—

w imieniu Smarandy Bary i in. przez C.F. Costaşa oraz K. Kapczę, avocați,

—

w imieniu Casa Naţională de Asigurări de Sănătate przez V. Ciurcheę, działającego w charakterze pełnomocnika,

—

w imieniu rządu rumuńskiego przez R.H. Radu oraz przez A. Buzoianu, A.G. Văcaru oraz D.M. Bulanceę, działających w charakterze pełnomocników,

—

w imieniu rządu czeskiego przez M. Smolka oraz J. Vláčila, działających w charakterze pełnomocników,

—

w imieniu Komisji Europejskiej przez I. Rogalskiego oraz B. Martenczuka, a także przez J. Vondunga działających w charakterze pełnomocników,

1

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy interpretacji art. 124 TFUE oraz art. 10, 11 i 13 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31 – wyd. spec. w jęz. polskim, rozdz. 13, t. 15, s. 355).

2

Wniosek ten został złożony w ramach sporu pomiędzy S. Barą a Președintele Casei Naționale de Asigurări de Sănătate (prezesem krajowej kasy ubezpieczeń zdrowotnych), Casa Națională de Asigurări de Sănătate (krajową kasą ubezpieczeń zdrowotnych, zwaną dalej „CNAS”) i Agenția Națională de Administrare Fiscală (krajową agencją administracji podatkowej, zwaną dalej „ANAF”) w przedmiocie przetwarzania pewnych danych.

3

Zgodnie z art. 2 dyrektywy 95/46, zatytułowanym „Definicje”:

„Do celów niniejszej dyrektywy:

[…]”.

4

Artykuł 3 tej dyrektywy, zatytułowany „Zakres obowiązywania”, sformułowany jest w sposób następujący:

„1.   Niniejsza dyrektywa stosuje się do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.

2.   Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych:

5

Artykuł 6 rzeczonej dyrektywy mówi o zasadach dotyczących jakości danych i stanowi:

„1.   Państwa członkowskie zapewniają, aby dane osobowe były:

2.   Na administratorze danych spoczywa obowiązek zapewnienia przestrzegania przepisów ust. 1”.

6

Artykuł 7 tej dyrektywy, obejmujący zasady dotyczące legalności przetwarzania danych, stanowi:

„Państwa członkowskie zapewniają, że dane osobowe mogą być przetwarzane tylko wówczas, gdy:

7

Artykuł 10 dyrektywy 95/46, zatytułowany „Informacje w przypadku gromadzenia danych od osoby, której dane dotyczą”, stanowi:

„Państwa członkowskie zapewniają, aby administrator danych lub jego przedstawiciel miał obowiązek przedstawienia osobie, której dane dotyczą i od której gromadzone są dane, co najmniej następujących informacji, z wyjątkiem przypadku, kiedy informacje takie już posiada:

8

Artykuł 11 tejże dyrektywy, zatytułowany „Informacje w przypadku uzyskiwania danych z innych źródeł niż osoba, której dane dotyczą”, ma następujące brzmienie:

„1.   W przypadku gdy dane uzyskiwane są z innych źródeł niż osoba, której dane dotyczą, państwa członkowskie zapewniają, aby administrator danych lub jego przedstawiciel był zobowiązany od początku gromadzenia danych osobowych lub w przypadku ujawnienia danych osobie trzeciej, nie później niż do momentu, gdy dane są ujawniane po raz pierwszy, dostarczyć osobie, której dane dotyczą, co najmniej następujące informacje, z wyjątkiem przypadku, kiedy posiada już ona takie informacje:

2.   Ustęp 1 nie ma zastosowania, w przypadku gdy szczególnie w przypadku przetwarzania danych do celów statystycznych, historycznych lub naukowych, dostarczenie takich informacji wymagałoby niewspółmiernie dużego wysiłku lub jeżeli gromadzenie lub ujawnianie informacji jest wyraźnie przewidziane przez prawo. W takich przypadkach państwa członkowskie zapewniają odpowiednie środki zabezpieczające”.

9

Zgodnie z art. 13 omawianej dyrektywy, zatytułowanym „Wyjątki i ograniczenia”:

„1.   Państwo członkowskie może przyjąć środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków, przewidzianego w art. 6 ust. 1, art. 10, art. 11 ust. 1, art. 12 oraz 21, kiedy ograniczenie takie stanowi środek konieczny dla zabezpieczenia:

2.   Z zastrzeżeniem obowiązku zapewnienia odpowiedniego stopnia ochrony prawnej, w szczególności, aby dane nie były wykorzystywane do podejmowania działań lub decyzji dotyczących konkretnych osób, państwa członkowskie mogą, w przypadku gdy wyraźnie nie występuje ryzyko naruszenia prywatności osoby, której dane dotyczą, ograniczyć przy pomocy środków legislacyjnych prawa przewidziane w art. 12, gdy dane są przetwarzane wyłącznie do celów badań naukowych lub przechowywane są w formie osobistej przez okres nieprzekraczający okresu koniecznego wyłącznie w celu sporządzenia statystyk”.

10

Z postanowienia odsyłającego wynika, że art. 215 Legea nr. 95/2006 privind reforma în domeniul sănătății (ustawy nr 95/2006 w sprawie reformy sektora zdrowotnego) z dnia 14 kwietnia 2006 r. (Monitorul Oficial al României, część I, nr 372, z dnia 28 kwietnia 2006 r.) przewiduje:

„1.   Obowiązek płacenia składek na ubezpieczenie zdrowotne spoczywa na osobie fizycznej lub prawnej, która zatrudnia pracowników na podstawie indywidualnej umowy o pracę lub na podstawie szczególnego statutu przewidzianego przez prawo, a także, w stosownych przypadkach, na osobach fizycznych.

2.   Osoby prawne lub fizyczne, na rzecz których ubezpieczeni świadczą pracę, są zobowiązane do comiesięcznego składania kasie chorych swobodnie wybranej przez ubezpieczonych deklaracji imiennych dotyczących spoczywających na nich zobowiązań wobec funduszu, a także dowodu opłacenia składek.

[…]”.

11

Artykuł 315 tejże ustawy głosi:

„Dane niezbędne do ustalenia statusu osoby ubezpieczonej zostaną nieodpłatnie przekazane kasom chorych przez organy, instytucje publiczne i inne instytucje na podstawie protokołu”.

12

Artykuł 35 postanowienia prezesa CNAS nr 617/2007 z dnia 13 sierpnia 2007 r. w sprawie zatwierdzenia zasad sporządzania dokumentów potwierdzających nabycie statusu osoby ubezpieczonej lub statusu osoby ubezpieczonej bez zapłaty składki i stosowania środków egzekucji służących odzyskaniu kwot należnych na rzecz krajowego funduszu ubezpieczeń zdrowotnych (Monitorul Oficial al României, część I, nr 649, z dnia 24 września 2007 r.) stanowi:

„[…] dla potrzeb zobowiązań płatniczych na rzecz funduszu spoczywających na osobach fizycznych ubezpieczonych na podstawie umowy ubezpieczenia, innych niż te, w przypadku których pobór podatku jest dokonywany przez ANAF, tytułem wierzytelności jest, stosownie do przypadku, deklaracja, […], decyzja podatkowa wydana przez właściwy organ CAS [kasy ubezpieczeń zdrowotnych], a także orzeczenie sądowe dotyczące wierzytelności funduszu. Decyzja podatkowa może zostać wydana przez właściwy organ CAS i na podstawie informacji uzyskanych od ANAF na podstawie protokołu”.

13

Zgodnie z art. 4 protokołu nr P 5282/26.10.2007/95896/30.10.2007 zawartego pomiędzy CNAS i ANAF (zwanego dalej „protokołem z 2007 r.”):

„Po wejściu w życie niniejszego protokołu [ANAF], za pośrednictwem właściwych podległych struktur, udostępni w postaci elektronicznej początkową wersję bazy danych o:

14

Skarżący w postępowaniu głównym uzyskują dochody z pracy na własny rachunek. Dane dotyczące ich dochodów zostały przekazane CNAS przez ANAF. Na podstawie tychże danych CNAS zażądał wpłaty zaległych składek na rzecz systemu ubezpieczeń zdrowotnych.

15

Skarżący w postępowaniu głównym wnieśli do Curtea de Apel Cluj (sądu apelacyjnego w Klużu) skargę, w której podważają legalność przekazania danych podatkowych dotyczących ich dochodów w świetle dyrektywy 95/46. Podnoszą oni, że owe dane osobowe zostały przekazane i wykorzystane, na podstawie zwykłego wewnętrznego protokołu, do celów innych niż cele, w jakich początkowo ujawniono je ANAF, i to bez wyraźnej zgody skarżących i bez wcześniejszego poinformowania ich o tym.

16

Z postanowienia odsyłającego wynika, że podmioty publiczne są na podstawie ustawy nr 95/2006 uprawnione do przekazywania danych osobowych kasom ubezpieczeń zdrowotnych w celu umożliwienia im ustalenia statusu osoby ubezpieczonej, osób, których dane dotyczą. Dane te służą identyfikacji osób (imię, nazwisko, osobisty numer identyfikacyjny, adres), lecz nie obejmują informacji o uzyskiwanych dochodach.

17

Sąd odsyłający stara się ustalić, czy przetwarzanie danych przez CNAS wymagało wcześniejszego poinformowania osób, których dotyczyły dane o tożsamości administratora danych i o celu, w jakim dane te zostały przekazane. Sąd ten musi wypowiedzieć się również w kwestii tego, czy przekazanie danych na podstawie protokołu z 2007 r. było sprzeczne z przepisami dyrektywy 95/46 wymagającymi, aby wszelkie ograniczenia praw osób, których dotyczą dane były przewidziane w ustawie i aby towarzyszyły im środki zabezpieczające, w szczególności gdy dane te są wykorzystywane przeciwko tym osobom.

18

W tych okolicznościach Curtea de Apel Cluj postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

19

Zgodnie z utrwalonym orzecznictwem Trybunał może odmówić orzekania co do pytania prejudycjalnego przedstawionego przez sąd krajowy, gdy żądana wykładnia prawa Unii w sposób oczywisty nie ma żadnego związku ze stanem faktycznym lub przedmiotem sporu w postępowaniu głównym lub też gdy problem ma charakter hipotetyczny albo gdy Trybunał nie posiada wystarczającej wiedzy na temat okoliczności faktycznych i prawnych, aby odpowiedzieć na przedstawione mu pytania w użyteczny sposób (zob. wyrok PreussenElektra, C‑379/98, EU:C:2001:160, pkt 39 i przytoczone tam orzecznictwo).

20

We wszystkich przedłożonych Trybunałowi uwagach wskazano, że trzy pytania prejudycjalne od pierwszego do trzeciego dotyczące interpretacji art. 124 TFUE są niedopuszczalne, albowiem nie mają związku z przedmiotem sporu.

21

W tym względzie należy przypomnieć, że art. 124 TFUE znajduje się w części trzeciej w tytule VIII traktatu FUE dotyczącym polityki gospodarczej i pieniężnej. Zgodnie z tym postanowieniem zakazany jest każdy środek nieoparty na względach o charakterze ostrożnościowym, ustanawiający uprzywilejowany dostęp instytucji, organów lub jednostek organizacyjnych Unii, rządów centralnych, władz regionalnych, lokalnych lub innych władz publicznych, innych instytucji lub przedsiębiorstw publicznych państw członkowskich do instytucji finansowych.

22

Zakaz ten ma źródło w art. 104 A traktatu WE (po zmianie art. 102 WE), który został wprowadzony do traktatu WE przez traktat z Maastricht. Wspomniany artykuł zalicza się do postanowień traktatu FUE dotyczących polityki gospodarczej mających na celu zachęcenie państw członkowskich do prowadzenia zrównoważonej polityki budżetowej przy równoczesnym unikaniu sytuacji, w której finansowanie w ramach polityki pieniężnej deficytu budżetowego lub uprzywilejowany dostęp władz publicznych do rynków finansowych prowadziłyby do nadmiernego zadłużenia lub deficytu budżetowego państw członkowskich (zob. podobnie wyrok Gauweiler i in., C‑62/14, EU:C:2015:400, pkt 100).

23

Jest więc oczywiste, że interpretacja art. 124 TFUE, o którą wystąpiono, nie ma żadnego związku ze stanem faktycznym lub przedmiotem sporu w postępowaniu głównym, które dotyczy ochrony danych osobowych.

24

Z powyższego wynika, że nie należy udzielać odpowiedzi na trzy pierwsze pytania.

25

CNAS i rząd rumuński podnoszą, że pytanie czwarte jest niedopuszczalne. Rząd ów twierdzi, że nie ma żadnego związku pomiędzy szkodą podnoszoną przez skarżących w postępowaniu głównym a stwierdzeniem nieważności aktów administracyjnych zaskarżonych w postępowaniu głównym.

26

Należy przypomnieć, że zgodnie z utrwalonym orzecznictwem Trybunału pytania dotyczące wykładni prawa Unii, z którymi zwrócił się sąd krajowy w ramach stanu prawnego i faktycznego, za którego ustalenie jest on odpowiedzialny, przy czym prawidłowość tych ustaleń nie podlega ocenie przez Trybunał, korzystają z domniemania, iż mają znaczenie dla sprawy. Odmowa udzielenia przez Trybunał odpowiedzi na pytanie prejudycjalne postawione przez sąd krajowy jest możliwa jedynie wówczas, gdy żądana wykładnia prawa Unii w sposób oczywisty nie ma żadnego związku ze stanem faktycznym lub przedmiotem sporu toczącego się przed sądem krajowym lub też gdy problem ma charakter hipotetyczny albo gdy Trybunał nie posiada wystarczającej wiedzy na temat okoliczności faktycznych i prawnych, aby odpowiedzieć na postawione mu pytania w użyteczny sposób (zob. w szczególności wyrok Fish Legal i Shirley, C‑279/12, EU:C:2013:853, pkt 30 i przytoczone tam orzecznictwo).

27

Należy zaznaczyć, że sprawa w postępowaniu głównym dotyczy legalności przetwarzania danych podatkowych zgromadzonych przez ANAF. Sąd odsyłający zastanawia się nad interpretacją przepisów dyrektywy 95/46 w ramach kontroli legalności przekazywania tychże danych CNAS i dalszego przetwarzania. Czwarte pytanie jest więc istotne i wystarczająco szczegółowe, aby Trybunał mógł odpowiedzieć na nie w użyteczny sposób. W konsekwencji wniosek o wydanie orzeczenia w trybie prejudycjalnym należy uznać za dopuszczalny w zakresie pytania czwartego.

28

Poprzez swe pytanie czwarte sąd odsyłający stara się w istocie ustalić, czy art. 10, 11 i 13 dyrektywy 95/46 należy interpretować w ten sposób, że przepisy te stoją na przeszkodzie środkom krajowym, takim jak rozpatrywane w postępowaniu głównym, które pozwalają organowi administracji publicznej państwa członkowskiego na przekazywanie danych osobowych innemu organowi administracji publicznej i na ich dalsze przetwarzanie, bez informowania osób, których dane dotyczą, o tymże przekazaniu i przetwarzaniu.

29

W tym względzie należy zauważyć, w oparciu o informacje dostarczone przez sąd odsyłający, że dane podatkowe przekazane CNAS przez ANAF stanowią dane osobowe w rozumieniu art. 2 lit. a) rzeczonej dyrektywy, albowiem chodzi o „informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej” (wyrok Satakunnan Markkinapörssi i Satamedia, C‑73/07, EU:C:2008:727, pkt 35). Zarówno przekazanie ich przez ANAF organowi odpowiedzialnemu za administrowanie bazą danych, w której są zgromadzone, jak też ich późniejsze przetwarzanie przez CNAS mają więc charakter „przetwarzania danych osobowych” w rozumieniu art. 2 lit. b) tejże dyrektywy (zob. podobnie w szczególności wyroki: Österreichischer Rundfunk i in., C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, pkt 64; a także Huber, C‑524/06, EU:C:2008:724, pkt 43).

30

Zgodnie z przepisami rozdziału II dyrektywy 95/46, zatytułowanego „Ogólne zasady legalności przetwarzania danych osobowych”, z zastrzeżeniem dozwolonych na mocy jej art. 13 odstępstw, każda operacja przetwarzania danych osobowych musi być zgodna z jednej strony z wyrażonymi w art. 6 tej dyrektywy zasadami odnoszącymi się do charakteru danych, a z drugiej strony – z jednym z kryteriów legalności przetwarzania danych, wymienionych w art. 7 tej dyrektywy (wyroki: Österreichischer Rundfunk i in., C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, pkt 65; Huber, C‑524/06, EU:C:2008:724, pkt 48, a także ASNEF i FECEMD, C‑468/10 i C‑469/10, EU:C:2011:777, pkt 26).

31

Ponadto administrator danych lub jego przedstawiciel ma obowiązek informacji, którego zasady, określone w art. 10 i 11 dyrektywy 95/46 różnią się w zależności od tego, czy owe dane zostały uzyskane od osoby, której dotyczą, bądź nie, z zastrzeżeniem wyjątków dopuszczanych na mocy art. 13 tej dyrektywy.

32

Po pierwsze, jeżeli chodzi o art. 10 rzeczonej dyrektywy, to przepis ten przewiduje, że administrator danych miał obowiązek przedstawienia osobie, której dane dotyczą i od której gromadzone są dane, informacji wymienionych w lit. a)–c) tego artykułu, z wyjątkiem przypadku, kiedy osoba ta informacje takie już posiada. Informacje te dotyczą tożsamości administratora danych, celów przetwarzania danych oraz wszelkich dalszych informacji potrzebnych w celu zagwarantowania rzetelnego przetwarzania danych. Wśród dodatkowych informacji potrzebnych w celu zapewnienia rzetelnego przetwarzania danych, art. 10 lit. c) omawianej dyrektywy wymienia wprost „odbiorców lub kategorie odbierających dane” oraz „istnienie prawa wglądu do […] danych [odnoszących się do osoby, której one dotyczą] oraz ich sprostowania”.

33

Jak zaznaczył rzecznik generalny w pkt 74 swej opinii, ów wymóg informowania osób, których dotyczy przetwarzanie ich danych osobowych, jest tym ważniejszy, iż stanowi warunek konieczny wykonywania przez te osoby ich prawa dostępu do przetwarzanych danych i sprostowania ich, przewidzianego w art. 12 dyrektywy 95/46, oraz ich prawa sprzeciwu wobec przetwarzania tych danych, o którym mowa w art. 14 tej dyrektywy.

34

Z powyższego wynika, że wymóg rzetelnego przetwarzania danych osobowych przewidziany w art. 6 dyrektywy 95/46 zobowiązuje organ administracji publicznej do informowania osób, których dane dotyczą, o ich przekazaniu innemu organowi administracji publicznej w celu ich przetworzenia przez ów drugi organ będący odbiorcą rzeczonych danych.

35

Z wyjaśnień sądu odsyłającego wynika, że skarżący w postępowaniu głównym nie zostali poinformowani przez ANAF o przekazaniu CNAS dotyczących ich danych osobowych.

36

Rząd rumuński podnosi jednak, że ANAF ma obowiązek, między innymi na podstawie art. 315 ustawy nr 95/2006 przekazywania regionalnym kasom ubezpieczenia zdrowotnego, informacji potrzebnych w celu ustalenia przez CNAS statusu osoby ubezpieczonej w odniesieniu do osób uzyskujących dochody z pracy na własny rachunek.

37

Artykuł 315 ustawy nr 95/2006 rzeczywiście wyraźnie przewiduje, że „dane niezbędne do ustalenia statusu osoby ubezpieczonej zostaną nieodpłatnie przekazane kasom chorych przez organy, instytucji publicznych i innych instytucji na podstawie protokołu”. Niemniej jednak z wyjaśnień sądu odsyłającego wynika, że dane niezbędne do ustalenia statusu osoby ubezpieczonej w rozumieniu tego przepisu nie obejmują danych dotyczących dochodów, albowiem ustawa uznaje, iż status osoby ubezpieczonej mają również osoby nieosiągające dochodów podlegających opodatkowaniu.

38

W tych okolicznościach art. 315 ustawy nr 95/2006 nie może stanowić, w rozumieniu art. 10 dyrektywy 95/46, wcześniejszego poinformowania pozwalającego na zwolnienie administratora danych z obowiązku poinformowania osób, od których uzyskuje dane dotyczące ich dochodów, o odbiorcach tychże danych. W konsekwencji nie można uznać, że omawiane przekazanie danych odbyło się z poszanowaniem art. 10 dyrektywy 95/46.

39

Należy zbadać, czy ów brak poinformowania osób, których dotyczą dane, może być objęty zakresem art. 13 rzeczonej dyrektywy. Z art. 13 ust. 1 lit. e) i f) dyrektywy wynika bowiem, że państwa członkowskie mogą ograniczyć zakres praw i obowiązków przewidzianych w jej art. 10, kiedy ograniczenie takie stanowi środek konieczny dla zabezpieczenia „ważnego interesu ekonomicznego lub finansowego państwa członkowskiego […], łącznie z kwestiami pieniężnymi, budżetowymi i podatkowymi” oraz „funkcji kontrolnych, inspekcyjnych i regulacyjnych związanych, nawet sporadycznie, z wykonywaniem władzy publicznej w przypadkach wymienionych w lit. c)–e)”. Niemniej jednak rzeczony art. 13 wyraźnie wymaga, aby ograniczenia te były przyjmowane w drodze środków ustawodawczych.

40

Tymczasem, poza podniesioną przez sąd odsyłający okolicznością, iż dane dotyczące dochodów nie zaliczają się do danych osobowych niezbędnych do ustalenia statusu osoby ubezpieczonej, należy podkreślić, że art. 315 ustawy nr 95/2006 przewiduje zasadniczo jedynie przekazanie tego drugiego rodzaju danych osobowych będących w posiadaniu organów, instytucji publicznych i innych instytucji. Z postanowienia odsyłającego wynika również, że definicja informacji, jakie mogą być przekazywane, oraz zasady, według których odbywa się owo przekazywanie, nie zostały określone w drodze środka ustawodawczego, lecz w protokole z 2007 r. zawartym pomiędzy ANAF i CNAS, który nie stał się przedmiotem oficjalnego opublikowania.

41

W tych okolicznościach nie można uznać, że zostały spełnione przesłanki określone w art. 13 dyrektywy 95/46 po to, aby państwo członkowskie mogło wprowadzić odstępstwa od praw i obowiązków wynikających z art. 10 tej dyrektywy.

42

Po drugie, jeżeli chodzi o art. 11 rzeczonej dyrektywy, to ust. 1 tego przepisu przewiduje, że gdy dane uzyskiwane są z innych źródeł niż osoba, której dane dotyczą, administrator danych musi dostarczyć osobie, której dane dotyczą, informacje wymienione w lit. a)–c). Informacje te dotyczą tożsamości administratora, celów przetwarzania danych oraz wszelkich dalszych informacji koniecznych w celu zagwarantowania rzetelnego przetwarzania danych. Wśród tych dalszych informacji art. 11 ust. 1 lit. c) omawianej dyrektywy wymienia wyraźnie „kategorie potrzebnych danych” oraz „istnienie prawa wglądu do swoich danych oraz ich sprostowania”.

43

Z powyższego wynika, że zgodnie z art. 11 ust. 1 lit. b) i c) dyrektywy 95/46 w okolicznościach sprawy w postępowaniu głównym przetwarzanie przez CNAS danych przekazanych przez ANAF wymagało, aby osoby, których dane te dotyczyły, były informowane o celach tego przetwarzania i o kategoriach potrzebnych danych.

44

Tymczasem z wyjaśnień udzielonych przez sąd odsyłający wynika, że CNAS nie dostarczył skarżącym w postępowaniu głównym informacji wymienionych w art. 11 ust. 1 lit. a–c) rzeczonej dyrektywy.

45

Należy dodać, że zgodnie z art. 11 ust. 2 dyrektywy 95/46 ustęp 1 tego przepisu nie ma zastosowania między innymi, jeżeli gromadzenie lub ujawnianie informacji są przewidziane przez ustawę, przy czym państwa członkowskie muszą wówczas zapewnić odpowiednie środki zabezpieczające. Ze względów wskazanych w pkt 40 i 41 niniejszego wyroku przepisy ustawy nr 95/2006, na które powołał się rząd rumuński, oraz protokół z 2007 r. nie mogą być objęte odstępstwami wynikającymi z art. 11 ust. 2 rzeczonej dyrektywy ani też z jej art. 13.

46

W świetle ogółu powyższych uwag na zadane pytanie należy odpowiedzieć, iż art. 10, 11 i 13 dyrektywy 95/46 należy interpretować w ten sposób, że przepisy te stoją na przeszkodzie środkom krajowym, takim jak rozpatrywane w postępowaniu głównym, które pozwalają organowi administracji publicznej państwa członkowskiego na przekazywanie danych osobowych innemu organowi administracji publicznej i na ich dalsze przetwarzanie, bez informowania osób, których dane dotyczą, o tymże przekazaniu i przetwarzaniu.

47

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (trzecia izba) orzeka, co następuje:

Artykuły 10, 11 i 13 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że przepisy te stoją na przeszkodzie środkom krajowym, takim jak rozpatrywane w postępowaniu głównym, które pozwalają organowi administracji publicznej państwa członkowskiego na przekazywanie danych osobowych innemu organowi administracji publicznej i na ich dalsze przetwarzanie, bez informowania osób, których dane dotyczą, o tymże przekazaniu i przetwarzaniu.