1. 

Niemiecka administracja celna wymaga określonych danych osobowych osób pełniących funkcje kierownicze i pracowników przedsiębiorstw ubiegających się o uzyskanie lub utrzymanie statusu upoważnionego przedsiębiorcy (zwanego dalej „AEO”, z ang. Authorised Economic Operator), dzięki któremu traktowane są one korzystniej niż pozostali importerzy lub eksporterzy.

2. 

Odesłanie prejudycjalne dotyczy wynikających z prawa Unii granic tych wymagań, zarówno w zakresie ściśle celnym, jak i w zakresie ochrony danych osobowych.

3.

Artykuł 38 rozporządzenia nr 952/2013 ( 2 ) stanowi:

„1.   Przedsiębiorca mający siedzibę na obszarze celnym Unii i spełniający kryteria określone w art. 39 może złożyć wniosek o przyznanie statusu upoważnionego przedsiębiorcy.

[…]

2.   Status upoważnionego przedsiębiorcy obejmuje następujące rodzaje pozwoleń:

[…]”.

4.

Artykuł 39 lit. a) przewiduje:

„Kryteria przyznawania statusu upoważnionego przedsiębiorcy obejmują:

[…]”.

5.

Zgodnie z art. 24 ust. 1:

„[…]

W przypadku gdy wnioskodawca nie jest osobą fizyczną, kryterium ustanowione w art. 39 lit. a) kodeksu uznaje się za spełnione, jeżeli w ciągu ostatnich trzech lat żadna z następujących osób nie dopuściła się poważnego lub powtarzającego się naruszenia przepisów prawa celnego i podatkowego ani poważnego przestępstwa karnego w związku z prowadzoną działalnością gospodarczą:

6.

Zgodnie z art. 1:

„1.   Niniejsze rozporządzenie ustanawia środki przejściowe w zakresie środków wymiany i przechowywania danych, o których to środkach mowa w art. 278 kodeksu, do czasu wdrożenia systemów teleinformatycznych niezbędnych do stosowania przepisów kodeksu.

2.   Wymogi dotyczące danych, formatów i kodów, które należy stosować w okresach przejściowych określonych w niniejszym rozporządzeniu, rozporządzeniu delegowanym (UE) 2015/2446 oraz w rozporządzeniu wykonawczym Komisji (UE) 2015/2447, określono w załącznikach do niniejszego rozporządzenia”.

7.

Artykuł 5 stanowi:

„1.   Do daty aktualizacji systemu AEO, o której mowa w załączniku do decyzji wykonawczej 2014/255/UE, organy celne mogą zezwolić, w odniesieniu do wniosków i decyzji dotyczących AEO lub wszelkich późniejszych zdarzeń, które mogą mieć wpływ na pierwotny wniosek lub decyzję, na wykorzystanie środków innych niż techniki elektronicznego przetwarzania danych.

2.   W przypadkach, o których mowa w ust. 1 niniejszego artykułu, zastosowanie mają następujące postanowienia:

8.

Punkt 19 uwag wyjaśniających do aneksu VI odnosi się do treści formularza wniosku o przyznanie statusu AEO:

„Nazwa, data i podpis wnioskodawcy:

Podpis: osoba podpisująca powinna podać swoje stanowisko. Osobą podpisującą powinna być zawsze osoba, która w pełni reprezentuje wnioskodawcę.

Nazwa: nazwa wnioskodawcy oraz pieczęć wnioskodawcy.

[…]

[…]”.

9.

Zgodnie z art. 4:

„Na użytek niniejszego rozporządzenia:

[…]”.

10.

Artykuł 5 stanowi:

„Dane osobowe muszą być:

[…]”.

11.

Zgodnie z art. 6:

„1.   Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

[…]

[…]

[…].

2.   Państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów niniejszego rozporządzenia w odniesieniu do przetwarzania służącego wypełnieniu warunków określonych w ust. 1 lit. c) i e); w tym celu mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX.

3.   Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:

Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. […] Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.

4.   Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:

12.

Zgodnie z art. 23 ust. 1 lit. e):

„Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

[…]

13.

Paragraf 139a ust. 1 w brzmieniu mającym zastosowanie do okoliczności faktycznych w postępowaniu głównym stanowi:

„Dla celów jednoznacznej identyfikacji w postępowaniach podatkowych Bundeszentralamt für Steuern [centralny federalny urząd podatkowy] nadaje każdemu podatnikowi jeden i trwały numer (numer identyfikacyjny); podatnik lub osoba trzecia, przekazująca dane tego podatnika organom skarbowym, podają ów numer identyfikacyjny we wnioskach, zeznaniach oraz informacjach składanych organom skarbowym. Składa się on z ciągu cyfr, które nie mogą opierać się na innych danych dotyczących podatnika lub być ich pochodną; ostatnia cyfra jest cyfrą kontrolną […]”.

14.

Zgodnie z brzmieniem § 139b:

„1.   Osoba fizyczna może otrzymać nie więcej niż jeden numer identyfikacyjny […].

2.   Organy skarbowe mogą wzywać do podania i stosować numer identyfikacyjny jedynie wtedy, gdy jest to konieczne w celu wykonania ich ustawowych zadań lub jeśli przepis prawa wprost zezwala na wezwanie do podania lub stosowanie numeru identyfikacyjnego lub to nakazuje. Inne organy publiczne lub prywatne mogą:

3.   Centralny federalny urząd podatkowy gromadzi następujące dane dotyczące osób fizycznych:

[…]

[…]

4.   Wymienione w ust. 3 dane gromadzi się w celu:

15.

Paragraf 38 ust. 1 i 3 w brzmieniu mającym zastosowanie do okoliczności faktycznych w postępowaniu głównym stanowi:

„1.   W przypadku przychodów ze stosunku pracy podatek dochodowy od osób fizycznych pobierany jest przez potrącenie z wynagrodzenia (podatek od wynagrodzenia), o ile wynagrodzenie wypłacane jest przez pracodawcę […].

[…]

3.   Pracodawca pobiera podatek od wynagrodzenia na rachunek pracownika przy każdej wypłacie wynagrodzenia […]”.

16.

Paragraf 39 ust. 1 i 4 stanowi:

„1.   Dla celów dokonania potrącenia podatku od wynagrodzenia ustala się z inicjatywy pracownika wskaźniki potrącenia podatku od wynagrodzenia […]

[…].

4.   Wskaźniki potrącenia podatku od wynagrodzenia to:

[…]”.

17.

Zgodnie z § 39e:

„1.   Centralny federalny urząd podatkowy ustala dla każdego pracownika zasadniczo automatycznie grupę podatkową oraz w odniesieniu do dzieci podlegających uwzględnieniu w przypadku grup podatkowych I–IV, liczbę kwot wolnych od podatku ze względu na dziecko […], będące wskaźnikami potrącenia podatku od wynagrodzenia (§ 39 ust. 4 zdanie pierwsze pkt 1 i 2) […]. Jeśli urząd skarbowy ustali wskaźniki potrącenia podatku od wynagrodzenia zgodnie z § 39, to przekazuje je centralnemu federalnemu urzędowi podatkowemu w celu udostępnienia ich do automatycznego pobrania przez pracodawcę […]

2.   W celu udostępnienia wskaźników potrącenia podatku od wynagrodzenia do automatycznego pobrania przez pracodawcę, centralny federalny urząd podatkowy przechowuje wskaźniki potrącenia podatku od wynagrodzenia dla numeru identyfikacyjnego, jak również w odniesieniu do każdego podatnika, poza danymi określonymi w § 139b ust. 3 ordynacji podatkowej, następujące dane:

[…].

4.   W momencie nawiązania stosunku pracy pracownik przekazuje każdemu ze swoich pracodawców w celu pobrania przez nich wskaźników poboru podatku od wynagrodzenia informacje o:

[…].

W momencie rozpoczęcia stosunku pracy pracodawca zwraca się do centralnego federalnego urzędu podatkowego w drodze zdalnej transmisji danych o podanie zapisanych elektronicznie wskaźników poboru podatku od wynagrodzenia w odniesieniu do pracownika i uwzględnia je w koncie wynagrodzenia pracownika. […]

[…]”.

18.

Deutsche Post posiadała pozwolenia celne udzielone jej na podstawie rozporządzenia (EWG) nr 2913/92 ( 6 ) i rozporządzenia (EWG) nr 2454/93 ( 7 ), w szczególności pozwolenia upoważnionego odbiorcy i upoważnionego nadawcy. Korzystała także z ogólnej gwarancji w celu zapewnienia unijnej lub wspólnej procedury tranzytu. a ponadto, od początku obowiązywania w pełnym zakresie nowego kodeksu celnego z pozwolenia na prowadzenie magazynu czasowego składowania.

19.

Pismem z dnia 19 kwietnia 2017 r. Hauptzollamt (główny urząd celny) zwrócił się do Deutsche Post o udzielenie w terminie do dnia 19 maja 2017 r. odpowiedzi na pytania z dostępnego w Internecie kwestionariusza w zakresie samooceny część I (informacje dotyczące przedsiębiorstwa). Kwestionariusz ten zawierał m.in. następujące pytania:

„1.1.2. Proszę wskazać, o ile ma to zastosowanie do formy spółki, w jakiej działa Państwa przedsiębiorstwo:

[…]

1.1.6. Proszę wskazać kluczowe osoby pełniące funkcje kierownicze w przedsiębiorstwie (dyrektorów zarządzających, kierowników działów, kierownika księgowości, kierownika działu celnego itp.) i opisać mające do nich zastosowanie zasady reprezentacji. Wymagane dane obejmują co najmniej imię, nazwisko, datę urodzenia, numer identyfikacji podatkowej oraz właściwy urząd skarbowy.

[…]

1.3.1. Proszę wskazać osoby odpowiedzialne w Państwa organizacji za sprawy celne lub osoby zajmujące się sprawami celnymi (np. pracowników zajmujących się sprawami celnymi, kierownika działu celnego) z podaniem imienia, nazwiska, daty urodzenia, numeru identyfikacji podatkowej, właściwego urzędu skarbowego oraz stanowiska w organizacji”.

20.

Hauptzollamt poinformował Deutsche Post, że w przypadku braku podjęcia niezbędnej współpracy wykazanie, że spełnione zostały warunki udzielenia pozwolenia na podstawie kodeksu celnego, będzie niemożliwe. Deutsche Post została także powiadomiona, że pozwolenia bezterminowe zostaną cofnięte, w wypadku gdy nie dojdzie do współpracy lub gdy nie będą już spełniane przesłanki dla wydania pozwolenia.

21.

Deutsche Post złożyła skargę do sądu odsyłającego, w której sprzeciwiła się obowiązkowi podania Hauptzollamt numerów identyfikacji podatkowej (zwanych dalej „NIP‑ami”) osób wskazanych w kwestionariuszu pytań w zakresie samooceny, a także danych dotyczących właściwych w stosunku do tych osób urzędów skarbowych. Wniosła do sądu o stwierdzenie, że nie jest zobowiązana udzielać odpowiedzi na pytania zawarte w tej części kwestionariusza.

22.

W uzasadnieniu skargi Deutsche Post podniosła, że:

23.

Hauptzollamt nie podzielił argumentów Deutsche Post i podniósł, że uzyskanie NIP‑u jest niezbędne w celu jednoznacznej identyfikacji odnośnych osób w ramach zapytania do urzędów skarbowych. Wymiana informacji przewidziana jest jedynie w sytuacji posiadania przez urzędy skarbowe informacji o poważnych lub powtarzających się naruszeniach przepisów prawa podatkowego. Nie bierze się przy tym pod uwagę umorzonych postępowań w sprawach karnych i w sprawach o grzywnę. Powtarzające się naruszenia przepisów prawa podatkowego są uwzględniane jedynie w przypadku, gdy częstotliwość ich występowania jest nieproporcjonalna do rodzaju i zakresu działalności gospodarczej wnioskodawcy.

24.

Zdaniem Hauptzollamt krąg osób objętych pytaniami odpowiada temu, jaki wskazany został w art. 24 ust. 1 akapit drugi rozporządzenia wykonawczego do UKC oraz w wytycznych Komisji w sprawie upoważnionych przedsiębiorców. Uwzględniając ocenę ryzyka w poszczególnych przypadkach, urząd ten sprawdza, jakich konkretnie osób dotyczyć ma wymiana informacji z urzędami skarbowymi. Jeśli chodzi o osoby zajmujące się sprawami celnymi, to w przypadku większych działów celnych zapytanie ogranicza się do osób pełniących funkcje kierownicze i zarządcze.

25.

Finanzgericht Düsseldorf (sąd ds. finansowych w Düsseldorfie, Niemcy) ma wątpliwości, czy pobieranie danych osobowych (takich jak NIP czy urzędy skarbowe właściwe dla poboru podatku dochodowego w odniesieniu do osób wskazanych w pkt 1.1.2 lit. c), 1.1.6 oraz 1.3.1 kwestionariusza) można uznać za dopuszczalne przetwarzanie tych danych w rozumieniu art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”).

26.

Ponadto wyraża wątpliwości, czy za niezbędne uznać można sięganie do danych osobowych pracowników i członków rady nadzorczej skarżącej zebranych dla celów poboru podatku dochodowego od osób fizycznych, gdyż nie mają one bezpośredniego związku z oceną jej rzetelności w sprawach celnych ani z działalnością gospodarczą Deutsche Post.

27.

W tej sytuacji sąd odsyłający zwrócił się do Trybunału z następującym pytaniem prejudycjalnym:

„Czy art. 24 ust. 1 akapit drugi rozporządzenia wykonawczego [do UKC] należy interpretować w ten sposób, że na jego podstawie dopuszczalne jest, by organy celne wzywały wnioskodawcę do podania NIP‑ów nadanych przez niemiecki federalny centralny urząd skarbowy dla celów poboru podatku dochodowego od osób fizycznych oraz urzędów skarbowych właściwych w sprawach wymiaru podatku dochodowego od osób fizycznych w odniesieniu do członków rady nadzorczej wnioskodawcy oraz działających u niego dyrektorów zarządzających, kierowników działów, kierownika księgowości, kierownika działu celnego, jak również osób odpowiedzialnych za sprawy celne i osób zajmujących się sprawami celnymi?”.

28.

Uwagi na piśmie zostały przedłożone przez Deutsche Post, Hauptzollamt, rządy hiszpański, węgierski i włoski, a także przez Komisję. Deutsch Post, Hauptzollamt i Komisja wzięły udział w rozprawie, która odbyła się w dniu 5 lipca 2018 r.

29.

Przed przystąpieniem do dokonania analizy istoty sprawy należy ustalić, czy w niniejszej sprawie zastosowanie mają przepisy Unii dotyczące ochrony danych osobowych.

30.

Wniosek o przekazanie danych został skierowany do Deutsche Post w dniu 19 kwietnia 2017 r., a zatem przed dniem wejścia w życie (25 maja 2018 r.) rozporządzenia RODO. Obowiązywała wówczas dyrektywa 95/46/WE ( 8 ), a mimo to zarówno sąd odsyłający, jak też uczestnicy postępowania prejudycjalnego – z wyjątkiem Komisji – zgadzają się, że wspomniane rozporządzenie ma zastosowanie w niniejszej sprawie.

31.

Wyjaśnienia tej pozornej anomalii szukać należy w charakterze postępowania krajowego. Jak wskazano w trakcie rozprawy, Deutsche Post nie wniosła skargi o stwierdzenie nieważności (Anfechtungsklage), którą sąd musiałby rozpatrzyć w oparciu o przepisy obowiązujące w momencie wystąpienia okoliczności faktycznych sprawy, lecz skargę o ustalenie (Feststellungsklage) ( 9 ), która powinna zostać rozpatrzona w oparciu o stan prawny obowiązujący w chwili rozprawy i wydania orzeczenia.

32.

Wykładnia procesowego prawa krajowego należy do sądu odsyłającego, w której to kwestii Trybunał się nie wypowiada. W związku z tym, jeżeli Trybunał uzna, że na mocy przepisów krajowych sprawa powinna zostać rozstrzygnięta ratione temporis na podstawie rozporządzenia RODO, a nie na podstawie dyrektywy 95/46, będzie musiał dokonać wykładni rozporządzenia, a nie tej dyrektywy ( 10 ).

33.

Pytanie prejudycjalne zmierza do uzyskania wykładni, a nie do ewentualnego stwierdzenia nieważności art. 24 ust. 1 rozporządzenia wykonawczego do UKC, w związku z czym pod uwagę należy wziąć rozporządzenie RODO oraz art. 7 i 8 karty ( 11 ). Sąd odsyłający nie podniósł, powtarzam, kwestii możliwej nieważności tego przepisu, który ogranicza się do wskazania warunków uzyskania statusu AEO, i który sam z siebie nie wymaga przekazywania ani przetwarzania danych osobowych przez osobę trzecią.

34.

Ze statusu AEO wynikają korzyści ( 12 ) dla przedsiębiorców, którzy w kontekście swoich transakcji celnych są uznawani za wiarygodnych na całym terytorium Unii (art. 5 ust. 5 kodeksu celnego). Pośród tych korzyści wyróżnić należy wynikające z art. 38 ust. 6 tego kodeksu uprzywilejowane w stosunku do innych przedsiębiorców traktowanie pod względem kontroli celnych. W zależności od rodzaju przyznanego pozwolenia AEO podlega mniejszej liczbie kontroli fizycznych i kontroli dokumentów.

35.

Z racji tego, że rzetelność i reputacja AEO muszą być zweryfikowane, przyznanie tego statusu jest uzależnione od spełnienia następujących warunków określonych w art. 39 kodeksu celnego ( 13 ):

36.

Wymagania te mają zastosowanie wobec wszystkich przedsiębiorców ubiegających się o uzyskanie statusu AEO, bez względu na to, czy są to osoby prawne czy fizyczne. W niniejszej sprawie, jako że Deutsche Post jest osobą prawną, wymaganie polegające na braku poważnego naruszenia lub powtarzających się naruszeń prawa celnego i przepisów podatkowych oraz braku skazania za poważne przestępstwa związane z jej działalnością gospodarczą rozciąga się na niektórych jej pracowników (pełniących najbardziej istotne funkcje, wskazane poniżej) ( 14 ). Tak też stanowi art. 24 rozporządzenia wykonawczego do UKC, przepis wydany w wykonaniu postanowień art. 39 lit. a) kodeksu celnego ( 15 ).

37.

Wskazane wyżej wymagania zgodnie z art. 24 rozporządzenia wykonawczego do UKC muszą spełniać „osoba kierująca wnioskodawcą lub sprawująca kontrolę nad jego kierownictwem” oraz „pracownik odpowiedzialny za sprawy celne wnioskodawcy” ( 16 ).

38.

Artykuł 24 rozporządzenia wykonawczego do UKC wyznacza granice, których organy celne nie mogą przekraczać przy formułowaniu żądań o udzielenie informacji o osobach podlegających badaniu. Muszą również uwzględniać ten przepis w odniesieniu do celu gromadzenia danych tych osób.

39.

Zgodnie z logiką art. 24 rozporządzenia wykonawczego do UKC w celu przyznania ( 17 ) statusu AEO organy celne muszą dysponować określonymi danymi osób zarządzających przedsiębiorstwami, a także osób fizycznych kierujących ich działalnością w zakresie spraw celnych ( 18 ).

40.

Brzmienie art. 24 rozporządzenia wykonawczego do UKC jest rygorystyczne: wymienia jedynie osobę kierującą (przedsiębiorcą wnioskującym o przyznanie statusu AEO) lub sprawującą kontrolę nad jego kierownictwem i] pracownika odpowiedzialnego za sprawy celne. Sposób użycia w przepisie liczby pojedynczej wymaga rygorystycznej wykładni tego przepisu, zwłaszcza że informacje, które mają zostać przekazane, stanowią dane osobowe. Zakres stosowania przepisu art. 24 rozporządzenia wykonawczego do UKC nie może zostać rozszerzony przez przepis stojący niżej w hierarchii norm, jak to jest w przypadku załącznika 6 do rozporządzenia delegowanego 2016/341.

41.

W ten sposób organy celne mogą zwracać się o dane osobowe w odniesieniu do:

42.

Opierając się na tym założeniu podzielam zdanie sądu odsyłającego, że żądanie danych osobowych członków rad lub rady nadzorczej przedsiębiorstwa nie jest uzasadnione brzmieniem art. 24 rozporządzenia wykonawczego do UKC. Przepis ten nie może także stanowić podstawy do żądania danych kierowników innych działów i kierowników księgowości, chyba że osobom tym przysługuje uprawnienie do podejmowania decyzji ostatecznych w przedsiębiorstwie lub zajmują się one jego sprawami celnymi.

43.

Jak już zaznaczyłem, na podstawie art. 24 rozporządzenia wykonawczego do UKC uzyskiwać można jedynie informacje niezbędne do stwierdzenia braku „poważnych lub powtarzających się naruszeń przepisów prawa celnego i podatkowego”, czy też skazania za „poważne przestępstwo karne w związku z prowadzoną przez siebie działalnością gospodarczą”.

44.

Jest to zatem jedyny cel, jakiemu może służyć zbieranie informacji przez organy celne. Przepis nie wspomina jednak, jaki rodzaj danych jest właściwy do osiągnięcia tego celu – określenie tego należy do państw członkowskich przy uwzględnieniu, że mogą to być jedynie dane niezbędne do upewnienia się odnośnie do istnienia – lub braku – okoliczności mogących wpływać na rzetelność osób zarządzających przedsiębiorstwem.

45.

W celu ustalenia, czy wyżej wskazani pracownicy przedsiębiorstwa ubiegającego się o uzyskanie statusu AEO wykazują się uczciwością niezbędną do uzyskania zaufania ze strony organów celnych, art. 24 rozporządzenia wykonawczego do UKC zawiera trzy kategorie naruszeń:

46.

Jakie dane zgodnie z art. 24 rozporządzenia wykonawczego do UKC i w związku z przyznaniem statusu AEO mogą uzyskiwać organy celne w celu stwierdzenia istnienia opisanych wyżej naruszeń?

47.

Hauptzollamt utrzymuje, że musi dysponować NIP‑ami i danymi urzędów skarbowych właściwych dla osób pełniących funkcje kierownicze i pracowników Deutsche Post zarządzających jej sprawami celnymi. Twierdzi, że ponieważ wiele podatków podlega w Niemczech organom lokalnym, to tylko w ten sposób może ustalić, czy dokonali oni poważnych lub powtarzających się naruszeń przepisów prawa podatkowego. NIP stanowi podstawową informację umożliwiającą precyzyjne zwrócenie się do organów lokalnych o informacje o tych osobach.

48.

Deutsche Post stoi natomiast na stanowisku, że sytuacja jej pracowników w odniesieniu do podatku dochodowego od osób fizycznych nie ma znaczenia dla oceny, czy dopuścili się oni poważnych lub powtarzających się naruszeń przepisów prawa podatkowego. Przekazanie ich NIP‑ów nie byłoby zatem ani konieczne, ani właściwe do dokonania oceny jej rzetelności w sprawach celnych.

49.

Z uwag przedłożonych na piśmie oraz z wyjaśnień złożonych w toku rozprawy wynika, że NIP pełni rolę osobistego identyfikatora wykorzystywanego do różnych celów w relacjach między osobami fizycznymi a niemiecką administracją skarbową. Bezsporne jest, że jego podstawowe zastosowanie odnosi się do podatku dochodowego od osób fizycznych, co wyjaśnia powiązanie NIP‑u w postępowaniu głównym z urzędami skarbowymi właściwymi w sprawach poboru tego podatku.

50.

Wykładnia prawa niemieckiego nie należy do Trybunału, lecz do sądu odsyłającego. Sąd ten twierdzi, że NIP‑y osób zatrudnionych w Deutsche Post, nadane im przez centralny federalny urząd podatkowy (§ 139a ust. 1 zdanie pierwsze ordynacji podatkowej), zostały pobrane i są przechowywane jedynie w celu poboru podatku dochodowego od osób fizycznych w drodze potrącenia podatku od wynagrodzenia (§ 39e ust. 4 zdanie pierwsze pkt 1 ustawy o podatku dochodowym od osób fizycznych).

51.

Dane osobowe pracowników Deutsche Post, gromadzone w wyżej wskazanym celu, nie mają więc, według sądu odsyłającego, bezpośredniego związku z działalnością gospodarczą przedsiębiorstwa i, co za tym idzie, z oceną jego rzetelności w sprawach celnych ( 23 ).

52.

Uważam jednak, że z perspektywy przepisów celnych nic nie stoi na przeszkodzie temu, aby niemiecka administracja zwróciła się o NIP (oraz wskazanie urzędu właściwego w sprawach wymiaru podatku dochodowego od osób fizycznych) osoby pełniącej funkcje kierownicze oraz osoby odpowiedzialnej za sprawy celne przedsiębiorstwa ubiegającego się o przyznanie statusu AEO. Znajomość tych danych może służyć weryfikacji popełnienia (lub nie) przez te osoby naruszeń, z zastrzeżeniem przedstawionych dalej rozważań dotyczących ochrony tych danych osobowych.

53.

Argument sądu odsyłającego mógłby być trafny, gdyby istniało rozróżnienie (do którego sąd wydaje się odnosić) pomiędzy informacjami, które można uzyskać za pomocą NIP‑u, siłą rzeczy odnoszącymi się do każdej osoby fizycznej, a działalnością przedsiębiorstwa. Niemniej jednak chodzi tutaj o sprawdzenie, czy to właśnie te dwie osoby fizyczne, które pełnią funkcje w podmiocie ubiegającym się o uzyskanie statusu AEO, nie dopuściły się w ciągu ostatnich trzech lat takiego własnego (tzn. nieodnoszącego się do przedsiębiorstwa) zachowania, które podważa ich rzetelność, i zarażają, jeśli tak można powiedzieć, ich brakiem uczciwości – jeśli osoby te zostały w przeszłości skazane – cały podmiot, którym kierują lub za którego sprawy celne są odpowiedzialne.

54.

Podobnie jak inne dane o charakterze podatkowym, zakwalifikowane w ten sposób przez Trybunał ( 24 ), NIP stanowi dane osobowe w rozumieniu art. 4 pkt 1 rozporządzenia RODO, jako informacja dotycząca zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ( 25 ).

55.

Wskazanie urzędów skarbowych właściwych w sprawach poboru podatku dochodowego od osób fizycznych w odniesieniu do określonej osoby w postanowieniu odsyłającym jest opisane jako ściśle powiązane z NIP‑em ze względu na federalną strukturę niemieckiego systemu podatkowego. W tym kontekście, w charakterze uzupełniającym, może być uważane za informację podatkową dotyczącą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

56.

Sąd odsyłający podkreśla, że automatyczna konsultacja NIP‑u umożliwia dostęp do szczególnie chronionych informacji ( 26 ). Jest to zatem instrument umożliwiający identyfikację posiadacza NIP‑u i uzyskanie określonych informacji na temat jej życia prywatnego i rodzinnego, pozostających w dyspozycji administracji.

57.

Czynności wykonywane przez administrację celną odnośnie do NIP‑ów w związku z podmiotami ubiegającymi się o uzyskanie statusu AEO mogą zostać zakwalifikowane jako zbieranie [danych] lub ujawnianie poprzez przesłanie. W obu przypadkach dochodzi do przetwarzania danych w rozumieniu art. 4 pkt 2 rozporządzenia RODO. Niemiecka administracja celna występuje o NIP‑y, uporządkowuje je i wykorzystuje w celu uzyskania od właściwych urzędów skarbowych informacji dotyczących możliwych poważnych lub powtarzających się naruszeń przepisów prawa podatkowego, których dopuściły się te osoby. Już zwykłe otrzymanie danych stanowi przetwarzanie, a tym bardziej przetwarzaniem jest ich uporządkowanie i późniejsze wykorzystanie w celu uzyskania informacji o osobach fizycznych ( 27 ).

58.

Analogicznie Trybunał orzekł, że z przetwarzaniem danych mamy do czynienia w przypadku przesłania danych od jednego do drugiego podmiotu publicznego ( 28 ), a także gdy pracodawca przekazuje dane organowi krajowemu ( 29 ). Z tego też względu przesłanie przez Deutsche Post danych osobowych osób pełniących funkcje kierownicze i pracowników Hauptzollamt stanowi „przetwarzanie danych” w rozumieniu rozporządzenia RODO.

59.

Zgodnie z art. 5 ust. 1 lit. b) rozporządzenia RODO wiodącą zasadą przetwarzania danych jest zasada ograniczenia celu, zgodnie z którą „dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami” ( 30 ).

60.

Należy zatem rozstrzygnąć, czy wykorzystanie przez Deutsche Post wymaganych NIP‑ów osób pełniących funkcje kierownicze i osób odpowiedzialnych za sprawy celne jest zgodne z celem gromadzenia tych danych osobowych określonym przez prawo krajowe.

61.

Sąd odsyłający przedstawia swoje wątpliwości w tym zakresie ( 31 ) i uważa, że nie istnieje bezpośredni związek pomiędzy NIP‑ami i urzędami skarbowymi właściwymi w sprawach poboru podatku dochodowego w odniesieniu do osób pełniących funkcje kierownicze i pracowników a działalnością Deutsche Post w zakresie spraw celnych. Jak zostało przedstawione w toku rozprawy i jak wyżej wyjaśniłem, wykorzystanie tych danych podatkowych jest przewidziane przez prawo niemieckie zasadniczo, chociaż nie wyłącznie, w ramach stosunku pracy pomiędzy pracodawcą a pracownikiem do celów poboru podatku dochodowego od osób fizycznych.

62.

NIP‑y (i, uzupełniająco, wskazanie urzędów skarbowych właściwych w sprawach wymiaru podatku dochodowego od osób fizycznych) stanowią zatem dane osobowe, które nie zostały skonstruowane w celu ich stosowania w ramach stosunków pomiędzy przedsiębiorstwem a niemiecką administracją celną w celu uzyskania lub zachowania statusu AEO. Mamy zatem do czynienia z przetwarzaniem danych, które zasadniczo nie jest związane z celem, dla którego zostały one uzyskane, wbrew zasadzie wynikającej z art. 5 ust. 1 lit. b) rozporządzenia RODO.

63.

Przetwarzanie danych tego rodzaju mogłoby jednak być uzasadnione. Wystarczyłoby na przykład, aby osoby fizyczne, których ono dotyczy, wyraziły swoją zgodę na podstawie art. 6 ust. 1 lit. a) rozporządzenia RODO. Jak jednak wynika z akt sprawy, pracownicy Deutsche Post się temu sprzeciwili, co wyklucza powyższe rozwiązanie.

64.

Inne możliwe uzasadnienia można znaleźć w art. 6 ust. 1 ( 32 ), zgodnie z brzmieniem którego przetwarzanie jest zgodne z prawem, jeśli jest ono niezbędne „do wypełnienia obowiązku prawnego ciążącego na administratorze” [lit. c)] lub „do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi” [lit. e)] ( 33 ). W obu przypadkach art. 6 ust. 3 rozporządzenia RODO stanowi, że podstawa przetwarzania musi być określona w prawie Unii albo w prawie państwa członkowskiego, któremu podlega administrator.

65.

Zgodność z prawem żądania kierowanego do Deutsche Post przez administrację celną oraz przetwarzania przez nią danych osobowych znajduje uzasadnienie w obowiązku prawnym ( 34 ) nałożonym na administrację, a polegającym na dokonaniu weryfikacji, tak aby przyznanie statusu AEO następowało tylko na rzecz przedsiębiorstw, których osoby pełniące funkcje kierownicze i osoby odpowiedzialne za sprawy celne nie dopuściły się wyżej wymienionych naruszeń. Ostatecznie obowiązek ten wynika z art. 24 rozporządzenia wykonawczego do UKC. Uważam więc, że istnieje uzasadnienie zawarte w art. 6 ust. 1 lit. c) rozporządzenia RODO.

66.

Zgodność z prawem przetwarzania NIP‑u osoby pełniącej funkcje kierownicze i osoby odpowiedzialnej za sprawy celne przedsiębiorstwa do celów przyznania statusu AEO również może znaleźć uzasadnienie w „sprawowaniu władzy publicznej powierzonej administratorowi” [art. 6 ust. 1 lit. e) rozporządzenia RODO] ( 35 ), gdyż, aby administracja celna mogła wykonywać kontrolę przedsiębiorstw posiadających status AEO, nieuniknione jest sprawowanie przez nią władzy publicznej przyznanej jej w tym celu. Status ten oznacza pewne przekazanie funkcji kontroli celnej na rzecz AEO, równoważone przez szerokie uprawnienia administracji w zakresie weryfikacji i monitorowania rzetelności AEO.

67.

Żądanie i przetwarzanie danych, których dotyczy postępowanie, aczkolwiek zgodne z prawem na podstawie art. 6 ust. 1 lit. c) i e), mogą jednak skutkować pewnymi ograniczeniami praw przysługujących osobom, których te dane dotyczą, na podstawie art. 12–22 rozporządzenia RODO. Do sądu odsyłającego należy ustalenie, czy Hauptzollamt, przetwarzając te dane, nie ogranicza niektórych praw osób, których te dane dotyczą, np. prawa do dostępu, do sprostowania, do usunięcia lub do sprzeciwu.

68.

Gdyby takie ograniczenia istniały, mogłyby one być uzasadnione jako służące „ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu” [art. 23 ust. 1 lit. c) rozporządzenia RODO]. Środek nakładający takie ograniczenia nie mógłby ponadto naruszać „istoty podstawowych praw i wolności” i być „w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym” ( 36 ).

69.

Moim zdaniem cel polegający na zapewnieniu rzetelności celnej osoby pełniącej funkcje kierownicze i osoby odpowiedzialnej za sprawy celne na potrzeby przyznania statusu AEO z punktu widzenia gospodarczego, podatkowego i budżetowego może być uznany za ważny cel leżący w ogólnym interesie publicznym Unii i państwa niemieckiego. Kontrola rzetelności AEO sprzyja poborowi opłat celnych stanowiących dochód własny Unii, które są pobierane przez państwa członkowskie, a następnie przekazywane do budżetu Unii po uprzednim potrąceniu części tytułem opłaty za zarządzanie.

70.

Brak uczciwości osoby pełniącej funkcje kierownicze w przedsiębiorstwie i osoby odpowiedzialnej w nim za sprawy celne jest czynnikiem mogącym narazić na szwank rzetelność celną tego przedsiębiorstwa i mającym bezpośredni wpływ na przyznanie statusu AEO ( 37 ). Jak podkreśliłem w opinii w sprawie Impresa di Costruzioni Ing. E. Mantovani i Guerrato ( 38 ), logiczne jest, że na ocenę wiarygodności przedsiębiorstwa wpływają czyny karalne popełniane przez osoby odpowiedzialne za jego zarząd.

71.

Okoliczność ta uzasadnia badanie rejestrów podatkowych tych osób przez organy celne, obejmujące również okoliczności związane z opodatkowaniem podatkiem od osób fizycznych. Uważam, że w przypadku dopuszczenia się przez osobę pełniącą funkcję kierowniczą w przedsiębiorstwie lub osobę odpowiedzialną w nim za sprawy celne naruszenia prawa w związku z poborem tego lub jakiegokolwiek innego podatku, administracja celna powinna mieć możliwość uzyskania o tym informacji.

72.

Podobnie zbieranie i korzystanie z danych tego typu stanowią środki proporcjonalne do osiągnięcia celu określonego w art. 24 ust. 1 rozporządzenia wykonawczego do UKC ( 39 ). Jak wynika z wyjaśnień złożonych na rozprawie przez centralny federalny urząd podatkowy, federalna struktura państwa niemieckiego powoduje, że niektóre podatki, jak podatek dochodowy od osób fizycznych, podlegają organom lokalnym, dlatego w prawie niemieckim nie istnieją inne, alternatywne, mniej restrykcyjne środki. NIP jest najbardziej adekwatnym środkiem uzyskania informacji podatkowych przez federalną administrację podatkową ze strony różnych organów lokalnych ( 40 ).

73.

Należy przedstawić dwie ostatnie uwagi:

74.

W świetle powyższych rozważań proponuję, aby Trybunał odpowiedział na pytania Finanzgericht Düsseldorf (sądu ds. finansowych w Düsseldorfie, Niemcy) w następujący sposób: