1. 

Německá celní správa požaduje od podniků, které se ucházejí o získání nebo udržení statusu oprávněného hospodářského subjektu (dále jen „AEO“), s nímž požívají výhodnějšího zacházení než ostatní dovozci a vývozci, určité osobní údaje vedoucích pracovníků a zaměstnanců.

2. 

Předběžná otázka se týká omezení, která unijní právo klade na tyto požadavky, ať už výhradně v celní oblasti, nebo v oblasti ochrany osobních údajů.

3.

Článek 38 nařízení č. 952/2013 ( 2 ) stanoví:

„1.   Hospodářský subjekt, který je usazen na celním území Unie a který splňuje kritéria stanovená v článku 39, může požádat o status oprávněného hospodářského subjektu.

[…]

2.   Status oprávněného hospodářského subjektu spočívá v těchto typech povolení:

[…]“

4.

Článek 39 písm. a) stanoví:

„Kritérii pro udělení statusu oprávněného hospodářského subjektu jsou:

[…]“

5.

V souladu s čl. 24 odst. 1:

„[…]

Pokud žadatel není fyzická osoba, považuje se kritérium stanovené v čl. 39 písm. a) kodexu za splněné, pokud se za poslední tři roky žádná z níže vyjmenovaných osob nedopustila závažného či opakovaného porušení celních a daňových předpisů, ani nemá žádný záznam, pokud jde o závažné trestné činy související s její hospodářskou činností:

6.

Podle článku 1:

„1.   Tímto nařízením se stanoví přechodná opatření ke způsobům výměny a uchovávání údajů uvedeným v článku 278 kodexu, dokud nebudou v provozu elektronické systémy, které jsou pro uplatňování kodexu nezbytné.

2.   Požadavky na údaje, formáty a kódy, které se mají používat po přechodná období stanovená v tomto nařízení, v nařízení v přenesené pravomoci (EU) 2015/2446, kterým se doplňuje nařízení (EU) č. 952/2013, a v prováděcím nařízení (EU) 2015/2447, kterým se stanoví prováděcí pravidla k některým ustanovením nařízení (EU) č. 952/2013, jsou stanoveny v přílohách tohoto nařízení.“

7.

Článek 5 stanoví:

„1.   Do data modernizace systému AEO uvedeného v příloze prováděcího rozhodnutí 2014/255/EU mohou celní orgány povolit, aby v souvislosti se žádostmi a rozhodnutími týkajícími se AEO nebo jakýmikoli následnými událostmi, které mohou mít vliv na původní žádost či rozhodnutí, byly použity jiné způsoby než metody elektronického zpracování dat.

2.   V případech uvedených v odstavci 1 platí, že:

8.

Bod 19 vysvětlivek přílohy 6 upravuje obsah formuláře žádosti o status AEO:

„Název, datum a podpis žadatele:

Podpis: osoba podepisující žádost uvede svou funkci. Osobou podepisující žádost musí být vždy zástupce žadatele pověřený zastupováním v plné šíři.

Název: Název a razítko žadatele.

[…]

[…]“

9.

Podle článku 4:

„Pro účely tohoto nařízení se rozumí:

[…]“

10.

Článek 5 stanoví:

„Osobní údaje musí být:

[…]“

11.

Článek 6 stanoví:

„1.   Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

[…]

[…]

[…]

2.   Členské státy mohou zachovat nebo zavést konkrétnější ustanovení, aby přizpůsobily používání pravidel tohoto nařízení ohledně zpracování ke splnění odst. 1 písm. c) a e) tím, že přesněji určí konkrétní požadavky na zpracování a jiná opatření k zajištění zákonného a spravedlivého zpracování, a to i u jiných zvláštních situací, při nichž dochází ke zpracování, jak stanoví kapitola IX.

3.   Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:

Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. […] Právo Unie nebo členského státu musí splňovat cíl veřejného zájmu a musí být přiměřené sledovanému legitimnímu cíli.

4.   Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 23 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:

12.

Podle čl. 23 odst. 1 písm. e):

„Právo Unie nebo členského státu, které se na správce nebo zpracovatele vztahuje, může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v článcích 12 až 22 a v článku 34, jakož i v článku 5, v rozsahu, v jakém ustanovení tohoto článku odpovídají právům a povinnostem stanoveným v článcích 12 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:

[…]

13.

Ve znění použitelném na skutkové okolnosti § 139a odst. 1 stanoví:

„Bundeszentralamt für Steuern [(Spolkový ústřední daňový úřad)] přidělí každé osobě povinné k dani za účelem jednoznačné identifikace v daňovém řízení jednotný a trvalý údaj (identifikační údaj); osoba povinná k dani nebo třetí strana pověřená předáním údajů této osoby povinné k dani finančním úřadům je povinna tento identifikační údaj uvádět ve svých žádostech, přiznáních či sděleních. Tento identifikační údaj je tvořen řadou čísel, která nesmí být sestavena ani odvozena z jiných údajů o osobě povinné k dani; poslední v této řadě je kontrolní číslo […]“

14.

Podle § 139b:

„(1)   Fyzické osobě nelze přidělit více než jedno identifikační číslo […]

(2)   Finanční úřady smějí vyžadovat a používat identifikační číslo jen tehdy, když je to nezbytné k plnění jejich zákonných povinností nebo když shromažďování nebo používání identifikačního čísla výslovně povoluje nebo nařizuje určitý právní předpis. Jiné veřejné nebo neveřejné subjekty smějí:

(3)   Spolkový ústřední daňový úřad uchovává o fyzických osobách tyto údaje:

[…]

[…]

(4)   Údaje uvedené v odstavci 3 se uchovávají za účelem toho:

15.

Ustanovení § 38 odst. 1 a 3 ve znění použitelném v rozhodné době z hlediska skutkového stavu stanoví:

„(1)   U příjmů ze závislé činnosti se daň z příjmu vybere srážkou ze mzdy (daň ze mzdy), pokud zaměstnavatel mzdu vyplatí […]

[…]

(3)   Daň ze mzdy strhává zaměstnavatel zaměstnanci ze mzdy při každé výplatě […]“

16.

Ustanovení § 39 odst. 1 a 4 stanoví:

„(1)   Za účelem provedení srážky daně ze mzdy se na žádost zaměstnance generují údaje o srážkách daně ze mzdy […]

[…]

(4)   Údaje o srážkách daně ze mzdy jsou:

[…]“

17.

Podle § 39e:

„(1)   Spolkový ústřední daňový úřad generuje pro každého zaměstnance, a to zásadně automatizovaným postupem, daňovou třídu a v I. až IV. daňové třídě počet nezdanitelných částí základů daně za opatrované dítě […] jako údaje o srážkách daně ze mzdy (§ 39 odst. 4 první věta body 1 a 2) […] Pokud údaje o srážkách daně ze mzdy generuje finanční úřad podle § 39, sdělí je Spolkovému ústřednímu daňovému úřadu, aby je tento mohl poskytnout za účelem jejich automatizovaného vyhledávání ze strany zaměstnavatele […]

(2)   Spolkový ústřední daňový úřad uchovává údaje o srážkách daně ze mzdy za účelem umožnění automatizovaného vyhledávání údajů o srážkách daně ze mzdy zaměstnavatelům, přičemž u nich uvádí identifikační číslo a pro každou osobu povinnou k dani pak rovněž následující údaje uvedené v § 139b odst. 3 daňového řádu:

[…]

(4)   Zaměstnanec je povinen každému svému zaměstnavateli při nástupu do zaměstnání sdělit za účelem vyhledávání údajů o srážkách daně ze mzdy:

[…]

Zaměstnavatel si musí na začátku zaměstnaneckého poměru vyhledat elektronické údaje o srážkách daně ze mzdy pro dotyčného zaměstnance u Spolkového ústředního daňového úřadu prostřednictvím dálkového přenosu dat a uvádět je pak na mzdovém účtu zaměstnance. […]

[…]“

18.

Deutsche Post byla držitelkou celních povolení udělených podle nařízení (EHS) č. 2913/92 ( 6 ) a nařízení (EHS) č. 2454/93 ( 7 ), zejména povolení schváleného příjemce a schváleného odesílatele. Využívá také souborné jistoty ke zjednodušení v rámci tranzitního režimu Unie nebo společného tranzitního režimu a od té doby, co začal být plně použitelný nový celní kodex, povolení k provozování dočasného skladu.

19.

Hauptzollamt (hlavní celní úřad) požádal Deutsche Post dopisem ze dne 19. dubna 2017, aby do 19. května 2017 odpověděla na dotazník se sebehodnocením, část I (Informace o společnosti), který se nachází na Internetu. Tento formulář obsahoval mimo jiné následující otázky:

„1.1.2 V rozsahu odpovídajícím formě Vaší společnosti uveďte,

[…]

1.1.6 Uveďte nejdůležitější vedoucí pracovníky Vaší společnosti (výkonní ředitelé, vedoucí oddělení, vedoucí účtárny, vedoucí celního oddělení apod.) a popište příslušná pravidla pro zastupování. Uveďte přinejmenším jméno, příjmení, datum narození, daňové identifikační číslo a příslušný finanční úřad.

[…]

1.3.1 Uveďte jméno, příjmení, datum narození, daňové identifikační číslo, příslušný finanční úřad osoby a vnitropodnikovou funkci osob, které ve Vaší organizaci odpovídají za celní záležitosti, nebo osob, které vyřizují celní záležitosti (např. celní pracovníci celního oddělení, vedoucí celního oddělení).“

20.

Hlavní celní úřad upozornil Deutsche Post, že v případě neposkytnutí požadované součinnosti nelze ověřit, zda splnila podmínky pro udělení povolení podle celního kodexu Unie. Také ji upozornil, že zruší trvalá povolení, pokud nebude spolupracovat nebo tyto podmínky již nesplňuje.

21.

Deutsche Post podala k předkládajícímu soudu žalobu, v níž nesouhlasí s tím, že má povinnost sdělit hlavnímu celnímu úřadu daňová identifikační čísla (dále jen „DIČ“) osob vyjmenovaných v dotazníku se sebehodnocením, stejně jako údaje o jejich příslušných finančních úřadech. Žádala soud, aby určil, že není povinna na tuto část formuláře odpovědět.

22.

Deutsche Post na podporu své žaloby uvedla, že:

23.

Hlavní celní úřad odmítl argumenty Deutsche Post s odkazem na to, že zpřístupnění daňových identifikačních čísel je nezbytné pro jednoznačnou identifikaci dotčených osob při dotazech na finanční úřady. K výměně informací dochází teprve tehdy, když posledně zmíněné úřady zjistí závažné či opakované porušení daňových předpisů. Ukončená trestní nebo sankční řízení se přitom nezohledňují. Opakované porušování daňových předpisů se zohledňuje v případě, že je jeho frekvence nepřiměřená charakteru a rozsahu podnikatelské činnosti žadatele.

24.

Podle hlavního celního úřadu okruh osob, kterých se týkají uvedené otázky, odpovídá ustanovení čl. 24 odst. 1 druhého pododstavce prováděcího nařízení k celnímu kodexu a pokynům Komise k oprávněným hospodářským subjektům. V každém případě tento úřad v závislosti na riziku rozhodne o tom, kterých konkrétních osob se výměna informací s finančními úřady bude týkat. Co se týče osob, které vyřizují celní záležitosti, u velkých celních oddělení se žádost o informace omezuje na vedoucí a odpovědné pracovníky.

25.

Finanzgericht Düsseldorf (finanční soud v Düsseldorfu, Německo) má pochybnosti ohledně toho, zda konzultace požadovaných osobních údajů (DIČ a finančních úřadů příslušných k výběru daně z příjmu v souvislosti s osobami zmíněnými v bodech 1.1.2 písm. c); 1.1.6 a 1.3.1 formuláře) je zákonným zpracováním těchto údajů podle nařízení 2016/679 a čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen „Listina“).

26.

Pochybuje také o nutnosti přístupu k osobním údajům pracovníků a členů dozorčí rady žalobkyně, shromážděným pro účely výběru daně z příjmu, neboť nemají přímou vazbu k posouzení jejich spolehlivosti v celní oblasti ani k hospodářské činnosti Deutsche Post.

27.

Za těchto okolností se předkládající soud rozhodl předložit Soudnímu dvoru následující předběžnou otázku:

„Musí být ustanovení čl. 24 odst. 1 druhého pododstavce prováděcího nařízení Komise (EU) 2015/2447 ze dne 24. listopadu 2015, kterým se stanoví prováděcí pravidla k některým ustanovením nařízení Evropského parlamentu a Rady (EU) č. 952/2013, kterým se stanoví celní kodex Unie, vykládáno v tom smyslu, že celnímu orgánu umožňuje požadovat od žadatele sdělení daňových identifikačních čísel, která pro účely výběru daně z příjmu přidělil Bundeszentralamt für Steuern (Spolkový ústřední daňový úřad, Německo), a finančních úřadů příslušných k vyměření daně z příjmu členů dozorčí rady žadatele, jakož i jeho výkonných ředitelů, vedoucích oddělení, vedoucích účtárny, vedoucích celního oddělení a osob odpovědných za celní záležitosti a osob celní záležitosti vyřizujících?“

28.

Písemná vyjádření předložily Deutsche Post, hlavní celní úřad, vlády Španělska, Maďarska a Itálie, jakož i Komise. Jednání, které se uskutečnilo dne 5. července 2018, se zúčastnily Deutsche Post, hlavní celní úřad a Komise.

29.

Před analýzou podstaty sporu je nutno vyjasnit, které unijní normy upravující ochranu osobních údajů jsou použitelné na tento případ.

30.

Žádost o sdělení údajů byla Deutsche Post předložena dne 19. dubna 2017, tedy předtím, než vstoupilo v platnost (25. května 2018) nařízení 2016/679. V té době platila směrnice 95/46/ES ( 8 ), přestože předkládající soud, stejně jako účastníci řízení o předběžné otázce, s výjimkou Komise, mají za to, že se použije zmíněné nařízení.

31.

Vysvětlení této zjevné anomálie lze nalézt v povaze původního vnitrostátního řízení. Jak bylo vysvětleno na jednání, Deutsche Post nepodala žalobu na neplatnost (Anfechtungsklage), kterou by měl soud posuzovat podle právních předpisů platných v době rozhodné z hlediska skutkového stavu, nýbrž žalobu určovací (Feststellungsklage) ( 9 ), o které musí být rozhodnuto podle právního stavu platného v době jednání a vynesení rozsudku.

32.

Předkládajícímu soudu přísluší vyložit jeho vnitrostátní procesní právo, k němuž se Soudní dvůr nevyjadřuje. Proto pokud se podle vnitrostátních předpisů domnívá, že pro původní řízení je třeba ratione temporis objasnit soulad s nařízením 2016/679 a ne se směrnicí č. 95/46, pak mu Soudní dvůr musí poskytnout výklad nařízení, nikoli směrnice ( 10 ).

33.

Cílem předběžné otázky je výklad, nikoliv případné určení neplatnosti čl. 24 odst. 1 prováděcího nařízení k celnímu kodexu, a za tím účelem je nutno zohlednit nařízení 2016/679 a články 7 a 8 Listiny ( 11 ). Opakuji, že předkládající soud se netáže na možnou neplatnost tohoto článku, který pouze stanoví podmínky pro udělení statusu AEO a sám o sobě nevyžaduje předání ani zpracování osobních údajů třetí stranou.

34.

Status AEO přiznává hospodářským subjektům výhody ( 12 ), neboť v kontextu jejich celních operací jsou považovány za důvěryhodné na celém území Unie (čl. 5 odst. 5 celního kodexu). Mezi tyto výhody patří podle čl. 38 odst. 6 téhož kodexu to, že podléhají příznivějšímu zacházení, než ostatní hospodářské subjekty, pokud jde o celní kontroly. V závislosti na typu uděleného povolení je AEO podroben menšímu počtu fyzických kontrol a kontrol dokumentů.

35.

Vzhledem k tomu, že u AEO musí být prokázána spolehlivost a dobré jméno, je udělení tohoto statusu podmíněno splněním podmínek stanovených článkem 39 celního kodexu ( 13 ), jimiž jsou:

36.

Tyto podmínky se vyžadují ode všech hospodářských subjektů, které žádají o status AEO, ať už jde o právnické nebo fyzické osoby. V této věci, kdy Deutsche Post je právnická osoba, se požadavek aby se nedopustila závažného nebo opakovaného porušení celních a daňových předpisů, a aby nebyla odsouzena za závažné trestné činy v souvislosti s její hospodářskou činností, vztahuje i na některé z jejích pracovníků (takové, kteří mají důležitější funkce, které jsou dále zmíněny) ( 14 ). Tak to formuluje článek 24 prováděcího nařízení k celnímu kodexu, ustanovení přijaté k provedení čl. 39 písm. a) celního kodexu. ( 15 )

37.

Podle článku 24 prováděcího nařízení k celnímu kodexu musí podmínku, že jim nelze vytknout výše uvedené, splňovat „osoba, která je pověřena vedením žadatele nebo která vykonává kontrolu nad řízením společnosti“ a „zaměstnanec odpovědný za celní záležitosti žadatele“ ( 16 ).

38.

Článek 24 prováděcího nařízení k celnímu kodexu určuje hranice, které celní orgány nesmějí ve svých žádostech o informace ve vztahu k okruhu osob, které lze prověřit, překročit. Také jej musí mít na zřeteli v souvislosti s účelem, který má sledovat shromažďování údajů těchto osob.

39.

Logika článku 24 prováděcího nařízení k celnímu kodexu je taková, že pro udělení ( 17 ) statusu AEO musí celní orgány disponovat některými údaji odpovědných osob podniků, stejně jako fyzických osob, které řídí jejich celní záležitosti ( 18 ).

40.

Znění článku 24 prováděcího nařízení k celnímu kodexu je restriktivní: zmiňuje výhradně osobu, která je pověřena vedením (hospodářského subjektu, který žádá o status AEO) nebo která vykonává kontrolu nad řízením tohoto subjektu a zaměstnance odpovědného za celní záležitosti. Ustanovení používá jednotné číslo, takže je namístě striktní výklad, což podporuje i skutečnost, že informace, které se sdělují, jsou osobní údaje. Norma sekundárního práva, která je hierarchicky podřízena článku 24 prováděcího nařízení k celnímu kodexu, jako je příloha 6 nařízení v přenesené pravomoci 2016/341, nemůže rozšířit rozsah jeho osobní působnosti.

41.

Celní orgány tedy mohou shromažďovat pouze osobní údaje, které se týkají:

42.

Vycházeje z tohoto předpokladu, sdílím názor předkládajícího soudu, podle něhož žádost o osobní údaje členů dozorčí rady nebo poradního sboru podniku nemá oporu v článku 24 prováděcího nařízení k celnímu kodexu. V témže smyslu nelze na základě tohoto ustanovení požadovat ani údaje vedoucích dalších oddělení a vedoucích účetního oddělení, ledaže tyto osoby kromě toho v podniku vykonávají konečnou rozhodovací činnost nebo se zabývají jeho celními záležitostmi.

43.

Jak jsem již uvedl, podle článku 24 prováděcího nařízení k celnímu kodexu je možné shromažďovat pouze informace nezbytně nutné pro ověření absence „závažných nebo opakovaných porušení celních a daňových předpisů“, jakož i odsouzení za „závažné trestné činy související s jejich hospodářskou činností“.

44.

To je tedy jediný účel, který má sledovat shromažďování informací celními orgány. Ustanovení nicméně nespecifikuje, jaký typ údajů je vhodný k dosažení jeho cíle: specifikovat je přísluší členským státům, přičemž je jasné, že to mají být výhradně údaje, které jsou nezbytné pro ujištění se (ne)existenci jednání narušujících spolehlivost hlavních řídících pracovníků podniku.

45.

Pro ověření, zda výše zmínění zaměstnanci podniku, který žádá o udělení statusu AEO, postrádají bezúhonnost potřebnou k tomu, aby mohli požívat důvěry celní správy, zmiňuje článek 24 prováděcího nařízení k celnímu kodexu tři kategorie porušení:

46.

Které údaje mohou celní orgány shromažďovat podle článku 24 prováděcího nařízení k celnímu kodexu, aby zjistily existenci těchto porušení, když mají rozhodnout o udělení statusu AEO?

47.

Hlavní celní úřad trvá na tom, že potřebuje DIČ a údaje o finančních úřadech vedoucích pracovníků a pracovníků Deutsche Post, kteří spravují její celní záležitosti. Tvrdí, že jedině tak může zjistit, zda se tito dopustili závažných nebo opakovaných porušení daňových předpisů, neboť v Německu řada daní spadá do pravomoci regionálních orgánů. Pro upřesnění žádosti o potřebné informace o těchto osobách je DIČ základním údajem.

48.

Naproti tomu Deutsche Post tvrdí, že situace jejích pracovníků ve vztahu k dani z příjmu je nepodstatná pro posouzení, zda došlo k závažným nebo opakovaným porušením daňových předpisů. Sdělení DIČ tedy není nezbytné ani vhodné pro posouzení jejich spolehlivosti ohledně správy celních záležitostí.

49.

Z písemných vyjádření a z vysvětlení poskytnutých v průběhu jednání vyplývá, že DIČ je osobní identifikátor používaný ve vztazích fyzických osob s německou celní správou ohledně různých otázek. Panuje shoda na tom, že jeho hlavní využití je pro účely daně z příjmu, což vysvětluje jeho spojení s údaji o finančních úřadech příslušných k jejímu výběru v původním sporu.

50.

Výklad německého práva nepřísluší Soudnímu dvoru, nýbrž předkládajícímu soudu. Tento soud potvrzuje, že DIČ přidělená Spolkovým ústředním daňovým úřadem zaměstnancům Deutsche Post (§ 139a odst. 1 první věta daňového řádu), mohou být shromažďována a uchovávána pouze za účelem výběru daně z příjmu v podobě srážky daně ze mzdy (§ 39e odst. 4 první věta bod 1 zákona o dani z příjmu).

51.

Osobní údaje pracovníků Deutsche Post shromážděné za již popsaným účelem nemají podle předkládajícího soudu přímou souvislost s hospodářskou činností tohoto podniku a nemají proto význam pro posuzování jeho spolehlivosti pro účely v celní oblasti ( 23 ).

52.

Domnívám se nicméně, že z hlediska celních předpisů nic nebrání tomu, aby německá celní správa požadovala DIČ (a určení úřadu příslušného k výběru daně z příjmu) vedoucího pracovníka a osoby odpovědné za celní záležitosti podniku, který žádá o status AEO. Aniž je dotčeno to, co dále uvedu k ochraně osobních údajů, jeho zjištění může sloužit k ověření absence porušení ze strany těchto osob.

53.

Argument předkládajícího soudu by mohl být relevantní, pokud by neexistovala souvislost (na to, zdá se, poukazuje) mezi informacemi, které lze získat z DIČ, jež se nutně vztahují k dotčené fyzické osobě, a činností podniku. Při tomto ověření jde však právě o zjištění, zda se obě fyzické osoby vykonávající důležité funkce v podniku, který se uchází o status AEO, v posledních třech letech dopustily vlastního jednání (to znamená nikoliv v rámci jednání podniku), které zpochybňuje jejich spolehlivost, a tak říkajíc nakazily absencí čestnosti, pokud byly v minulosti trestány, subjekt, jehož celkové řízení nebo řízení celních záležitostí mají na starost.

54.

Stejně jako jiné obdobné údaje daňového charakteru, které tak kvalifikoval Soudní dvůr ( 24 ), je DIČ osobním údajem ve smyslu čl. 4 bod 1 nařízení 2016/679, jakožto informace o identifikované nebo identifikovatelné osobě ( 25 ).

55.

Označení finančních úřadů příslušných k výběru daně z příjmu určité osoby se podle předkládacího usnesení v důsledku federální struktury německého daňového systému jeví jako úzce spjaté s DIČ. V tomto kontextu jej lze podpůrně považovat za daňový údaj o identifikované nebo identifikovatelné osobě.

56.

Jak zdůrazňuje předkládající soud, automatizované vyhledávání DIČ umožňuje přístup ke zvlášť citlivým informacím ( 26 ). Je to tedy nástroj, který umožňuje identifikovat osobu, která je jeho držitelem, a získat určité informace o jeho soukromém a rodinném životě, které má k dispozici veřejná správa.

57.

Činnost, k níž dochází v souvislosti s DIČ ve vztazích celní správy s žadateli o status AEO, může být posouzena jako shromažďování nebo zpřístupnění přenosem. V obou případech dochází ke zpracování osobních údajů ve smyslu čl. 4 bodu 2 nařízení 2016/679. Německá celní správa požaduje DIČ, a uspořádává je a nakládá s nimi tak, aby mohla požádat příslušné finanční úřady o informace ohledně možných závažných či opakovaných porušení daňových předpisů, kterých se dopustily tyto osoby. Pouhé obdržení takových údajů již představuje zpracování, jímž je ve většině případů jejich uspořádání a pozdější využití k získání informací o těchto osobách ( 27 ).

58.

Soudní dvůr stejně tak konstatoval, že dochází ke zpracování údajů, pokud jsou údaje předávány jednou veřejnoprávní institucí druhé ( 28 ), a také tehdy, pokud zaměstnavatel předává osobní údaje vnitrostátnímu orgánu ( 29 ). Předání osobních údajů řídících pracovníků Deutsche Post hlavnímu celnímu úřadu tedy představuje pro účely nařízení 2016/679 „zpracování osobních údajů“.

59.

Článek 5 odst. 1 písm. b) nařízení 2016/679 zdůrazňuje jako hlavní zásadu zpracování účelové omezení, podle něhož „osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný“ ( 30 ).

60.

Je tedy nutné rozhodnout, zda využití DIČ řídících pracovníků a osob odpovědných za celní záležitosti společnosti Deutsche Post německými orgány celní správy, požadovaných od této společnosti, je slučitelné s účelem, který má podle vnitrostátních předpisů shromažďování těchto osobních údajů.

61.

Předkládající soud vyjadřuje v tomto ohledu své pochybnosti ( 31 ) a domnívá se, že mezi DIČ a finančními úřady příslušnými k výběru daně z příjmu řídících pracovníků a zaměstnanců na jedné straně a celními činnostmi Deutsche Post na straně druhé není žádný přímý vztah. Jak se ukázalo na jednání a jak jsem uvedl výše, německé právo stanoví využití těchto daňových údajů v zásadě, i když ne výhradně, v pracovněprávním vztahu mezi zaměstnavatelem a pracovníkem pro účely výběru daně z příjmu.

62.

DIČ (a podpůrně označení finančních úřadů příslušných k výběru daně z příjmu) jsou tedy osobními údaji, které nejsou určeny k použití v rámci vztahů mezi podnikem a německou celní správou pro účely získání nebo udržení statusu AEO. Jde tedy o zpracování osobních údajů, které v zásadě není v souladu s účelem, pro který byly shromážděny, v rozporu s pravidlem podle čl. 5 odst. 1 písm. b) nařízení 2016/679.

63.

Zpracování osobních údajů tohoto druhu by nicméně mohlo být odůvodněné. Stačilo by například, aby dotčené fyzické osoby poskytly svůj souhlas podle čl. 6 odst. 1 písm. a) nařízení 2016/679. V původním řízení bylo nicméně zjištěno, že zaměstnanci Deutsche Post se tomu brání, což toto řešení vylučuje.

64.

Další možná odůvodnění se nacházejí v čl. 6 odst. 1 ( 32 ), podle jehož znění je zpracování osobních údajů zákonné, když je nezbytné „pro splnění právní povinnosti, která se na správce vztahuje“ [písm. c)] nebo „pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce“ [písm. e)] ( 33 ). V obou případech čl. 6 odst. 3 nařízení 2016/679 uvádí, že základ pro zpracování musí být stanoven právem Unie nebo právem členského státu, které se na správce vztahuje.

65.

Zákonnost žádosti o osobní údaje a jejich zpracování, s níž se celní správa obrací na Deutsche Post, má základ v právní povinnosti ( 34 ) uložené této celní správě, a to ověření, že status AEO bude udělen pouze podnikům, jejichž řídící pracovníci a osoby odpovědné za celní záležitosti se nedopustili výše zmíněných porušení. Tato právní povinnost vychází v konečném důsledku z článku 24 prováděcího nařízení k celnímu kodexu. Domnívám se tedy, že je dáno odůvodnění uvedené v čl. 6 odst. 1 písm. c) nařízení 2016/679.

66.

Zákonnost zpracování DIČ řídícího pracovníka a osoby odpovědné za celní záležitosti podniku pro účely udělení statusu AEO může mít oporu i ve „výkonu veřejné moci, kterým je pověřen správce“ [čl. 6 odst. 1 písm. e) nařízení 2016/679] ( 35 ), jelikož toto zpracování je nezbytné k tomu, aby celní správa mohla vykonávat veřejnou moc, která jí byla svěřena za účelem kontroly podniků se statusem AEO. Tento status předpokládá určitou delegaci funkcí v oblasti celní kontroly ve prospěch AEO, která je vyvážena širokým oprávněním správy k ověření a dohledu nad jejich spolehlivostí.

67.

Žádost o údaje, o které se jedná v tomto soudním sporu, a jejich zpracování, které jsou zákonné na základě čl. 6 odst. 1 písm. c) a e), mohou způsobit některá omezení práv, která subjektům těchto osobních údajů přiznávají články 12 až 22 nařízení 2016/679. Předkládajícímu soudu přísluší určit, zda hlavní celní úřad při zpracování těchto údajů omezuje některé z práv dotčených osob, například právo na přístup, právo na opravu, na výmaz nebo na podání námitky.

68.

Taková omezení, pokud by existovala, by mohla být odůvodněna některým z „důležit[ých] cíl[ů] obecného veřejného zájmu Unie nebo členského státu, zejména důležitý[m] hospodářský[m] nebo finanční[m] záj[mem] Unie nebo členského státu, včetně peněžních, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení“ [čl. 23 odst. 1 písm. c) nařízení 2016/679]. Opatření, jímž se omezení ukládají, by mělo mimo jiné respektovat „podstatu základních práv a svobod“ a být „nezbytné a přiměřené […] v demokratické společnosti“ ( 36 ).

69.

Podle mého názoru cíl zajistit spolehlivost v oblasti cel u řídícího pracovníka a osoby odpovědné za celní záležitosti v podniku pro účely udělení statusu AEO odpovídá cíli obecného veřejného zájmu Unie a německého státu z hlediska ekonomického, finančního a rozpočtového. Kontrola spolehlivosti AEO přispěje k výběru cel, která jsou vlastním zdrojem příjmů Unie, a která vybírají členské státy a převádějí je do rozpočtu Unie, po odečtení určitého procenta za administrativní úkony.

70.

Nedostatek bezúhonnosti řídících pracovníků a osob odpovědných za celní záležitosti jsou faktory, které mohou ohrozit celní důvěryhodnost daného podniku, s přímým dopadem na udělení statusu AEO ( 37 ). Jak jsem uvedl ve svém stanovisku ve věci Impresa di Costruzioni Ing. E. Mantovani a Guerrato ( 38 ), je logické, že nedostatek důvěryhodnosti podniku se posuzuje prismatem nezákonného jednání, v němž hrají roli osoby odpovědné za jeho řízení.

71.

Tato okolnost odůvodňuje, aby celní správa mohla zkoumat daňovou historii těchto řídících pracovníků, která obsahuje záznamy, které se týkají daně z příjmu. Pokud se výkonná řídící osoba podniku nebo osoba odpovědná za celní záležitosti dopustila porušení týkajících se výběru této nebo jakékoli jiné daně, pak se domnívám, že celní správa musí mít možnost o nich získat informace.

72.

Ve stejném duchu, shromažďování a použití údajů tohoto typu jsou přiměřenými způsoby, jak dosáhnout cíle stanoveného čl. 24 odst. 1 prováděcího nařízení k celnímu kodexu ( 39 ). Podle tvrzení uvedených v průběhu jednání hlavním celním úřadem neexistují v německém právu jiné alternativní prostředky, které by byly méně omezující, neboť federální struktura německého státu s sebou nese to, že některé daně, jako je daň z příjmu, spravují regionální orgány. DIČ představuje nejvhodnější prostředek k tomu, aby (spolková) celní správa shromáždila a získala daňové informace, které jsou v rukou různých regionálních orgánů ( 40 ).

73.

Je namístě učinit dvě poslední upřesnění:

74.

S ohledem na výše uvedené úvahy navrhuji Soudnímu dvoru odpovědět Finanzgericht Düsseldorf (finanční soud v Düsseldorfu, Německo) následujícím způsobem: