1.

Uredba (EU) 2016/679 (u daljnjem tekstu: GDPR) ( 2 ) sveobuhvatan je propis. Njezino široko definirano područje primjene, učinkovito isključivanje iznimaka putem sudske prakse ( 3 ) kao i na definicijama utemeljen, apstraktan te stoga poprilično širok, pristup njezinu tumačenju ( 4 ) pridonijeli su gotovo neograničenom dosegu te uredbe. S obzirom na to, danas je prilično teško pronaći situaciju u kojoj netko negdje u nekoj fazi ne obrađuje osobne podatke.

2.

Taj pristup, koji se temelji na podizanju zaštite osobnih podataka predviđene člankom 8. Povelje Europske unije o temeljnim pravima na razinu prevladavajućeg temeljnog (nad)prava ipak dovodi do specifičnih centripetalnih učinaka koje zaštita osobnih podataka počinje proizvoditi na druga pravna područja i sporove koji se u okviru njih javljaju. Neke se predmete odjednom počelo smatrati povezanima sa zaštitom osobnih podataka te ih se pokreće, (ne samo) pred ovim Sudom, radi tumačenja GDPR‑a. Međutim, konkretna pitanja koja se otvaraju u tim sporovima ponekad nisu ona za koja bi se moglo očekivati da su obuhvaćena propisom poput GDPR‑a, unatoč njegovu ponešto širokom području primjene.

3.

Naime, rijetko tko bi na prvu smatrao da su GDPR‑om ili propisom koji mu je prethodio, Direktivom 95/46/EZ ( 5 ), obuhvaćeni pristup računovođa na osposobljavaju njihovim ispitnim radovima, potencijalno u vezi s pravom na ispravljanje tih osobnih podataka nakon održavanja ispita ( 6 ); ili da ti akti sprječavaju policiju da otkrije identitet počinitelja prometne nesreće kako oštećenik ne bi mogao pokrenuti građanski postupak za naknadu štete koja je nanesena njegovu vozilu ( 7 ); ili da ograničavaju pravo stečajnog upravitelja na informacije o porezima koje je ranije platilo društvo čiji se stečaj provodi kako bi se ponovno osigurala jednakost između vjerovnika privatnog prava i vjerovnika javnog prava u kontekstu tužbi kojima se pobijaju pravne radnje stečajnog dužnika u stečajnom postupku ( 8 ), da navedem samo neke od zanimljivijih primjera.

4.

Ovaj predmet je još jedan primjer takvih centripetalnih učinaka GDPR‑a. Društvo SIA „SS” pružatelj je internetskih usluga oglašavanja. Ono u okviru te gospodarske djelatnosti pribavlja osobne podatke osoba koje objavljuju oglase na njegovoj internetskoj stranici. Nadležna porezna uprava od tog je društva zatražila da joj proslijedi određene podatke o oglasima za rabljene automobile koji su objavljeni na njegovoj internetskoj stranici kako bi osigurala propisnu naplatu poreza na prodaju automobila. Ta je porezna uprava detaljno izložila format podataka koje želi dobiti. Ujedno je i jasno precizirala da bi prijenos tih podataka morao biti trajan i da za njihov prijenos neće plaćati nikakvu naknadu.

5.

S obzirom na te okolnosti, sud koji je uputio zahtjev pita o dopuštenom opsegu takvih zahtjeva za prijenos podataka. Kao u ranijim predmetima, GDPR se čini primjenjivim u ovom predmetu. Osobne podatke netko negdje obrađuje ili će ih obraditi, u svakom slučaju kasnije prilikom njihova prijenosa. Prava ispitanika u okviru takve obrade moraju se zaštititi, kao i osobni podaci o kojima je riječ. Međutim, to ne znači da GDPR izričito uređuje odnos između budućeg voditelja obrade (tijela javne vlasti) i trenutnog voditelja obrade (privatnog poduzetnika). Naime, GDPR slijedi i štiti podatke kamo god oni idu, što znači da uređuje obveze koje svaki voditelj obrade u nizu ima u odnosu na podatke i prema ispitanicima. Nasuprot tomu, GDPR ne uređuje, ako izuzmemo nekolicinu izričito predviđenih iznimki, konkretne pojedinosti uzajamnog odnosa između dvaju uzastopnih voditelja obrade tih podataka. Osobito, GDPR ne predviđa konkretne načine, bilo ugovorne ili javnopravne, na koje voditelji obrade mogu zahtijevati i dobiti podatke jedni od drugih.

6.

Uvodna izjava 31. GDPR‑a glasi:

„Tijela javne vlasti kojima se otkrivaju osobni podaci u skladu s pravnom obvezom izvršavanja njihovih službenih zadaća, poput poreznih i carinskih tijela, jedinica za financijsku istragu, neovisnih upravnih tijela ili tijela za financijska tržišta, odgovorna za reguliranje i nadzor tržišta vrijednosnih papira, ne bi se smjela smatrati primateljima ako prime osobne podatke koji su potrebni za provedbu određene istrage u općem interesu, u skladu s pravom Unije ili pravom države članice. Zahtjevi za otkrivanje koje šalju tijela javne vlasti trebali bi uvijek biti u pisanom obliku, obrazloženi i povremeni i ne bi se trebali odnositi na čitav sustav pohrane ili dovesti do međupovezanosti sustavâ pohrane. Ta tijela javne vlasti trebala bi obrađivati takve osobne podatke u skladu s primjenjivim pravilima za zaštitu podataka ovisno o svrhama obrade.”

7.

Uvodna izjava 45. GDPR‑a glasi:

„Ako se obrada odvija u skladu s pravnim obvezama kojima podliježe voditelj obrade ili ako je obrada potrebna za izvršavanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti, obrada bi se trebala temeljiti na pravu Unije ili pravu države članice. Ovom se Uredbom ne zahtijeva potreba posebnog propisa za svaku pojedinačnu obradu. Jedan propis kao osnova za više postupaka obrade, koji se temelje na pravnoj obvezi kojoj podliježe voditelj obrade ili ako je obrada potrebna za izvršenje zadaće koja se provodi zbog javnog interesa ili pri izvršavanju službene ovlasti, može biti dovoljan. Pravom Unije ili pravom države članice također bi se trebala odrediti svrha obrade. Osim toga, tim bi se propisom mogli utvrditi opći uvjeti ove Uredbe kojima se uređuje zakonitost obrade osobnih podataka, utvrditi specifikacije za utvrđivanje voditelja obrade, vrste osobnih podataka koji podliježu obradi, dotičnih ispitanika, subjekata kojima se osobni podaci mogu otkriti, ograničenja svrhe, razdoblja pohrane i drugih mjera za osiguravanje zakonite i poštene obrade. Osim toga, pravom Unije ili pravom države članice trebalo bi odrediti bi li voditelj obrade koji obavlja zadaću u javnom interesu ili prilikom izvršavanja službene ovlasti trebao biti tijelo javne vlasti ili druga fizička ili pravna osoba koja posluje sukladno javnom pravu ili privatnom pravu, kao što je strukovno udruženje, u slučaju da je to opravdano javnim interesom, među ostalim u slučaju zdravstvenih svrha, kao što su javno zdravlje i socijalna zaštita te upravljanje službama za zdravstvenu skrb.”

8.

U članku 2. utvrđeno je materijalno područje primjene GDPR‑a:

„1.   Ova se Uredba primjenjuje na obradu osobnih podataka koja se u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.

2.   Ova se Uredba ne odnosi na obradu osobnih podataka:

[…]

[…]”

9.

Članak 4. sadržava definicije za potrebe GDPR‑a:

„1.   ‚osobni podaci’ znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (‚ispitanik’); […]

2.   ‚obrada’ znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

[…]

7.   ‚voditelj obrade’ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;

8.   ‚izvršitelj obrade’ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

9.   ‚primatelj’ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade;

[…]”

10.

U članku 5. GDPR‑a utvrđena su načela obrade osobnih podataka:

„1.   Osobni podaci moraju biti:

2.   Voditelj obrade odgovoran je za usklađenost sa stavkom 1. te je mora biti u mogućnosti dokazati (‚pouzdanost’).”

11.

Prema članku 6. GDPR‑a:

„1.   Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

[…]

[…]

[…]

2.   Države članice mogu zadržati ili uvesti posebne odredbe kako bi se primjena pravila ove Uredbe s obzirom na obradu prilagodila radi usklađivanja sa stavkom 1. točkama (c) i (e) tako da se preciznije odrede posebni zahtjevi za obradu te druge mjere za osiguravanje zakonite i poštene obrade, među ostalim za druge posebne situacije obrade kako je predviđeno u poglavlju IX.

3.   Pravna osnova za obradu iz stavka 1. točaka (c) i (e) utvrđuje se u:

Svrha obrade određuje se tom pravnom osnovom ili, u pogledu obrade iz stavka 1. točke (e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade. Ta pravna osnova može sadržavati posebne odredbe kako bi se prilagodila primjena pravila ove Uredbe, među ostalim opće uvjete kojima se uređuje zakonitost obrade od strane voditelja obrade, vrste podataka koji su predmet obrade, dotične ispitanike, subjekte kojima se osobni podaci mogu otkriti i svrhe u koje se podaci mogu otkriti, ograničavanje svrhe, razdoblje pohrane te aktivnosti obrade i postupke obrade, uključujući mjere za osiguravanje zakonite i poštene obrade, kao i za druge posebne situacije obrade kako je navedeno u poglavlju IX. Pravom Unije ili pravom države članice mora se ostvariti cilj od javnog interesa te ono mora biti razmjerno zakonitom cilju koji se želi postići.”

12.

U poglavlju III., naslovljenom „Prava ispitanika”, odnosno u člancima 12. do 22., utvrđena su prava i odgovarajuće obveze voditeljâ obrade. Članak 23. GDPR‑a zatvara to poglavlje. Naslovljen je „Ograničenja”, a propisuje:

„1.   Na temelju prava Unije ili prava države članice kojem podliježu voditelj obrade podataka ili izvršitelj obrade zakonskom mjerom može se ograničiti opseg obveza i prava iz članaka od 12. do 22. i članka 34. te članka 5. ako te odredbe odgovaraju pravima i obvezama predviđenima u člancima od 12. do 22., ako se takvim ograničenjem poštuje bit temeljnih prava i sloboda te ono predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu:

[…]

[…]

2.   Osobito, svaka zakonodavna mjera iz stavka 1. sadrži posebne odredbe, prema potrebi, najmanje o:

13.

U skladu s člankom 15. stavkom 6. Likums „Par nodokļiem un nodevām” (Zakon o porezima i nametima), kako je glasio u vrijeme nastanka činjeničnog stanja u ovom predmetu, pružatelji usluga internetskog oglašavanja obvezni su na zahtjev Državne porezne uprave pružiti informacije kojima raspolažu u pogledu poreznih obveznika koji su objavili oglase koristeći se navedenim uslugama i u pogledu tako objavljenih oglasa.

14.

Pročelnik Nodokļu kontroles pārvalde (Ured za porezni nadzor, Latvija), koji djeluje u okviru Valsts ieņēmumu dienests (Državna porezna uprava, Latvija) (u daljnjem tekstu: tuženik), 28. kolovoza 2018. poslao je društvu SIA „SS” (u daljnjem tekstu: tužitelj) zahtjev za dostavu informacija na temelju članka 15. stavka 6. Zakona o porezima i nametima.

15.

Tuženik je u tom zahtjevu od tužitelja zatražio da mu obnovi pristup informacijama o brojevima telefona oglašivačâ i brojevima šasije vozila koja su se nalazila u oglasima objavljenima na tužiteljevoj internetskoj stranici (www.ss.com). On je od tužitelja usto zatražio da mu do 3. rujna 2018. dostavi informacije o oglasima objavljenima u odjeljku „Osobna vozila” na navedenoj internetskoj stranici u razdoblju od 14. srpnja do 31. kolovoza 2018. Od tužitelja se tražilo da informacije dostavi u elektroničkom obliku u formatu u kojem je moguće filtrirati i birati podatke. Isto tako, od tužitelja se tražilo da datoteka sadržava sljedeće informacije: poveznicu na oglas, tekst oglasa, marku vozila, model, broj šasije, cijenu i brojeve telefona prodavatelja.

16.

Za slučajeve u kojima ne bi mogao obnoviti pristup, od tužitelja se tražilo da to obrazloži te se također tražilo da redovito dostavlja informacije o objavljenim oglasima, najkasnije do trećeg dana svakog mjeseca.

17.

Tužitelj je glavnom direktoru tuženika podnio upravnu pritužbu kojom je pobijao zahtjev za dostavu informacija. Prema tužiteljevu mišljenju, opseg zahtjeva za dostavu informacija koje su osobni podaci u smislu članka 4. točke 1. GDPR‑a, nije bio opravdan zakonom. U zahtjevu za dostavu informacija nije točno navedena ni konkretna skupina ispitanika, ni svrha ili opseg predviđene obrade, a ni vrijeme trajanja obveze pružanja informacija. Prema tome, tuženik, u svojstvu voditelja obrade, nije poštovao načela proporcionalnosti i smanjenja obrade osobnih podataka koja ga obvezuju, a koja proizlaze iz GDPR‑a.

18.

Tuženik je odlukom od 30. listopada 2018. (u daljnjem tekstu: sporna odluka) odbio pritužbu i potvrdio zahtjev za dostavu informacija.

19.

Tuženik je u obrazloženju te odluke u biti naveo da porezna uprava pri obradi tih podataka izvršava funkcije i ovlasti koje su joj dodijeljene zakonom. Porezna uprava odgovorna je za naplatu i nadzor poreza, nameta i drugih davanja. Zakonom je obvezna nadzirati gospodarske i financijske aktivnosti fizičkih i pravnih osoba s ciljem osiguravanja da se ti iznosi uplaćuju u državni proračun i proračun Unije. Kako bi obavljao te funkcije, zakon tuženiku dodjeljuje ovlast za prikupljanje dokumenata i informacija koji su nužni za knjiženje i evidentiranje oporezivih događaja ili za provedbu nadzora nad porezima i nametima. Konkretno, u skladu s člankom 15. stavkom 6. Zakona o porezima i nametima, pružatelji usluga internetskog oglašavanja obvezni su poreznoj upravi na zahtjev pružiti informacije kojima raspolažu u pogledu poreznih obveznika koji su objavili oglase koristeći se navedenim uslugama i u pogledu samih tih oglasa. Povjerljive informacije kojima tuženik raspolaže zaštićene su zakonom, osobito zabranom zaposlenicima porezne uprave da otkrivaju te informacije. Iz toga proizlazi da je zahtjev za dostavu informacija zakonit.

20.

Tužitelj je Administratīvā rajona tiesa (Općinski upravni sud, Latvija) podnio tužbu za poništenje sporne odluke, tvrdeći da u obrazloženju te odluke nije navedena konkretna svrha obrade podataka niti su izloženi kriteriji za odabir zatraženih informacija u pogledu konkretne skupine osoba koje se mogu identificirati.

21.

Administratīvā rajona tiesa (Općinski upravni sud) je presudom od 21. svibnja 2019. odbila tu tužbu. U bitnome se složila s tuženikom da se ne može ograničiti količina informacija o nekoj osobi kojima porezna uprava može pristupiti, osim ako se smatra da te informacije nisu u skladu s ciljevima porezne službe. Prema toj presudi, zatražene informacije su bile nužne za utvrđivanje neprijavljenih gospodarskih djelatnosti. Odredbe GDPR‑a primjenjuju se samo na tužitelja kao pružatelja usluge, ne i na poreznu upravu.

22.

Tužitelj je protiv te presude podnio žalbu Administratīvā apgabaltiesa (Okružni upravni sud, Latvija). Prema tužiteljevu mišljenju, GDPR je primjenjiv na ovaj predmet. Tuženika se za potrebe osobnih podataka prikupljenih na temelju zahtjeva za dostavu informacija treba smatrati voditeljem obrade u smislu GDPR‑a te on stoga mora poštovati GDPR‑om predviđene zahtjeve. Međutim, tuženik je izdavanjem zahtjeva za dostavu informacija povrijedio načelo proporcionalnosti jer je tražio da mu se svaki mjesec dostavlja znatna količina podataka o neodređenom broju oglasa a da pritom nije naveo konkretne porezne obveznike protiv kojih su pokrenute porezne inspekcije. Tužitelj ističe da u zahtjevu za dostavu informacija nije navedeno koliko će dugo morati tuženiku pružati informacije predviđene u tom zahtjevu. On stoga smatra da je tuženik povrijedio načela obrade osobnih podataka, koja su propisana u članku 5. GDPR‑a (zakonitost, poštenost i transparentnost). Tvrdi da ni u zahtjevu za dostavu informacija ni u obrazloženju sporne odluke nije naveden konkretan okvir (svrha) obrade informacija koju je tuženik predvidio niti je istaknuta količina potrebnih informacija (smanjenje količine podataka). Ističe da upravno tijelo u zahtjevu za dostavu informacija mora jasno izložiti kriterije prema kojima treba odabrati informacije koje je to tijelo zatražilo u pogledu konkretne skupine osoba koje se mogu identificirati.

23.

Prema navodu suda koji je uputio zahtjev, nije moguće nedvosmisleno zaključiti da je takav zahtjev za dostavu informacija „odgovarajuće obrazložen” i „povremen” te da se ne odnosi na sve informacije sadržane u odjeljku „Osobna vozila” na tužiteljevoj internetskoj stranici s obzirom na to da porezna uprava u bitnome želi provoditi stalan i iscrpan nadzor. Sud koji je uputio zahtjev dvoji može li se obradu osobnih podataka koju je tuženik predvidio smatrati usklađenom s pravilima o zaštiti podataka s obzirom na svrhu obrade u smislu uvodne izjave 31. GDPR‑a. Stoga je potrebno utvrditi kriterije prema kojima treba ocijeniti poštuje li tuženikov zahtjev za dostavu informacija temeljna prava i slobode te je li nužan i razmjeran u demokratskom društvu za zaštitu važnih ciljeva od javnog interesa Unije i Latvije u pogledu proračunskih i poreznih pitanja.

24.

Kako ističe sud koji je uputio zahtjev, u predmetnom zahtjevu za dostavu informacija ne navodi se nijedna „određena istraga” koju tuženik provodi u smislu odredbi GDPR‑a. Tim se zahtjevom ne traže informacije o konkretnim osobama nego podaci o svim ispitanicima koji su objavili oglase u odjeljku „Osobna vozila” na predmetnoj internetskoj stranici. Porezna uprava usto zahtijeva da se te informacije pružaju najkasnije do trećeg dana svakog mjeseca (što znači da tužitelj mora tuženiku dostavljati sve informacije o oglasima objavljenima prethodnog mjeseca). S obzirom na navedeno, sud koji je uputio zahtjev pita se je li takva praksa nacionalnog tijela u skladu sa zahtjevima iz GDPR‑a.

25.

S obzirom na taj činjenični i pravni kontekst, Administratīvā apgabaltiesa (Okružni upravni sud) odlučila je prekinuti postupak i Sudu uputiti sljedeća prethodna pitanja:

26.

Pisana očitovanja podnijele su belgijska, grčka, španjolska i latvijska vlada te Europska komisija. Tužitelj, belgijska, španjolska i latvijska vlada te Komisija odgovorili su na pisana pitanja koja je Sud postavio u skladu s člankom 6. stavkom 1. Poslovnika Suda.

27.

Ovo je mišljenje strukturirano na sljedeći način. Započet ću s razmatranjem primjenjivosti GDPR‑a na zahtjev tijela javne vlasti za prijenos određenih osobnih podataka upućen voditelju obrade. S obzirom na pitanja suda koji je uputio zahtjev, za početak su potrebna dva pojašnjenja: tko je točno tko u glavnom postupku i koja konkretna pravila GDPR predviđa za takve slučajeve (A). Potom ću se posvetiti (poprilično rudimentarnom) pravnom okviru koji iz GDPR‑a proizlazi u pogledu zahtjeva za prijenos podataka koja tijela javne vlasti upućuju privatnim poduzetnicima (B). Zaključit ću s nekoliko zapažanja o tome što čini, barem prema mojemu mišljenju, stvarno škakljivo pitanje u ovom predmetu, iako ga sud koji je uputio zahtjev nije izričito postavio (C).

28.

Sud koji je uputio zahtjev postavio je devet pitanja, a svako od njih se, na ovaj ili onaj način, odnosi na zakonitost konkretnog(-ih) zahtjeva porezne uprave upućenog(-ih) privatnom poduzetniku, odnosno poduzetnicima, za potrebe naplate poreza i otkrivanja porezne utaje. Privatni poduzetnik je osobne podatke o kojima je riječ pribavio od ispitanika obavljajući svoje redovne poslovne djelatnosti.

29.

Unatoč tomu, iz devet postavljenih pitanja nije očito tko točno ima koju obvezu i na temelju koje odredbe GDPR‑a. Ta nejasnoća upućuje na to da je pri određivanju parametara ovog predmeta postojao znatan stupanj nesigurnosti u barem dvama pogledima.

30.

Kao prvo, tko je tko u ovom predmetu prema kategorijama iz GDPR‑a? Ovaj se predmet odnosi na prijenos, od privatnog poduzetnika tijelu javne vlasti, određenih podataka iz šireg skupa podataka koje je prikupio i kojima raspolaže privatni poduzetnik. To je konkretna radnja obrade u smislu članka 4. točke 2. GDPR‑a na kojoj se temelje pitanja postavljena Sudu.

31.

Međutim, usto se čini da u pogledu tog prijenosa podataka, sud koji je uputio zahtjev smatra da voditelja obrade u odnosu na tu radnju obrade već čini porezna uprava (tuženik) ( 9 ). Ta je pretpostavka, na kojoj se temelji cijeli zahtjev za prethodnu odluku, izričito artikulirana u šestom i devetom pitanju. To iziskuje uvodno pojašnjenje: tko točno mora poštovati GDPR u ovom predmetu? Tko je voditelj obrade u odnosu na tu konkretnu radnju obrade? (pododjeljak 2)

32.

Kao drugo, ta nejasnoća otvara još jedno važno pitanje: koje se konkretne odredbe GDPR‑a primjenjuju na zahtjeve za prijenos podataka te koje se od tih odredbi odnose na, osobito, pitanje vrste i količine podataka koje tijelo javne vlasti može zahtijevati od privatnog poduzetnika? U tom je pogledu znakovito da se u trima prethodnim pitanjima navodi samo članak 5. stavak 1. GDPR‑a, transverzalna odredba u kojoj su predviđena načela obrade podataka kada bilo koji voditelj obrade obrađuje podatke. Nasuprot tomu, u ostalim pitanjima samo se navode „zahtjevi utvrđeni u GDPR‑u”, pri čemu se ne upućuje na konkretne odredbe koje sadržavaju te zahtjeve.

33.

Stoga je potrebno dodatno uvodno pojašnjenje u pogledu primjenjive odredbe, odnosno odredbi GDPR‑a, osobito kada je riječ o odnosu između poduzetnika‑tužitelja i porezne uprave‑tuženika. Na koji točno način GDPR uređuje takve zahtjeve za prijenos podataka te uzajamna prava i obveze između privatnog poduzetnika i tijela javne vlasti? (pododjeljak 3)

34.

Međutim, prije razmatranja tih dvaju pitanja podsjetit ću zašto se, prema mojemu mišljenju, primjenjivost i poštovanje GDPR‑a ne može apstraktno promatrati, tako da se tumače definicije koje nisu povezane s konkretnom radnjom obrade koju treba uzeti kao polazište. Tek će nakon što se to objasni biti moguće pravilno odrediti sudionike i njihove obveze (pododjeljak 1).

35.

U ovom se predmetu sve zainteresirane strane, uključujući latvijsku vladu, slažu da je GDPR zasigurno primjenjiv na slučaj iz glavnog postupka ako zakonodavne definicije „osobnih podataka” i „obrade” iz njegova članka 4. čine polaznu točku analize.

36.

Kao prvo, podaci na koje se predmetni zahtjev za dostavu informacija odnosi su osobni podaci u smislu članka 4. točke 1. GDPR‑a. Zatražene informacije, poput brojeva telefona ispitanika ili brojeva šasije automobila, čine „podatke koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi”. Naime, te informacije omogućuju da se utvrde prodavatelji automobila te stoga i mogući porezni obveznici.

37.

Kao drugo, iz ustaljene sudske prakse proizlazi da priopćavanje podataka ( 10 ) ili otkrivanje osobnih podataka prijenosom, isto kao i pohrana ili stavljanje podataka na raspolaganje na drugi način, čine obradu ( 11 ). Uostalom, „otkrivanje prijenosom” nalazi se u ilustrativnom popisu radnji obrade iz članka 4. točke 2. GDPR‑a.

38.

Kao treće, očito je da se ta obrada osobnih podataka obavlja automatizirano u smislu članka 2. stavka 1. GDPR‑a.

39.

Nadalje, u ovom predmetu nije primjenjiva nijedna od iznimaka, koje u svakom slučaju treba usko tumačiti ( 12 ). S obzirom na presudu Österreischischer Rundfunk i dr. ( 13 ), a osobito uzimajući u obzir nedavnu presudu u predmetu Penalty Points ( 14 ), ne može se tvrditi da je predmetna obrada osobnih podataka provedena „tijekom djelatnosti koja nije obuhvaćena opsegom prava Unije” u smislu članka 2. stavka 2. točke (a) GDPR‑a.

40.

Isto tako, ni iznimka predviđena u članku 2. stavku 2. točki (d) GDPR‑a ne čini se primjenjivom. Čini se da se u toj odredbi pod „nadležnim tijelima” podrazumijevaju tijela poput policije i državnog odvjetništva ( 15 ). Ona ne uključuju porezna tijela koja naplaćuju porez, a još manje pružatelje usluga internetskog oglašavanja. Nadalje, iako obrada podataka koju obavljaju nadležna porezna tijela može u nekim slučajevima dovesti do otkrivanja kaznenog djela porezne utaje, to je u ovoj fazi tek hipotetska mogućnost ( 16 ).

41.

Stoga se iz te perspektive mora zaključiti da GDPR jest primjenjiv: riječ je o osobnim podacima koji se automatizirano obrađuju. Međutim, kako se već natuknulo u uvodu ovog mišljenja, takav pristup koji se temelji na tome da se relevantni pojmovi iz članka 4. GDPR‑a, kao što su „obrada” ( 17 ), „osobni podaci” ( 18 ) ili „voditelj obrade” ( 19 ), tumače široko i izvan konteksta bilo koje konkretne radnje obrade doveo bi do toga da bi svako priopćavanje bilo kojih informacija bilo obuhvaćeno GDPR‑om.

42.

Kako bi se pravilno protumačile obveze svih sudionika, polazna točka analize s obzirom na GDPR mora biti jasno određivanje konkretne radnje obrade. Tek je tada moguće pravilno odrediti obveze koje GDPR u pogledu te radnje nalaže stvarnim sudionicima obrade ( 20 ). Predmet regulacije je konkretna radnja obrade, rad na podacima i rad s podacima. Budući da se regulatorna logika i fokus GDPR‑a temelje na uspješnosti i usmjereni su na postupke, oni su nužno dinamični.

43.

Što u ovom predmetu čini konkretnu radnju obrade? Izvršenje zahtjevâ za dostavu informacija poput onih o kojima je riječ u glavnom postupku nedvojbeno iziskuje obradu osobnih podataka na koju će GDPR načelno biti primjenjiv. U ovom predmetu dva različita subjekta provode obradu u nekom trenutku. Sud koji je uputio zahtjev u svojim se pitanjima usredotočuje na obradu koju provodi tuženik, to jest nacionalna porezna uprava. Međutim, iz činjeničnog stanja predmeta se čini da bi obradu prvo trebao provesti tužitelj, to jest privatni poduzetnik.

44.

Sud je u presudi Fashion ID ( 21 ) razmatrao konkretnu radnju u okviru obrade podataka kako bi odredio relevantnog voditelja odnosno voditelje obrade. Sud je utvrdio da pojam „voditelj obrade” ne upućuje nužno na jedno tijelo te da se može odnositi na više sudionika u obradi, pri čemu svaki od njih podliježe odredbama koje se primjenjuju u području zaštite podataka ( 22 ). Međutim, fizička ili pravna osoba ne može se smatrati voditeljem obrade u odnosu na postupke koji su raniji ili kasniji u lancu obrade, a čiju svrhu i načine ta osoba ne utvrđuje ( 23 ).

45.

Tuženik će u ovom predmetu svojstvo voditelja obrade vjerojatno steći kada od tužitelja dobije tražene podatke te ih počne obrađivati u smislu članka 4. točke 2. GDPR‑a ( 24 ). Tuženik će u tom trenutku ne samo početi obrađivati podatke, nego će usto vjerojatno odrediti sredstva i svrhe vlastite obrade za potrebe članka 4. točke 7. GDPR‑a. Kada sâm bude izvršavao eventualne radnje obrade u budućnosti, tuženik će tada morati poštovati – pod uvjetom da država članica u tom pogledu nije nametnula nikakva ograničenja u skladu s člankom 23. GDPR‑a – načela u pogledu kvalitete podataka predviđena u članku 5. GDPR‑a te će svoju radnju, odnosno radnje obrade morati utemeljiti na jednom od scenarija iz članka 6. stavka 1. GDPR‑a ( 25 ).

46.

Međutim, iz odluke kojom je upućen zahtjev za prethodnu odluku proizlazi da predmetni postupak još nije došao do te faze. Porezna uprava nije u posjedu traženih podataka. Ona stoga nije mogla započeti nijednu radnju obrade tih podataka. Nadalje, Sud nije obaviješten o tome što tuženik namjerava učiniti s podacima niti o tome kakvu će obradu provesti.

47.

Do sada se samo dogodilo to da je porezna uprava od privatnog poduzetnika zatražila određene podatke. To samo po sebi nije obrada nikakvih osobnih podataka, a zasigurno ne podataka koji se tek trebaju dobiti. U tom činjeničnom kontekstu tužitelj, to jest privatni poduzetnik, je i dalje voditelj obrade podataka s obzirom na to da je dobio podatke u okviru svoje djelatnosti, odnosno za sredstva i svrhe koje je sâm odredio. Tužitelj također i dalje ima svojstvo voditelja obrade kada izvršava obradu podataka koje posjeduje kako bi te podatke priopćio tuženiku u skladu s uvjetima koji su mu određeni. Tužitelj je taj koji provodi tu daljnju obradu ( 26 ).

48.

U tom kontekstu, te u skladu s člankom 6. stavkom 1. točkom (c) GDPR‑a, tužitelj na taj način osigurava poštovanje pravne obveze kojoj podliježe kao voditelj obrade, to jest obveze predviđene člankom 15. stavkom 6. Zakona o porezima i nametima. Tužitelj u svojem svojstvu voditelja obrade usto mora poštovati GDPR kada obrađuje osobne podatke, kao i kada ih priopćava tuženiku. Međutim, sud koji je uputio zahtjev ne pita o opsegu obrade podataka koju tužitelj mora provesti kako bi izvršio predmetni zahtjev. U biti, on nije postavio nijedno pitanje u pogledu mogućih tužiteljevih obveza na temelju GDPR‑a u okviru izvršavanja te obrade.

49.

Budući da je tuženika izdvojio kao pretpostavljenog nositelja obveza koje proizlaze iz GDPR‑a, čini se da sud koji uputio zahtjev zanima (pravna) osnova obrade u smislu članka 6. stavka 3. GDPR‑a, to jest članak 15. stavak 6. Zakona o porezima i nametima, kako ga je tuženik proveo svojim zahtjevima za dostavu informacija.

50.

Ukratko, čini se da se ključno pitanje oko kojeg se vrti svih devet prethodnih pitanja odnosi na opseg i uvjete prijenosa osobnih podataka između uzastopnih voditelja obrade ( 27 ). Je li GDPR‑om i kojim njegovim odredbama uređen odnos između uzastopnih voditelja obrade? Predviđa li GDPR ikakva (materijalna ili vremenska) ograničenja opsega i vrste prijenosa podataka između dvaju voditelja obrade koje u ovom predmetu čine privatni poduzetnik i tijelo javne vlasti? Sva ta pitanja zapravo se odnose na pravnu osnovu prikupljanja osobnih podataka, a ne na radnju obrade.

51.

Predmet GDPR‑a prije svega je zaštita osobnih podataka ispitanika i odnos između tih ispitanika i subjekta koji obrađuje njihove podatke. GDPR u tu svrhu predviđa prava ispitanika i obveze odgovarajućih voditelja obrade u okviru obrade osobnih podataka.

52.

Takva regulatorna logika usredotočena je na podatke i subjekte koji im pristupaju i s njima rade. GDPR sadržava vrlo malo odredbi koje izravno i izričito uređuju odnos između subjekata koji obrađuju podatke ( 28 ). Točno je da GDPR neizravno obuhvaća te odnose. On obvezuje svakog subjekta koji kasnije dođe do podataka da štiti te podatke kao i prava ispitanika. GDPR na taj način doista predviđa određene uvjete za otkrivanje i prijenos podataka. Međutim, to nipošto ne znači da GDPR izravno uređuje odnose između tih subjekata.

53.

Na neki način, ako bi se podatke smatralo dobrima, tada je regulatorna logika GDPR‑a analogna posebnim javnopravnim sustavima za određene vrste (dragocjenih, umjetničkih, povijesnih) dobara. Takav sustav nalaže određena ograničenja u pogledu tih dobara: kako se takva dobra mogu proizvoditi, kako ih treba koristiti, pod kojim ih se uvjetima može mijenjati, pohranjivati, preprodavati ili uništavati. Takav poseban sustav štiti dobra te time neizravno obvezuje svakog sljedećeg vlasnika ili posjednika tih dobara. Međutim, taj poseban sustav kao takav ostaje vezan za dobra. Njime nisu uređeni ni privatni oblici prodaje tih predmeta između dviju privatnih stranaka ni uvjeti pod kojima se ta dobra mogu ili moraju prenositi od privatnog subjekta javnome. Regulacija dobara nije isto što i regulacija pravne osnove raspolaganja tim dobrima ili regulacija trgovine njima.

54.

GDPR se smisleno može protumačiti samo ako se pojasni ta regulatorna logika te ako konkretnu radnju obrade uzmemo kao polaznu točku obveza koje potencijalno proizlaze iz tog propisa. U suprotnom će GDPR uvijek biti primjenjiv, iako, koliko god ga kreativno tumačili, ne sadržava nijednu odredbu koja uređuje konkretno pitanje o kojem je riječ. Neizbježna posljedica takvih slučajeva bit će to da se određeno nacionalno zakonodavstvo ili praksa neće protiviti GDPR‑u. Međutim, to „nepostojanje protivljenja” neće nužno biti posljedica načelne zakonitosti nacionalnih uređenja nego činjenice da takvo pitanje jednostavno nije uređeno GDPR‑om, makar se ono na određeni način odnosi na osobne podatke.

55.

Sudska praksa Suda upoznata je s takvim „lažno pozitivnim nalazima” u kontekstu raznolikih obveza otkrivanja podataka koje su zbog različitih razloga predviđene u nacionalnom pravu. Ponavljam, većina tih predmeta ne odnosi se ni na kakvu tekuću radnju obrade kao takvu nego na uzvodno pitanje pravne osnove takve buduće radnje. U tim je predmetima među ostalim bila riječ o pokretanju građanskog postupka radi utuživanja autorskih prava ( 29 ), o propisnom upravljanju javnim sredstvima ( 30 ) ili o zaštiti nacionalne sigurnosti ( 31 ). Primjeri u tom smislu mogu uključivati i predmete kao što su Rīgas satiksme ( 32 ), Promusicae ( 33 ), Bonnier ( 34 ) ili J & S Service ( 35 ).

56.

Naravno, GDPR se u svim tim situacijama primjenjivao u pogledu prava ispitanika prema voditelju odnosno voditeljima obrade u kontekstu konkretnih radnji obrade koje su upravo izvršene ili su se trebale izvršiti. Međutim, ponovno ističem da regulatorna logika i područje primjene GDPR‑a moraju slijediti tok podataka i osigurati zaštitu osobnih podataka u okviru radnji obrade. Njime se nije željelo urediti sve i svakakve uzvodne odnose između raznih subjekata koji mogu biti u posjedu podataka, uključujući razloge zbog kojih i načine na koje su ti podaci završili u njihovu posjedu. Drugim riječima, GDPR ne jamči voditeljima obrade nikakva „prava” u njihovim međusobnim odnosima.

57.

To ne znači da ta pitanja nisu pravno uređena. Jesu, ali drugim propisima, koji se prvenstveno odnose na kazneno zakonodavstvo. Ti su propisi pravna osnova obrade koja se zahtijeva člankom 6. stavkom 3. GDPR‑a. Kada je riječ o obveznim prijenosima osobnih podataka, ti su prijenosi uglavnom predviđeni – što je potpuno logično – u „propisima o kaznenom zakonodavstvu”, bilo Unijinim ( 36 ) ili nacionalnim pravom. Kada je riječ o dobrovoljnim prijenosima osobnih podataka, koliko su oni mogući i dopušteni prema javnopravnom režimu GDPR‑a, osnova tih prijenosa bit će nacionalno trgovačko ili ugovorno pravo, ovisno o vrsti odnosa koji postoji između uzastopnih voditelja obrade.

58.

Imajući u vidu ta pojašnjenja, smatram da se ovaj predmet (za sada) ne odnosi ni na kakvu radnju obrade. Odnosi se na pravnu osnovu te obrade, što je problematika na koju GDPR samo upućuje, ali je sam izravno ne uređuje. Međutim, unatoč tomu, a kako bih što više pomogao sudu koji je uputio zahtjev, u sljedećem odjeljku ovog mišljenja izložit ću rudimentarni okvir koji proizlazi iz GDPR‑a i koji će biti primjenjiv na radnju obrade kada je izvrši voditelj obrade, tj. privatni poduzetnik (pododjeljak B). Cilj GDPR‑a je zaštita ispitanika, a ne privatnog poduzetnika od javnog zadiranja u njegovu slobodu poduzetništva ili pravo vlasništva u obliku iskorištavanja podataka. To ne znači da takva problematika ne može dovesti do opravdanih pitanja nego da nije uređena GDPR‑om (C).

59.

U nastavku će se općenito govoriti o pravnoj osnovi obrade podataka koju bi tužitelj morao provesti izvršavajući tuženikov zahtjev za dostavu informacija. U tom će pogledu relevantna odredba vjerojatno biti članak 6. GDPR‑a, a osobito njegovi stavci 1. i 3., u vezi s uvodnom izjavom 45.

60.

Uvodno valja navesti činjenicu da Sudu nisu pružene nikakve konkretne informacije u pogledu dodatnih nacionalnih pravila o zaštiti podataka koja bi eventualno bila primjenjiva na okolnosti poput onih o kojima je riječ u glavnom postupku. Sud nije dobio nikakve informacije ni o tome postoje li, uz članak 15. stavak 6. Zakona o porezima i nametima, drugi opće primjenjivi nacionalni akti (primjerice, uredba ili provedbene smjernice) koji bi dodatno uređivali predmetnu obvezu pružatelja usluga (internetskog oglašavanja) da poreznim tijelima priopćavaju određene podatke. Također, općenito nema puno informacija o nacionalnom zakonodavnom okviru kojim je proveden GDPR.

61.

Nadalje, nije jasno je li članak 23. stavak 1. točka (e) GDPR‑a na bilo koji način prenesen u nacionalno pravo. Zakonitost zahtjeva za dostavu informacija ne ovisi o tome je li ta odredba prava Unije prenesena u nacionalno pravo ili nije. Međutim, to je pitanje relevantno za određivanje opsega i prirode obveza koje bi naknadni voditelj obrade (tijelo javne vlasti) mogao imati prema ispitanicima, kao i za određivanje obveza izvornog voditelja obrade i informacija koje on mora pružiti ispitanicima.

62.

Stoga razmatranje koje slijedi mora biti pomalo općenito. Promotrit ću načela koja iz članka 6. GDPR‑a proizlaze u pogledu buduće obrade koju privatni poduzetnik mora izvršiti kako bi ispunio zahtjev tijela javne vlasti za dostavu podataka, prvo u pogledu svrhe takvih prijenosa podataka (1) te njihova opsega i trajanja (2). Nakon toga ću se okrenuti pravnoj osnovi takvih prijenosa jer uvjeti u pogledu te osnove postaju jasniji kada se razriješe prethodna potpitanja (3).

63.

Načelno, opća svrha za koju porezna uprava zahtijeva otkrivanje osobnih podataka u glavnom postupku nedvojbeno je legitimna. Osiguravanje pravilne naplate poreza i otkrivanje mogućih povreda porezne obveze zasigurno se može podvesti pod vrste legitimnih ciljeva i svrha obrade podataka i prema stavku 1. i prema stavku 3. članka 6. GDPR‑a ( 37 ).

64.

Ključ pitanja koja ovaj predmet otvara jest koliko se apstraktno takav cilj treba odrediti. Čini se da u tom pogledu postoji zabuna između dviju vrsta posebnih ciljeva: (i) traganje za određenim vrstama informacija (kako bi se otkrile povrede zakona), u suprotnosti s (ii) provjeravanjem činjenice da su se određene povrede dogodile (i zahtijevanjem otkrivanja konkretnih podataka kako bi se potvrdila ta pretpostavka).

65.

Priroda (te stoga i opseg) obiju vrsta prijenosa podataka nužno će se međusobno razlikovati. Smisao traganja i otkrivanja je ex ante, širok i uvelike nedefiniran u smislu konkretnih ispitanika. Ako je cilj otkriti moguće povrede, tada metaforičku mrežu treba baciti široko. Nasuprot tomu, smisao provjeravanja mogućih povreda otkrivanjem relevantnih podataka može biti mnogo razrađeniji i fokusiraniji. Ovdje je logika više ex post, usredotočena na provjeravanje određenih sumnji koje se uobičajeno odnose na ispitanike koji se mogu identificirati.

66.

Smatram da članak 6. GDPR‑a dopušta oba scenarija. Međutim, članak 6. stavak 3. GDPR‑a zahtijeva jasnu pravnu osnovu za oba ta prijenosa podataka.

67.

Međutim, kada se u obzir uzme članak 15. stavak 6. Zakona o porezima i nametima, razumljive su zadrške suda koji je uputio zahtjev u kontekstu ovog predmeta. Tekst te odredbe koji je bio na snazi kada je sud koji je uputio zahtjev taj zahtjev podnio predviđao je da pružatelji usluga internetskog oglašavanja mogu biti obvezni, na zahtjev Državne porezne uprave, pružiti informacije o (određenim) poreznim obveznicima.

68.

Stoga se čini da, u ovom predmetu, svrha otkrivanja, koja je utvrđena u relevantnoj pravnoj osnovi, nalikuje drugom prethodnom opisanom scenariju: provjeravanju određenih informacija u pogledu konkretnih poreznih obveznika. Međutim, čini se da je nacionalna porezna uprava tu pravnu osnovu upotrijebila za, kako se čini, zahtjev za (neograničene) prijenose podataka, odnosno zapravo za ubiranje podataka, kako bi provela opću akciju traganja i otkrivanja, koja spada u prvi prethodno opisani scenarij. Upravo tu leži logički nesklad koji je, po svemu sudeći, bit ovog predmeta na nacionalnoj razini, a stvara osjećaj zbunjenosti u pogledu proporcionalnosti takve mjere i (2) njezine odgovarajuće pravne osnove (3).

69.

Proporcionalnost, a zapravo i „smanjenje”, je razmatranje odnosa između (postavljenih) ciljeva i (odabranih) sredstava. Problem u ovom predmetu je to što će se ocjena proporcionalnosti vjerojatno razlikovati ovisno o tome koji će se ciljevi izabrati između dvaju prethodno navedenih (idealnih ( 38 )) scenarija.

70.

Tijela javne vlasti će u okviru cilja „traganja i otkrivanja” baciti svoju mrežu što je šire moguće kako bi osigurala pronalazak relevantnih informacija. To može podrazumijevati obradu velike količine podataka. Naime, potreba za pribavljanjem i obradom većih skupova podataka svojstvena je toj vrsti općeg i neodređenog traganja za informacijama. U tom scenariju proporcionalnost i smanjenje obrade podataka mogu se stvarno odnositi samo na vrstu zatraženih podataka među kojima se potrebne informacije mogu pronaći ( 39 ).

71.

U okviru cilja koji se sastoji u „provjeravanju”, kada tijela javne vlasti moraju pribaviti dokaze o sadržaju određene transakcije ili skupa transakcija, logično je da ocjena proporcionalnosti može biti zahtjevnija. Porezna uprava tada može tražiti samo podatke o konkretnim transakcijama, unutar konkretnog vremenskog okvira, kako bi provela naknadne provjere, uobičajeno u pogledu određenog(-ih) poreznog(-ih) obveznika. Zahtjevi za dostavu informacija stoga će vjerojatno biti prilagođeni za konkretne podatke koji sadržavaju tu vrstu informacija.

72.

Čini se da se smisao uvodne izjave 31. GDPR‑a, u mjeri u kojoj ikakav mogu prepoznati, odnosi samo na potonji scenarij. U drugoj se rečenici te uvodne izjave, na koju se zainteresirane strane, a osobito Komisija, pozivaju i opširno o njoj govore, navodi da bi zahtjevi za otkrivanje koje šalju tijela javne vlasti morali uvijek biti u pisanom obliku, obrazloženi i povremeni i ne bi se trebali odnositi na čitav sustav pohrane ili dovesti do međupovezanosti sustavâ pohrane.

73.

Međutim, smatram da uvodnu izjavu uredbe, odnosno njezin dio, nije moguće izvući iz njezina konteksta, tretirati je kao neovisnu i obvezujuću odredbu iako ona nije nigdje odražena u pravno obvezujućem tekstu tog propisa ( 40 ), te na toj osnovi proglasiti da se osobni podaci tijelima javne vlasti mogu prenositi samo pod tim uvjetima. Jednostavno ne mogu prihvatiti tvrdnju da dio uvodne izjave 31., izolirano promatran, zabranjuje sve veće prijenose podataka tijelima javne vlasti, čak i one koji imaju valjanu pravnu osnovu (u nacionalnom pravu i/ili pravu Unije) te su u skladu sa svim obvezujućim odredbama GDPR‑a.

74.

Latvijska vlada u kontekstu ovog predmeta navodi da se količina zatraženih informacija može smatrati razumnom s obzirom na to da se zahtjev za priopćavanje informacija odnosi samo na oglase objavljene u odjeljku „Osobna vozila”, koji je 1 od 112 odjeljaka tužiteljeve internetske stranice. Belgijska i španjolska vlada dodaju da, prema njihovu mišljenju, nije relevantna količina podataka, već vrsta zatraženih podataka.

75.

Slažem se s tim navodima.

76.

Proporcionalnost ex ante traganja i otkrivanja zahtijeva „razmatranje kvalitete” u pogledu vrste zatraženih podataka. Tek se u odnosu na ex post provjeru određenih činjenica može u potpunosti primijeniti „razmatranje količine”. U suprotnom bi većina sredstava nadzora ili praćenja podataka u praksi bila isključena.

77.

Pod uvjetom da u pravu Unije ili nacionalnom pravu postoji valjana pravna osnova, nacionalna porezna uprava načelno može zahtijevati sve podatke koji su joj potrebni za vrstu istrage koju treba provesti, bez ikakvog vremenskog ograničenja. Proporcionalnost u smislu vrste zatraženih podataka jedino je ograničenje koje proizlazi iz GDPR‑a. Kako grčka vlada pravilno ističe, zahtjevi za dostavu informacija trebaju se ograničiti na vrstu podataka koji se odnose na gospodarsku djelatnost poreznih obveznika, isključujući podatke o njihovu privatnom životu.

78.

Primjerice, ako je svrha otkrivanje neprijavljenih dohodaka od prodaje rabljenih automobila, porezna uprava nema pravo tražiti i informacije o tome ima li osoba koja prodaje automobil crvenu kosu, kako se hrani ili ima li bazen. Dakle, vrsta zatraženih informacija mora biti jasno povezana s postavljenim ciljem traganja i istrage.

79.

Osim toga, na sudu koji je uputio zahtjev je da provede ocjenu proporcionalnosti u oba prethodno opisana scenarija, s obzirom na činjenične i pravne okolnosti svakog predmeta ( 41 ). Jednostavno rečeno, u ovom predmetu treba se postaviti pitanje omogućuje li vrsta zatraženih podataka tuženiku da pribavi informacije koje su mu potrebne za ostvarenje cilja koji je postavio?

80.

Naposljetku, tek se sada, s obzirom na upravo iznesena pojašnjenja, može smisleno razmotriti ključno pitanje pravne osnove. Naravno, oba scenarija opisana u prethodnim pododjeljcima ovog mišljenja („traganje i otkrivanje” i „provjeravanje”) zahtijevaju pravnu osnovu u skladu s člankom 6. stavkom 3. GDPR‑a kako bi tužitelj mogao provesti obradu. Ta odredba izričito dopušta da se pravom Unije ili pravom država članica izvrši posebna prilagodba primjene općih pravila GDPR‑a.

81.

Međutim, u svakom slučaju, utvrđena pravna osnova mora logično obuhvaćati konkretnu svrhu obrade i vrstu obrade koja se u tu svrhu provodi. Na koji će se točno način to provesti ovisi o posebnim prilagodbenim odredbama koje država članica ili Unija donese na temelju članka 6. stavka 3. GDPR‑a. Načelno, što su prijenosi podataka općenitiji, veći i trajniji, to zakonodavna osnova mora biti čvršća, detaljnija i izričitija jer takvi prijenosi podataka čine znatnije zadiranje u očuvanje zaštite podataka. Nasuprot tomu, što su zahtjevi za otkrivanje podataka diskretniji i ograničeniji, što je uobičajen slučaj ako se odnose samo na jednog ili nekolicinu ispitanika ili čak na ograničenu količinu podataka, to je veća vjerojatnost da se ti zahtjevi mogu izvršiti na razini pojedinačnih upravnih zahtjeva, a zakonodavna ovlašćujuća odredba može ostati poprilično široka i generička.

82.

Drugim riječima, dva regulatorna sloja koji čine eventualnu pravnu osnovu obrade podataka, to jest zakonodavni i upravni, djeluju zajedno. Barem jedan od njih mora biti dovoljno konkretan i prilagođen vrsti ili količini zatraženih osobnih podataka. Što je više pojedinosti na zakonodavnoj, strukturnoj razini, to ih manje mora biti u pojedinačnom upravnom zahtjevu. Zakonodavni sloj čak može biti toliko detaljan i sveobuhvatan da je potpuno samodostatan i samoprovediv. Nasuprot tomu, što je zakonodavna razina općenitija i neodređenija, to će pojedinačni upravni zahtjev morati biti detaljniji i uključivati jasno određenje svrhe koja će stoga ograničiti opseg.

83.

To zapažanje neizravno pruža odgovor na pitanje suda koji je uputio zahtjev koje se odnosi na proporcionalnost, a koje je ovdje možda najprikladnije razmotriti u okviru analize mogu li porezna tijela upućivati vremenski neograničene zahtjeve za dostavu podataka. Smatram da im GDPR to dopušta. Međutim, relevantnije je pitanje imaju li ona u nacionalnom pravu valjanu pravnu osnovu za ono što je u svojoj biti trajni prijenos podataka. Ako takvi prijenosi imaju jasnu osnovu, i trajanje, u nacionalnom pravu, oni se ne protive članku 6. stavku 3. GDPR‑a. Kao što je navedeno, uvodna izjava 31. GDPR‑a ne mijenja taj zaključak ( 42 ). Ne vidim osobitog praktičnog smisla tumačiti tu uvodnu izjavu na način da stvarno zahtijeva od upravnih tijela da uzastopno izdaju (svakog dana, mjeseca ili godine) istovjetne pojedinačne zahtjeve kako bi pribavili nešto što ionako mogu pribaviti na temelju nacionalnog zakonodavstva.

84.

Čini se da pravnu osnovu obrade u ovom predmetu čine i članak 15. stavak 6. Zakona o porezima i nametima i konkretni zahtjevi porezne uprave za otkrivanje podataka. Dakle, čini se da postoji dvojna pravna osnova: opća zakonodavna ovlašćujuća odredba i konkretna, ciljana upravna primjena te odredbe.

85.

U cjelini, takva se dvojna pravna osnova čini dovoljnom da u skladu s člankom 6. stavkom 1. točkom (c) i člankom 6. stavkom 3. GDPR‑a opravda tužiteljevu obradu osobnih podataka za potrebe prijenosa podataka tijelu javne vlasti koji se od njega zahtijeva. Iako je nacionalno zakonodavstvo koje ovlašćuje poreznu upravu na to da zatraži informacije poprilično općenito, čini se da su konkretni zahtjevi za dostavu podataka uvelike usmjereni na određenu vrstu podataka, unatoč njihovoj potencijalno velikoj količini.

86.

Međutim, u konačnici je na nacionalnom sudu, koji u potpunosti poznaje nacionalno pravo, uključujući eventualna dodatna nacionalna provedbena pravila koja nisu spomenuta tijekom ovog postupka, da provjeri ispunjava li obrada koja se u glavnom postupku zahtijeva od tužitelja zahtjeve izložene u ovom odjeljku ovog mišljenja.

87.

Za tu je ocjenu ključno pitanje – na koje treba obratiti posebnu pozornost – je li članak 15. stavak 6. Zakona o porezima i nametima, zajedno s konkretnim zahtjevima za dostavu informacija, u skladu sa zahtjevom predvidljivosti ( 43 ) pravne osnove. Propis koji omogućuje prijenose podataka mora imati propisana jasna i precizna pravila kojima se uređuje doseg i primjena predmetne mjere te propisivati minimalne uvjete, tako da osobe o čijim je osobnim podacima riječ raspolažu dostatnim jamstvima koja omogućuju učinkovitu zaštitu tih podataka od rizika od zlouporabe ( 44 ).

88.

Stoga pravna osnova kao cjelina (zakonodavna i upravna zajedno) mora biti oblikovana dovoljno precizno za sve uključene subjekte: tijela javne vlasti u pogledu onoga što mogu zahtijevati, poduzetnike u pogledu onoga što mogu pružiti i, prije svega, ispitanike kako bi znali tko može pristupiti njihovim podacima i u koje svrhe. Valja podsjetiti na to da pružanje informacija o obradi podataka doista čini ključan zahtjev na temelju GDPR‑a. Ispitanici moraju biti svjesni postojanja takve obrade te su te informacije preduvjet ostvarivanju daljnjih prava pristupa, brisanja ili ispravljanja podataka ( 45 ).

89.

Osim ako članak 23. GDPR‑a nije ni na koji način prenesen u nacionalno pravo kako bi se ograničila prava ispitanika predviđena u poglavlju III. GDPR‑a, iz članaka 13. i 14. GDPR‑a proizlazi da voditelj obrade ima obvezu informirati ispitanika. U kontekstu uzastopnih prijenosa podataka može biti teško utvrditi tko je nositelj te obveze ( 46 ). Osim toga, u praktičnom smislu, ako ne postoji nijedno ograničenje na temelju članka 23. stavka 1. GDPR‑a, koje u nacionalnom pravu mora ispunjavati zahtjev iz članka 23. stavka 2. GDPR‑a, tijelo javne vlasti koje je pribavilo podatke može biti obvezno na temelju članka 14. GDPR‑a pružiti odgovarajuće informacije svim uključenim ispitanicima. Ako nema jasne i predvidljive pravne osnove koja dopušta takve prijenose podataka, teško se može očekivati od voditelja obrade koji je prikupio podatke da je prethodno na odgovarajući način informirao ispitanika u skladu s člankom 13. GDPR‑a.

90.

Stoga zaključujem da se članku 6. stavku 1. točki (c) i članku 6. stavku 3. GDPR‑a ne protive nacionalna pravila koja predviđaju, vremenski neograničenu, obvezu pružatelja usluga internetskog oglašavanja da poreznoj upravi dostavljaju određene osobne podatke, pod uvjetom da u nacionalnom pravu postoji jasna pravna osnova za takve vrste prijenosa podataka te da su zatraženi podaci prikladni i nužni poreznoj upravi za obavljanje njezinih službenih zadaća.

91.

Moja uloga nije nagađati o stvarnim motivima stranaka pred nacionalnim sudom. Stoga ću ostati vjeran svojoj nadi u postojanje dobrih samaritanaca, koji nesebično brane druge. Nije li moguće da privatno društvo jednostavno štiti prava ispitanika od kojih je prikupilo njihove osobne podatke?

92.

Iako se treba veseliti kada se poslovni subjekti posvete cilju zaštite podataka, pretpostavljam da neki poduzetnici mogu imati i druge razloge protiviti se javnopravno nametnutim prijenosima osobnih podataka koje su prikupili. Jedan od razloga mogu biti troškovi takvih aktivnosti. Treba li tijelima javne vlasti dopustiti da dio svojih javnoupravnih poslova zapravo eksternaliziraju, prisiljavajući privatne poduzetnike da snose troškove aktivnosti koje u bitnome spadaju u poslove javne uprave? To pitanje postaje značajno u slučajevima trajnih, opsežnih prijenosa podataka koje bi privatni poduzetnici trebali izvršavati za opće dobro bez ikakve naknade ( 47 ). Ostali razlozi mogu biti više poslovne prirode. Ako načas pretpostavimo, naravno, na razini obične hipoteze, da ljudi općenito ne vole plaćati poreze, nije nategnuto pretpostaviti i da neki od tih ljudi neće za oglašavanje svojih rabljenih automobila izabrati internetsku stranicu koja te informacije potom priopćava poreznim tijelima, nego neki drugi kanal.

93.

Nimalo nije jednostavno pronaći ravnotežu između svih interesa koji postoje u takvoj situaciji. S jedne strane, situacija u kojoj tijela javne vlasti od privatnih poduzetnika zahtijevaju dostavu podataka, koji se moraju pripremiti i dostaviti prema točnim uvjetima koje su ta tijela odredila, može se opasno približiti prisilnoj eksternalizaciji poslova javne uprave. To osobito može vrijediti u odnosu na podatke koji su inače slobodno dostupni te koje su tijela javne vlasti sama mogla prikupiti bez puno tehničkog napora. S druge strane, kako belgijska vlada opravdano naglašava ističući širu relevantnost situacije iz glavnog postupka, možda je potreban nešto razrađeniji odgovor u slučajevima raznih oblika platformi ekonomije dijeljenja ili u drugim scenarijima u kojima tijela javne vlasti zahtijevaju pristup podacima koji su bitni za postavljenu legitimnu javnu svrhu, ali koji nisu slobodno dostupni te ih tijela javne vlasti stoga ne mogu sama prikupiti. Međutim, pitanje moguće naknade čak i u takvim okolnostima ostaje otvoreno.

94.

Definitivno vidim takva pitanja skrivena u pozadini glavnog postupka. Međutim, razumnu ravnotežu za takve slučajeve se na nacionalnoj razini ili razini Uniji prvenstveno mora tražiti prilikom donošenja relevantnog zakonodavstva koje čini pravnu osnovu takvih vrsta prijenosa. Tu ravnotežu ne treba odrediti sudskim putem, posebice ne u predmetu u kojem sud koji je uputio zahtjev uopće nije izričito otvorio nijedno takvo pitanje. Osim toga, postoje još barem dva dodatna razloga zbog kojih ovaj predmet nije prikladan za ulaženje u takve rasprave.

95.

Kao prvo, takva pitanja, baš kao i neka druga koja se na neki način tiču toka osobnih podataka, ali zapravo se ne odnose na zaštitu prava ispitanika, jednostavno nisu izričito uređena GDPR‑om. Pitanje pravne zaštite voditelja obrade – privatnih poduzetnika od potencijalno nezakonitog ili neproporcionalnog zadiranja u njihovu slobodu poduzetništva, njihovo moguće pravo vlasništva ( 48 ) ili čak u njihovo moguće pravo na pravičnu naknadu za prenesene podatke nije uređeno GDPR‑om.

96.

Kao drugo, ako pravo Unije ne predviđa pravnu osnovu za takve prijenose podataka ( 49 ), ni pitanje moguće naknade za takve prisilne prijenose ne može biti stvar prava Unije. Ponavljam, to ne znači da se takva pitanja ne mogu pojaviti, čak i u kontekstu zaštite temeljnih prava (voditelja obrade o kojima je riječ). Međutim, rješavanje tih pitanja u takvim je slučajevima na sudovima država članica, koji u biti i nalažu takve prijenose. Takvi se slučajevi dakle trebaju uputiti nacionalnom (ustavnom) sudu.

97.

Predlažem da Sud na prethodna pitanja koja je uputila Administratīvā apgabaltiesa (Okružni upravni sud, Latvija) odgovori na sljedeći način: