OPINIA RZECZNIKA GENERALNEGO

MICHALA BOBEKA

przedstawiona w dniu 2 września 2021 r. ( 1 )

Sprawa C‑175/20

SIA „SS”

przeciwko

Valsts ieņēmumu dienests

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Administratīvā apgabaltiesa (regionalny sąd administracyjny, Łotwa)]

Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych i swobodny przepływ takich danych – Podstawa prawna przetwarzania – Wynikające z prawa krajowego zobowiązanie podmiotów świadczących usługi publikacji ogłoszeń w internecie do dostarczenia, na żądanie organu podatkowego, posiadanych przez nich informacji dotyczących podatników, którzy korzystali z tych usług – Wnioski o udzielenie informacji kierowane przez organ podatkowy do usługodawcy – Zakaz stosowania – Ograniczenia materialne i czasowe wynikające z RODO

I. Wprowadzenie

1.

Rozporządzenie (UE) 2016/679 (zwane dalej „RODO”) ( 2 ) bynajmniej nie jest aktem prawnym, który można by postrzegać w wąskich ramach. Jego szeroko określony zakres stosowania, skuteczne wyłączanie przez sądy możliwości stosowania wyjątków od tego rozporządzenia ( 3 ), jak również oparte na definicjach, abstrakcyjne i w rezultacie dość szerokie podejście do jego wykładni ( 4 ), przyczyniły się do tego, że zasięg RODO jest praktycznie nieograniczony. Przy takim podejściu trudno sobie obecnie wyobrazić sytuację, w której gdzieś, na jakimś etapie, nie dochodziłoby do przetwarzania jakichś danych osobowych.

2.

Opisane wyżej podejście, którego postawę stanowi wyniesienie ochrony danych osobowych na mocy art. 8 Karty praw podstawowych Unii Europejskiej do rangi nadrzędnego (super)prawa podstawowego, i które jest osadzone w tym kontekście, prowadzi jednak do wyraźnych skutków dośrodkowych, jakie ochrona danych osobowych zaczęła wywierać na inne dziedziny prawa i powstałe w ich ramach spory. Wiele spraw nagle okazuje się sprawami z zakresu ochrony danych osobowych, które kierowane są do Trybunału (i innych sądów) w celu dokonania wykładni RODO. Jednakże konkretne kwestie poruszane przy okazji tych sporów nie zawsze powinny być regulowane przez akt prawny taki jak RODO, pomimo jego raczej szerokiego zakresu stosowania.

3.

Niewielu mogłoby bowiem z góry zakładać, że RODO lub poprzedzającą je dyrektywę 95/46/WE ( 5 ) można postrzegać jako akty regulujące dostęp księgowych stażystów do ich arkuszy egzaminacyjnych, potencjalnie połączony z prawem do sprostowania tych danych osobowych po przeprowadzonym egzaminie ( 6 ); czy też jako uniemożliwiające policji dokonanie identyfikacji osoby fizycznej uczestniczącej w wypadku drogowym, przez co poszkodowany nie ma możliwości wniesienia powództwa na drodze cywilnej o naprawienie szkody wyrządzonej w jego pojeździe ( 7 ); czy jako ograniczające ujawnianie informacji o uprzednio zapłaconym podatku przez upadłe przedsiębiorstwo syndykowi masy upadłości tego przedsiębiorstwa w celu przywrócenia równowagi między wierzycielami prawa prywatnoprawnymi i publicznoprawnymi w kontekście roszczeń o uniknięcie niewypłacalności ( 8 ); to zaledwie kilka z bardziej intrygujących przykładów.

4.

Niniejsza sprawa jest kolejnym przykładem takich dośrodkowych skutków RODO. SIA „SS” jest podmiotem świadczącym usługi publikacji ogłoszeń w internecie. W ramach tej działalności gospodarczej pozyskuje ona dane osobowe osób, które zamieszczają reklamy na jej stronie internetowej. Właściwy krajowy organ podatkowy zwrócił się do tego przedsiębiorstwa o przekazanie mu pewnej ilości danych dotyczących ogłoszeń o samochodach używanych publikowanych na tej stronie internetowej w celu zapewnienia prawidłowego poboru podatków od ich sprzedaży. Ów organ podatkowy szczegółowo określił format danych, które chciałby otrzymywać. Jasno stwierdził również, że te dane mają być przekazywane w sposób stały i najwyraźniej nieodpłatnie.

5.

W tym kontekście sąd odsyłający pyta o dopuszczalny zakres takich wniosków o przekazanie danych. Podobnie jak w poprzednich sprawach, wydaje się, że RODO ma zastosowanie w niniejszej sprawie. Dane osobowe są lub będą gdzieś przez kogoś przetwarzane, z pewnością na późniejszym etapie, przy okazji dokonywania przekazania. Prawa osób, których dane dotyczą, w ramach takiego przetwarzania powinny być chronione, podobnie jak odnośne dane osobowe. Nie oznacza to bynajmniej, że RODO w szczególny sposób reguluje relacje między przyszłym (organem publicznym) a obecnym administratorem danych (przedsiębiorstwem prywatnym). RODO towarzyszy bowiem danym i chroni je gdziekolwiek trafiają, regulując w ten sposób obowiązki każdego kolejnego administratora wobec danych i wobec osób, których dane dotyczą. Z drugiej strony RODO nie reguluje, poza kilkoma wyraźnymi wyjątkami, konkretnej treści wzajemnych relacji między dwoma kolejnymi administratorami tych danych. W szczególności RODO nie przewiduje dokładnych warunków porozumienia między administratorami, czy to o charakterze umownym, czy publicznoprawnym, na mocy którego jeden z nich może zażądać danych od drugiego i uzyskać je.

II. Ramy prawne

A.   Prawo Unii

6.

Zgodnie z motywem 31 RODO:

„Organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy celne, finansowe jednostki analityki finansowej, niezależne organy administracyjne czy organy rynków finansowych regulujące i nadzorujące rynki papierów wartościowych), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego. Żądanie ujawnienia danych osobowych, z którym występują takie organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych. Przetwarzając otrzymane dane osobowe, takie organy powinny przestrzegać mających zastosowanie przepisów o ochronie danych, zgodnie z celami przetwarzania”.

7.

Motyw 45 RODO ma następujące brzmienie:

„Jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator, lub jeżeli jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić prawo Unii lub prawo państwa członkowskiego. Niniejsze rozporządzenie nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Prawo Unii lub prawo państwa członkowskiego powinno określać także cel przetwarzania. Ponadto prawo to może doprecyzowywać ogólne warunki określone w niniejszym rozporządzeniu dotyczące zgodności przetwarzania z prawem, określać sposoby wskazywania administratora, rodzaj danych osobowych podlegających przetwarzaniu, osoby, których dane dotyczą, podmioty, którym można ujawniać dane osobowe, ograniczenia celu, okres przechowywania oraz inne środki zapewniające zgodność z prawem i rzetelność przetwarzania. Prawo Unii lub prawo państwa członkowskiego powinno określać także, czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powinien być organ publiczny czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu, na przykład zrzeszenie zawodowe, jeżeli uzasadnia to interes publiczny, w tym cele zdrowotne, takie jak zdrowie publiczne, ochrona socjalna oraz zarządzanie usługami opieki zdrowotnej”.

8.

W art. 2 określono materialny zakres stosowania RODO:

„1.   Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

2.   Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

a)

w ramach działalności nieobjętej zakresem prawa Unii;

[…]

d)

przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

[…]”.

9.

Artykuł 4 zawiera definicje stosowane na użytek RODO:

„1)   »dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); […]

2)   »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

[…]

7)   »administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

8)   »podmiot przetwarzający« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

9)   »odbiorca« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

[…]”.

10.

W art. 5 RODO określono zasady dotyczące przetwarzania danych osobowych:

„1.   Dane osobowe muszą być:

a)

przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);

b)

zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami (»ograniczenie celu«”);

c)

adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (»minimalizacja danych«);

d)

prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (»prawidłowość«);

e)

przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (»ograniczenie przechowywania«);

f)

przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (»integralność i poufność«).

2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

11.

Zgodnie z art. 6 RODO:

„1.   Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

[…]

c)

przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

[…]

e)

przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

[…]

2.   Państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów niniejszego rozporządzenia w odniesieniu do przetwarzania służącego wypełnieniu warunków określonych w ust. 1 lit. c) i e); w tym celu mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX.

3.   Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:

a)

w prawie Unii; lub

b)

w prawie państwa członkowskiego, któremu podlega administrator.

Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu”.

12.

W rozdziale III, zatytułowanym „Prawa osoby, której dane dotyczą”, w art. 12‑22 określono prawa i odpowiednie obowiązki administratorów. Artykuł 23 RODO zamyka ten rozdział. Jest on zatytułowany „Ograniczenia” i stanowi:

„1.   Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

[…]

e)

innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu;

[…]

2.   W szczególności akt prawny, o którym mowa w ust. 1, musi zawierać szczegółowe przepisy przynajmniej – w stosownym przypadku – o:

a)

celach przetwarzania lub kategorii przetwarzania;

b)

kategoriach danych osobowych;

c)

zakresie wprowadzonych ograniczeń;

d)

zabezpieczeniach zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu;

e)

określeniu administratora lub kategorii administratorów;

f)

okresach przechowywania oraz mających zastosowanie zabezpieczeniach z uwzględnieniem charakteru, zakresu i celów przetwarzania lub kategorii przetwarzania;

g)

ryzykach naruszenia praw lub wolności osoby, której dane dotyczą; oraz

h)

prawie osób, których dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia”.

B.   Prawo krajowe

13.

Zgodnie z art. 15 ust. 6 Likums „Par nodokļiem un nodevām” (zwanej dalej „ustawą o podatkach i opłatach”), w brzmieniu obowiązującym w chwili zaistnienia okoliczności faktycznych niniejszej sprawy, podmioty świadczące usługi publikacji ogłoszeń w internecie są zobowiązane, na żądanie organu podatkowego państwa, do dostarczenia posiadanych przez nich informacji dotyczących podatników, którzy opublikowali ogłoszenia korzystając z tych usług, a także opublikowanych przez nich ogłoszeń.

III. Okoliczności faktyczne, postępowanie główne i pytania prejudycjalne

14.

W dniu 28 sierpnia 2018 r. dyrektor Nodokļu kontroles pārvalde (urzędu kontroli skarbowej) w ramach Valsts ieņēmumu dienests (łotewskiego organu podatkowego) (zwanego dalej „stroną przeciwną”), przekazał SIA „SS” (zwanej dalej „skarżącą”) wniosek o udzielenie informacji na podstawie art. 15 ust. 6 ustawy o podatkach i opłatach.

15.

We wniosku tym strona przeciwna wezwała skarżącą do odnowienia jej dostępu do informacji dotyczących numerów telefonów ogłoszeniodawców i numerów identyfikacyjnych pojazdów w ogłoszeniach publikowanych na stronie internetowej skarżącej (www.ss.com). Strona przeciwna wezwała ponadto skarżącą do dostarczenia, nie później niż do dnia 3 września 2018 r., informacji opublikowanych na tej stronie internetowej w sekcji „samochody osobowe” w okresie od dnia 14 lipca do dnia 31 sierpnia 2018 r. Do skarżącej zwrócono się o przekazanie informacji elektronicznie, w formacie umożliwiającym filtrowanie i wybieranie danych. Strona przeciwna zażądała również, aby plik zawierał następujące informacje: link do ogłoszenia, tekst ogłoszenia, markę pojazdu, model, numer identyfikacyjny pojazdu, cenę, numery telefonów sprzedawcy.

16.

W przypadku, gdyby przedłużenie tego dostępu było niemożliwe, do skarżącej zwrócono się o poinformowanie o powodzie (powodach) i zażądano przedstawienia wspomnianych informacji dotyczących opublikowanych ogłoszeń najpóźniej trzeciego dnia każdego miesiąca.

17.

Skarżąca wniosła zażalenie na drodze administracyjnej do pełniącego obowiązki dyrektora generalnego strony przeciwnej. Zdaniem skarżącej zakres wniosku o udzielenie informacji, które stanowią dane osobowe w rozumieniu art. 4 ust. 1 RODO, nie znajduje uzasadnienia w ustawie. We wniosku nie określono ani konkretnej grupy osób, których dane dotyczą, ani przedmiotu czy zakresu planowanego przetwarzania, ani też czasu trwania obowiązku dostarczenia informacji. Strona przeciwna, jako administrator danych, nie działała zgodnie z zasadą proporcjonalności, ani z zasadą minimalizacji przetwarzania danych osobowych wynikającymi z RODO, których strona przeciwna powinna przestrzegać.

18.

Decyzją z dnia 30 października 2018 r. (zwaną dalej „sporną decyzją”) strona przeciwna oddaliła zażalenie i uwzględniła wniosek o udzielenie informacji.

19.

W uzasadnieniu decyzji strona przeciwna wskazała w istocie, że w ramach przetwarzania tych danych organ podatkowy wykonuje funkcje i uprawnienia przyznane mu przez ustawę. W szczególności organ ten jest odpowiedzialny za pobór i kontrolę podatków, opłat i innych danin. Jest on prawnie zobowiązany w ramach tych zadań do nadzorowania działalności gospodarczej i finansowej osób fizycznych i prawnych w celu zagwarantowania, aby owe płatności zostały odprowadzone do kas państwowych i do budżetu Unii. W celu wykonywania tych zadań ustawa przyznaje stronie przeciwnej uprawnienie do gromadzenia dokumentów i informacji koniecznych do księgowania i rejestracji zdarzeń powodujących powstanie zobowiązania podatkowego lub do kontroli podatków i opłat. W szczególności zgodnie z art. 15 ust. 6 ustawy o podatkach i opłatach podmioty świadczące usługi publikacji ogłoszeń w internecie są zobowiązane, na żądanie, do dostarczenia organowi podatkowemu posiadanych przez nie informacji dotyczących podatników, którzy opublikowali ogłoszenia korzystając z tych usług oraz samych ogłoszeń. Informacje poufne będące w posiadaniu strony przeciwnej są chronione przez ustawę, w szczególności poprzez zakaz ich ujawniania nałożony na pracowników organu podatkowego. W tej sytuacji można by stwierdzić, że wniosek o udzielenie informacji jest zgodny z prawem.

20.

Skarżąca wniosła skargę o stwierdzenie nieważności spornej decyzji do Administratīvā rajona tiesa (sądu administracyjnego pierwszej instancji, Łotwa) podnosząc, że w uzasadnieniu tej decyzji nie wskazano konkretnego celu przetwarzania danych, ani kryteriów, na podstawie których żądane informacje powinny zostać wybrane w stosunku do konkretnej grupy możliwych do zidentyfikowania osób.

21.

Wyrokiem z dnia 21 maja 2019 r. Administratīvā rajona tiesa (sąd administracyjny pierwszej instancji) oddalił tę skargę. Sąd ten zasadniczo podzielił stanowisko strony przeciwnej, zgodnie z którym nie można nakładać żadnego ograniczenia na ilość informacji, do których mogą mieć dostęp organy podatkowe wobec każdej osoby, chyba że zostanie stwierdzone, iż omawiane informacje nie są zgodne z celami realizowanymi przez organ podatkowy. Zgodnie z tym wyrokiem żądane informacje były niezbędne do zidentyfikowania niezgłoszonej działalności gospodarczej. Przepisy RODO mają zastosowanie wyłącznie do skarżącej jako usługodawcy, a nie do organu podatkowego.

22.

Skarżąca wniosła apelację od tego wyroku do Administratīvā apgabaltiesa (regionalnego sądu administracyjnego, Łotwa). Zdaniem skarżącej RODO ma zastosowanie w niniejszej sprawie. W odniesieniu do danych osobowych żądanych we wniosku o udzielenie informacji należy uznać, że strona przeciwna jest administratorem danych w rozumieniu tego rozporządzenia, a zatem powinna spełniać przewidziane w nim wymogi. Tymczasem składając wniosek o udzielenie informacji strona przeciwna naruszyła zasadę proporcjonalności, ponieważ wymaga, aby każdego miesiąca przekazano jej znaczną ilość informacji dotyczących nieograniczonej liczby ogłoszeń, nie wskazując konkretnych podatników, przeciwko którym została wszczęta kontrola podatkowa. Skarżąca podnosi, że we wniosku o udzielenie informacji nie wskazano czasu trwania nałożonego na skarżącą obowiązku dostarczania stronie przeciwnej objętych tym wnioskiem informacji. W związku z tym uważa ona, że strona przeciwna naruszyła zasady przetwarzania danych osobowych ustanowione w art. 5 ogólnego rozporządzenia o ochronie danych (zgodność z prawem, rzetelność i przejrzystość). Twierdzi, że ani we wniosku o udzielenie informacji, ani w uzasadnieniu decyzji nie sprecyzowano dokładnych ram (celu), w które wpisuje się przewidziane przez stronę przeciwną przetwarzanie danych, ani zakresu niezbędnych informacji (minimalizacja danych). Jej zdaniem we wniosku o udzielenie informacji organ administracyjny powinien zawrzeć jasno określone kryteria, na podstawie których żądane przez ten organ informacje powinny zostać wybrane dla określonej grupy możliwych do zidentyfikowania osób.

23.

Zdaniem sądu odsyłającego nie można jednoznacznie stwierdzić, że taki wniosek o udzielenie informacji można uznać za „należycie uzasadniony” i „okazjonalny”, oraz że nie dotyczy on wszystkich informacji zawartych w sekcji „samochody osobowe” strony internetowej skarżącej, ponieważ organ podatkowy pragnie w istocie przeprowadzać ciągłą i wyczerpującą kontrolę. Sąd odsyłający powziął wątpliwość co do tego, czy przetwarzanie danych osobowych przewidziane przez stronę przeciwną można uznać za zgodne z przepisami dotyczącymi ochrony danych, które mają zastosowanie w zależności od celu przetwarzania w rozumieniu motywu 31 RODO. Konieczne jest zatem określenie kryteriów, na podstawie których należy ocenić, czy wniosek o udzielenie informacji złożony przez stronę przeciwną jest co do zasady zgodny z podstawowymi prawami i wolnościami, oraz czy może on zostać uznany za konieczny i proporcjonalny w społeczeństwie demokratycznym dla celów ochrony istotnych celów interesu publicznego Unii i Łotwy w dziedzinie podatków i budżetu.

24.

Według sądu odsyłającego w spornym wniosku o udzielenie informacji nie wskazano żadnego „konkretnego postępowania” prowadzonego przez stronę przeciwną w rozumieniu przepisów RODO. W owym wniosku nie zażądano danych dotyczących określonych osób, lecz wszystkich osób, których dane dotyczą, które opublikowały ogłoszenia w sekcji „samochody osobowe” strony internetowej. Organ podatkowy ponadto wymaga, aby informacje te były dostarczane najpóźniej trzeciego dnia każdego miesiąca (co oznacza, że skarżąca powinna dostarczyć stronie przeciwnej wszystkie informacje dotyczące ogłoszeń opublikowanych w poprzednim miesiącu). W świetle powyższego sąd odsyłający zastanawia się, czy taki sposób działania administracji krajowej jest zgodny z wymogami ustanowionymi przez RODO.

25.

To właśnie w takim kontekście faktycznym i prawnym Administratīvā apgabaltiesa (regionalny sąd administracyjny) postanowił zawiesić postępowanie i zwrócić się do Trybunału Sprawiedliwości z następującymi pytaniami prejudycjalnymi:

„1)

Czy wymogi [RODO] należy interpretować w ten sposób, że wniosek o udzielenie informacji złożony przez organ podatkowy, taki jak w niniejszej sprawie, w którym żąda się dostarczenia informacji zawierających znaczną ilość danych osobowych, powinien spełniać wymogi [RODO] (w szczególności jego art. 5 ust. 1)?

2)

Czy wymogi [RODO] należy interpretować w ten sposób, że [łotewski] organ podatkowy może odstąpić od stosowania przepisu art. 5 ust. 1 tego rozporządzenia, nawet gdy ustawodawstwo obowiązujące w Republice Łotewskiej nie przyznaje takiego uprawnienia wspomnianemu organowi?

3)

Czy przy dokonywaniu wykładni wymogów [RODO] można uznać, że istnieje zgodny z prawem cel uzasadniający obowiązek – nałożony poprzez wniosek o udzielenie informacji, taki jak w niniejszej sprawie – dostarczenia wszystkich żądanych danych w nieograniczonej ilości i w nieograniczonym okresie czasu, przy czym nie ustalono daty upływu terminu na wykonanie tego wniosku o udzielenie informacji?

4)

Czy przy dokonywaniu wykładni wymogów [RODO] można uznać, że istnieje zgodny z prawem cel uzasadniający obowiązek – nałożony poprzez wniosek o udzielenie informacji, taki jak w niniejszej sprawie – dostarczenia wszystkich żądanych danych, nawet gdy we wniosku o udzielenie informacji nie wskazano (lub wskazano w sposób niekompletny) celu przekazania informacji?

5)

Czy przy dokonywaniu wykładni wymogów [RODO] można uznać, że istnieje zgodny z prawem cel uzasadniający obowiązek – nałożony poprzez wniosek o udzielenie informacji, taki jak w niniejszej sprawie – dostarczenia wszystkich żądanych danych, nawet gdy w praktyce dotyczy to w pełni wszystkich zainteresowanych, którzy opublikowali ogłoszenia w sekcji „samochody osobowe” danego portalu?

6)

Jakie kryteria należy stosować w celu zbadania, czy organ podatkowy działający jako administrator danych zapewnia w należyty sposób, że przetwarzanie danych (w tym również uzyskanie informacji) jest zgodne z wymogami [RODO]?

7)

Jakie kryteria należy stosować w celu zbadania, czy wniosek o udzielenie informacji, taki jak w niniejszej sprawie, jest należycie uzasadniony i ma charakter okazjonalny?

8)

Jakie kryteria należy stosować w celu zbadania, czy przetwarzanie danych osobowych odbywa się w niezbędnym zakresie i w sposób zgodny z wymogami [RODO]?

9)

Jakie kryteria należy stosować w celu zbadania, czy organ podatkowy działający jako administrator danych zapewnia zgodność przetwarzania danych z wymogami art. 5 ust. 1 [RODO] (rozliczalność)?”.

26.

Uwagi na piśmie przedstawiły rządy belgijski, grecki hiszpański i łotewski oraz Komisja Europejska. Skarżąca, rządy belgijski, hiszpański i łotewski oraz Komisja odpowiedzieli na pytania na piśmie skierowane przez Trybunał zgodnie z art. 61 § 1 regulaminu postępowania przed Trybunałem Sprawiedliwości.

IV. Ocena

27.

Niniejsza opinia ma następującą strukturę. Zacznę od ustalenia, czy RODO ma zastosowanie do wniosku organu publicznego skierowanego do administratora o przekazanie określonej ilości danych osobowych. Mając na uwadze pytania skierowane przez sąd odsyłający, na początku konieczne jest wyjaśnienie dwóch kwestii: kto dokładnie jest kim w postępowaniu głównym i jakie szczególne zasady przewidziano w RODO w takich przypadkach (A). Następnie przejdę do (raczej podstawowych) ram prawnych, które wynikają z RODO w odniesieniu do wniosków organów publicznych do przedsiębiorstw prywatnych o przekazanie danych (B). Zakończę kilkoma uwagami na temat tego, co – przynajmniej w mojej opinii – najwyraźniej stanowi rzeczywistą drażliwą kwestię w niniejszej sprawie, mimo że nie została ona wyraźnie podniesiona przez sąd odsyłający (C).

A.   Zastosowanie RODO

28.

Sąd odsyłający skierował do Trybunału dziewięć pytań, z których każde w ten czy inny sposób dotyczy zgodności z prawem konkretnego wniosku (konkretnych wniosków) o przekazanie określonych danych osobowych przez przedsiębiorstwo (przedsiębiorstwa) prywatne, wydanego (wydanych) przez organ podatkowy do celów poboru podatków i wykrywania oszustw podatkowych. Sporne dane osobowe przedsiębiorstwo prywatne uzyskało w ramach swojej zwykłej działalności gospodarczej od osób, których dane dotyczą.

29.

Z dziewięciu postawionych pytań nie wynika jednak jasno, na kim dokładnie spoczywa jaki obowiązek i na podstawie jakiego przepisu RODO. Ta niejednoznaczność świadczy o dużej trudności w ujęciu tej sprawy w konkretne ramy, i to przynajmniej z dwóch względów.

30.

Po pierwsze, , kto jest kim w niniejszej sprawie w świetle kategorii ustanowionych przez RODO? Sprawa dotyczy przekazania przez przedsiębiorstwo prywatne organowi publicznemu pewnych danych stanowiących część większego zbioru danych zebranych i kontrolowanych przez przedsiębiorstwo prywatne. Jest to szczególna operacja przetwarzania danych w rozumieniu art. 4 pkt 2) RODO, która stanowi podstawę pytań skierowanych do Trybunału.

31.

Jednakże wydaje się również, że w odniesieniu do tego przekazania danych sąd odsyłający uważa, że organ podatkowy (strona przeciwna) już jest administratorem danych w odniesieniu do tej konkretnej operacji przetwarzania ( 9 ). Takie założenie , na którym opiera się całe postanowienie odsyłające, zostało wyraźnie wyartykułowane w pytaniach 6 i 9. Wymaga to wstępnego wyjaśnienia: kto konkretnie ma przestrzegać RODO w niniejszej sprawie? Kto jest administratorem danych w odniesieniu do tej konkretnej operacji przetwarzania? (2)

32.

Po drugie, w związku z ową niepewnością pojawia się kolejna istotna kwestia: jakie konkretnie przepisy RODO mają zastosowanie do wniosków o przekazanie danych i które z tych przepisów dotyczą w szczególności rodzaju danych i ich ilości, jakich organ publiczny może wymagać od przedsiębiorstwa prywatnego? W tym względzie dość znamienna jest okoliczność, że jedynie trzy pytania sądu odsyłającego dotyczą art. 5 ust. 1 RODO, czyli przepisu przekrojowego określającego zasady dotyczące przetwarzania danych osobowych przez każdego administratora. Natomiast pozostałe pytania odnoszą się po prostu do „wymogów RODO”, bez precyzowania, które konkretne przepisy powinny zawierać te wymogi.

33.

Wobec tego konieczne jest kolejne wstępne wyjaśnienie dotyczące mającego zastosowanie przepisu(mających zastosowanie przepisów) RODO, w szczególności w odniesieniu do relacji między skarżącym przedsiębiorstwem a organem podatkowym będącym stroną przeciwną. W jaki sposób RODO reguluje właśnie tego rodzaju wnioski o przekazanie danych oraz wzajemne prawa i obowiązki przedsiębiorstwa prywatnego i organu publicznego? (3)

34.

Zanim jednak odniosę się do tych dwóch wspomnianych kwestii, przypomnę, dlaczego moim zdaniem stosowania RODO i przestrzegania go nie należy postrzegać w sposób abstrakcyjny, przez pryzmat interpretacji definicji, które nie odnoszą się do konkretnej operacji przetwarzania danych, a którą należy przyjąć za punkt wyjścia. Dopiero te wyjaśnienia umożliwią prawidłową analizę podmiotów i ich odpowiednich obowiązków (1).

1. Abstrakcyjne definicje i kompleksowy charakter RODO

35.

W niniejszej sprawie wszystkie zainteresowane strony, w tym rząd łotewski, są zgodne co do tego, że jeżeli punktem wyjścia analizy są definicje prawne „danych osobowych” i „przetwarzania danych” zawarte w art. 4 RODO, to akt ten z pewnością ma zastosowanie do sprawy w postępowaniu głównym.

36.

Po pierwsze, dane, których dotyczy wniosek o udzielenie informacji, stanowią dane osobowe w rozumieniu art. 4 ust. 1 RODO. Żądane informacje, takie jak numer telefonu osób, których dane dotyczą, czy numer podwozia samochodu, stanowią „informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby”. Informacje te pozwalają bowiem na identyfikację sprzedawców samochodów, a tym samym potencjalnych podatników.

37.

Po drugie, zgodnie z utrwalonym orzecznictwem przekazywanie takich danych ( 10 ) lub ujawnienie danych osobowych poprzez transmisję, podobnie jak zatrzymywanie danych lub każdy inny rodzaj udostępniania stanowi przetwarzanie ( 11 ). „Ujawnianie poprzez przesłanie” ujęto zresztą w opisowym wykazie operacji przetwarzania danych na mocy art. 4 pkt 2) RODO.

38.

Po trzecie, przetwarzanie danych osobowych odbywa się oczywiście w sposób zautomatyzowany w rozumieniu art. 2 ust. 1 RODO.

39.

Ponadto żaden z wyjątków, które w każdym razie podlegają wąskiej wykładni ( 12 ), nie ma zastosowania w niniejszej sprawie. W świetle wyroku Österreischischer Rundfunk i in. ( 13 ), a zwłaszcza niedawnego wyroku wydanego w kontekście punktów karnych ( 14 ), nie można twierdzić, że sporne przetwarzanie danych osobowych miało miejsce „w ramach działalności nieobjętej zakresem prawa Unii” w rozumieniu art. 2 ust. 2 lit. a) RODO.

40.

Nie wydaje się również, aby zastosowanie znajdował wyjątek ustanowiony w art. 2 ust. 2 lit. d) RODO. Wydaje się, że „właściwe organy” na mocy tego przepisu to organy takie jak policja lub prokuratura ( 15 ). Nie obejmują one organów podatkowych działających w celach poboru podatków ani, tym bardziej, podmiotów świadczących usługi publikacji ogłoszeń w internecie. Ponadto, nawet jeśli przetwarzanie danych przez właściwe organy podatkowe może w niektórych przypadkach ostatecznie doprowadzić do wykrycia przestępstwa w postaci oszustwa podatkowego, na tym etapie jest to jedynie hipotetyczna możliwość ( 16 ).

41.

Jeśli kierować się takim podejściem, można dojść do wniosku, że RODO ma zastosowanie: mamy tu do czynienia z danymi osobowymi przetwarzanymi w sposób zautomatyzowany. Jednakże, jak już wspomniano we wstępie do niniejszej opinii, takie podejście, oparte na odpowiednich pojęciach z art. 4 RODO, takich jak „przetwarzanie” ( 17 ), „dane osobowe” ( 18 ) czy „administrator” ( 19 ), interpretowanych szeroko i w oderwaniu od konkretnej operacji przetwarzania, oznacza, że każdorazowe przekazanie jakichkolwiek informacji podlegałoby RODO.

42.

Aby dokonać prawidłowej interpretacji obowiązków wszystkich zainteresowanych podmiotów, punktem wyjścia analizy w świetle RODO powinno być wyraźne wskazanie konkretnej operacji przetwarzania. Dopiero wówczas można w sposób właściwy przejść do oceny obowiązków wynikających z RODO w odniesieniu do tej konkretnej operacji dla podmiotów faktycznie zaangażowanych w przetwarzanie ( 20 ). To właśnie konkretna operacja przetwarzania, praca na danych i z danymi, stanowi przedmiot regulacji. Logika regulacyjna i nadrzędny cel RODO są oparte na wynikach i zorientowane na proces, a zatem są z definicji dynamiczne.

2. Kto jest kim w niniejszej sprawie?

43.

Na czym polega konkretna operacja przetwarzania danych w niniejszej sprawie? Realizacja wniosków o udzielenie informacji, takich jak wnioski objęte postępowaniem głównym, niewątpliwie wymaga przetwarzania danych osobowych, do którego RODO będzie co do zasady miało zastosowanie. W niniejszej sprawie mamy do czynienia z dwoma różnymi podmiotami, które na pewnym etapie dokonują przetwarzania danych. W swoich pytaniach sąd odsyłający koncentruje się na przetwarzaniu danych przez stronę przeciwną, czyli krajowy organ podatkowy. Z okoliczności faktycznych sprawy wynikałoby jednak, że najpierw musiałoby dojść do przetwarzania przez skarżącą, tj. przedsiębiorstwo prywatne.

44.

W wyroku Fashion ID ( 21 ) Trybunał przyjrzał się konkretnym operacjom, których dotyczyło przetwarzanie danych, w celu zidentyfikowania właściwego administratora (administratorów). Trybunał stwierdził, że pojęcie „administratora” niekoniecznie odnosi się do pojedynczego podmiotu i może dotyczyć kilku podmiotów uczestniczących w tym przetwarzaniu, przy czym każdy z nich podlega wówczas przepisom obowiązującym w dziedzinie ochrony danych ( 22 ). Jednakże osoby fizycznej lub prawnej nie można uznać za administratora w rozumieniu tego przepisu w odniesieniu do wcześniejszych lub późniejszych operacji łańcucha przetwarzania, których celów ani środków ona nie określa ( 23 ).

45.

W niniejszej sprawie strona przeciwna prawdopodobnie uzyska status administratora po otrzymaniu od skarżącej danych, o które wystąpiła, i przystąpieniu do ich przetwarzania w rozumieniu art. 4 pkt2 RODO ( 24 ). Na tym etapie strona przeciwna nie tylko przystąpi do przetwarzania danych, lecz także prawdopodobnie określi sposoby i cele własnego przetwarzania danych dla celów art. 4 ust. 7 RODO. Przeprowadzając samodzielnie wszelkie przyszłe operacje przetwarzania danych, strona przeciwna będzie musiała wówczas przestrzegać – z zastrzeżeniem, że państwo członkowskie nie wprowadziło w tym względzie żadnych ograniczeń na mocy art. 23 RODO – zasad dotyczących jakości danych określonych w art. 5 RODO oraz osadzić operację (operacje) przetwarzania w jednym ze scenariuszy przewidzianych w art. 6 ust. 1 RODO ( 25 ).

46.

Z postanowienia odsyłającego wynika jednak, że w przedmiotowym postępowaniu ten etap jeszcze nie nastąpił. Organ podatkowy nie jest w posiadaniu danych, których dotyczy wniosek. Wobec tego nie mógł on przystąpić do żadnej operacji przetwarzania tych danych. Ponadto Trybunałowi nie przedstawiono żadnych informacji na temat tego, co strona przeciwna zamierza zrobić z tymi danymi, ani na temat rodzaju przetwarzania, które miałoby zostać przez nią dokonane.

47.

Dotychczas organ podatkowy jedynie zwrócił się do przedsiębiorstwa prywatnego o przekazanie mu określonego zbioru danych. Żądanie to samo w sobie nie stanowi przetwarzania jakichkolwiek danych osobowych, a już z pewnością nie danych, które dopiero mają zostać uzyskane. W takim stanie faktycznym skarżąca, przedsiębiorstwo prywatne, pozostaje administratorem danych w zakresie, w jakim uzyskała je przede wszystkim w ramach prowadzonej przez siebie działalności, a więc dla samodzielnie określonych sposobów i celów. Przetwarzając będące w jej posiadaniu dane, aby przekazać je stronie przeciwnej zgodnie z otrzymanymi przez nią warunkami, skarżąca pozostaje administratorem danych również w odniesieniu do tej operacji przetwarzania. To skarżąca dokonuje dalszego przetwarzania ( 26 ).

48.

W tym kontekście i zgodnie z art. 6 ust. 1 lit. c) RODO skarżąca przestrzega w ten sposób obowiązku prawnego, któremu podlega jako administrator, mianowicie art. 15 ust. 6 ustawy o podatkach i opłatach. Działając w charakterze administratora skarżąca jest również zobowiązana do przestrzegania RODO przy przetwarzaniu danych osobowych, jak również przy przekazywaniu tych danych stronie przeciwnej. Sąd odsyłający nie bada jednak zakresu przetwarzania danych, jakiego wymaga się od skarżącej w kontekście wykonania przedmiotowego wniosku. W istocie nie zadał on żadnych pytań dotyczących ewentualnych przewidzianych w RODO obowiązków ciążących na skarżącej przy okazji tego przetwarzania.

49.

Wskazując stronę przeciwną jako podmiot, na którym ciążą obowiązki wynikające z RODO, sąd odsyłający wydaje się być zainteresowany podstawą (prawną) przetwarzania w rozumieniu art. 6 ust. 3 RODO, którą jest art. 15 ust. 6 ustawy o podatkach i opłatach, która zaktualizowała się w postaci wniosków o udzielenie informacji złożonymi przez stronę przeciwną.

50.

Podsumowując, kluczowym zagadnieniem leżącym u podstaw wszystkich dziewięciu pytań sądu odsyłającego wydaje się być kwestia zakresu i warunków przekazywania danych osobowych pomiędzy dwoma kolejnymi administratorami ( 27 ). Jakie przepisy RODO, o ile w ogóle, regulują stosunki między kolejnymi administratorami? Czy RODO przewiduje jakiekolwiek (materialne lub czasowe) ograniczenia zakresu i rodzaju przekazywania danych osobowych między dwoma administratorami, w tym przypadku przedsiębiorstwem prywatnym a organem publicznym? Wszystkie te kwestie odnoszą się właściwie do podstawy prawnej uzyskania danych osobowych i tak naprawdę nie dotyczą operacji przetwarzania.

3. Konkretne obowiązki wynikające z RODO?

51.

Ogólne rozporządzenie o ochronie danych dotyczy przede wszystkim ochrony danych osobowych osób, których dane dotyczą, oraz relacji między tymi osobami a każdym podmiotem przetwarzającym ich dane. W tym względzie RODO określa prawa osób, których dane dotyczą, oraz obowiązki właściwych administratorów w zakresie przetwarzania danych osobowych.

52.

Taka logika regulacyjna skupia się na danych oraz podmiotach uzyskujących do nich dostęp i pracujących z nimi. Bardzo niewiele przepisów RODO bezpośrednio i wyraźnie reguluje relacje między podmiotami przetwarzającymi dane ( 28 ). Prawdą jest, że RODO odnosi się do tych relacji w sposób pośredni. Zobowiązuje każdy kolejny podmiot, który uzyskuje dane, do ochrony danych i praw osób, których dane dotyczą. W ten sposób RODO istotnie określa pewne warunki ujawniania i przekazywania danych. Z pewnością nie oznacza to jednak, że można by uznać, iż RODO bezpośrednio reguluje stosunki między tymi podmiotami.

53.

W pewnym sensie, jeśli postrzegać dane jako towary, to logika regulacyjna leżąca u podstaw RODO jest analogiczna do szczególnego reżimu prawa publicznego dla określonych rodzajów (cennych, artystycznych, historycznych) towarów. Taki system nakłada pewne ograniczenia na owe towary: co do sposobu ich wytwarzania, używania, warunków, na jakich można je zmieniać, przechowywać, odsprzedawać czy niszczyć. Taki szczególny reżim chroni towary i w ten sposób pośrednio wiąże każdego kolejnego ich właściciela lub posiadacza. Jednakże, sam w sobie, ten szczególny reżim pozostaje związany z towarami. Nie reguluje on ani prywatnych ustaleń, na podstawie których towary te mogą być sprzedawane między dwoma podmiotami prywatnymi, ani warunków, na jakich te same towary mogą lub muszą być przekazywane przez podmiot prywatny podmiotowi publicznemu. Regulacje dotyczące towarów nie są tożsame z tymi odnoszącymi się do tytułu prawnego do tych towarów i obrotu nimi.

54.

Rozsądna wykładnia RODO możliwa jest wyłącznie w drodze wyjaśnienia tej logiki regulacyjnej RODO oraz skupienia się na konkretnej operacji przetwarzania jako punkcie wyjścia dla potencjalnych obowiązków wynikających z tego instrumentu. W przeciwnym razie RODO zawsze będzie miało zastosowanie, natomiast nie będzie przepisu, który regulowałby właśnie tę podniesioną kwestię – i to niezależnie od tego, jak bardzo twórczy charakter miałaby przyjęta wykładnia. Nieuniknionym rezultatem takich spraw będzie wniosek, że RODO nie stoi na przeszkodzie określonym krajowym przepisom lub praktykom. Jednak ten „brak przeszkód” niekoniecznie będzie wynikał z faktu, że systemy krajowe są ogólnie zgodne z prawem, lecz raczej z tego, że dana kwestia po prostu nie jest regulowana przez RODO, nawet jeśli w ten czy inny sposób dotyczy danych osobowych.

55.

W orzecznictwie Trybunału znane są przypadki takich „fałszywie dodatnich wyników” w odniesieniu do różnych obowiązków ujawniania danych z różnych względów przewidzianych w prawie krajowym. Również w tym przypadku większość takich spraw nie dotyczy jakiejkolwiek bieżącej operacji przetwarzania jako takiej, lecz raczej kwestii ustalenia podstawy prawnej dla takiej przyszłej operacji. Należą do nich: wszczęcie postępowania cywilnego w celu egzekwowania praw autorskich ( 29 ), właściwe zarządzanie środkami publicznymi ( 30 ) czy też ochrona bezpieczeństwa narodowego ( 31 ). Przykłady w tej kategorii mogą również obejmować sprawy takie jak Rigas satiksme ( 32 ), Promusicae ( 33 ), Bonnier ( 34 ) czy J & S Service ( 35 ).

56.

Z pewnością we wszystkich tych sytuacjach RODO miało zastosowanie w odniesieniu do praw osób, których dane dotyczą, wobec administratora (administratorów) danych w kontekście konkretnych operacji przetwarzania, które już wystąpiły lub miały wystąpić. Należy przy tym powtórzyć, że logika regulacyjna i właściwy zakres RODO muszą towarzyszyć przepływowi danych i zapewniać ochronę danych osobowych w ramach operacji przetwarzania. Rozporządzenie to nie ma na celu regulowania wszelkich relacji pomiędzy różnymi podmiotami, które mogą być w posiadaniu danych, w tym powodów, dla których mogą one wejść w posiadanie tych danych i sposobów, w jakie może do tego dojść. Innymi słowy RODO nie gwarantuje żadnych „praw” jednego administratora wobec innego.

57.

Nie oznacza to, że tego rodzaju kwestie nie są regulowane przez prawo. Wprawdzie są regulowane, ale innymi aktami dotyczącymi przede wszystkim egzekwowania prawa. To właśnie w tych aktach można doszukiwać się podstawy prawnej dla przetwarzania, która jest wymagana przede wszystkim na mocy art. 6 ust. 3 RODO. Co się tyczy obowiązkowego przekazywania danych osobowych, to faktycznie jest ono – co raczej logiczne – zwykle przewidziane w „instrumentach ochrony porządku publicznego”, czy to na gruncie prawa Unii ( 36 ), czy prawa krajowego. Jeśli chodzi natomiast o dobrowolne przekazywanie danych osobowych, w zakresie, w jakim jest to możliwe i dozwolone przez system prawa publicznego, jakim jest RODO, podstawą takiego przekazywania będzie krajowe prawo gospodarcze lub prawo umów, z uwzględnieniem rodzaju ustaleń obowiązujących między kolejnymi właściwymi administratorami.

58.

Biorąc pod uwagę te wyjaśnienia, moim zdaniem w niniejszej sprawie nie chodzi (jeszcze) o żadną operację przetwarzania danych. Chodzi o podstawę prawną tego przetwarzania, która jest kwestią, do której RODO jedynie się odnosi, nie regulując jej bezpośrednio. Niemniej jednak, mając to na uwadze i w dążeniu do zapewnienia kompleksowej pomocy sądowi odsyłającemu, w dalszej części niniejszej opinii przedstawiono zarys podstawowych ram wynikających z RODO, które będą miały zastosowanie do operacji przetwarzania danych przeprowadzonej przez administratora, którym jest przedsiębiorstwo prywatne (B). Celem RODO jest ochrona osoby, której dane dotyczą, a nie prywatnego przedsiębiorstwa przed publiczną ingerencją w jego swobodę prowadzenia działalności gospodarczej czy prawo własności poprzez wykorzystanie danych. Powyższe nie ma w zamyśle sugerować, że taka kwestia nie może wywołać uzasadnionych obaw, lecz raczej, że nie powinna być regulowana przez RODO (C).

B.   (Podstawa prawna regulująca) przekazywanie danych osobowych organom publicznym

59.

Poniżej przedstawiono raczej ogólne omówienie podstawy prawnej przetwarzania danych, którego musiałaby dokonać skarżąca przy realizacji wniosku strony przeciwnej o udzielenie informacji. W tym względzie właściwym przepisem będzie prawdopodobnie art. 6 RODO, w szczególności jego ust. 1 i 3, w świetle motywu 45.

60.

Na wstępie warto wspomnieć, że Trybunałowi nie przekazano żadnych konkretnych informacji dotyczących jakichkolwiek dodatkowych przepisów krajowych mających zastosowanie do ochrony danych w okolicznościach objętych przedmiotem postępowania głównego. Ponadto Trybunał nie otrzymał również żadnych informacji na temat tego, czy poza art. 15 ust. 6 ustawy o podatkach i opłatach istnieją inne krajowe akty o charakterze ogólnym (na przykład dekret czy wytyczne wykonawcze), które w większym stopniu regulowałyby przedmiotowy obowiązek podmiotów świadczących usługi (publikowania ogłoszeń w internecie) dotyczący przekazywania określonych danych organom podatkowym. Bardzo niewiele wiadomo też na temat krajowych ram prawnych wdrażających RODO w ujęciu ogólnym.

61.

Nie wyjaśniono też, czy art. 23 ust. 1 lit. e) RODO wdrożono do krajowego porządku prawnego w jakikolwiek sposób. Ewentualne wdrożenie tego przepisu prawa Unii pozostaje bez wpływu na zgodność z prawem wniosku o udzielenie informacji. Byłoby to jednak istotne dla określenia zakresu i charakteru obowiązków, jakie mogą ciążyć na kolejnym administratorze (organie publicznym) wobec osób, których dane dotyczą, a także dla określenia obowiązków pierwotnego administratora oraz informacji, jakie administrator ten powinien przekazać osobom, których dane dotyczą.

62.

W związku z tym poniższe omówienie z konieczności ma charakter nieco ogólny. Odniosę się do zasad wynikających z art. 6 RODO w kontekście przyszłego przetwarzania przez przedsiębiorstwo prywatne w wykonaniu żądania organu publicznego dotyczącego danych, najpierw pod względem celu takiego przekazania danych (1) a w dalszej kolejności jego zakresu i czasu trwania (2). Następnie przejdę do podstawy prawnej takiego przekazania danych, ponieważ wymogi dotyczące owej podstawy stają się jaśniejsze po omówieniu wspomnianych wcześniej kwestii (3).

1. Cel

63.

W ujęciu ogólnym szeroko rozumiany cel, dla którego organ podatkowy domaga się ujawnienia danych osobowych w postępowaniu głównym, jest niewątpliwie zgodny z prawem. Zapewnienie właściwego poboru podatku i wykrywanie potencjalnych naruszeń obowiązku podatkowego z pewnością może wpisywać się w zakres rodzajów uzasadnionych celów przetwarzania danych zgodnie z art. 6 ust. 1 i 3 RODO ( 37 ).

64.

Kluczowy dla rozstrzygnięcia kwestii podniesionych w niniejszej sprawie jest poziom abstrakcji konieczny do określenia takiego celu. W tym względzie wydaje się, że mamy do czynienia ze swoistym pomieszaniem pojęć w kontekście dwóch rodzajów celów szczególnych: (i) poszukiwania pewnych rodzajów informacji (w celu wykrycia naruszeń prawa), w odróżnieniu od (ii) weryfikacji faktu, że doszło do pewnych naruszeń (i dążenia do ujawnienia szczegółowych danych, aby potwierdzić to przypuszczenie).

65.

Charakter (i odpowiednio zakres) obu rodzajów przekazywania danych musi być różny. Logika poszukiwania i wykrywania jest ex ante szeroka i w znacznym stopniu nieokreślona co do konkretnych osób, których dane dotyczą. Jeżeli celem jest wykrycie ewentualnych naruszeń, metaforyczną sieć należy zarzucić dość szeroko. Natomiast logika weryfikacji potencjalnych naruszeń poprzez ujawnienie odpowiednich danych może być znacznie bardziej precyzyjna i ukierunkowana. W tym przypadku logika ma bardziej charakter ex post i ukierunkowana jest na weryfikację określonych podejrzeń, które zazwyczaj odnoszą się do już zidentyfikowanej osoby, której dane dotyczą.

66.

Moim zdaniem art. 6 RODO dopuszcza oba scenariusze, przy czym art. 6 ust. 3 RODO wymaga wyraźnej podstawy prawnej dla każdego z tych rodzajów przekazywania danych.

67.

Jednocześnie rozumiem wątpliwości sądu odsyłającego w kontekście niniejszej sprawy, biorąc pod uwagę brzmienie art. 15 ust. 6 ustawy o podatkach i opłatach. W brzmieniu, które najprawdopodobniej obowiązywało w chwili złożenia przez sąd odsyłający wniosku o wydanie orzeczenia w trybie prejudycjalnym, przepis ten stanowił, że podmioty świadczące usługi publikacji ogłoszeń w internecie mogą być zobowiązane, na żądanie organu podatkowego państwa, do dostarczenia posiadanych przez nich informacji dotyczących (odpowiednich) podatników.

68.

Wydaje się zatem, że w przedmiotowej sprawie cel ujawnienia danych, określony w odpowiedniej podstawie prawnej, przypomina drugi scenariusz przedstawiony powyżej, którym jest weryfikacja określonych informacji w odniesieniu do konkretnych podatników. Wydaje się jednak, że krajowy organ podatkowy wykorzystał tę podstawę prawną do czegoś, co wydaje się mieć charakter wniosku o (nieograniczone) przekazywanie danych a nawet jawne gromadzenie danych celem prowadzenia ogólnego poszukiwania i wykrywania, co wchodzi w zakres pierwszego z przedstawionych powyżej scenariuszy. To właśnie tutaj kryje się logiczny dysonans, jaki wydaje się leżeć u podstaw tej sprawy na szczeblu krajowym, wprowadzając poczucie dezorientacji zarówno co do proporcjonalności takiego środka (2), jak i jego właściwej podstawy prawnej (3).

2. Zakres i czas trwania

69.

Proporcjonalność, podobnie jak „minimalizacja”, polega na badaniu relacji między (określonymi) celami a (wybranymi) środkami. W kontekście przedmiotowej sprawy problem polega na tym, że w zależności od tego, który z celów zostanie wybrany spośród dwóch (idealnych ( 38 )) scenariuszy przedstawionych powyżej, ocena proporcjonalności może przedstawiać się inaczej.

70.

W ramach celu polegającego na „poszukiwaniu i wykrywaniu” organy publiczne zarzucą sieć tak daleko, jak to możliwe, aby zapewnić znalezienie istotnych informacji. Może to pociągać za sobą konieczność przetwarzania znacznej ilości danych. Potrzeba uzyskania i przetwarzania większych zbiorów danych jest w istocie nieodłącznym elementem tego rodzaju ogólnego i nieokreślonego poszukiwania informacji. W takim scenariuszu proporcjonalność i minimalizacja przetwarzania danych mogą rzeczywiście odnosić się jedynie do rodzaju żądanych danych, które potencjalnie mogą być źródłem niezbędnych informacji ( 39 ).

71.

W ramach celu polegającego na „weryfikacji” w sytuacji gdy organy publiczne muszą uzyskać dowody dotyczące treści konkretnej transakcji lub zbioru transakcji, ocena proporcjonalności może z definicji być bardziej wymagająca. Organ podatkowy może wówczas zażądać dostępu jedynie do konkretnych transakcji, osadzonych w określonych ramach czasowych, aby dokonać weryfikacji ex post, zazwyczaj w odniesieniu do danego podatnika (podatników). Wnioski o udzielenie informacji będą zatem prawdopodobnie dostosowane do konkretnych danych, które zawierają tego rodzaju informacje.

72.

Logika motywu 31 RODO, w zakresie, w jakim jestem w stanie ją dostrzec, wydaje się dotyczyć tylko tego drugiego scenariusza. W zdaniu drugim tego motywu, na które powołały się i który obszernie omawiały zainteresowane strony, w szczególności Komisja, stwierdza się, że żądanie ujawnienia danych osobowych, z którym występują takie organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych.

73.

Moim zdaniem nie można jednak wyrwać (części) motywu rozporządzenia z jego kontekstu, traktować go jako niezależny i wiążący przepis, nawet bez jego powtórzenia w innym miejscu w prawnie wiążącym tekście tego instrumentu ( 40 ), i na tej podstawie głosić, że każdorazowe przekazywanie danych osobowych organom publicznym może mieć miejsce tylko na tych warunkach. Po prostu nie mogę przychylić się do sugestii, że część motywu 31, rozpatrywana w oderwaniu od kontekstu, wywołuje skutek w postaci zakazu jakiegokolwiek przekazywania danych na większą skalę do organów publicznych, nawet jeżeli istnieje odpowiednia podstawa prawna (w prawie krajowym lub prawie Unii) i jest to zgodne ze wszystkimi wiążącymi przepisami RODO.

74.

W kontekście niniejszej sprawy rząd łotewski utrzymywał, że ilość żądanych informacji można uznać za rozsądną w zakresie, w jakim wniosek o udzielenie informacji obejmuje jedynie ogłoszenia opublikowane w sekcji „samochody osobowe”, która jest jedną ze 112 sekcji przedmiotowej strony internetowej prowadzonej przez skarżącą. Rządy belgijski i hiszpański dodały, że ich zdaniem nie chodzi o ilość, a raczej o rodzaj żądanych danych.

75.

Zgadzam się z tymi spostrzeżeniami.

76.

Proporcjonalność w przypadku poszukiwania i wykrywania ex ante oznacza „kontrolę jakości” w odniesieniu do rodzaju żądanych danych. Jedynie w przypadku weryfikacji określonych faktów ex post można w pełni zastosować „kontrolę ilościową”. W sytuacji odmiennej większość środków monitorowania danych lub nadzoru byłaby w praktyce wykluczona.

77.

Przyjmując, że w prawie Unii lub krajowym istnieje odpowiednia podstawa prawna, krajowy organ podatkowy może w zasadzie zażądać wszystkich danych niezbędnych do rodzaju badania, które musi przeprowadzić, bez żadnych ograniczeń czasowych. Jedynym ograniczeniem wynikającym z RODO jest proporcjonalność w odniesieniu do rodzaju żądanych danych. Jak słusznie zauważa rząd grecki wnioski o udzielenie informacji powinny być ograniczone do rodzaju danych dotyczących działalności gospodarczej podatników, a nie ich życia prywatnego.

78.

Dla przykładu, jeżeli wskazywanym celem jest wykrycie niezgłoszonych dochodów ze sprzedaży używanych samochodów, organ podatkowy nie ma prawa żądać również informacji na temat tego, czy osoba sprzedająca samochód ma rude włosy, czy stosuje szczególną dietę lub czy posiada basen. Dlatego też rodzaj żądanych informacji musi mieć wyraźny związek z ujawnionymi czynnościami w zakresie poszukiwania i dochodzenia.

79.

Poza tym to do sądu krajowego należy ocena proporcjonalności w ramach każdego z dwóch przedstawionych wyżej scenariuszy, którą musi on przeprowadzić w okolicznościach faktycznych i prawnych konkretnej sprawy ( 41 ). Prościej rzecz ujmując, w niniejszej sprawie należy ustalić, czy rodzaj żądanych danych jest odpowiedni, aby strona przeciwna mogła uzyskać informacje niezbędne do realizacji wyznaczonego przez nią celu.

3. Podstawa prawna (przyszłego przetwarzania)

80.

Wreszcie dopiero na tym etapie można dokonać użytecznej oceny kluczowej kwestii podstawy prawnej w świetle poczynionych właśnie wyjaśnień. Aby można było mówić o przetwarzaniu danych, oba scenariusze nakreślone w poprzednich podpunktach niniejszej opinii („poszukiwanie i wykrywanie” oraz „weryfikacja”) niewątpliwie wymagają podstawy prawnej wynikającej z art. 6 ust. 3 RODO. Przepis ten wyraźnie zezwala na wprowadzanie dostosowań w odniesieniu do stosowania ogólnych zasad RODO, czy to w prawie Unii, czy w prawie państw członkowskich.

81.

W każdym jednak razie przewidziana podstawa prawna musi pod względem logicznym obejmować konkretny cel i rodzaj dokonywanego w celu jego osiągnięcia przetwarzania. Dokładny sposób realizacji powyższego jest kwestią szczególnych przepisów dostosowujących przyjętych przez państwo członkowskie lub Unię na mocy art. 6 ust. 3 RODO. Ogólnie rzecz biorąc, im bardziej uogólniony, obszerny i stały charakter przekazywania danych, tym solidniejsza, bardziej szczegółowa i wyraźna musi być podstawa prawna, ponieważ takie przekazywanie danych stanowi większą ingerencję w gwarancje ochrony danych. Z kolei im bardziej dyskretny i ograniczony charakter wniosków o ujawnienie danych – zwykle w odniesieniu do jednej lub kilku osób, których dane dotyczą, lub nawet w odniesieniu do ograniczonej ilości danych – tym większe prawdopodobieństwo, że wnioski te mogą być realizowane na poziomie indywidualnych wniosków administracyjnych, a klauzula upoważniająca pozostaje raczej szeroka i ogólna.

82.

Innymi słowy dwie warstwy regulacyjne, mianowicie ustawodawcza i administracyjna, składające się na ostateczną podstawę prawną przetwarzania danych, mają zastosowanie łącznie. Przynajmniej jedna z nich musi być wystarczająco szczegółowa i dostosowana do określonego rodzaju (określonych rodzajów) lub ilości żądanych danych osobowych. Im więcej elementów na poziomie legislacyjnym, strukturalnym, jeśli chodzi o takie przekazywanie danych, tym mniej wymaga się w indywidualnym wniosku administracyjnym. Warstwa legislacyjna może być nawet tak szczegółowa i kompleksowa, że będzie całkowicie niezależna i samowykonalna. Z drugiej strony, im bardziej ogólny i niejasny jest poziom legislacyjny, tym więcej szczegółów, w tym wyraźne określenie celu, które tym samym skutkuje ograniczeniem zakresu, należy uwzględnić na poziomie indywidualnego wniosku administracyjnego.

83.

Powyższe stwierdzenie pośrednio stanowi odpowiedź na kwestię podniesioną przez sąd odsyłający w kontekście proporcjonalności, którą to w rzeczywistości najlepiej byłoby zająć się w tym miejscu przy ustalaniu, czy organy podatkowe mogą występować z wnioskami o dane, które o nieograniczonym w czasie charakterze. Moim zdaniem RODO stwarza taką możliwość. Bardziej trafnym pytaniem powinno być jednak to, czy w prawie krajowym można wskazać podstawę prawną dla tego, co w swej istocie stanowi ciągłe i stałe przekazywanie danych. O ile w prawie krajowym przewidziano taką wyraźną podstawę, jak również czas trwania takiego przekazywania danych, art. 6 ust. 3 RODO nie stoi temu na przeszkodzie. Również motyw 31 RODO niewiele zmienia w tym względzie ( 42 ). Nie dostrzegam praktycznego sensu interpretowania tego motywu jako skutecznego wymogu, by organy administracyjne wielokrotnie (każdego dnia, miesiąca czy roku) składały identyczne indywidualne wnioski w celu uzyskania czegoś, co mogły już uzyskać na podstawie przepisów krajowych.

84.

W przedmiotowej sprawie podstawę prawną przetwarzania danych wydają się stanowić zarówno art. 15 ust 6 ustawy o podatkach i opłatach, jak i konkretne wnioski o ujawnienie danych złożone przez organ podatkowy. Wygląda zatem na to, że istnieje podwójna podstawa prawna z ogólną klauzulą upoważniającą zawartą w ustawodawstwie i konkretne, ukierunkowane zastosowanie administracyjne tego przepisu.

85.

W ujęciu ogólnym taka podwójna podstawa prawna wydaje się wystarczająca do uzasadnienia przetwarzania danych osobowych przez skarżącą do celów przekazania ich organowi publicznemu na mocy art. 6 ust. 1 lit. c) i art. 6 ust. 3 RODO. Mimo że przepisy krajowe uprawniające organy podatkowe do żądania informacji pozostają raczej ogólne, konkretne wnioski o dane wydają się być w znacznym stopniu ukierunkowane na określony rodzaj danych, pomimo ich potencjalnie dużej ilości.

86.

Jednakże ostatecznie to do sądu krajowego należy sprawdzenie, który ma pełną znajomość prawa krajowego, w tym wszelkich dalszych krajowych przepisów wykonawczych, których nie wskazano w toku niniejszego postępowania, czy dokonywane przez skarżącą przetwarzanie, którego dotyczy wniosek w postępowaniu głównym, spełnia wymogi określone w niniejszej części opinii.

87.

Kwestia, która stanowi sedno tej oceny i wymaga szczególnej uwagi, dotyczy ustalenia, czy art. 15 ust. 6 ustawy o podatkach i opłatach, wraz z konkretnymi wnioskami o udzielenie informacji, spełniają wymóg przewidywalności ( 43 ) w kontekście oceny podstawy prawnej. Przepisy zezwalające na przekazywanie danych muszą ustanawiać jasne i precyzyjne zasady regulujące zakres i stosowanie danego środka oraz nakładać minimalne gwarancje, tak aby osoby, których danych osobowych środek dotyczy miały wystarczające gwarancje, że dane będą skutecznie chronione przed ryzykiem nadużyć ( 44 ).

88.

Z tego względu podstawa prawna rozpatrywana jako całość (legislacyjna i administracyjna łącznie) musi być sformułowana wystarczająco precyzyjnie wobec wszystkich zainteresowanych osób: organów publicznych w odniesieniu do tego, czego mogą żądać, przedsiębiorstw w odniesieniu do tego, co mogą zapewnić, ale przede wszystkim wobec osób, których dane dotyczą, aby wiedziały, kto może mieć dostęp do ich danych i w jakim celu. Można przypomnieć, że informowanie o przetwarzaniu danych jest w istocie kluczowym wymogiem RODO. Osoby, których dane dotyczą, muszą być świadome istnienia takiego przetwarzania, a informacja ta jest warunkiem wstępnym korzystania z dalszych praw do dostępu, usunięcia czy sprostowania danych ( 45 ).

89.

O ile art. 23 RODO nie został w żaden sposób transponowany do prawa krajowego w celu ograniczenia praw osób, których dane dotyczą, na mocy rozdziału III RODO z art. 13 i 14 RODO wynika, że administrator przetwarzania ma obowiązek udzielenia informacji osobie, której dane dotyczą. W kontekście następujących kolejno przypadków przekazywania danych ustalenie, na kim spoczywa obowiązek informacyjny, może być trudne ( 46 ). Ponadto w praktyce, w przypadku braku jakichkolwiek ograniczeń przyjętych na mocy art. 23 ust. 1 RODO, które w prawie krajowym muszą spełniać wymóg art. 23 ust. 2 RODO, organ publiczny, który uzyskał dane, może być zobowiązany do udzielenia odpowiednich informacji na podstawie art. 14 RODO wszystkim zainteresowanym osobom, których dane dotyczą. Jeżeli nie istnieje jasna i przewidywalna podstawa prawna, która pozwala na ostateczne przekazanie takich danych, trudno oczekiwać od administratora, który zgromadził dane, że już na tym etapie poinformuje odpowiednio osobę, której dane dotyczą, zgodnie z art. 13 RODO.

90.

Podsumowując zatem, moim zdaniem, art. 6 ust. 1 lit. c) i art. 6 ust. 3 RODO nie stoją na przeszkodzie ustanowieniu w przepisach krajowych, bez żadnych ograniczeń czasowych, obowiązku przekazywania przez podmioty świadczące usługi publikowania ogłoszeń w internecie określonych danych osobowych organowi podatkowemu, o ile w prawie krajowym istnieje wyraźna podstawa prawna dla tego rodzaju przekazywania danych, a żądane dane są odpowiednie i niezbędne organowi podatkowemu do wykonania powierzonych mu zadań.

C.   Epilog: kwestia, której nie podniesiono w niniejszej sprawie

91.

Nie jest moją rolą spekulowanie na temat prawdziwych motywów stron występujących przed sądem krajowym. Nie wątpię zatem w istnienie dobrych Samarytan, którzy bezinteresownie występują w obronie innych. Dlaczego prywatne przedsiębiorstwo nie mogłoby po prostu bronić praw osób, których dane dotyczą, a od których zebrało ich dane osobowe?

92.

Chociaż można się tylko cieszyć, gdy przedsiębiorstwa angażują się w kwestie ochrony danych, zakładam, że mogą też istnieć inne powody, dla których inne przedsiębiorstwa chciałyby sprzeciwić się prawnie wymaganemu przez władzę publiczną przekazywaniu zgromadzonych przez nie danych osobowych. Jeden z powodów może odnosić się do kosztów takiego przedsięwzięcia. Czy władze publiczne powinny mieć prawo do skutecznego zlecania na zewnątrz części zadań należących do administracji publicznej, zmuszając przedsiębiorstwa prywatne do ponoszenia kosztów wykonywania tego, co zasadniczo stanowi czynności z zakresu administracji publicznej? Kwestia ta nabiera znaczenia w przypadkach stałego przekazywania danych na dużą skalę, które mają być dokonywane przez przedsiębiorstwa prywatne dla wspólnego dobra i zupełnie nieodpłatnie ( 47 ). Inne powody mogą być bardziej związane z działalnością gospodarczą. Jeśli przyjąć na chwilę, oczywiście czysto hipotetycznie, że co do zasady ludzie nie lubią płacić podatków, to nie jest daleko idące przyjęcie, że niektóre z tych osób mogą wybrać inne sposoby reklamowania swoich używanych samochodów niż strona internetowa, której właściciel następnie przekazuje te informacje organom podatkowym .

93.

Znalezienie równowagi między wszystkimi interesami wchodzącymi w grę w takiej sytuacji bynajmniej nie jest proste. Z jednej strony, kierowane przez organ publiczny do przedsiębiorstw prywatnych żądanie przekazania danych, które muszą być przygotowane i przekazane zgodnie z dokładnymi wymaganiami tego pierwszego, mogłoby niebezpiecznie zbliżyć się do sytuacji wymuszonego zlecania zadań należących do administracji publicznej. Mogłoby to mieć miejsce w szczególności w przypadku danych, które są skądinąd swobodnie dostępne i które przy odrobinie wysiłku technicznego organy publiczne mogłyby zebrać samodzielnie. Z drugiej strony, jak trafnie podkreślił rząd belgijski wskazując na szersze znaczenie sytuacji w postępowaniu głównym, być może należałoby udzielić nieco bardziej precyzyjnej odpowiedzi w sytuacjach różnego rodzaju platform gospodarki dzielenia się lub w innych scenariuszach, w których organy publiczne żądają dostępu do danych istotnych dla realizacji wskazanego zgodnego z prawem celu publicznego, ale które nie są ogólnodostępne, a zatem nie mogą być gromadzone przez same organy publiczne. Jednak nawet w takich okolicznościach otwarta pozostaje kwestia ewentualnego wynagrodzenia.

94.

Z pewnością dostrzegam takie kwestie, które jawią się gdzieś w tle postępowania głównego. Jednak znalezienie rozsądnej równowagi w takich przypadkach powinno mieć miejsce przede wszystkim na szczeblu krajowym lub unijnym przy przyjmowaniu odpowiednich przepisów stanowiących podstawę prawną dla tego rodzaju przekazywania. Nie powinno to być przedmiotem interwencji sądowej, tym bardziej w sprawie, w której sąd odsyłający nawet nie podniósł wyraźnie żadnej z takich kwestii. Ponadto istnieją co najmniej dwa dodatkowe powody, dla których niniejsza sprawa nie jest odpowiednim przypadkiem, by prowadzić tego rodzaju polemiki.

95.

Po pierwsze, podobnie jak szereg innych kwestii w jakiś sposób związanych z przepływem danych osobowych, ale tak naprawdę niedotyczących ochrony praw osób, których dane dotyczą, kwestie te zwyczajnie nie są uregulowane właśnie w RODO. Kwestia ochrony prawnej administratorów – prywatnych przedsiębiorstw przed potencjalnie niezgodną z prawem lub nieproporcjonalną ingerencją w ich swobodę prowadzenia działalności gospodarczej, ich ewentualne prawo własności ( 48 ), czy nawet ich ewentualne prawo do sprawiedliwego wynagrodzenia za przekazane dane – nie jest kwestią regulowaną przez RODO.

96.

Po drugie, tak długo jak podstawa prawna takiego przekazania danych nie jest przewidziana w prawie Unii ( 49 ), kwestia ewentualnego wynagrodzenia za tego rodzaju narzucone z góry przekazanie danych również nie może wchodzić w zakres prawa Unii. Nie oznacza to, że takie kwestie nie mogą się pojawić, chociażby w kontekście ochrony praw podstawowych (zainteresowanych administratorów). Wymagałyby one jednak odpowiedniego rozpatrzenia przez sądy państwa członkowskiego, które w pierwszej kolejności wymagało tego rodzaju przekazywanie danych. Każdą taką sprawę należy zatem raczej kierować do krajowego sądu (konstytucyjnego).

V. Wnioski

97.

Proponuję, aby na pytania skierowane przez Administratīvā apgabaltiesa (regionalny sąd administracyjny, Łotwa) Trybunał odpowiedział w sposób następujący:

Artykuł 6 ust. 1 lit. c) oraz art. 6 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych nie stoją na przeszkodzie ustanowieniu w przepisach krajowych, bez żadnych ograniczeń czasowych, obowiązku przekazywania przez podmioty świadczące usługi publikowania ogłoszeń w internecie określonych danych osobowych organowi podatkowemu, o ile w prawie krajowym istnieje wyraźna podstawa prawna dla tego rodzaju przekazywania danych, a żądane dane są odpowiednie i niezbędne organowi podatkowemu do wykonania powierzonych mu zadań.


( 1 ) Język oryginału: angielski.

( 2 ) Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowania: Dz.U. 2018, L 127, s. 2; Dz.U. 2021, L 74, s. 35).

( 3 ) W odniesieniu do wyjątków przewidzianych w dyrektywie 95/46 – począwszy już od wyroków: z dnia 20 maja 2003 r., Österreichischer Rundfunk i in. (C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, pkt 41); z dnia 6 listopada 2003 r., Lindqvist (C‑101/01, EU:C:2003:596, pkt 3748). Ostatnio w odniesieniu do RODO zob. wyrok z dnia 22 czerwca 2021 r., B (punkty karne) (C‑439/19, EU:C:2021:504, pkt 6172).

( 4 ) Zobacz na przykład wyrok z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, pkt 2939). Zobacz jednocześnie wyrok z dnia 29 lipca 2019 r., Fashion ID (C‑40/17, EU:C:2019:629, pkt 74).

( 5 ) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31).

( 6 ) Wyrok z dnia 20 grudnia 2017 r., Nowak (C‑434/16, EU:C:2017:994, pkt 1823).

( 7 ) Wyrok z dnia 4 maja 2017 r., Rīgas satiksme (C‑13/16, EU:C:2017:336, pkt 1217).

( 8 ) Wyrok z dnia 10 grudnia 2020 r., J & S Service (C‑620/19, EU:C:2020:1011, pkt 1529).

( 9 ) W odróżnieniu od tego, co wydawał się przyjąć sąd pierwszej instancji, Administratīvā rajona tiesa (rejonowy sąd administracyjny), a mianowicie, że na tym etapie przetwarzania danych ich administratorem jest skarżąca (zob. powyżej, pkt 21 niniejszej opinii).

( 10 ) Zobacz na przykład wyroki: z dnia 29 czerwca 2010 r., Komisja/Bavarian Lager (C‑28/08 P, EU:C:2010:378, pkt 69); z dnia 19 kwietnia 2012 r., Bonnier Audio i in. (C‑461/10, EU:C:2012:219, pkt 52).

( 11 ) Zobacz na przykład wyroki: z dnia 29 stycznia 2008 r., Promusicae (C‑275/06, EU:C:2008:54, pkt 45); z dnia 6 października 2020 r., Privacy International (C‑623/17, EU:C:2020:790, pkt 41), w kontekście dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37). Zobacz także wyrok z dnia 6 października 2015 r., Schrems (C‑362/14, EU:C:2015:650, pkt 45), w kontekście przekazywania danych do państwa trzeciego.

( 12 ) Zobacz na przykład wyrok z dnia 9 lipca 2020 r., Land Hessen (C‑272/19, EU:C:2020:535, pkt 68).

( 13 ) Wyrok z dnia 20 maja 2003 r., Österreichischer Rundfunk i in. (C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, pkt 3947).

( 14 ) Wyrok z dnia 22 czerwca 2021 r., B (punkty karne) (C‑439/19, EU:C:2021:504, pkt 6172).

( 15 ) Zobacz w tym względzie art. 3 ust. 7 dyrektywy (UE) 2016/680 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016, L 119, s. 89; sprostowanie, Dz.U. 2018, L 127, s. 10).

( 16 ) Przy czym ta hipotetyczna przyszła możliwość nie jest rozstrzygająca dla określenia ex ante normatywnego zakresu stosowania aktu prawa Unii. Zobacz także moja opinia w sprawach połączonych Ministerul Public – Parchetul de pe lângă Înalta Curte de Casaţie şi Justiţie – Direcţia Naţională Anticorupţie i in. (C‑357/19 i C‑547/19, EU:C:2021:170, pkt 109115) dotycząca podobnego argumentu w odniesieniu do zakresu stosowania art. 325 ust. 1 TFUE.

( 17 ) Zobacz w tym względzie na przykład wyroki: z dnia 11 grudnia 2014 r., Ryneš (C‑212/13, EU:C:2014:2428, pkt 30); z dnia 10 lipca 2018 r., Jehovan todistajat (C‑25/17, EU:C:2018:551, pkt 51). W tej ostatniej sprawie Trybunał orzekł, że gromadzenie danych osobowych przez członków wspólnoty religijnej w ramach działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych i późniejsze przetwarzanie tych danych może być objęte materialnym zakresem stosowania RODO.

( 18 ) Zobacz na przykład wyrok z dnia 20 grudnia 2017 r., Nowak (C‑434/16, EU:C:2017:994, pkt 62), w którym Trybunał orzekł, że pisemne odpowiedzi udzielone przez osobę przystępującą do egzaminu zawodowego i ewentualne naniesione przez egzaminatora komentarze odnoszące się do tych odpowiedzi stanowią dane osobowe.

( 19 ) Zobacz na przykład wyroki: z dnia 13 maja 2014 r., Google Spain i Google (C‑131/12, EU:C:2014:317, pkt 34); z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, pkt 2844), w którym Trybunał orzekł, że pojęcie „administratora” obejmuje administratora fanpage’a prowadzonego na stronie portalu społecznościowego.

( 20 ) Zobacz wyrok z dnia 29 lipca 2019 r., Fashion ID (C‑40/17, EU:C:2019:629, pkt 72, 74).

( 21 ) Wyrok z dnia 29 lipca 2019 r., Fashion ID (C‑40/17, EU:C:2019:629).

( 22 ) Ibidem, pkt 67.

( 23 ) Ibidem., pkt 74.

( 24 ) Niedawny przykład przetwarzania danych przez organy publiczne, zob. wyrok z dnia 9 lipca 2020 r., Land Hessen (C‑272/19, EU:C:2020:535, pkt 64, 65).

( 25 ) Zobacz na przykład wyrok z dnia 16 stycznia 2019 r., Deutsche Post (C‑496/17, EU:C:2019:26, pkt 57). Zobacz także w tym względzie wyroki: z dnia 1 października 2015 r., Bara i in. (C‑201/14, EU:C:2015:638, pkt 30); z dnia 27 września 2017 r., Puškár (C‑73/16, EU:C:2017:725, pkt 104).

( 26 ) Jak przewidziano w szczególności w art. 13 ust. 2 RODO, aczkolwiek w innym kontekście, mianowicie w kontekście informacji, które należy podać.

( 27 ) Dla pełności wywodu można dodać, że inne scenariusze przewidziane w RODO, takie jak współadministrowanie danym etapem przetwarzania przez organ podatkowy i przedsiębiorstwo prywatne (art. 26) lub faktyczna relacja administratora i podmiotu przetwarzającego (art. 28), wydają się być wykluczone w okolicznościach faktycznych przedstawionych przez sąd odsyłający.

( 28 ) Z dwoma zasługującymi na uwagę wyjątkami w art. 26 i 28 RODO, o których mowa w poprzednim przypisie, lub na przykład w art. 19 RODO. Jednak również w odniesieniu do tych przepisów regulacyjne ujęcie tych kategorii można nadal uznać za ochronę danych, zasadniczo gwarantującą, że administrator nie może zwolnić się z odpowiedzialności i uchylić się od niej poprzez udostępnienie danych lub zlecenie ich przetwarzania na zewnątrz.

( 29 ) Zobacz na przykład wyroki z dnia 24 listopada 2011 r., Scarlet Extended (C‑70/10, EU:C:2011:771).

( 30 ) Wyrok z dnia 20 maja 2003 r., Österreichischer Rundfunk i in. (C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294).

( 31 ) Zobacz na przykład wyroki: z dnia 21 grudnia 2016 r., Tele2 Sverige i Watson i in. (C‑203/15 i C‑698/15, EU:C:2016:970); z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791).

( 32 ) Wyrok z dnia 4 maja 2017 r., Rīgas satiksme (C‑13/16, EU:C:2017:336).

( 33 ) Wyrok z dnia 29 stycznia 2008 r., Promusicae (C‑275/06, EU:C:2008:54).

( 34 ) Wyrok z dnia 19 kwietnia 2012 r., Bonnier Audio i in. (C‑461/10, EU:C:2012:219).

( 35 ) Wyrok z dnia 10 grudnia 2020 r., J & S Service (C‑620/19, EU:C:2020:1011).

( 36 ) Zobacz na przykład, w prawie Unii, art. 4 poprzedniej dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE (Dz.U. 2006, L 105, s. 54) lub art. 8 dyrektywy (UE) 2016/681 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania (Dz.U. 2016, L 119, s. 132).

( 37 ) Zobacz na przykład w tym względzie wyrok z dnia 27 września 2017 r., Puškár (C‑73/16, EU:C:2017:725, pkt 108) odnośnie do sporządzania przez organ publiczny wykazu w celach poboru podatku i zwalczania oszustw.

( 38 ) Idealnych w tym sensie, że dwa nakreślone scenariusze reprezentują dwa skrajne punkty na wyimaginowanej linii, a nie zamknięte pudełka w wymiarze hermeneutycznym.

( 39 ) Po raz kolejny należy podkreślić rzeczywisty charakter tej sprawy, która jest znacznie bliższa scenariuszom, w których do Trybunału zwrócono się o zbadanie różnych scenariuszy przechowywania danych lub przekazywania ich do państw trzecich, niż „prawdziwej” sprawie dotyczącej RODO (zob. powyżej w pkt 56 i 57 niniejszej opinii, jak również orzecznictwo powołane w przypisach 11, 31 i 44).

( 40 ) Zobacz na przykład wyroki: z dnia 12 lipca 2005 r., Alliance for Natural i in. (C‑154/04 i C‑155/04, EU:C:2005:449, pkt 91, 92); z dnia 21 grudnia 2011 r., Ziolkowski i Szeja (C‑424/10 i C‑425/10, EU:C:2011:866, pkt 42, 43); z dnia 25 lipca 2018 r., Confédération paysanne i in. (C‑528/16, EU:C:2018:583, pkt 4446, 51).

( 41 ) Zobacz także w tym względzie wyrok z dnia 27 września 2017 r., Puškár (C‑73/16, EU:C:2017:725, pkt 113).

( 42 ) Zobacz już powyżej pkt 72‑73 niniejszej opinii.

( 43 ) Zobacz na przykład w tym względzie wyrok z dnia 20 maja 2003 r., Österreichischer Rundfunk i in. (C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, pkt 77, 79).

( 44 ) Zobacz na przykład ostatnio wyrok z dnia 6 października 2020 r., Privacy International (C‑623/17, EU:C:2020:790, pkt 68).

( 45 ) Zobacz w tym względzie wyrok z dnia 1 października 2015 r., Bara i in. (C‑201/14, EU:C:2015:638, pkt 33).

( 46 ) Zobacz w tym względzie wyroki: z dnia 1 października 2015 r., Bara i in. (C‑201/14, EU:C:2015:638, pkt 3438); z dnia 16 stycznia 2019 r., Deutsche Post (C‑496/17, EU:C:2019:26, pkt 69).

( 47 ) Podobna kwestia w kontekście kosztów przechowywania danych, zob. postanowienie z dnia 26 listopada 2020 r., i in. (C‑318/20, niepublikowane, EU:C:2020:969).

( 48 ) W nowoczesnych gospodarkach, które w coraz większym stopniu są oparte na danych, kwestią czasu jest uznanie danych za rodzaj mienia, czy wręcz własności, w taki sam sposób, w jaki szereg innych dóbr niematerialnych mających wartość gospodarczą, jak np. różne rodzaje własności intelektualnej. Zobacz w tym względzie wyrażone już stanowisko w sprawie objęcia różnych rodzajów „mienia” zakresem art. 1 pierwszego protokołu dodatkowego w orzecznictwie Europejskiego Trybunału Praw Człowieka, jak wykazano na przykład w wyroku ETPC z dnia 11 stycznia 2007 r. w sprawie Anheuser-Busch Inc przeciwko Portugalii (CE:ECHR:2007:0111JUD007304901, §§ 63‑65).

( 49 ) Inaczej byłoby z kolei w sytuacjach, w których przekazywanie, zatrzymywanie lub przetwarzanie danych jest przewidziane przez instrument prawa Unii, jak w przypadku przykładów podanych w przypisie 36 powyżej. Nawiasem mówiąc, wydaje się, że pierwotny wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie zatrzymywania przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej oraz zmieniającej dyrektywę 2002/58/WE {SEC(2005) 1131}, COM/2005/0438 final - COD 2005/0182, przedstawiony przez Komisję, pośrednio potwierdzał to w pierwotnie proponowanym art. 10 i motywie 13. Przepisów tych nie zachowano jednak w przyjętej wersji dyrektywy.