1.

Nařízení (EU) 2016/679 (dále jen „GDPR“) ( 2 ) není úzce použitelný právní předpis. Široce definovaná působnost, soudní rozhodnutí, která z něj v zásadě vyloučila jakékoli výjimky ( 3 ), jakož i na definicích založený, abstraktní a v důsledku poměrně extenzivní přístup k výkladu ( 4 ), to vše přispělo k tomu, že dosah GDPR je prakticky neomezený. S tímto přístupem je v dnešní době skutečně poměrně obtížné najít situaci, v níž by někdo nějaké osobní údaje v určité fázi nějakým způsobem nezpracovával.

2.

Tento přístup vycházející z povýšení ochrany osobních údajů podle článku 8 Listiny základních práv Evropské unie na vše převažující základní (nad-)právo, z něhož vychází, však produkuje ze strany ochrany osobních údajů zřetelné dostředivé účinky na další oblasti práva a spory z nich vyplývající. Řada případů začíná být najednou zobrazována jako záležitost ochrany osobních údajů a předkládána (nejen) tomuto soudu jako věc výkladu GDPR. Specifické otázky v těchto sporech vznesené však někdy nejsou otázkami, o nichž by se předpokládalo, že se budou řídit právní úpravou, jako je nařízení GDPR, a to navzdory jeho poměrně široce vymezené působnosti.

3.

Jen málokdo by si pravděpodobně předem myslel, že na GDPR nebo jeho předchůdce, směrnici 95/46/ES ( 5 ), lze pohlížet tak, že upravuje přístup adeptů na účetního k jejich odpovědím na zkušební otázky, případně ve spojení s jejich právem na opravu takových osobních údajů po proběhnutí zkoušky ( 6 ); nebo že brání identifikaci jednotlivce jako účastníka dopravní nehody ze strany policie, což v důsledku poškozenému brání v podání žaloby na náhradu škody způsobené na jeho vozidle u civilního soudu ( 7 ); nebo že omezuje poskytnutí informace o dani, kterou společnost v úpadku uhradila, insolvenčnímu správci této společnosti v zájmu obnovení rovnováhy mezi soukromoprávními a veřejnoprávními věřiteli v souvislosti s odpůrčími žalobami v insolvenčním řízení ( 8 ); abychom uvedli několik zajímavějších příkladů.

4.

Projednávaná věc je dalším příkladem těchto dostředivých účinků nařízení GDPR. SIA „SS“ je poskytovatelkou online inzertních služeb. V rámci této obchodní činnosti získává osobní údaje osob, které na její webové stránky umisťují inzeráty. Příslušná vnitrostátní daňová správa tuto společnost požádala, aby jí předala určité údaje týkající se inzerátů na ojeté automobily zveřejněných na této webové stránce, a to za účelem zajištění řádného výběru daní z prodeje automobilů. Daňová správa podrobně stanovila formát, ve kterém mají být údaje poskytovány. Rovněž objasnila, že údaje mají být předávány trvale a zjevně bez finanční náhrady.

5.

V této souvislosti se předkládající soud dotazuje na přípustný rozsah takových žádostí o předávání údajů. Stejně jako v předchozích případech i v tomto případě se jeví být nařízení GDPR použitelné. Osobní údaje jsou nebo budou nějakým způsobem někým zpracovávány přinejmenším v pozdější fázi při předávání. Práva subjektů údajů v rámci takového zpracování by měla být chráněna, stejně jako by měly být chráněny osobní údaje. To však neznamená, že GDPR specificky upravuje vztah mezi budoucím správcem (orgánem veřejné moci) a současným správcem (soukromou společností). GDPR následuje údaje a chrání je, ať jsou kdekoli, a reguluje tak povinnosti každého následného správce ve vztahu k údajům a subjektům údajů. GDPR naopak až na několik výslovných výjimek nereguluje konkrétní podrobnosti vzájemného vztahu mezi dvěma po sobě jdoucími správci těchto údajů. GDPR zejména podrobně nestanoví modality vztahu mezi správci, ať už jsou smluvního nebo veřejnoprávního charakteru, podle nichž může jeden požadovat a získávat údaje od druhého.

6.

Bod 31 odůvodnění GDPR zní následovně:

„Orgány veřejné moci, kterým jsou osobní údaje sdělovány na základě právní povinnosti pro účely výkonu jejich úředních povinností, jako jsou daňové a celní orgány, finanční vyšetřovací jednotky, nezávislé správní orgány nebo orgány finančního trhu příslušné pro regulaci trhů s cennými papíry a dohled nad nimi, by neměly být považovány za příjemce, pokud obdrží osobní údaje, které jsou nezbytné pro provedení konkrétního šetření v obecném zájmu v souladu s právem Unie či členského státu. Žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci ani vést k propojení evidencí. Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování.“

7.

Bod 45 odůvodnění GDPR zní následovně:

„Pokud je zpracování prováděno v souladu se zákonnou povinností, která se na správce vztahuje, nebo pokud je zpracování nezbytné ke splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, mělo by mít toto zpracování základ v právu Unie nebo členského státu. Toto nařízení nestanoví požadavek zvláštního právního předpisu pro každé jednotlivé zpracování. Jeden právní předpis jakožto základ pro více operací zpracování údajů založených na právní povinnosti, která se na správce vztahuje, nebo pokud je zpracování nezbytné ke splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, může být dostačující. Právo Unie nebo členského státu by rovněž mělo stanovit účel zpracování. Toto právo by dále mohlo upřesnit obecné podmínky nařízení, kterými se řídí zákonnost zpracování osobních údajů, stanovit podrobnosti týkající se určení správce, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje sdělit, účelového omezení, doby uložení a dalších opatření k zajištění zákonného a spravedlivého zpracování. Právo Unie nebo členského státu by rovněž mělo stanovit, zda by správcem plnícím úkol ve veřejném zájmu nebo při výkonu veřejné moci měl být orgán veřejné moci nebo jiná veřejnoprávní právnická osoba, nebo pokud je to odůvodněno veřejným zájmem, včetně oblasti zdraví, jako je veřejné zdraví a sociální ochrana a řízení zdravotnických služeb, fyzická osoba či soukromoprávní právnická osoba, například profesní sdružení.“

8.

Článek 2 stanoví věcnou působnost GDPR:

„1.   Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

2.   Toto nařízení se nevztahuje na zpracování osobních údajů:

[…]

[…]“

9.

Článek 4 obsahuje definice pro účely GDPR:

„1)   ‚osobními údaji‘ [se rozumí] veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen ‚subjekt údajů‘); […]

2)   ‚zpracováním‘ [se rozumí] jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

[…]

7)   ‚správcem‘ [se rozumí] fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;

8)   ‚zpracovatelem‘ [se rozumí] fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje za správce;

9)   ‚příjemcem‘ [se rozumí] fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;

[…]“

10.

Článek 5 GDPR, nadepsaný „Zásady zpracování osobních údajů“, stanoví:

„1.   Osobní údaje musí být:

2.   Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

11.

Článek 6 GDPR stanoví:

„1.   Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

[…]

[…]

[…]

2.   Členské státy mohou zachovat nebo zavést konkrétnější ustanovení, aby přizpůsobily používání pravidel tohoto nařízení ohledně zpracování ke splnění odst. 1 písm. c) a e) tím, že přesněji určí konkrétní požadavky na zpracování a jiná opatření k zajištění zákonného a spravedlivého zpracování, a to i u jiných zvláštních situací, při nichž dochází ke zpracování, jak stanoví kapitola IX.

3.   Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:

Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Tento právní základ může obsahovat konkrétní ustanovení pro přizpůsobení uplatňování pravidel tohoto nařízení, včetně obecných podmínek, kterými se řídí zákonnost zpracování správcem, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje poskytnout, a účelu tohoto poskytování, účelového omezení, doby uložení a jednotlivých operací zpracování a postupů zpracování, jakož i dalších opatření k zajištění zákonného a spravedlivého zpracování, jako jsou opatření pro jiné zvláštní situace, při nichž dochází ke zpracování, než stanoví kapitola IX. Právo Unie nebo členského státu musí splňovat cíl veřejného zájmu a musí být přiměřené sledovanému legitimnímu cíli.“

12.

Kapitola III, nazvaná „Práva subjektu údajů“, v článcích 12 až 22 stanoví práva a odpovídající povinnosti správců. Článek 23 GDPR tuto kapitolu uzavírá. Nese název „Omezení“ a stanoví, že:

„1.   Právo Unie nebo členského státu, které se na správce nebo zpracovatele vztahuje, může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v článcích 12 až 22 a v článku 34, jakož i v článku 5, v rozsahu, v jakém ustanovení tohoto článku odpovídají právům a povinnostem stanoveným v článcích 12 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:

[…]

[…]

2.   Každé legislativní opatření uvedené v odstavci 1 zejména obsahuje konkrétní ustanovení, alespoň, je-li to relevantní, pokud jde o:

13.

Podle článku 15 odst. 6 Likums „Par nodokļiem un nodevām“ (zákon o daních a poplatcích), ve znění účinném v době relevantní z hlediska skutkového stavu v projednávané věci, jsou poskytovatelé internetových inzertních služeb na žádost povinni poskytnout státní daňové správě informace, které mají k dispozici o osobách povinných k dani, které s využitím uvedených služeb uveřejnily inzeráty, a informace o jimi uveřejněných inzerátech.

14.

Dne 28. srpna 2018 ředitel Nodokļu kontroles pārvalde (oddělení daňové kontroly) Valsts ieņēmumu dienests (státní daňová správa, Lotyšsko) (dále jen „žalovaná“) zaslal SIA „SS“ (dále jen „žalobkyně“) žádost o informace podle čl. 15 odst. 6 zákona o daních a poplatcích.

15.

V této žádosti žalovaná žalobkyni vyzvala, aby žalované opětovně zpřístupnila informace o telefonních číslech inzerentů a číslech karosérie vozidel inzerovaných na internetových stránkách žalobkyně (www.ss.com). Žalovaná rovněž žalobkyni vyzvala, aby do 3. září 2018 poskytla informace o inzerátech uveřejněných v rubrice „Osobní automobily“ internetových stránek v období od 14. července do 31. srpna 2018. Žalobkyně byla vyzvána, aby informace zaslala v elektronické podobě a v takovém formátu, aby údaje mohly být filtrovány a vybírány. Žalobkyně byla rovněž vyzvána, aby do souboru zahrnula následující informace: odkaz na inzerát, text inzerátu, značka vozidla, model, číslo karosérie, cena, telefonní čísla prodávajícího.

16.

Pro případ, že by požadované informace nebylo možné opětovně zpřístupnit, byla žalobkyně vyzvána, aby sdělila důvody a nejpozději třetí den každého měsíce poskytovala uvedené informace k uveřejněným inzerátům.

17.

Žalobkyně proti uvedené žádosti o informace podala správní stížnost k úřadujícímu generálnímu řediteli žalované. Podle žalobkyně nemá rozsah žádosti o informace, které představují osobní údaje ve smyslu čl. 4 odst. 1 GDPR, oporu v zákoně. V žádosti přitom není upřesněna ani konkrétní skupina subjektů údajů, ani účel či rozsah zamýšleného zpracování, ani doba, po kterou má povinnost poskytovat tyto informace trvat. Žalovaná tak jako správce nejednala v souladu se zásadou proporcionality, ani se zásadou minimalizace zpracování osobních údajů, tedy zásadami stanovenými v GDPR, které žalovaná musí dodržovat.

18.

Rozhodnutím ze dne 30. října 2018 (dále jen „napadané rozhodnutí“) žalovaná uvedenou stížnost zamítla a žádost o informace potvrdila.

19.

V odůvodnění rozhodnutí žalovaná v podstatě uvádí, že daňová správa zpracováváním těchto údajů plní úkoly a vykonává pravomoci svěřené jí zákonem. Daňová správa je pověřena výběrem a kontrolou daní a poplatků. Má zákonnou povinnost monitorovat hospodářskou činnost a finanční aktivity fyzických a právnických osob za účelem zajištění úhrady uvedených odvodů do státního a unijního rozpočtu. Pro účely plnění těchto úkolů svěřuje zákon žalované pravomoc shromažďovat dokumenty a informace nezbytné pro zaúčtování a zaevidování skutečností zakládajících daňovou povinnost nebo pro kontrolu daní a poplatků. Konkrétně podle čl. 15 odst. 6 zákona o daních a poplatcích jsou poskytovatelé internetových inzertních služeb na žádost daňové správy povinni poskytnout informace, které mají k dispozici o osobách povinných k dani, které s využitím uvedených služeb uveřejnily inzeráty, a informace o jimi uveřejněných inzerátech. Důvěrné informace v držení žalované jsou chráněny zákonem, a to konkrétně v podobě zákazu uloženého zaměstnancům daňové správy zpřístupnit je. Z toho by vyplývalo, že žádost o informace je zákonná.

20.

Proti napadenému rozhodnutí podala žalobkyně k Administratīvā rajona tiesa (správní soud prvního stupně, Lotyšsko) žalobu na neplatnost, ve které tvrdí, že v odůvodnění rozhodnutí není uveden ani konkrétní účel zpracování údajů, ani kritéria pro výběr informace požadované v souvislosti s konkrétní skupinou identifikovatelných osob.

21.

Administratīvā rajona tiesa (správní soud prvního stupně) rozsudkem ze dne 21. května 2019 žalobu zamítl. V zásadě přisvědčil argumentaci žalované, podle které nelze množství informací o kterékoli osobě, k nimž může mít daňová správa přístup, nijak omezit, ledaže by dotčené informace byly považovány za neslučitelné s cíli správy daní a poplatků. Podle uvedeného rozsudku byly požadované informace nezbytné k identifikaci neohlášené hospodářské činnosti. Ustanovení GDPR se vztahují pouze na žalobkyni jako poskytovatele služeb, nikoli na daňovou správu.

22.

Žalobkyně se proti uvedenému rozhodnutí odvolala k Administratīvā apgabaltiesa (regionální správní soud, Lotyško). Podle žalobkyně se nařízení GDPR na daný případ vztahuje. V souvislosti s osobními údaji získanými prostřednictvím žádosti o informace musí být žalovaná považována za správce ve smyslu uvedeného nařízení, a musí tedy dodržovat požadavky v něm stanovené. Žalovaná ovšem vystavením žádosti o informace porušila zásadu proporcionality, protože v ní požaduje, aby jí bylo každý měsíc poskytnuto značné množství údajů týkajících se neurčitého počtu inzerátů, aniž v ní uvádí konkrétní osoby povinné k dani, u kterých byla zahájena daňová kontrola. Žalobkyně tvrdí, že v žádosti o informace není zmínka o tom, jakou dlouho má trvat jí uložená povinnost poskytovat informace uvedené v žádosti žalované. Má tudíž za to, že žalovaná porušila zásady zpracování osobních údajů vyjmenované v článku 5 GDPR (zákonnost, korektnost a transparentnost). Tvrdí, že ani v žádosti o informace, ani v odůvodnění rozhodnutí není specifikován konkrétní rámec (účel), do kterého žalovanou zamýšlené zpracování informací spadá, ani nezbytné množství informací (minimalizace údajů). Podle jejího názoru musí správní orgán v žádosti o informace uvést jasně definovaná kritéria, podle kterých se mají vybírat informace vyžádané tímto orgánem ve vztahu k určité konkrétní skupině identifikovatelných osob.

23.

Dle předkládajícího soudu nelze s jistotou učinit závěr, že lze tuto žádost o informace považovat za „řádně odůvodněn[ou]“ a „týk[ající] se jednotlivého případu“ a že se nevztahuje na všechny informace uvedené v rubrice „Osobní automobily“ internetových stránek žalobkyně vzhledem k tomu, že má daňová správa v podstatě v úmyslu provádět průběžnou a vyčerpávající kontrolu. Předkládající soud má pochybnosti o tom, zda lze žalovanou zamýšlené zpracování osobních údajů považovat za slučitelné s platnými pravidly pro ochranu osobních údajů podle účelů zpracování ve smyslu bodu 31 odůvodnění GDPR. Je proto nezbytné určit kritéria pro posouzení, zda žádost žalované o informace respektuje základní práva a svobody a zda ji lze považovat za nezbytnou a přiměřenou v demokratické společnosti s cílem zajistit důležité cíle veřejného zájmu Unie a Lotyšska v oblasti rozpočtu a daní.

24.

V předmětné žádosti o informace není podle předkládajícího soudu zmíněno žádné „zvláštní šetření“, které by žalovaná ve smyslu ustanovení GDPR vedla. V uvedené žádosti o informace nejsou požadovány informace o konkrétních osobách, nýbrž o všech subjektech údajů, které uveřejnily inzerát v rubrice „Osobní automobily“ dotčených internetových stránek. Daňová správa rovněž požaduje, aby tyto informace byly poskytovány nejpozději třetí den každého měsíce (a žalobkyně tedy musí žalované poskytnout všechny informace o inzerátech zveřejněných v předchozím měsíci). S ohledem na výše uvedené má předkládající soud pochybnosti o souladu takového postupu vnitrostátního orgánu s požadavky stanovenými v GDPR.

25.

Za těchto skutkových a právních okolností se Administratīvā apgabaltiesa (odvolací správní soud) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

26.

Vyjádření předložily belgická, řecká, španělská a lotyšská vláda, jakož i Evropská komise. Na písemné otázky Soudu v souladu s čl. 61 odst. 1 jednacího řádu Soudního dvora spolu s Komisí odpověděla žalobkyně, belgická, španělská a lotyšská vláda.

27.

Toto stanovisko je strukturováno následovně. Začnu tím, že se budu zabývat otázkou, zda je GDPR použitelné na žádost orgánu veřejné moci o předání určitého množství osobních údajů adresovanou správci. S ohledem na otázky předkládajícího soudu je úvodem nutné objasnit dvě věci: kdo je ve sporu v původním řízení kým a jaká konkrétní pravidla pro tyto případy stanoví GDPR (A). Dále se budu zabývat (základním) právním rámcem, který vyplývá z GDPR, pokud jde o žádosti o předávání údajů adresované orgány veřejné správy soukromým podnikům (B). Na závěr uvedu několik poznámek k tomu, co přinejmenším podle mého názoru představuje skutečně trnitou otázku projednávané věci, ačkoli ji předkládající soud výslovně nevznesl (C).

28.

Předkládající soud vznesl devět otázek, z nichž se každá tak či onak týká zákonnosti konkrétních žádostí daňové správy o předávání určitých osobních údajů od soukromých podniků vydaných za účelem výběru daní a odhalování daňových úniků. Předmětné osobní údaje soukromý podnik získal od subjektů údajů v rámci své pravidelné obchodní činnosti.

29.

Z devíti vznesených otázek však není zřejmé, kdo přesně má jaké povinnosti a na základě kterého ustanovení GDPR. Tato nejednoznačnost je příznačná pro značnou míru nejistoty, jde-li o zarámování projednávané věci, a to přinejmenším ze dvou důvodů.

30.

Zaprvé, kdo je v projednávané věci kým v pojmech stanovených GDPR? Případ se týká předávání určitých údajů z většího souboru údajů, které shromáždil a kontroluje soukromý podnik, od soukromého podniku veřejnému orgánu. To je konkrétní operací zpracování ve smyslu čl. 4 odst. 2 GDPR, která tvoří základ otázek položených Soudnímu dvoru.

31.

Rovněž se však jeví, že pokud jde o toto předávání údajů, předkládající soud již daňovou správu (žalovanou) ve vztahu k této konkrétní operaci zpracování za správce považuje ( 9 ). Tento předpoklad, který je základem celého předkládacího rozhodnutí, je výslovně vyjádřen v otázkách 6 a 9. Je tedy třeba předběžně objasnit: kdo přesně má v projednávané věci dodržovat GDPR? Kdo je v případě této konkrétní operace zpracování správcem? (2)

32.

Zadruhé v důsledku této nejistoty vyvstává ještě jedna důležitá otázka: která konkrétní ustanovení GDPR se na žádosti o předání údajů vztahují a která z těchto ustanovení konkrétně se týkají druhu a množství údajů, které může orgán veřejné moci od soukromého podniku požadovat? V tomto ohledu je příznačné, že tři z otázek předkládajícího soudu zmiňují pouze čl. 5 odst. 1 GDPR, průřezové ustanovení, které stanoví zásady pro zpracování osobních údajů kterýmkoli správcem. Naproti tomu ostatní otázky odkazují pouze na „požadavky stanoven[é] v GDPR“, aniž upřesňují, která konkrétní ustanovení by měla tyto požadavky obsahovat.

33.

Je tedy třeba nejprve objasnit, která ustanovení GDPR se použijí, zejména pokud jde o vztah mezi žalujícím podnikem a žalovanou daňovou správou. Jak GDPR upravuje takové žádosti o předání údajů a vzájemná práva a povinnosti mezi soukromým podnikem a orgánem veřejné správy? (3)

34.

Než se vypořádám s těmito dvěma otázkami, připomenu, proč podle mého názoru na uplatňování a soulad s GDPR nelze pohlížet abstraktně a definice interpretovat bez vazby na konkrétní operaci zpracování, která má sloužit jako výchozí bod. Teprve po tomto vysvětlení je možné subjekty a jejich příslušné povinnosti správně analyzovat (1).

35.

V projednávané věci se všechny zúčastněné strany včetně lotyšské vlády shodují na tom, že pokud je výchozí bod analýzy založen na legislativních definicích „osobních údajů“ a „zpracování“ stanovených v článku 4 GDPR, pak je tento nástroj na věc v původním řízení rozhodně použitelný.

36.

Zaprvé údaje, kterých se žádost o informace týká, jsou osobními údaji ve smyslu čl. 4 odst. 1 GDPR. Požadované informace, jako je telefonní číslo subjektu údajů nebo číslo karosérie automobilu, představují „informace týkající se identifikované nebo identifikovatelné osoby“. Tyto informace skutečně umožňují identifikovat prodejce automobilů, a tedy i osoby potenciálně povinné k dani.

37.

Zadruhé z ustálené judikatury vyplývá, že sdělení údajů ( 10 ) nebo zpřístupnění osobních údajů přenosem jako v případě ukládání nebo jiného způsobu zpřístupnění údajů představuje zpracování ( 11 ). „Zpřístupnění přenosem“ je koneckonců zahrnuto do seznamu operací zpracování podle čl. 4 odst. 2 GDPR.

38.

Zatřetí toto zpracování osobních údajů je jasně prováděno automatizovanými prostředky ve smyslu čl. 2 odst. 1 GDPR.

39.

Žádná z výjimek – která by v každém případě musela být vykládána restriktivně ( 12 ) – není v projednávané věci použitelná. S ohledem na rozsudek Österreischischer Rundfunk a další ( 13 ), a zejména s ohledem na nedávný rozsudek ve věci Penalty Points ( 14 ), nelze tvrdit, že ke zpracování dotčených osobních údajů došlo „při výkonu činností, které nespadají do oblasti působnosti práva Unie“ ve smyslu čl. 2 odst. 2 písm. a) GDPR.

40.

Rovněž se nejeví, že by se uplatnila výjimka dle čl. 2 odst. 2 písm. d) GDPR. „Příslušnými orgány“ ve smyslu tohoto ustanovení se jeví být orgány, jako je policie nebo státní zastupitelství ( 15 ). Nezahrnují daňovou správu jednající za účelem výběru daní, a tím méně pak poskytovatele internetových inzertních služeb. I když by navíc zpracování údajů příslušnými orgány daňové správy mohlo v některých případech nakonec vést k odhalení trestného činu ve formě daňového podvodu, je to v této fázi pouze hypotetická možnost ( 16 ).

41.

Přistoupíme-li k projednávané věci tímto způsobem, dojdeme k závěru, že se na ni GDPR skutečně vztahuje: dotýká se osobních údajů, které jsou zpracovávány automatizovanými prostředky. Jak však již bylo zmíněno v úvodu tohoto stanoviska, takový přístup založený na extenzivním výkladu relevantních pojmů podle článku 4 GDPR, jako jsou „zpracování“ ( 17 ), „osobní údaje“ ( 18 ) nebo „správce“ ( 19 ), který jde mimo rámec jakékoli konkrétní operace zpracování, by znamenal, že jakékoliv sdělení jakékoliv informace by se řídilo GDPR.

42.

Za účelem správného výkladu povinností všech zúčastněných aktérů by výchozím bodem analýzy podle GDPR měla být jasná identifikace konkrétní operace zpracování. Teprve poté lze přistoupit k řádnému posouzení povinností, které pro danou konkrétní operaci zpracování vznikají na základě GDPR konkrétním subjektům zapojeným do zpracování ( 20 ). Reguluje se konkrétní operace zpracování, práce na datech a s daty. Regulační logika GDPR je zaměřena na výkon a procesy, a je tedy nutně dynamická.

43.

Co je v tomto případě konkrétní operací zpracování? Vyřizování takových žádostí o informace, jako jsou žádosti ve věci v původním řízení, nepochybně vyžaduje zpracování osobních údajů, na které se vztahuje GDPR. V projednávané věci jsou dva různé subjekty, které v určité fázi údaje zpracovávají. Ve svých otázkách se předkládající soud zaměřuje na zpracování žalovanou, kterou je vnitrostátní daňová správa. Ze skutkových okolností případu však vyplývá, že nejprve musí údaje zpracovat žalobkyně, tedy soukromý podnik.

44.

V rozsudku ve věci Fashion ID ( 21 ) se Soudní dvůr zabýval konkrétními spornými operacemi zpracování údajů za účelem identifikace příslušných správců. Soudní dvůr zjistil, že pojem „správce“ nemusí nutně odkazovat na jediný subjekt a může se týkat několika aktérů podílejících se na zpracování, přičemž příslušná ustanovení o ochraně údajů se pak vztahují na každého z nich ( 22 ). Fyzickou nebo právnickou osobu však nelze považovat za správce ve smyslu uvedeného ustanovení v souvislosti s operacemi, které v postupu zpracování předcházely nebo následují a pro které neurčuje účely ani prostředky ( 23 ).

45.

V projednávaném případě bude žalovaná pravděpodobně správcem, jakmile obdrží požadované údaje od žalobkyně a začne je zpracovávat ve smyslu čl. 4 odst. 2 GDPR ( 24 ). V této fázi žalovaná nejen že zahájí zpracování údajů, ale také pravděpodobně určí prostředky a účely vlastního zpracování pro účely čl. 4 odst. 7 GDPR. Při provádění jakýchkoli budoucích operací zpracování údajů bude poté žalovaná muset dodržovat – pokud členský stát nepřijme v tomto ohledu žádná omezení podle článku 23 GDPR – zásady týkající se kvality údajů stanovené v článku 5 GDPR a své operace zpracování opřít o jeden ze scénářů podle čl. 6 odst. 1 GDPR ( 25 ).

46.

Z předkládacího rozhodnutí však vyplývá, že řízení v dané věci do této fáze dosud nedospělo. Daňová správa nemá požadované údaje k dispozici. Nemohla tedy zahájit žádnou operaci zpracování těchto dat. Soudní dvůr dále neobdržel žádné informace o tom, jak má žalovaná v úmyslu s údaji naložit, ani o druhu zpracování, které by provedla.

47.

Doposud se stalo jen to, že daňová správa požádala soukromý podnik o poskytnutí určitého souboru údajů. To samo o sobě není zpracováním osobních údajů, v každém případě ne těch dosud neobdržených. V rámci tohoto scénáře zůstává správcem údajů žalobkyně, soukromá společnost, jelikož údaje získala na základě své vlastní činnosti, a tedy pro jasně vymezené prostředky a účely. Během zpracování údajů v držení žalobkyně za účelem sdělení těchto údajů žalované podle stanovených podmínek zůstává pro účely této operace zpracování žalobkyně správcem. Toto další zpracování provádí sama žalobkyně ( 26 ).

48.

V této souvislosti a v souladu s čl. 6 odst. 1 písm. c) GDPR tím žalobkyně zajišťuje dodržování právní povinnosti, které jako správce podléhá, a to konkrétně dle čl. 15 odst. 6 zákona o daních a poplatcích. Jako správce je žalobkyně rovněž povinna osobní údaje zpracovávat a poskytovat je žalované v souladu s GDPR. Předkládající soud se však nedotazuje na rozsah zpracování údajů, které jsou od žalobkyně ve sporné žádosti požadovány. Předkládající soud totiž nepoložil žádné otázky, které by se týkaly povinností, které z GDPR případně plynou žalobkyni při takovém zpracování.

49.

Ze zaměření se na žalovanou jako na předpokládaného nositele povinností podle GDPR se jeví, že se předkládající soud zajímá o (právní) základ pro zpracování ve smyslu čl. 6 odst. 3 GDPR, tedy o čl. 15 odst. 6 zákona o daních a poplatcích, který byl dále doplněn žádostmi o informace ze strany žalované.

50.

Stručně řečeno, klíčovou otázkou, na které je založeno všech devět otázek předkládajícího soudu, se jeví být rozsah a podmínky předávání osobních údajů mezi dvěma po sobě jdoucími správci ( 27 ). Která ustanovení GDPR, pokud vůbec, upravují vztah mezi po sobě následujícími správci? Stanoví GDPR nějaká (věcná nebo časová) omezení pro rozsah a typ předávání osobních údajů mezi dvěma správci, v daném případě mezi soukromým podnikem a orgánem veřejné správy? Všechny tyto otázky se týkají právního základu pro získání osobních údajů a operace zpracování se vlastně netýkají.

51.

Nařízení GDPR se primárně zabývá ochranou osobních údajů subjektů údajů a vztahem mezi těmito subjekty a jakýmkoli subjektem zpracovávajícím jejich údaje. Za tímto účelem GDPR stanoví práva subjektů údajů a povinnosti příslušných správců při zpracování osobních údajů.

52.

Daná regulační logika se zaměřuje na údaje a subjekty, které k nim přistupují a pracují s nimi. V GDPR je velmi málo ustanovení, která by přímo a výslovně regulovala vztah mezi subjekty, které údaje zpracovávají ( 28 ). Je pravda, že GDPR do těchto vztahů zasahuje nepřímo. Ukládá každému následnému subjektu, který údaje získá, povinnost údaje a práva subjektů údajů chránit. Tímto způsobem GDPR skutečně pro zveřejňování a předávání údajů určité podmínky stanoví. To však neznamená, že by GDPR vztahy mezi těmito subjekty přímo upravovalo.

53.

Pokud by se na údaje mělo pohlížet jako na zboží, pak je regulační logika GDPR analogická specifickému veřejnoprávnímu režimu stanovenému pro určité druhy (vzácného, uměleckého, historického) zboží. Tento režim stanoví pro dané zboží určitá omezení: jak má být vyrobeno, jak má být použito, za jakých podmínek může být změněno, skladováno, opětovně prodáno nebo zničeno. Takový zvláštní režim chrání zboží, a tím nepřímo zavazuje každého jeho následného vlastníka nebo držitele. Tento zvláštní režim však sám o sobě zůstává vázán na zboží. Neupravuje ani soukromá ujednání, podle nichž může být dané zboží mezi dvěma soukromými subjekty prodáváno, ani podmínky, za kterých by zboží mohlo nebo muselo být předáno soukromým subjektem subjektu veřejnému. Regulace zboží se liší od regulace souvisejícího právního titulu a obchodování s ním.

54.

GDPR lze smysluplně interpretovat pouze na základě objasnění jeho regulatorní logiky a se zaměřením na konkrétní operaci zpracování jako na základ povinností, které z GDPR případně vyplývají. V opačném případě by GDPR bylo použitelné vždy, zatímco ani při sebevíce kreativním výkladu jednoduše nebude existovat žádné ustanovení, které by konkrétní předloženou otázku upravovalo. Nevyhnutelným výsledkem takových případů bude, že GDPR nebrání určitým vnitrostátním právním předpisům nebo praxi. To, že jim „nebrání“ však nemusí být nutně důsledkem toho, že jsou vnitrostátní režimy v zásadě zákonné, nýbrž toho, že GDPR takovou otázku jednoduše neupravuje, i když se tak či onak osobních údajů týká.

55.

Judikatura Soudního dvora je s takovými „falešně pozitivními“ případy obeznámena, jde-li o různé povinnosti poskytnout údaje z různých důvodů stanovené vnitrostátním právem. Opět platí, že většina těchto případů se netýká probíhající operace zpracování jako takové, nýbrž spíše otázky právního základu budoucí operace zpracování. Pohybují se od zahájení občanskoprávního řízení za účelem vymáhání autorských práv ( 29 ) až po řádnou správu veřejných prostředků ( 30 ) nebo ochranu národní bezpečnosti ( 31 ). Příklady pod stejnou hlavičkou zahrnují i věci jako Rigas satiksme ( 32 ), Promusicae ( 33 ), Bonnier ( 34 ) nebo J & S Service ( 35 ).

56.

Ve všech těchto situacích bylo nařízení GDPR bezpochyby použitelné, pokud jde o práva subjektů údajů vůči správci (správcům) v souvislosti s konkrétními operacemi zpracování, které byly právě provedeny nebo měly být provedeny. Regulační logika a správný rozsah působnosti nařízení GDPR však musí, znovu opakuji, následovat tok údajů a zajistit ochranu osobních údajů v rámci operací zpracování. Účelem není regulovat jakýkoli vztah „po proudu“ mezi různými entitami, které by mohly mít údaje v držení, ani to, proč a jak by se k těmto údajům mohly dostat. Jinými slovy, GDPR nezaručuje žádná „práva“ jednomu správci vůči jinému správci.

57.

Tím nechci říci, že by tyto otázky nebyly právem upraveny. Jsou, ale jinými nástroji zabývajícími se především vymáháním práva. Právní základ pro zpracování vyžadovaný článkem 6 odst. 3 GDPR se nachází právě v těchto nástrojích. Jde-li o povinné předávání osobních údajů, takové případy předávání totiž bývají spíše logicky stanoveny v „nástrojích upravujících vymáhání práva“, ať už podle práva EU ( 36 ) nebo vnitrostátního práva. Jde-li o dobrovolné předávání osobních údajů, v míře možné a přípustné dle veřejnoprávního režimu daného v GDPR, bude ve vztahu k typu ujednání mezi příslušnými po sobě jdoucími správci základem pro takové předání údajů vnitrostátní obchodní nebo závazkové právo.

58.

Vezmeme-li v úvahu uvedená objasnění, v projednávané věci se podle mého názoru (dosud) o žádnou operaci zpracování nejedná. Jedná se o právní základ pro takové zpracování, což je záležitost, kterou GDPR zmiňuje, ale samo přímo neupravuje. Nicméně ve snaze být předkládajícímu soudu plně nápomocen v následující části tohoto stanoviska uvádím nástin základního rámce, který z GDPR vyplývá a který se na operaci zpracování použije, jakmile je správcem, soukromým podnikem, provedena (B). Cílem GDPR je chránit subjekt údajů, a nikoli chránit soukromý podnik před veřejným zásahem do svobody podnikání nebo jeho vlastnického práva v podobě využívání údajů. Nechci tím naznačit, že by tyto zásahy nemohly vyvolávat oprávněné obavy, ale spíše to, že budou stěží upraveny v GDPR (C).

59.

Následuje poměrně obecná diskuse o právním základu pro zpracování údajů, které by žalobkyně musela při vyřizování žádosti žalované o informace provést. V tomto ohledu bude relevantním ustanovením pravděpodobně článek 6 GDPR a zejména jeho odstavce 1 a 3 vykládané ve světle bodu 45 odůvodnění.

60.

Úvodem je třeba zmínit skutečnost, že Soudnímu dvoru nebyly poskytnuty žádné konkrétní informace o dalších vnitrostátních předpisech o ochraně údajů použitelných za okolností v původním řízení. Soudní dvůr navíc neobdržel žádné informace o tom, zda kromě čl. 15 odst. 6 zákona o daních a poplatcích existují další obecně závazné vnitrostátní akty (například vyhláška nebo prováděcí pokyny), které by dále upravovaly spornou povinnost poskytovatelů služeb (internetové inzerce) poskytovat určité údaje daňové správě. Velmi málo informací je také k dispozici o vnitrostátním legislativním rámci provádějícím GDPR obecně.

61.

Dále nebylo objasněno, zda čl. byl 23 odst. 1 písm. e) GDPR do vnitrostátního práva jakkoli proveden. To, zda toto ustanovení unijního práva bylo či nebylo provedeno, nemá vliv na určení zákonnosti žádosti o předání informací. Je to však relevantní pro stanovení rozsahu a povahy povinností, které následný správce (orgán veřejné moci) může mít vůči subjektům údajů, jakož i pro stanovení povinností původního správce a informací, které má původní správce poskytnout subjektům údajů.

62.

V důsledku výše uvedeného je následující diskuse nutně poněkud obecná. Budu se zabývat zásadami, které vyplývají z článku 6 GDPR pro budoucí zpracování, které má být provedeno soukromým podnikem za účelem vyhovění žádosti orgánu veřejné moci o údaje, a to nejprve z hlediska účelu předávání takových údajů (1) a jejich rozsahu a trvání (2). Poté se zaměřím na právní základ pro předávání takových údajů, protože požadavky týkající se právního základu se vyjasní, jakmile budou vyřešeny předchozí dílčí problémy (3).

63.

Obecně je účel, pro který daňová správa poskytnutí osobních údajů v původním řízení požaduje, bezpochyby legitimní. Zajištění řádného výběru daní a odhalování potenciálních porušení daňové povinnosti jistě spadá pod typy legitimních cílů a účelů zpracování údajů podle čl. 6 odst. 1 a 3 GDPR ( 37 ).

64.

Klíčem k problémům nastoleným v projednávané věci je míra abstrakce, s jakou by takový cíl měl být stanoven. V tomto ohledu se jeví, že existuje jistá míra nejasnosti, pokud jde o rozlišování dvou konkrétních typů cílů: i) vyhledávání určitých druhů informací (za účelem detekce porušení zákona) na straně jedné a ii) ověření toho, že došlo k určitému protiprávnímu jednání (a snaha o poskytnutí bližších údajů za účelem potvrzení tohoto předpokladu) na straně druhé.

65.

Povaha (a rozsah) obou typů předávání údajů se bude lišit. Vyhledávání a detekce jsou koncipovány ex ante, široce a do značné míry neurčitě, jde-li o konkrétní subjekty údajů. Je-li cílem detekovat možná porušení, pak má být metaforická síť vržena poměrně zeširoka. Naproti tomu ověřování potenciálních porušení prostřednictvím poskytnutí příslušných údajů může být mnohem nuancovanější a cílenější. Je koncipováno mnohem více ex post a zaměřeno na ověřování určitých podezření, která se obvykle týkají již rozpoznatelného subjektu údajů.

66.

Podle mého názoru článek 6 nařízení GDPR umožňuje obě varianty. Článek 6 odst. 3 nařízení GDPR však pro obojí z těchto typů předávání údajů vyžaduje jasný právní základ.

67.

V kontextu projednávané věci nicméně chápu váhání předkládajícího soudu, vezmeme-li v úvahu znění čl. 15 odst. 6 zákona o daních a poplatcích. Ve znění, které zjevně platilo v době, kdy předkládající soud žádost o rozhodnutí o předběžné otázce podal, stálo, že poskytovatelé internetových inzertních služeb mohou být na žádost státní daňové správy povinni poskytnout informace o (příslušných) daňových subjektech.

68.

Jeví se tedy, že v projednávané věci se účel poskytování údajů stanovený v příslušném právním základu podobá druhé variantě načrtnuté výše: ověřování určitých informací s ohledem na konkrétní daňové subjekty. Vnitrostátní daňová správa však podle všeho tento právní základ použila k tomu, co se jeví jako požadavek na (neomezené) předávání údajů nebo dokonce přímý sběr dat za účelem obecného vyhledávání a detekce, což spadá do první varianty nastíněné výše. V tomto tkví logická disonance, která se jeví být jádrem věci projednávané na vnitrostátní úrovni, což vede k nejasnostem jak ohledně přiměřenosti takového opatření (2), tak jeho řádného právního základu (3).

69.

Přiměřenost se stejně jako „minimalizace“ týká zkoumání vztahu mezi (proklamovanými) cíli a (zvolenými) prostředky. Problém v projednávané věci spočívá v tom, že se posouzení přiměřenosti pravděpodobně bude lišit v závislosti na tom, který z cílů je ze dvou právě uvedených (ideálních ( 38 )) variant vybrán.

70.

V rámci „vyhledávání a detekce“ veřejné orgány vrhnou svou síť za účelem vyhledání relevantních informací co možná nejvíce zeširoka. To s sebou může nést zpracování velkého množství údajů. Potřeba získávat a zpracovávat větší datové soubory je totiž tomuto typu obecného a neurčitého vyhledávání informací vlastní. V rámci této varianty se přiměřenost a minimalizace zpracování údajů mohou skutečně týkat pouze druhu požadovaných údajů, ve kterých lze potřebné informace případně nalézt ( 39 ).

71.

V rámci „ověřování“, kdy veřejné orgány potřebují získat důkazy týkající se obsahu konkrétní transakce nebo souboru transakcí, může být posouzení přiměřenosti přirozeně náročnější. Daňová správa se pak může za účelem provedení kontroly ex post dotazovat pouze na konkrétní transakce provedené v konkrétní době, obvykle se zaměřením na konkrétní osobu či osoby povinné k dani. Žádosti o informace proto pravděpodobně budou přizpůsobeny konkrétním údajům, které tento druh informací obsahují.

72.

V mých očích se logika bodu 31 odůvodnění GDPR patrně týká pouze posledně uvedené varianty. Druhá věta tohoto bodu odůvodnění, o kterou se zúčastněné strany a zejména Komise opírají a hojně ji diskutují, uvádí, že žádosti o poskytnutí osobních údajů zaslané orgány veřejné moci by měly být vždy písemné a odůvodněné, měly by se týkat jednotlivého případu a neměly by se vztahovat na celou evidenci ani vést k propojení evidencí.

73.

Podle mého názoru však není možné bod odůvodnění nařízení (jeho část) vyjmout z kontextu, zacházet s ním jako s nezávislým a závazným ustanovením, i když nemá obdobu v právně závazném textu tohoto nástroje ( 40 ), a na tomto základě prohlásit, že jakékoli předávání osobních údajů orgánům veřejné moci může probíhat pouze za těchto podmínek. Jednoduše nemohu přijmout názor, že část bodu 31 odůvodnění, brána izolovaně, zakazuje veškerá rozsáhlejší předávání údajů orgánům veřejné správy, a to i ta, pro která je dán odpovídající právní základ (ve vnitrostátním nebo unijním právu) a která probíhají v souladu se všemi závaznými ustanovení GDPR.

74.

V rámci projednávané věci lotyšská vláda uvedla, že množství požadovaných informací lze považovat za přiměřené, jelikož žádost o poskytnutí zahrnuje pouze inzeráty zveřejněné v rubrice „Osobní automobily“, což je 1 ze 112 rubrik příslušné internetové stránky provozované žalobkyní. Belgická a španělská vláda doplnily, že podle jejich názoru není problém v množství údajů, ale spíše v druhu požadovaných údajů.

75.

S těmito připomínkami souhlasím.

76.

Přiměřenost v případě vyhledávání a detekce ex ante představuje „kontrolu kvality“ ve vztahu k druhu požadovaných údajů. Pouze pro ex post ověřování určitých skutečností lze plně uplatnit „kvantitativní kontrolu“. Pokud by tomu bylo jinak, většina prostředků pro monitorování nebo sledování údajů by byla v praxi vyloučena.

77.

Pokud v unijním nebo vnitrostátním právu existuje vhodný právní základ, může vnitrostátní daňová správa v zásadě požadovat všechny údaje nezbytné pro druh kontroly, kterou potřebuje provést, a to bez jakéhokoli časového omezení. Jediným omezením vyplývajícím z GDPR je přiměřenost co do druhu požadovaných údajů. Jak správně zdůrazňuje řecká vláda, žádosti o informace by měly být omezeny na druh údajů týkající se hospodářské činnosti osob povinných k dani, a nikoliv jejich soukromého života.

78.

Abychom uvedli příklad, je-li stanoveným účelem zjišťování nenahlášených příjmů z prodeje ojetých automobilů, nemá daňová správa právo požadovat také informace o tom, zda osoba prodávající auto má, či nemá zrzavé vlasy, zda dodržuje určitou dietu nebo zda vlastní bazén. Druh požadovaných informací proto musí jasně souviset s deklarovaným vyhledáváním a vyšetřováním.

79.

Vnitrostátnímu soudu pak přísluší posoudit přiměřenost u jakékoli ze dvou výše uvedených variant ve světle skutkových a právních okolností jednotlivých případů ( 41 ). V projednávané věci je jednoduše řečeno třeba si položit otázku, zda je druh požadovaných údajů vhodný k tomu, aby žalovaná získala informace nezbytné k uskutečnění stanoveného cíle.

80.

A konečně teprve nyní může být s ohledem na právě objasněné smysluplně posouzena klíčová otázka právního základu. Aby mohla žalobkyně zpracování provést, obě varianty popsané v předchozích bodech tohoto stanoviska („vyhledávání a detekce“ a „ověřování“) přirozeně vyžadují právní základ ve smyslu čl. 6 odst. 3 GDPR. Toto ustanovení výslovně umožňuje konkrétní úpravu aplikace obecných pravidel stanovených v GDPR, ať už prostřednictvím unijního práva nebo práva členských států.

81.

V každém případě však musí zvolený právní základ logicky zahrnovat konkrétní účel a druh zpracování prováděného za tímto účelem. Jak přesně bude probíhat je věcí konkrétních ustanovení pro přizpůsobení uplatňování pravidel GDPR přijatých členským státem nebo Unií podle čl. 6 odst. 3 tohoto nařízení. Obecně platí, že čím obecnější, rozsáhlejší a trvalejší předávání údajů jsou, tím robustnější, podrobnější a výslovnější musí být právní základ, protože taková předávání údajů představují větší zásah do ochrany údajů. Naopak čím diskrétnější a omezenější žádosti o zpřístupnění jsou – obvykle zaměřené pouze na jeden nebo několik subjektů údajů, nebo dokonce zaměřené na omezené množství údajů –, tím pravděpodobnější je, že takové žádosti lze provést na úrovni jednotlivých správních žádostí, přičemž legislativní zmocnění může být poměrně široké a obecné.

82.

Jinými slovy, dvě regulatorní vrstvy, a to legislativní a správní, které tvoří případný právní základ pro zpracování údajů, fungují společně. Alespoň jedna z nich musí být dostatečně konkrétní a přizpůsobená určitým druhům nebo určitému množství požadovaných osobních údajů. Čím více je pro taková předávání údajů stanoveno na legislativní a strukturální úrovni, tím méně musí být stanoveno v jednotlivých správních žádostech. Legislativní vrstva může být dokonce tak podrobná a vyčerpávající, že bude zcela soběstačná a přímo použitelná. Naopak platí, že čím obecnější a nejasnější vymezení na legislativní úrovni je, tím podrobnější musí být na úrovni individuální správní žádosti včetně jasného prohlášení o účelu, který vymezí její rozsah.

83.

Tento bod nepřímo poskytuje odpověď na otázku nastolenou předkládajícím soudem v části věnované přiměřenosti, kterou by bylo možné nejlepší vyřešit zde souběžně s určením, zda daňová správa může podávat žádosti o časově neomezené předávání údajů. Podle mého názoru tak podle GDPR činit může. Vhodnější otázkou by však bylo, zda má ve vnitrostátním právu odpovídající právní základ pro to, co je ze své podstaty průběžným a trvalým předáváním údajů. Mají-li taková předávání údajů ve vnitrostátním právu jasný základ i stanovenou dobu trvání, čl. 6 odst. 3 GDPR je nevylučuje. Bod 31 odůvodnění GDPR v tomto ohledu opět nic nemění ( 42 ). Nevidím praktický smysl ve výkladu tohoto bodu odůvodnění tak, že vyžaduje, aby správní orgány znovu a znovu (ať už každý den, měsíc nebo rok) vydávaly identické individuální žádosti, aby získaly něco, co již mohly získat na základě vnitrostátních právních předpisů.

84.

V projednávané věci se jeví, že právní základ pro zpracování tvoří jak čl. 15 odst. 6 zákona o daních a poplatcích, tak i konkrétní žádosti o poskytnutí údajů podané daňovou správou. Jeví se tedy, že existuje dvojí právní základ v podobě obecného zmocnění stanoveného v právním předpise a v podobě konkrétní a cílené správní aplikace daného ustanovení.

85.

Celkově se tento dvojí právní základ jeví jako dostatečný pro odůvodnění zpracování osobních údajů žalobkyní pro účely jejich předání orgánu veřejné moci podle čl. 6 odst. 1 písm. c) a odst. 3 GDPR. Ačkoli jsou vnitrostátní právní předpisy, které zmocňují daňovou správu požadovat informace, spíše obecné, konkrétní žádosti o údaje se podle všeho do značné míry zaměřují na určitý druh údajů navzdory jejich potenciálně velkému množství.

86.

V konečném důsledku však přísluší vnitrostátnímu soudu, aby při plné znalosti vnitrostátního práva včetně jakýchkoli dalších vnitrostátních prováděcích pravidel, která v průběhu tohoto řízení nebyla zmíněna, ověřil, zda zpracování požadované po žalobkyni v původním řízení splňuje, nebo nesplňuje požadavky stanovené v této části tohoto stanoviska.

87.

Jádrem tohoto posouzení, které vyžaduje zvláštní pozornost, je otázka, zda čl. 15 odst. 6 zákona o daních a poplatcích společně s konkrétními žádostmi o informace z hlediska právního základu splňují požadavek na předvídatelnost ( 43 ). Právní úprava umožňující předávání údajů musí stanovit jasná a přesná pravidla pro rozsah a použití předmětného opatření a stanovit minimální ochranu tak, aby osoby, o jejichž osobní údaje jde, měly dostatečné záruky umožňující tyto údaje účinně chránit před rizikem zneužití ( 44 ).

88.

Proto musí být právní základ jako celek (jak legislativní, tak správní vrstva dohromady) formulován s dostatečnou přesností ve vztahu ke všem dotčeným osobám: veřejným orgánům, pokud jde o to, co mohou požadovat, podnikům v souvislosti s tím, co mohou poskytnout, a především subjektům údajů, aby věděly, kdo a za jakými účely může mít k jejich údajům přístup. Lze připomenout, že informace o zpracování údajů jsou skutečně klíčovým požadavkem GDPR. Subjekty údajů si musí být zpracování vědomy a tyto informace jsou nezbytným předpokladem pro výkon dalších práv na přístup, výmaz nebo opravu ( 45 ).

89.

Nebyl-li jakýmkoli způsobem za účelem omezení práv subjektů údajů podle kapitoly III GDPR do vnitrostátního práva proveden článek 23 GDPR, z článků 13 a 14 GDPR vyplývá, že správce určitého zpracování má subjektu údajů poskytnout informace. V kontextu postupného předávání údajů může být obtížné určit, na kom informační povinnost leží ( 46 ). Prakticky řečeno, při absenci omezení přijatých podle čl. 23 odst. 1 GDPR, které musí ve vnitrostátním právu splňovat požadavek článku 23 odst. 2 GDPR, může mít veřejný orgán, který údaje získal, povinnost poskytnout všem dotčeným subjektům údajů informace podle článku 14 GDPR. Není-li dán jasný a předvídatelný právní základ, který by v konečném důsledku takové předávání údajů umožňoval, lze jen těžko očekávat, že by správce, který údaje shromáždil, příslušným způsobem subjekt údajů informoval již podle článku 13 GDPR.

90.

Závěrem tedy podle mého názoru čl. 6 odst. 1 písm. c) a odst. 3 nařízení GDPR nebrání tomu, aby vnitrostátní pravidla stanovila bez jakéhokoli časového omezení povinnost poskytovatelů internetových inzertních služeb poskytovat daňové správě určité osobní údaje, pokud ve vnitrostátním právu pro tento druh předávání údajů existuje jasný právní základ a požadované údaje jsou vhodné a nezbytné k tomu, aby daňová správa mohla plnit své úřední úkoly.

91.

Mojí úlohou není spekulovat o skutečných pohnutkách účastníků řízení před vnitrostátním soudem. Zůstanu proto věrný své naději v existenci dobrých Samaritánů, kteří nezištně vystupují na obranu druhých. Proč by soukromá společnost jednoduše nemohla hájit práva subjektů údajů, jejichž osobní údaje shromáždila?

92.

Přestože by bylo možné se takřka radovat, když se obchodní společnost zaváže k ochraně údajů, předpokládám, že některé další podniky by mohly mít i jiné důvody, proč by mohly chtít bránit předávání osobních údajů, které shromáždily, na základě rozhodnutí veřejné moci. Jedním z důvodů by mohly být náklady. Mělo by být orgánům veřejné správy umožněno zajišťovat výkon části veřejné správy přenosem na externí subjekty, kdy soukromé podniky nutí nést náklady na výkon toho, co v podstatě je veřejnou správou? Tato otázka nabývá na významu v případech trvalých a rozsáhlých předávání údajů, která mají být soukromými podniky uskutečňována pro společné dobro bez jakékoli náhrady ( 47 ). Jiné důvody mohou spíše souviset s obchodem. Předpokládáme-li na prchavý okamžik, přirozeně v čistě hypotetické rovině, že si lidé obecně placení daní příliš neužívají, nemusí být přehnané předpokládat i to, že někteří z těchto lidí si mohou pro inzerci svých ojetých automobilů volit jiný způsob než online webovou stránku, která tyto informace následně poskytne daňové správě.

93.

Nalézt mezi všemi zájmy přítomnými v takové situaci rovnováhu není zdaleka jednoduché. Na jedné straně proto, že situace, kdy veřejná moc vyžaduje od soukromých podniků údaje, které musí být připraveny a předloženy podle přesných požadavků, se nebezpečně blíží vynucovanému zajišťování výkonu veřejné správy za pomoci externích zdrojů. To platí zejména v případě údajů, které jsou jinak volně dostupné a které by orgán veřejné správy mohl s trochou technického úsilí shromáždit sám. Na druhé straně, jak zdůraznila belgická vláda tím, že poukázala na širší relevanci situace v původním řízení, je možné požadovat poněkud nuancovanější odpověď v případech různých forem platforem sdílené ekonomiky nebo v jiných situacích, kdy orgány veřejné správy požadují přístup k údajům, které jsou nezbytné pro uváděný legitimní veřejný účel, ale které nejsou volně dostupné, a tudíž nemohou být shromažďovány samotnými veřejnými orgány. I za takových okolností však zůstává otázka možné kompenzace otevřena.

94.

Jistě vidím takové problémy v původním řízení číhat v pozadí. K nalezení přiměřené rovnováhy by však v těchto případech mělo dojít primárně na vnitrostátní nebo na unijní úrovni při přijímání příslušných právních předpisů poskytujících právní základ pro tento druh předávání údajů. Neměla by to být věc soudů tím spíše v případě, kdy předkládající soud ani jednu z těchto otázek výslovně nevznesl. Existují navíc přinejmenším dva další důvody, proč právě projednávaná věc není pro tento typ diskuse vhodným případem.

95.

Zaprvé – jako v případě řady dalších otázek, které se nějakým způsobem toku osobních údajů týkají, ale netýkají se ochrany práv subjektů údajů – tyto otázky jednoduše nejsou v GDPR výslovně upraveny. Otázka právní ochrany správců údajů – soukromých podniků proti potenciálně protiprávnímu nebo nepřiměřenému zásahu do svobody podnikání, vlastnického práva ( 48 ), nebo dokonce případného práva na spravedlivou kompenzaci za předávané údaje – není otázkou, kterou by GDPR regulovalo.

96.

Zadruhé, pokud právní základ takové předávání údajů nestanoví unijní právo ( 49 ), může být otázka případné kompenzace za takto vyžadované předávání údajů stěží záležitostí unijního práva. To opět neznamená, že takové problémy nemohou nastat ani v rámci ochrany základních práv (dotčených správců údajů). Těmito otázkami by se však poté musely řádně zabývat soudy členského státu, který takové předávání údajů uložil. Každý případ tohoto druhu by proto měl být předložen vnitrostátnímu (ústavnímu) soudu.

97.

Navrhuji Soudnímu dvoru, aby na žádost o rozhodnutí o předběžné otázce Administratīvā apgabaltiesa (regionální správní soud, Lotyšsko) odpověděl následovně: