 ( 5 )

    9.

    Podle článku 4:

    „Pro účely tohoto nařízení se rozumí:

    1)

    ‚osobními údaji‘ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen ‚subjekt údajů‘); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

    2)

    ‚zpracováním‘ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

    […]“

    10.

    Článek 5 stanoví:

    „Osobní údaje musí být:

    a)

    ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem (‚zákonnost, korektnost a transparentnost‘);

    b)

    shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 nepovažuje za neslučitelné s původními účely (‚účelové omezení‘);

    c)

    přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány (‚minimalizace údajů‘);

    […]“

    11.

    Článek 6 stanoví:

    „1.   Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

    a)

    subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

    […]

    c)

    zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;

    […]

    e)

    zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;

    […]

    2.   Členské státy mohou zachovat nebo zavést konkrétnější ustanovení, aby přizpůsobily používání pravidel tohoto nařízení ohledně zpracování ke splnění odst. 1 písm. c) a e) tím, že přesněji určí konkrétní požadavky na zpracování a jiná opatření k zajištění zákonného a spravedlivého zpracování, a to i u jiných zvláštních situací, při nichž dochází ke zpracování, jak stanoví kapitola IX.

    3.   Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:

    a)

    právem Unie nebo

    b)

    právem členského státu, které se na správce vztahuje.

    Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. […] Právo Unie nebo členského státu musí splňovat cíl veřejného zájmu a musí být přiměřené sledovanému legitimnímu cíli.

    4.   Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 23 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:

    a)

    jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;

    b)

    okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;

    c)

    povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 9 nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle článku 10;

    d)

    možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;

    e)

    existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.“

    12.

    Podle čl. 23 odst. 1 písm. e):

    „Právo Unie nebo členského státu, které se na správce nebo zpracovatele vztahuje, může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v článcích 12 až 22 a v článku 34, jakož i v článku 5, v rozsahu, v jakém ustanovení tohoto článku odpovídají právům a povinnostem stanoveným v článcích 12 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:

    […]

    e)

    jiné důležité cíle obecného veřejného zájmu Unie nebo členského státu, zejména důležitý hospodářský nebo finanční zájem Unie nebo členského státu, včetně peněžních, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení.“

    B.   Vnitrostátní právní předpisy

    1. Abgabenordnung (daňový řád)

    13.

    Ve znění použitelném na skutkové okolnosti § 139a odst. 1 stanoví:

    „Bundeszentralamt für Steuern [(Spolkový ústřední daňový úřad)] přidělí každé osobě povinné k dani za účelem jednoznačné identifikace v daňovém řízení jednotný a trvalý údaj (identifikační údaj); osoba povinná k dani nebo třetí strana pověřená předáním údajů této osoby povinné k dani finančním úřadům je povinna tento identifikační údaj uvádět ve svých žádostech, přiznáních či sděleních. Tento identifikační údaj je tvořen řadou čísel, která nesmí být sestavena ani odvozena z jiných údajů o osobě povinné k dani; poslední v této řadě je kontrolní číslo […]“

    14.

    Podle § 139b:

    „(1)   Fyzické osobě nelze přidělit více než jedno identifikační číslo […]

    (2)   Finanční úřady smějí vyžadovat a používat identifikační číslo jen tehdy, když je to nezbytné k plnění jejich zákonných povinností nebo když shromažďování nebo používání identifikačního čísla výslovně povoluje nebo nařizuje určitý právní předpis. Jiné veřejné nebo neveřejné subjekty smějí:

    1.

    vyžadovat nebo používat identifikační číslo jen tehdy, když je to nezbytné k předávání údajů mezi těmito subjekty a finančními úřady nebo když shromažďování nebo používání identifikačního čísla výslovně povoluje nebo nařizuje určitý právní předpis;

    […]

    3.

    legálně získané identifikační číslo osoby povinné k dani používat k plnění veškerých informačních povinností, které mají vůči finančním úřadům, pokud se taková informační povinnost týká téže osoby povinné k dani a shromažďování a používání by bylo v souladu s bodem 1 přípustné […]

    (3)   Spolkový ústřední daňový úřad uchovává o fyzických osobách tyto údaje:

    1.

    identifikační číslo,

    […]

    3.

    příjmení,

    4.

    dřívější příjmení,

    5.

    jména,

    6.

    doktorský titul,

    […]

    8.

    datum a místo narození,

    9.

    pohlaví,

    10.

    současná nebo naposledy známá adresa,

    11.

    příslušné finanční úřady,

    12.

    informační omezení podle Bundesmeldegesetz [(spolkový zákon o poskytování informací)],

    13.

    datum úmrtí,

    14.

    datum přihlášení a odhlášení.

    (4)   Údaje uvedené v odstavci 3 se uchovávají za účelem toho:

    1.

    aby bylo zjištěno, že každá osoba má pouze jedno identifikační číslo a že totéž identifikační číslo nebylo vydáno vícekrát,

    2.

    aby bylo možné určit identifikační číslo osoby povinné k dani,

    3.

    aby bylo možné zjistit, které finanční úřady jsou pro danou osobu povinnou k dani příslušné,

    4.

    aby bylo možné předat příslušným orgánům údaje, které musejí být shromážděny na základě určitého zákona nebo podle nadnárodních či mezinárodních předpisů,

    5.

    aby bylo finančním úřadům umožněno plnění úkolů, které jim ukládají právní předpisy.“

    2. Einkommensteuergesetz (zákon o dani z příjmu)

    15.

    Ustanovení § 38 odst. 1 a 3 ve znění použitelném v rozhodné době z hlediska skutkového stavu stanoví:

    „(1)   U příjmů ze závislé činnosti se daň z příjmu vybere srážkou ze mzdy (daň ze mzdy), pokud zaměstnavatel mzdu vyplatí […]

    […]

    (3)   Daň ze mzdy strhává zaměstnavatel zaměstnanci ze mzdy při každé výplatě […]“

    16.

    Ustanovení § 39 odst. 1 a 4 stanoví:

    „(1)   Za účelem provedení srážky daně ze mzdy se na žádost zaměstnance generují údaje o srážkách daně ze mzdy […]

    […]

    (4)   Údaje o srážkách daně ze mzdy jsou:

    1.

    daňová třída,

    2.

    počet nezdanitelných částí základů daně za opatrované dítě v I. až IV. daňové třídě,

    […]“

    17.

    Podle § 39e:

    „(1)   Spolkový ústřední daňový úřad generuje pro každého zaměstnance, a to zásadně automatizovaným postupem, daňovou třídu a v I. až IV. daňové třídě počet nezdanitelných částí základů daně za opatrované dítě […] jako údaje o srážkách daně ze mzdy (§ 39 odst. 4 první věta body 1 a 2) […] Pokud údaje o srážkách daně ze mzdy generuje finanční úřad podle § 39, sdělí je Spolkovému ústřednímu daňovému úřadu, aby je tento mohl poskytnout za účelem jejich automatizovaného vyhledávání ze strany zaměstnavatele […]

    (2)   Spolkový ústřední daňový úřad uchovává údaje o srážkách daně ze mzdy za účelem umožnění automatizovaného vyhledávání údajů o srážkách daně ze mzdy zaměstnavatelům, přičemž u nich uvádí identifikační číslo a pro každou osobu povinnou k dani pak rovněž následující údaje uvedené v § 139b odst. 3 daňového řádu:

    1.

    právní příslušnost k náboženskému sdružení oprávněnému vybírat daň včetně data přihlášení a odhlášení,

    2.

    rodinný stav včetně dne založení rodinného stavu nebo jeho zrušení; v případě manželů též identifikační číslo manžela či manželky,

    3.

    děti s jejich identifikačními čísly,

    […]

    (4)   Zaměstnanec je povinen každému svému zaměstnavateli při nástupu do zaměstnání sdělit za účelem vyhledávání údajů o srážkách daně ze mzdy:

    1.

    identifikační číslo a datum narození,

    […]

    Zaměstnavatel si musí na začátku zaměstnaneckého poměru vyhledat elektronické údaje o srážkách daně ze mzdy pro dotyčného zaměstnance u Spolkového ústředního daňového úřadu prostřednictvím dálkového přenosu dat a uvádět je pak na mzdovém účtu zaměstnance. […]

    […]“

    II. Spor v původním řízení a předběžná otázka

    18.

    Deutsche Post byla držitelkou celních povolení udělených podle nařízení (EHS) č. 2913/92 ( 6 ) a nařízení (EHS) č. 2454/93 ( 7 ), zejména povolení schváleného příjemce a schváleného odesílatele. Využívá také souborné jistoty ke zjednodušení v rámci tranzitního režimu Unie nebo společného tranzitního režimu a od té doby, co začal být plně použitelný nový celní kodex, povolení k provozování dočasného skladu.

    19.

    Hauptzollamt (hlavní celní úřad) požádal Deutsche Post dopisem ze dne 19. dubna 2017, aby do 19. května 2017 odpověděla na dotazník se sebehodnocením, část I (Informace o společnosti), který se nachází na Internetu. Tento formulář obsahoval mimo jiné následující otázky:

    „1.1.2 V rozsahu odpovídajícím formě Vaší společnosti uveďte,

    […]

    c)

    jméno, příjmení, datum narození, daňové identifikační číslo a příslušný finanční úřad členů poradních sborů a dozorčích rad.

    1.1.6 Uveďte nejdůležitější vedoucí pracovníky Vaší společnosti (výkonní ředitelé, vedoucí oddělení, vedoucí účtárny, vedoucí celního oddělení apod.) a popište příslušná pravidla pro zastupování. Uveďte přinejmenším jméno, příjmení, datum narození, daňové identifikační číslo a příslušný finanční úřad.

    […]

    1.3.1 Uveďte jméno, příjmení, datum narození, daňové identifikační číslo, příslušný finanční úřad osoby a vnitropodnikovou funkci osob, které ve Vaší organizaci odpovídají za celní záležitosti, nebo osob, které vyřizují celní záležitosti (např. celní pracovníci celního oddělení, vedoucí celního oddělení).“

    20.

    Hlavní celní úřad upozornil Deutsche Post, že v případě neposkytnutí požadované součinnosti nelze ověřit, zda splnila podmínky pro udělení povolení podle celního kodexu Unie. Také ji upozornil, že zruší trvalá povolení, pokud nebude spolupracovat nebo tyto podmínky již nesplňuje.

    21.

    Deutsche Post podala k předkládajícímu soudu žalobu, v níž nesouhlasí s tím, že má povinnost sdělit hlavnímu celnímu úřadu daňová identifikační čísla (dále jen „DIČ“) osob vyjmenovaných v dotazníku se sebehodnocením, stejně jako údaje o jejich příslušných finančních úřadech. Žádala soud, aby určil, že není povinna na tuto část formuláře odpovědět.

    22.

    Deutsche Post na podporu své žaloby uvedla, že:

    počet osob v její společnosti, které jsou těmito otázkami dotčeny, je velmi vysoký, a z důvodu ochrany údajů je nemůže zodpovědět, neboť někteří pracovníci s předáním jejich údajů nesouhlasí. Kromě toho, osoby dotčené body 1.1.2 písm. c); 1.1.6 a 1.3.1 nepatří mezi ty, které zmiňuje čl. 24 odst. 1 druhý pododstavec písm. b) a c) prováděcího nařízení k celnímu kodexu;

    situace jejích pracovníků z hlediska daně z příjmu je pro posouzení otázky, zda v rámci její hospodářské činnosti došlo k závažným či opakovaným porušením celních a daňových předpisů nebo závažným trestným činům, nepodstatné. Sdělení jejich DIČ není pro posouzení jejich spolehlivosti v celní oblasti nezbytné ani vhodné.

    23.

    Hlavní celní úřad odmítl argumenty Deutsche Post s odkazem na to, že zpřístupnění daňových identifikačních čísel je nezbytné pro jednoznačnou identifikaci dotčených osob při dotazech na finanční úřady. K výměně informací dochází teprve tehdy, když posledně zmíněné úřady zjistí závažné či opakované porušení daňových předpisů. Ukončená trestní nebo sankční řízení se přitom nezohledňují. Opakované porušování daňových předpisů se zohledňuje v případě, že je jeho frekvence nepřiměřená charakteru a rozsahu podnikatelské činnosti žadatele.

    24.

    Podle hlavního celního úřadu okruh osob, kterých se týkají uvedené otázky, odpovídá ustanovení čl. 24 odst. 1 druhého pododstavce prováděcího nařízení k celnímu kodexu a pokynům Komise k oprávněným hospodářským subjektům. V každém případě tento úřad v závislosti na riziku rozhodne o tom, kterých konkrétních osob se výměna informací s finančními úřady bude týkat. Co se týče osob, které vyřizují celní záležitosti, u velkých celních oddělení se žádost o informace omezuje na vedoucí a odpovědné pracovníky.

    25.

    Finanzgericht Düsseldorf (finanční soud v Düsseldorfu, Německo) má pochybnosti ohledně toho, zda konzultace požadovaných osobních údajů (DIČ a finančních úřadů příslušných k výběru daně z příjmu v souvislosti s osobami zmíněnými v bodech 1.1.2 písm. c); 1.1.6 a 1.3.1 formuláře) je zákonným zpracováním těchto údajů podle nařízení 2016/679 a čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen „Listina“).

    26.

    Pochybuje také o nutnosti přístupu k osobním údajům pracovníků a členů dozorčí rady žalobkyně, shromážděným pro účely výběru daně z příjmu, neboť nemají přímou vazbu k posouzení jejich spolehlivosti v celní oblasti ani k hospodářské činnosti Deutsche Post.

    27.

    Za těchto okolností se předkládající soud rozhodl předložit Soudnímu dvoru následující předběžnou otázku:

    „Musí být ustanovení čl. 24 odst. 1 druhého pododstavce prováděcího nařízení Komise (EU) 2015/2447 ze dne 24. listopadu 2015, kterým se stanoví prováděcí pravidla k některým ustanovením nařízení Evropského parlamentu a Rady (EU) č. 952/2013, kterým se stanoví celní kodex Unie, vykládáno v tom smyslu, že celnímu orgánu umožňuje požadovat od žadatele sdělení daňových identifikačních čísel, která pro účely výběru daně z příjmu přidělil Bundeszentralamt für Steuern (Spolkový ústřední daňový úřad, Německo), a finančních úřadů příslušných k vyměření daně z příjmu členů dozorčí rady žadatele, jakož i jeho výkonných ředitelů, vedoucích oddělení, vedoucích účtárny, vedoucích celního oddělení a osob odpovědných za celní záležitosti a osob celní záležitosti vyřizujících?“

    28.

    Písemná vyjádření předložily Deutsche Post, hlavní celní úřad, vlády Španělska, Maďarska a Itálie, jakož i Komise. Jednání, které se uskutečnilo dne 5. července 2018, se zúčastnily Deutsche Post, hlavní celní úřad a Komise.

    III. Odpověď na předběžnou otázku

    29.

    Před analýzou podstaty sporu je nutno vyjasnit, které unijní normy upravující ochranu osobních údajů jsou použitelné na tento případ.

    30.

    Žádost o sdělení údajů byla Deutsche Post předložena dne 19. dubna 2017, tedy předtím, než vstoupilo v platnost (25. května 2018) nařízení 2016/679. V té době platila směrnice 95/46/ES ( 8 ), přestože předkládající soud, stejně jako účastníci řízení o předběžné otázce, s výjimkou Komise, mají za to, že se použije zmíněné nařízení.

    31.

    Vysvětlení této zjevné anomálie lze nalézt v povaze původního vnitrostátního řízení. Jak bylo vysvětleno na jednání, Deutsche Post nepodala žalobu na neplatnost (Anfechtungsklage), kterou by měl soud posuzovat podle právních předpisů platných v době rozhodné z hlediska skutkového stavu, nýbrž žalobu určovací (Feststellungsklage) ( 9 ), o které musí být rozhodnuto podle právního stavu platného v době jednání a vynesení rozsudku.

    32.

    Předkládajícímu soudu přísluší vyložit jeho vnitrostátní procesní právo, k němuž se Soudní dvůr nevyjadřuje. Proto pokud se podle vnitrostátních předpisů domnívá, že pro původní řízení je třeba ratione temporis objasnit soulad s nařízením 2016/679 a ne se směrnicí č. 95/46, pak mu Soudní dvůr musí poskytnout výklad nařízení, nikoli směrnice ( 10 ).

    33.

    Cílem předběžné otázky je výklad, nikoliv případné určení neplatnosti čl. 24 odst. 1 prováděcího nařízení k celnímu kodexu, a za tím účelem je nutno zohlednit nařízení 2016/679 a články 7 a 8 Listiny ( 11 ). Opakuji, že předkládající soud se netáže na možnou neplatnost tohoto článku, který pouze stanoví podmínky pro udělení statusu AEO a sám o sobě nevyžaduje předání ani zpracování osobních údajů třetí stranou.

    A.   K výkladu článku 24 prováděcího nařízení k celnímu kodexu

    34.

    Status AEO přiznává hospodářským subjektům výhody ( 12 ), neboť v kontextu jejich celních operací jsou považovány za důvěryhodné na celém území Unie (čl. 5 odst. 5 celního kodexu). Mezi tyto výhody patří podle čl. 38 odst. 6 téhož kodexu to, že podléhají příznivějšímu zacházení, než ostatní hospodářské subjekty, pokud jde o celní kontroly. V závislosti na typu uděleného povolení je AEO podroben menšímu počtu fyzických kontrol a kontrol dokumentů.

    35.

    Vzhledem k tomu, že u AEO musí být prokázána spolehlivost a dobré jméno, je udělení tohoto statusu podmíněno splněním podmínek stanovených článkem 39 celního kodexu ( 13 ), jimiž jsou:

    splnění celních a daňových předpisů a zejména neexistence odsouzení za závažné trestné činy v souvislosti s hospodářskou činností žadatele;

    žadatel prokáže vysokou úroveň kontroly svých operací a toku zboží prostřednictvím systému správy obchodních a případně dopravních záznamů, umožňující přiměřenou kontrolu ze strany celních úřadů;

    prokázaná finanční solventnost; a

    v závislosti na typu statusu AEO odpovídající úroveň způsobilosti nebo odborných kvalifikací přímo souvisejících s vykonávanou činností (AEOC), nebo odpovídající normy v oblasti bezpečnosti (AEOS).

    36.

    Tyto podmínky se vyžadují ode všech hospodářských subjektů, které žádají o status AEO, ať už jde o právnické nebo fyzické osoby. V této věci, kdy Deutsche Post je právnická osoba, se požadavek aby se nedopustila závažného nebo opakovaného porušení celních a daňových předpisů, a aby nebyla odsouzena za závažné trestné činy v souvislosti s její hospodářskou činností, vztahuje i na některé z jejích pracovníků (takové, kteří mají důležitější funkce, které jsou dále zmíněny) ( 14 ). Tak to formuluje článek 24 prováděcího nařízení k celnímu kodexu, ustanovení přijaté k provedení čl. 39 písm. a) celního kodexu. ( 15 )

    37.

    Podle článku 24 prováděcího nařízení k celnímu kodexu musí podmínku, že jim nelze vytknout výše uvedené, splňovat „osoba, která je pověřena vedením žadatele nebo která vykonává kontrolu nad řízením společnosti“ a „zaměstnanec odpovědný za celní záležitosti žadatele“ ( 16 ).

    38.

    Článek 24 prováděcího nařízení k celnímu kodexu určuje hranice, které celní orgány nesmějí ve svých žádostech o informace ve vztahu k okruhu osob, které lze prověřit, překročit. Také jej musí mít na zřeteli v souvislosti s účelem, který má sledovat shromažďování údajů těchto osob.

    1. Fyzické osoby, které lze prověřit před udělením statusu AEO právnické osobě

    39.

    Logika článku 24 prováděcího nařízení k celnímu kodexu je taková, že pro udělení ( 17 ) statusu AEO musí celní orgány disponovat některými údaji odpovědných osob podniků, stejně jako fyzických osob, které řídí jejich celní záležitosti ( 18 ).

    40.

    Znění článku 24 prováděcího nařízení k celnímu kodexu je restriktivní: zmiňuje výhradně osobu, která je pověřena vedením (hospodářského subjektu, který žádá o status AEO) nebo která vykonává kontrolu nad řízením tohoto subjektu a zaměstnance odpovědného za celní záležitosti. Ustanovení používá jednotné číslo, takže je namístě striktní výklad, což podporuje i skutečnost, že informace, které se sdělují, jsou osobní údaje. Norma sekundárního práva, která je hierarchicky podřízena článku 24 prováděcího nařízení k celnímu kodexu, jako je příloha 6 nařízení v přenesené pravomoci 2016/341, nemůže rozšířit rozsah jeho osobní působnosti.

    41.

    Celní orgány tedy mohou shromažďovat pouze osobní údaje, které se týkají:

    odpovědného pracovníka podniku, který je žadatelem o status AEO, jímž bude obvykle osoba s řídícími pravomocemi ( 19 );

    osoby odpovědné za celní záležitosti daného podniku. Zde platí stejný restriktivní výklad, který znamená, že lze požadovat pouze osobní údaje osoby, která má konečnou odpovědnost za celní záležitosti podniku.

    42.

    Vycházeje z tohoto předpokladu, sdílím názor předkládajícího soudu, podle něhož žádost o osobní údaje členů dozorčí rady nebo poradního sboru podniku nemá oporu v článku 24 prováděcího nařízení k celnímu kodexu. V témže smyslu nelze na základě tohoto ustanovení požadovat ani údaje vedoucích dalších oddělení a vedoucích účetního oddělení, ledaže tyto osoby kromě toho v podniku vykonávají konečnou rozhodovací činnost nebo se zabývají jeho celními záležitostmi.

    2. Informace a údaje, které mohou požadovat celní orgány

    43.

    Jak jsem již uvedl, podle článku 24 prováděcího nařízení k celnímu kodexu je možné shromažďovat pouze informace nezbytně nutné pro ověření absence „závažných nebo opakovaných porušení celních a daňových předpisů“, jakož i odsouzení za „závažné trestné činy související s jejich hospodářskou činností“.

    44.

    To je tedy jediný účel, který má sledovat shromažďování informací celními orgány. Ustanovení nicméně nespecifikuje, jaký typ údajů je vhodný k dosažení jeho cíle: specifikovat je přísluší členským státům, přičemž je jasné, že to mají být výhradně údaje, které jsou nezbytné pro ujištění se (ne)existenci jednání narušujících spolehlivost hlavních řídících pracovníků podniku.

    45.

    Pro ověření, zda výše zmínění zaměstnanci podniku, který žádá o udělení statusu AEO, postrádají bezúhonnost potřebnou k tomu, aby mohli požívat důvěry celní správy, zmiňuje článek 24 prováděcího nařízení k celnímu kodexu tři kategorie porušení:

    „závažná nebo opakovaná porušení celních předpisů“. „Celními předpisy“ se rozumí ty, které definuje čl. 5 bod 2 celního kodexu ( 20 ). Jelikož je to právě celní správa, která má v gesci použití tohoto souboru právních předpisů, v zásadě již sama disponuje dostatečným množstvím údajů. Hlavní celní úřad připouští, že má přímý přístup do spolkových informačních databází s informacemi o porušeních celních předpisů nebo porušeních souvisejících s hospodářskou činností podniku.

    „závažná nebo opakovaná porušení daňových předpisů“, pojem, který zahrnuje, jak zdůrazňuje Komise, širokou škálu daní ( 21 ). K této druhé kategorii celní orgány musí získat od třetích osob informace nezbytné k tomu, aby se ujistily, že zaměstnanci podniku, který se uchází o status AEO, nebyli trestáni za takové nezákonné jednání.

    „závažné trestné činy související s jejich hospodářskou činností“, pojem, který – jak tvrdí Komise – zahrnuje trestné činy tohoto typu, jež, spáchá-li je některý z hlavních řídících pracovníků podniku, vážně poškozují jeho dobré jméno a dobrou pověst, co se týče vyřizování celních záležitostí ( 22 ). Opět jde o porušení, o nichž obvykle nemají celní orgány ve svých vlastních archívech záznamy.

    46.

    Které údaje mohou celní orgány shromažďovat podle článku 24 prováděcího nařízení k celnímu kodexu, aby zjistily existenci těchto porušení, když mají rozhodnout o udělení statusu AEO?

    47.

    Hlavní celní úřad trvá na tom, že potřebuje DIČ a údaje o finančních úřadech vedoucích pracovníků a pracovníků Deutsche Post, kteří spravují její celní záležitosti. Tvrdí, že jedině tak může zjistit, zda se tito dopustili závažných nebo opakovaných porušení daňových předpisů, neboť v Německu řada daní spadá do pravomoci regionálních orgánů. Pro upřesnění žádosti o potřebné informace o těchto osobách je DIČ základním údajem.

    48.

    Naproti tomu Deutsche Post tvrdí, že situace jejích pracovníků ve vztahu k dani z příjmu je nepodstatná pro posouzení, zda došlo k závažným nebo opakovaným porušením daňových předpisů. Sdělení DIČ tedy není nezbytné ani vhodné pro posouzení jejich spolehlivosti ohledně správy celních záležitostí.

    49.

    Z písemných vyjádření a z vysvětlení poskytnutých v průběhu jednání vyplývá, že DIČ je osobní identifikátor používaný ve vztazích fyzických osob s německou celní správou ohledně různých otázek. Panuje shoda na tom, že jeho hlavní využití je pro účely daně z příjmu, což vysvětluje jeho spojení s údaji o finančních úřadech příslušných k jejímu výběru v původním sporu.

    50.

    Výklad německého práva nepřísluší Soudnímu dvoru, nýbrž předkládajícímu soudu. Tento soud potvrzuje, že DIČ přidělená Spolkovým ústředním daňovým úřadem zaměstnancům Deutsche Post (§ 139a odst. 1 první věta daňového řádu), mohou být shromažďována a uchovávána pouze za účelem výběru daně z příjmu v podobě srážky daně ze mzdy (§ 39e odst. 4 první věta bod 1 zákona o dani z příjmu).

    51.

    Osobní údaje pracovníků Deutsche Post shromážděné za již popsaným účelem nemají podle předkládajícího soudu přímou souvislost s hospodářskou činností tohoto podniku a nemají proto význam pro posuzování jeho spolehlivosti pro účely v celní oblasti ( 23 ).

    52.

    Domnívám se nicméně, že z hlediska celních předpisů nic nebrání tomu, aby německá celní správa požadovala DIČ (a určení úřadu příslušného k výběru daně z příjmu) vedoucího pracovníka a osoby odpovědné za celní záležitosti podniku, který žádá o status AEO. Aniž je dotčeno to, co dále uvedu k ochraně osobních údajů, jeho zjištění může sloužit k ověření absence porušení ze strany těchto osob.

    53.

    Argument předkládajícího soudu by mohl být relevantní, pokud by neexistovala souvislost (na to, zdá se, poukazuje) mezi informacemi, které lze získat z DIČ, jež se nutně vztahují k dotčené fyzické osobě, a činností podniku. Při tomto ověření jde však právě o zjištění, zda se obě fyzické osoby vykonávající důležité funkce v podniku, který se uchází o status AEO, v posledních třech letech dopustily vlastního jednání (to znamená nikoliv v rámci jednání podniku), které zpochybňuje jejich spolehlivost, a tak říkajíc nakazily absencí čestnosti, pokud byly v minulosti trestány, subjekt, jehož celkové řízení nebo řízení celních záležitostí mají na starost.

    B.   Článek 24 prováděcího nařízení k celnímu kodexu a unijní právní předpisy na ochranu osobních údajů

    54.

    Stejně jako jiné obdobné údaje daňového charakteru, které tak kvalifikoval Soudní dvůr ( 24 ), je DIČ osobním údajem ve smyslu čl. 4 bod 1 nařízení 2016/679, jakožto informace o identifikované nebo identifikovatelné osobě ( 25 ).

    55.

    Označení finančních úřadů příslušných k výběru daně z příjmu určité osoby se podle předkládacího usnesení v důsledku federální struktury německého daňového systému jeví jako úzce spjaté s DIČ. V tomto kontextu jej lze podpůrně považovat za daňový údaj o identifikované nebo identifikovatelné osobě.

    56.

    Jak zdůrazňuje předkládající soud, automatizované vyhledávání DIČ umožňuje přístup ke zvlášť citlivým informacím ( 26 ). Je to tedy nástroj, který umožňuje identifikovat osobu, která je jeho držitelem, a získat určité informace o jeho soukromém a rodinném životě, které má k dispozici veřejná správa.

    57.

    Činnost, k níž dochází v souvislosti s DIČ ve vztazích celní správy s žadateli o status AEO, může být posouzena jako shromažďování nebo zpřístupnění přenosem. V obou případech dochází ke zpracování osobních údajů ve smyslu čl. 4 bodu 2 nařízení 2016/679. Německá celní správa požaduje DIČ, a uspořádává je a nakládá s nimi tak, aby mohla požádat příslušné finanční úřady o informace ohledně možných závažných či opakovaných porušení daňových předpisů, kterých se dopustily tyto osoby. Pouhé obdržení takových údajů již představuje zpracování, jímž je ve většině případů jejich uspořádání a pozdější využití k získání informací o těchto osobách ( 27 ).

    58.

    Soudní dvůr stejně tak konstatoval, že dochází ke zpracování údajů, pokud jsou údaje předávány jednou veřejnoprávní institucí druhé ( 28 ), a také tehdy, pokud zaměstnavatel předává osobní údaje vnitrostátnímu orgánu ( 29 ). Předání osobních údajů řídících pracovníků Deutsche Post hlavnímu celnímu úřadu tedy představuje pro účely nařízení 2016/679 „zpracování osobních údajů“.

    59.

    Článek 5 odst. 1 písm. b) nařízení 2016/679 zdůrazňuje jako hlavní zásadu zpracování účelové omezení, podle něhož „osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný“ ( 30 ).

    60.

    Je tedy nutné rozhodnout, zda využití DIČ řídících pracovníků a osob odpovědných za celní záležitosti společnosti Deutsche Post německými orgány celní správy, požadovaných od této společnosti, je slučitelné s účelem, který má podle vnitrostátních předpisů shromažďování těchto osobních údajů.

    61.

    Předkládající soud vyjadřuje v tomto ohledu své pochybnosti ( 31 ) a domnívá se, že mezi DIČ a finančními úřady příslušnými k výběru daně z příjmu řídících pracovníků a zaměstnanců na jedné straně a celními činnostmi Deutsche Post na straně druhé není žádný přímý vztah. Jak se ukázalo na jednání a jak jsem uvedl výše, německé právo stanoví využití těchto daňových údajů v zásadě, i když ne výhradně, v pracovněprávním vztahu mezi zaměstnavatelem a pracovníkem pro účely výběru daně z příjmu.

    62.

    DIČ (a podpůrně označení finančních úřadů příslušných k výběru daně z příjmu) jsou tedy osobními údaji, které nejsou určeny k použití v rámci vztahů mezi podnikem a německou celní správou pro účely získání nebo udržení statusu AEO. Jde tedy o zpracování osobních údajů, které v zásadě není v souladu s účelem, pro který byly shromážděny, v rozporu s pravidlem podle čl. 5 odst. 1 písm. b) nařízení 2016/679.

    63.

    Zpracování osobních údajů tohoto druhu by nicméně mohlo být odůvodněné. Stačilo by například, aby dotčené fyzické osoby poskytly svůj souhlas podle čl. 6 odst. 1 písm. a) nařízení 2016/679. V původním řízení bylo nicméně zjištěno, že zaměstnanci Deutsche Post se tomu brání, což toto řešení vylučuje.

    64.

    Další možná odůvodnění se nacházejí v čl. 6 odst. 1 ( 32 ), podle jehož znění je zpracování osobních údajů zákonné, když je nezbytné „pro splnění právní povinnosti, která se na správce vztahuje“ [písm. c)] nebo „pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce“ [písm. e)] ( 33 ). V obou případech čl. 6 odst. 3 nařízení 2016/679 uvádí, že základ pro zpracování musí být stanoven právem Unie nebo právem členského státu, které se na správce vztahuje.

    65.

    Zákonnost žádosti o osobní údaje a jejich zpracování, s níž se celní správa obrací na Deutsche Post, má základ v právní povinnosti ( 34 ) uložené této celní správě, a to ověření, že status AEO bude udělen pouze podnikům, jejichž řídící pracovníci a osoby odpovědné za celní záležitosti se nedopustili výše zmíněných porušení. Tato právní povinnost vychází v konečném důsledku z článku 24 prováděcího nařízení k celnímu kodexu. Domnívám se tedy, že je dáno odůvodnění uvedené v čl. 6 odst. 1 písm. c) nařízení 2016/679.

    66.

    Zákonnost zpracování DIČ řídícího pracovníka a osoby odpovědné za celní záležitosti podniku pro účely udělení statusu AEO může mít oporu i ve „výkonu veřejné moci, kterým je pověřen správce“ [čl. 6 odst. 1 písm. e) nařízení 2016/679] ( 35 ), jelikož toto zpracování je nezbytné k tomu, aby celní správa mohla vykonávat veřejnou moc, která jí byla svěřena za účelem kontroly podniků se statusem AEO. Tento status předpokládá určitou delegaci funkcí v oblasti celní kontroly ve prospěch AEO, která je vyvážena širokým oprávněním správy k ověření a dohledu nad jejich spolehlivostí.

    67.

    Žádost o údaje, o které se jedná v tomto soudním sporu, a jejich zpracování, které jsou zákonné na základě čl. 6 odst. 1 písm. c) a e), mohou způsobit některá omezení práv, která subjektům těchto osobních údajů přiznávají články 12 až 22 nařízení 2016/679. Předkládajícímu soudu přísluší určit, zda hlavní celní úřad při zpracování těchto údajů omezuje některé z práv dotčených osob, například právo na přístup, právo na opravu, na výmaz nebo na podání námitky.

    68.

    Taková omezení, pokud by existovala, by mohla být odůvodněna některým z „důležit[ých] cíl[ů] obecného veřejného zájmu Unie nebo členského státu, zejména důležitý[m] hospodářský[m] nebo finanční[m] záj[mem] Unie nebo členského státu, včetně peněžních, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení“ [čl. 23 odst. 1 písm. c) nařízení 2016/679]. Opatření, jímž se omezení ukládají, by mělo mimo jiné respektovat „podstatu základních práv a svobod“ a být „nezbytné a přiměřené […] v demokratické společnosti“ ( 36 ).

    69.

    Podle mého názoru cíl zajistit spolehlivost v oblasti cel u řídícího pracovníka a osoby odpovědné za celní záležitosti v podniku pro účely udělení statusu AEO odpovídá cíli obecného veřejného zájmu Unie a německého státu z hlediska ekonomického, finančního a rozpočtového. Kontrola spolehlivosti AEO přispěje k výběru cel, která jsou vlastním zdrojem příjmů Unie, a která vybírají členské státy a převádějí je do rozpočtu Unie, po odečtení určitého procenta za administrativní úkony.

    70.

    Nedostatek bezúhonnosti řídících pracovníků a osob odpovědných za celní záležitosti jsou faktory, které mohou ohrozit celní důvěryhodnost daného podniku, s přímým dopadem na udělení statusu AEO ( 37 ). Jak jsem uvedl ve svém stanovisku ve věci Impresa di Costruzioni Ing. E. Mantovani a Guerrato ( 38 ), je logické, že nedostatek důvěryhodnosti podniku se posuzuje prismatem nezákonného jednání, v němž hrají roli osoby odpovědné za jeho řízení.

    71.

    Tato okolnost odůvodňuje, aby celní správa mohla zkoumat daňovou historii těchto řídících pracovníků, která obsahuje záznamy, které se týkají daně z příjmu. Pokud se výkonná řídící osoba podniku nebo osoba odpovědná za celní záležitosti dopustila porušení týkajících se výběru této nebo jakékoli jiné daně, pak se domnívám, že celní správa musí mít možnost o nich získat informace.

    72.

    Ve stejném duchu, shromažďování a použití údajů tohoto typu jsou přiměřenými způsoby, jak dosáhnout cíle stanoveného čl. 24 odst. 1 prováděcího nařízení k celnímu kodexu ( 39 ). Podle tvrzení uvedených v průběhu jednání hlavním celním úřadem neexistují v německém právu jiné alternativní prostředky, které by byly méně omezující, neboť federální struktura německého státu s sebou nese to, že některé daně, jako je daň z příjmu, spravují regionální orgány. DIČ představuje nejvhodnější prostředek k tomu, aby (spolková) celní správa shromáždila a získala daňové informace, které jsou v rukou různých regionálních orgánů ( 40 ).

    73.

    Je namístě učinit dvě poslední upřesnění:

    Celní orgány jsou na základě článků 13 a 14 nařízení 2016/679 povinny poskytnout řídícím osobám podniku se statusem AEO a osobám odpovědným za celní záležitosti informaci o zpracování jejich osobních údajů (DIČ a finanční úřad), aby mohly vykonávat práva, která jim přiznávají články 15 až 22 nařízení 2016/679.

    Soudní dvůr dospěl k závěru, že požadavek zákonného zpracování osobních údajů ukládá orgánu veřejné správy povinnost, aby subjekty údajů informoval, že jsou tyto údaje předány jinému orgánu veřejné správy za tím účelem, aby je tento orgán zpracoval jako jejich příjemce ( 41 ).

    IV. Závěry

    74.

    S ohledem na výše uvedené úvahy navrhuji Soudnímu dvoru odpovědět Finanzgericht Düsseldorf (finanční soud v Düsseldorfu, Německo) následujícím způsobem:

    „1)

    Ustanovení čl. 24 odst. 1 druhého pododstavce prováděcího nařízení Komise (EU) 2015/2447 ze dne 24. listopadu 2015, kterým se stanoví prováděcí pravidla k některým ustanovením nařízení Evropského parlamentu a Rady (EU) č. 952/2013, kterým se stanoví celní kodex Unie, musí být vykládáno v tom smyslu, že:

    celnímu orgánu umožňuje požadovat od podniku, který žádá o status oprávněného hospodářského subjektu, sdělení daňového identifikačního čísla a finančního úřadu příslušného k vyměření daně z příjmu, týkající se výhradně ‚osoby, která je pověřena vedením žadatele nebo která vykonává kontrolu nad řízením společnosti, a zaměstnance odpovědného za celní záležitosti žadatele‘;

    neumožňuje rozšířit žádost o tyto údaje na členy dozorčí rady žadatele, ani na další vedoucí pracovníky a zaměstnance.

    2)

    Článek 6 odst. 1 písm. c) a e) nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES opravňuje celní orgán ke shromažďování a zpracování osobních údajů, jako je daňové identifikační číslo a informace o finančním úřadu, který je příslušný k vyměření daně z příjmu odpovědných vedoucích pracovníků a osob odpovědných za celní záležitosti podniku, jenž je žadatelem o status oprávněného hospodářského subjektu, i když k tomu tito nedali svůj souhlas, a to za účelem splnění právní povinnosti ověřit spolehlivost takového podniku pro celní účely, která je stanovena v čl. 24 odst. 1 druhém pododstavci prováděcího nařízení 2015/2447.“


    ( 1 ) – Původní jazyk: španělština.

    ( 2 ) – Nařízení Evropského parlamentu a Rady (EU) č. 952/2013 ze dne 9. října 2013, kterým se stanoví celní kodex Unie (Úř. věst. 2013, L 269, s. 1; dále jen „celní kodex“).

    ( 3 ) – Prováděcí nařízení Komise (EU) 2015/2447 ze dne 24. listopadu 2015, kterým se stanoví prováděcí pravidla k některým ustanovením nařízení č. 952/2013 (Úř. věst. 2015, L 343, s. 558; dále jen „prováděcí nařízení k celnímu kodexu“).

    ( 4 ) – Nařízení Komise v přenesené pravomoci (EU) 2016/341 ze dne 17. prosince 2015 kterým se doplňuje nařízení č. 952/2013, pokud jde o přechodná pravidla k některým ustanovením celního kodexu Unie, pokud příslušné elektronické systémy dosud nejsou v provozu, a kterým se mění nařízení v přenesené pravomoci (EU) 2015/2446 (Úř. věst. 2016, L 69, s. 1).

    ( 5 ) – Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Úř. věst. 2016, L 119, s. 1; dále jen „nařízení 2016/679“).

    ( 6 ) – Nařízení Rady (EHS) č. 2913/92 ze dne 12. října 1992, kterým se vydává celní kodex Společenství (Úř. věst. 1992, L 302, s. 1; Zvl. vyd. 02/04, s. 307).

    ( 7 ) – Nařízení Komise ze dne 2. července 1993, kterým se provádí nařízení č. 2913/92 (Úř. věst. 1993, L 253, s. 1; Zvl. vyd. 02/06, s. 3).

    ( 8 ) – Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355).

    ( 9 ) – Podle bodu 5 předkládacího usnesení „žalobkyně požaduje, aby bylo určeno, že […]“.

    ( 10 ) – V každém případě se řešení nebude zásadně lišit, ať už použijeme jeden nebo druhý předpis, neboť nařízení 2016/679 přebírá hodně z obsahu směrnice č. 95/46, kterou nahrazuje.

    ( 11 ) – Soudní dvůr již vyslovil, že „ustanovení směrnice 95/46 musí být v rozsahu, v němž upravují zpracování osobních údajů, které může představovat zásah do základních svobod, a zejména práva na soukromí, nutně vykládána ve světle základních práv zaručených Listinou“ (rozsudky ze dne 6. října 2015, Schrems, C‑362/14EU:C:2015:650, bod 38; a ze dne 9. března 2017, Manni, C‑398/15EU:C:2017:197, bod 39).

    ( 12 ) – Mezi nimi se nacházejí následující: snadnější přístup ke zjednodušeným celním procesům; předchozí oznámení provedení celní kontroly; nižší počet fyzických kontrol a kontrol dokumentace, než mají ostatní hospodářské subjekty, co se týče celních kontrol; přednostní vyřízení zásilek vybraných pro kontrolu; možnost vybrat si místo kontroly; a „nepřímé“ výhody, které nejsou výslovně obsaženy v celních předpisech, mohou však mít velmi pozitivní vliv na běžné obchodní operace AEO. To, že AEO splňuje kritéria ochrany a bezpečnosti, znamená, že zaručuje bezpečnost a ochranu v dodavatelském řetězci.

    ( 13 ) – Podle čl. 38 odst. 4 celního kodexu celní orgány všech členských států uznávají status AEO přiznaný členským státem.

    ( 14 ) – Rozumím tomu tak, že kromě zaměstnanců musí vyhovět stejným požadavkům také samotný žádající podnik.

    ( 15 ) – Článek 41, pododstavec první, celního kodexu stanoví, že „Komise stanoví v prováděcích aktech podmínky pro uplatňování kritérií uvedených v článku 39“.

    ( 16 ) – Článek 5 nařízení v přenesené pravomoci 2016/341 stanoví, že žádosti o status AEO se podávají na formuláři, který je obsažen v příloze 6. Bod 19 vysvětlivek v této příloze zdůrazňuje, že žádost musí obsahovat podpis osoby, která obecně jedná za žadatele, musí uvádět jeho pracovní pozici, jméno, příjmení a razítko. Kromě toho musí žadatel vedle jiných údajů poskytnout následující: „Jména hlavních řídících pracovníků (výkonných ředitelů, vedoucích oddělení, hlavních účetních, vedoucího oddělení cel, atd.). Popis používaných postupů v případě dočasné nebo trvalé nepřítomnosti příslušného pracovníka.“

    ( 17 ) – V zájmu většího zjednodušení se dále budu zmiňovat pouze o udělení statusu AEO, odůvodnění je však možné vztáhnout i na udržení tohoto statusu.

    ( 18 ) – Viz Pokyny Evropské komise k oprávněným hospodářským subjektům, TAXUD/B2/047/2011 – Rev. 6 ze dne 11. března 2016, s. 126 a 127, které obsahují informace, jež musí předložit podniky v dotaznících se sebehodnocením ke statusu AEO.

    ( 19 ) – Pokud by výkon této řídící funkce byl sdílený, žádost o údaje by logicky mohla být rozšířena na ty, kdo ji v tomto společném režimu vykonávají.

    ( 20 ) – Za takové se považuje „soubor právních předpisů, který tvoří: a) kodex a ustanovení, která jej doplňují nebo provádějí, přijatá na úrovni Unie nebo na vnitrostátní úrovni; b) společný celní sazebník; c) právní předpisy o systému Unie pro osvobození od cla; a d) mezinárodní dohody obsahující celní ustanovení, pokud jsou tato ustanovení použitelná v Unii“.

    ( 21 ) – Mimo jiné daní vztahujících se k pohybu zboží a služeb, které mají přímou vazbu na hospodářskou činnost žadatele (což je případ například DPH), zvláštních daní a daní, které se týkají zdanění podniků.

    ( 22 ) – V Pokynech Evropské komise k oprávněným hospodářským subjektům, TAXUD/B2/047/2011 – Rev. 6 ze dne 11. března 2016, s. 37, figurují takové trestné činy, jako podvodný úpadek (insolvence); jakékoli porušení právních předpisů v oblasti zdraví; porušení právních předpisů v oblasti životního prostředí, jako je nelegální přeshraniční přeprava nebezpečných odpadů; podvod na zboží či technologiích dvojího užití; účast na zločinném spolčení; úplatkářství a korupce; počítačová kriminalita; praní špinavých peněz; přímá nebo nepřímá účast na obchodech spojených s teroristickou činností; nebo přímá nebo nepřímá účast na prosazování a podpoře nelegální migrace do EU.

    ( 23 ) – Bod 16 předkládacího usnesení.

    ( 24 ) – Rozsudky ze dne 1. října 2015, Bara a další (C‑201/14EU:C:2015:638, bod 29); a ze dne 27. září 2017, Puškár (C‑73/16EU:C:2017:725, bod 41).

    ( 25 ) – Podle ustálené judikatury se respektování práva na soukromý život v souvislosti se zpracováním osobních údajů vztahuje na veškeré informace o identifikované nebo identifikovatelné fyzické osobě (rozsudky ze dne 9. listopadu 2010, Volker und Markus Schecke a Eifert, C‑92/09 a C‑93/09EU:C:2010:662, bod 52; a ze dne 17. října 2013, Schwartz, C‑291/12, EU:C:2013:670, bod 26).

    ( 26 ) – Podle předkládacího usnesení jde mimo jiné o právní příslušnost k náboženskému sdružení, které je oprávněno vybírat daň; datum přihlášení a odhlášení; rodinný stav a datum jeho vzniku i zániku; případně DIČ manžela či manželky a dětí zaměstnance v souvislosti s daňovými úlevami pro rodiny.

    ( 27 ) – V rozsudku ze dne 27. září 2017ve věci Puškár (C‑73/16EU:C:2017:725, bod 34), Soudní dvůr posoudil jako „zpracování osobních údajů“ zařazení jména, vnitrostátního identifikačního čísla a DIČ na seznam osob, které zastávají řídící funkce jako tzv. „bílí koně“. Tento seznam byl vyhotoven finančním ředitelstvím a kriminálním úřadem finanční správy Slovenské republiky, a jak jeho získání, tak jeho užití různými stupni finančních úřadů, je zpracováním osobních údajů.

    ( 28 ) – Rozsudek ze dne 1. října 2015, Bara a další (C‑201/14EU:C:2015:638, bod 29).

    ( 29 ) – „Shromažďování, zaznamenávání, uspořádávání, uchovávání, konzultace a použití takových údajů zaměstnavatelem a jejich předávání tímto zaměstnavatelem vnitrostátním orgánům příslušným pro dohled nad pracovními podmínkami má tudíž povahu ‚zpracování osobních údajů‘ ve smyslu čl. 2 písm. b) směrnice 95/46“ (kurzivou zvýraznil autor stanoviska) (rozsudek ze dne 30. května 2013, Worten, C‑342/12EU:C:2013:355, bod 20).

    ( 30 ) – Tento článek doplňuje, že „další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 nepovažuje za neslučitelné s původními účely (‚účelové omezení‘)“.

    ( 31 ) – Podle předkládajícího soudu „daňová identifikační čísla zaměstnanců žalobkyně, která jim přidělil Spolkový ústřední daňový úřad (§ 139a odst. 1 první věta daňového řádu) mohou být shromažďována a uchovávána pouze za účelem výběru daně z příjmu v podobě srážky daně ze mzdy (§ 39e odst. 4 první věta bod 1 zákona o dani z příjmu). Za tímto účelem shromažďované osobní údaje pracovníků žalobkyně nemají proto žádnou přímou vazbu k posouzení jeho spolehlivosti, pokud jde o dodržování celních právních předpisů. Osobní údaje pracovníků žalobkyně, které byly shromažďovány pro účely výběru daně z příjmu v podobě srážky daně ze mzdy, však především nemají žádný vztah k hospodářské činnosti samotné žalobkyně.“

    ( 32 ) – Je namístě také připomenout, že z cíle zajistit stejnou úroveň ochrany ve všech členských státech, který sleduje směrnice 95/46, vyplývá, že článek 7 této směrnice stanoví vyčerpávající a taxativní výčet případů, kdy lze zpracování osobních údajů považovat za zákonné (rozsudky ze dne 24. listopadu 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 a C‑469/10EU:C:2011:777, bod 30, a ze dne 27. září 2017, Puškár, C‑73/16EU:C:2017:725, bod 105). Toto tvrzení lze uplatnit i na výčet v čl. 6 odst. 1 nařízení 2016/679.

    ( 33 ) – Rozsudek ze dne 20. května 2003, ve věci Österreichischer Rundfunk a další (C‑465/00, C‑138/01 a C‑139/01EU:C:2003:294, bod 64); a ze dne 30. května 2013, Worten (C‑342/12EU:C:2013:355, bod 36).

    ( 34 ) – Podle judikatury Soudního dvora „požadavek, že každé omezení výkonu základních práv musí být stanoveno zákonem, implikuje, že právní základ, který umožňuje zásah do těchto práv, musí sám definovat rozsah omezení práva, kterého se týká“ [v tomto smyslu viz posudek 1/15 (Dohoda PNR EU-Kanada) ze dne 26. července 2017 (EU:C:2017:592, bod 139), a rozsudek ze dne 17. prosince 2015, WebMindLicenses (C‑419/14EU:C:2015:832, bod 81)].

    ( 35 ) – V rozsudku ze dne 27. září 2017 ve věci Puškár (C‑73/16EU:C:2017:725), bodech 106 až 109 konstatoval, že seznam osob kvalifikovaných jako bílí koně, který vyhotovilo finanční ředitelství Slovenské republiky za účelem zlepšení výběru daní a boje proti daňovým podvodům, spadá do působnosti čl. 7 písm. e) směrnice 95/46 [ustanovení zmíněné v čl. 6 odst. 1 písm. e) nařízení 2016/679], neboť cíle, které sledoval, byly skutečně úkoly veřejného zájmu.

    ( 36 ) – Podle čl. 52 odst. 1 druhé věty Listiny mohou být omezení práva na ochranu osobních údajů zaručeného ustanovením čl. 8 odst. 1 Listiny při dodržení zásady proporcionality zavedena pouze tehdy, pokud jsou nezbytná (rozsudky ze dne 8. dubna 2014, Digital Rights Ireland a další, C‑293/12 a C‑594/12EU:C:2014:238, bod 52; ze dne 11. prosince 2014, Ryneš, C‑212/13EU:C:2014:2428, bod 28; a ze dne 6. října 2015, Schrems, C‑362/14EU:C:2015:650, bod 92).

    ( 37 ) – V jiných oblastech unijního práva jsou také případy, kdy nedostatek dobré pověsti a bezúhonnosti řídících osob podniku má vliv na způsobilost tohoto podniku provozovat hospodářskou činnost nebo možnost požívat výhod. Například směrnice Evropského parlamentu a Rady 2013/36/EU ze dne 26. června 2013 o přístupu k činnosti úvěrových institucí a o obezřetnostním dohledu nad úvěrovými institucemi a investičními podniky, o změně směrnice 2002/87/ES a zrušení směrnic 2006/48/ES a 2006/49/ES (Úř. věst. 2013, L 176, s. 338), ve svém čl. 23 odst. 1 písm. b) v souvislosti s nabytím kvalifikované účasti v úvěrové instituci zdůrazňuje, že „[s] ohledem na možný vliv navrhovaného nabyvatele na úvěrovou instituci posuzují příslušné orgány […] za účelem zajištění řádného a obezřetného řízení úvěrové instituce, v níž je navrhováno nabytí, vhodnost navrhovaného nabyvatele a finanční rozumnost navrhovaného nabytí podle těchto kritérií: […] b) pověst, znalosti, dovednosti a zkušenosti, jak je stanoveno v čl. 91 odst. 1, všech členů vedoucího orgánu a všech členů vrcholného vedení, kteří budou v důsledku navrhovaného nabytí řídit činnosti úvěrové instituce“. Viz v této souvislosti mé stanovisko ze dne 27. června 2018, ve věci Berlusconi a Fininvest, C‑219/17EU:C:2018:502.

    ( 38 ) – Věc C‑178/16 (EU:C:2017:487, bod 54). V bodě 34 rozsudku ze dne 20. prosince 2017 (EU:C:2017:1000) vyneseném v této věci Soudní dvůr konstatoval, že „unijní právo vychází z předpokladu, že právnické osoby jednají prostřednictvím svých zástupců. Jednání těchto zástupců, které je v rozporu s profesní etikou, tedy může být relevantním faktorem pro posouzení profesní etiky podniku. Při výkonu své pravomoci stanovit podmínky pro uplatnění fakultativních důvodů pro vyloučení si tedy členské státy mohou vybrat – jako jednu ze skutečností relevantních pro posouzení etiky podniku ucházejícího se o zakázku – existenci případného jednání členů správní rady tohoto podniku odporujícího profesní etice.“

    ( 39 ) – Pokud jde o dodržení zásady proporcionality, ochrana základního práva na respektování soukromého života na unijní úrovni vyžaduje – v souladu s ustálenou judikaturou Soudního dvora – aby výjimky z ochrany osobních údajů a její omezení byly činěny v mezích toho, co je nezbytně nutné (rozsudky ze dne 8. dubna 2014, Digital Rights Ireland a další, C‑293/12 a C‑594/12EU:C:2014:238, body 5152; ze dne 6. října 2015, Schrems, C‑362/14EU:C:2015:650, bod 92, a ze dne 21. prosince 2016, Tele2 Sverige a Watson a další, C‑203/15 a C‑698/15EU:C:2016:970, bod 96; a ze dne 27. září 2017, Puškár, C‑73/16EU:C:2017:725, bod 112).

    ( 40 ) – V průběhu jednání se debatovalo o tom, zda předložení potvrzení o bezdlužnosti vedoucího pracovníka a osoby odpovědné za celní záležitosti podnikem může být méně omezující volbou. Jak vysvětlil hlavní celní úřad, není tomu tak, neboť tato potvrzení musí být požadována přímo těmito osobami a jejich jménem, a kromě toho obsahují více informací, než je nezbytně nutné pro účely statusu AEO. Přísluší předkládajícímu soudu, aby vyhodnotil tato nebo jiná tvrzení k této otázce.

    ( 41 ) – Rozsudek ze dne 1. října 2015, Bara a další (C‑201/14, EU:C:2015:638, bod 40).

    Top