WYROK TRYBUNAŁU (piąta izba)

z dnia 24 lutego 2022 r. ( *1 )

Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 2 – Zakres stosowania – Artykuł 4 – Pojęcie „przetwarzania” – Artykuł 5 – Zasady dotyczące przetwarzania – Ograniczenie celu – Minimalizacja danych – Artykuł 6 – Zgodność przetwarzania z prawem – Przetwarzanie konieczne do realizacji powierzonego administratorowi danych zadania wykonywanego w interesie publicznym – Przetwarzanie konieczne do wypełnienia obowiązku prawnego ciążącego na administratorze danych – Artykuł 23 – Ograniczenia – Przetwarzanie danych do celów podatkowych – Żądanie udzielenia informacji dotyczących publikowanych w Internecie ogłoszeń o sprzedaży pojazdów – Proporcjonalność

W sprawie C‑175/20

mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Administratīvā apgabaltiesa (regionalny sąd administracyjny, Łotwa) postanowieniem z dnia 11 marca 2020 r., które wpłynęło do Trybunału w dniu 14 kwietnia 2020 r., w postępowaniu:

„SS” SIA

przeciwko

Valsts ieņēmumu dienests,

TRYBUNAŁ (piąta izba),

w składzie: E. Regan, prezes izby, K. Lenaerts, prezes Trybunału, pełniący obowiązki sędziego piątej izby, C. Lycourgos, prezes czwartej izby, I. Jarukaitis i M. Ilešič (sprawozdawca), sędziowie,

rzecznik generalny: M. Bobek,

sekretarz: A. Calot Escobar,

uwzględniając pisemny etap postępowania,

rozważywszy uwagi, które przedstawili:

–	w imieniu „SS” SIA – M. Ruķers,

–	w imieniu rządu łotewskiego – początkowo K. Pommere, V. Soņeca i L. Juškeviča, a następnie K. Pommere, w charakterze pełnomocników,

–	w imieniu rządu belgijskiego – J.-C. Halleux i P. Cottin, w charakterze pełnomocników, których wspierał C. Molitor, avocat,

–	w imieniu rządu greckiego – E.-M. Mamouna i O. Patsopoulou, w charakterze pełnomocników,

–	w imieniu rządu hiszpańskiego – początkowo J. Rodríguez de la Rúa Puig i S. Jiménez García, a następnie J. Rodríguez de la Rúa Puig, w charakterze pełnomocników,

–	w imieniu Komisji Europejskiej – początkowo H. Kranenborg, D. Nardi i I. Rubene, a następnie H. Kranenborg i I. Rubene, w charakterze pełnomocników

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 2 września 2021 r.,

wydaje następujący

Wyrok

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2), a w szczególności art. 5 ust. 1 tego rozporządzenia.

2	Wniosek ten został przedstawiony w ramach sporu pomiędzy „SS” SIA a Valsts ieņēmumu dienests (urzędem podatkowym, Łotwa, zwanym dalej „łotewskim organem podatkowym”) w przedmiocie wniosku o udzielenie informacji dotyczących ogłoszeń o sprzedaży pojazdów publikowanych na stronie internetowej SS.

Ramy prawne

Prawo Unii

Rozporządzenie 2016/679

3	Rozporządzenie 2016/679 – którego podstawę prawną stanowi art. 16 TFUE – ma zastosowanie, jak wskazano w art. 99 ust. 2 tego aktu prawnego, od dnia 25 maja 2018 r.

Motywy 1, 4, 10, 19, 26, 31, 39, 41 i 50 tego rozporządzenia mają następujące brzmienie:

„(1)	Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Artykuł 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej »[kartą]«) oraz art. 16 ust. 1 [TFUE] stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.

[…]

(4)

Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. Niniejsze rozporządzenie nie narusza praw podstawowych, wolności i zasad uznanych w [karcie] – zapisanych w traktatach – w szczególności prawa do poszanowania życia prywatnego i rodzinnego, domu oraz komunikowania się, ochrony danych osobowych, wolności myśli, sumienia i religii, wolności wypowiedzi i informacji, wolności prowadzenia działalności gospodarczej, prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu oraz różnorodności kulturowej, religijnej i językowej.

[…]

(10)	Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. […]

[…]

(19)

Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy w ramach zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania czynów zabronionych, lub wykonywania kar, w tym w celu ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, oraz swobodny przepływ takich danych podlegają szczególnemu aktowi prawnemu Unii. Niniejsze rozporządzenie nie powinno zatem mieć zastosowania do czynności przetwarzania w tych celach. Jeżeli jednak dane osobowe przetwarzane przez organy publiczne na mocy niniejszego rozporządzenia są wykorzystywane do tych celów, dane te powinny podlegać szczególnemu aktowi prawnemu Unii, mianowicie dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/680 [z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016, L 119, s. 89)]. […]

[…]

(26)

Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. […] Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. […]

[…]

(31)

Organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej (takich jak organy podatkowe, organy celne, finansowe jednostki analityki finansowej, niezależne organy administracyjne czy organy rynków finansowych regulujące i nadzorujące rynki papierów wartościowych), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego. Żądanie ujawnienia danych osobowych, z którym występują takie organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych. Przetwarzając otrzymane dane osobowe, takie organy powinny przestrzegać mających zastosowanie przepisów o ochronie danych, zgodnie z celami przetwarzania.

[…]

(39)

[…] Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. […]

[…]

(41)

W przypadku gdy w niniejszym rozporządzeniu jest mowa o podstawie prawnej lub akcie prawnym, niekoniecznie wymaga to przyjęcia aktu prawnego przez parlament, z zastrzeżeniem wymogów wynikających z porządku konstytucyjnego danego państwa członkowskiego. Taka podstawa prawna lub taki akt prawny powinny być jasne i precyzyjne, a ich zastosowanie przewidywalne dla osób im podlegających – jak wymaga tego orzecznictwo Trybunału […] i Europejskiego Trybunału Praw Człowieka.

[…]

(50)

Przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, powinno być dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane. W takim przypadku nie jest wymagana odrębna podstawa prawna inna niż podstawa prawna, która umożliwiła zbieranie danych osobowych. Jeżeli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, prawo Unii lub prawo państwa członkowskiego mogą określać i precyzować zadania i cele, w których dalsze przetwarzanie powinno być uznawane za zgodne z prawem i z pierwotnymi celami. Dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych powinny być uznawane za operacje przetwarzania zgodne z prawem i z pierwotnymi celami. Podstawa prawna przetwarzania danych osobowych przewidziana prawem Unii lub prawem państwa członkowskiego może być również podstawą prawną dalszego przetwarzania. Aby ustalić, czy cel dalszego przetwarzania danych osobowych jest zgodny z celem, w którym dane te zostały pierwotnie zebrane, administrator – po spełnieniu wszystkich wymogów warunkujących zgodność pierwotnego przetwarzania z prawem – powinien uwzględnić między innymi: wszelkie powiązania pomiędzy tymi celami a celami zamierzonego dalszego przetwarzania; kontekst, w którym dane osobowe zostały zebrane, w szczególności rozsądne przesłanki pozwalające osobom, których dane dotyczą, oczekiwać dalszego wykorzystania danych oparte na rodzaju ich powiązania z administratorem; charakter danych osobowych; konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; oraz istnienie odpowiednich zabezpieczeń zarówno podczas pierwotnej, jak i zamierzonej operacji dalszego przetwarzania”.

Artykuł 2 rozporządzenia 2016/679, zatytułowany „Materialny zakres stosowania”, stanowi:

„1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

2. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

a)	w ramach działalności nieobjętej zakresem prawa Unii;

b)	przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE;

c)	przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

d)	przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

[…]”.

Artykuł 4 tego rozporządzenia, zatytułowany „Definicje”, ma następujące brzmienie:

„Na użytek niniejszego rozporządzenia:

»dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy bądź jeden lub kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

»przetwarzanie« oznacza [każdą] operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

[…]

6)	»zbiór danych« oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

7)	»administrator danych« oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych; […]

[…]

»odbiorca« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

[…]”.

Zgodnie z art. 5 rzeczonego rozporządzenia, zatytułowanym „Zasady dotyczące przetwarzania danych osobowych”:

„1. Dane osobowe muszą być:

a)	przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość);

b)	zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; […] (ograniczenie celu);

c)	adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych);

d)	prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (prawidłowość);

e)	przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; […] (ograniczenie przechowywania);

f)	przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność).

2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (rozliczalność)”.

Artykuł 6 tego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, stanowi:

„1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a)	osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b)	przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c)	przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d)	przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e)	przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

2. Państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów niniejszego rozporządzenia w odniesieniu do przetwarzania służącego wypełnieniu warunków określonych w ust. 1 lit. c) i e); w tym celu mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX.

3. Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:

a)	w prawie Unii; lub

b)	w prawie państwa członkowskiego, któremu podlega administrator.

Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. […] Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.

4. Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:

a)	wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;

b)	kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;

c)	charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10;

d)	ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;

e)	istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji”.

Zgodnie z art. 13 ust. 3 rozporządzenia 2016/679:

„Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2”.

Artykuł 14 tego rozporządzenia stanowi:

„1. Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:

[…]

c)	cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;

[…]

5. Ustępy 1–4 nie mają zastosowania, gdy – i w zakresie, w jakim:

[…]

c)	pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; […]

[…]”.

Zgodnie z art. 23 ust. 1 lit. e) tego rozporządzenia:

„Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

[…]

e)	innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu;

[…]”.

Artykuł 25 ust. 2 tego rozporządzenia 2016/679 stanowi:

„Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych”.

W przedmiocie dyrektywy 2016/680

Motywy 10 i 11 dyrektywy 2016/680 stanowią:

„(10)

W deklaracji nr 21 w sprawie ochrony danych osobowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej – załączonej do Aktu końcowego konferencji międzyrządowej, która przyjęła traktat z Lizbony – konferencja uznała, że ze względu na szczególny charakter współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej konieczne może okazać się przyjęcie – na podstawie art. 16 TFUE – szczególnych przepisów o ochronie danych osobowych i swobodnym przepływie danych osobowych w tych dziedzinach.

(11)

Należy zatem odnieść się do tych dziedzin w odrębnej dyrektywie, która stanowi szczególne przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, z zachowaniem szczególnego charakteru takich czynności. Do takich właściwych organów mogą należeć nie tylko organy publiczne – takie jak organy sądowe, policja lub inne organy ścigania – ale też wszelkie inne organy lub podmioty, którym prawo państwa członkowskiego powierza sprawowanie władzy publicznej i wykonywanie uprawnień publicznych do celów niniejszej dyrektywy. Jeżeli taki organ lub podmiot przetwarza dane osobowe do celów innych niż cele niniejszej dyrektywy, zastosowanie ma rozporządzenie [2016/679]. Rozporządzenie [2016/679] ma zatem zastosowanie wtedy, gdy organ lub podmiot zbiera dane osobowe do innych celów, a następnie dalej te dane przetwarza w celu realizacji obowiązku prawnego, któremu podlega. […]”.

Artykuł 3 tej dyrektywy stanowi:

„Na użytek niniejszej dyrektywy:

[…]

7) »właściwy organ« oznacza:

a)	organ publiczny właściwy do zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom; lub

inny organ lub podmiot, któremu prawo państwa członkowskiego powierza sprawowanie władzy publicznej i wykonywanie uprawnień publicznych do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom;

[…]”.

Prawo łotewskie

Zgodnie z art. 15 ust. 6 likums „Par nodokļiem un nodevām” (ustawy o podatkach i opłatach, Latvijas Vēstnesis, 1995, nr 26), w brzmieniu mającym zastosowanie do sporu w postępowaniu głównym (zwanej dalej „ustawą o podatkach i opłatach”), podmioty świadczące usługi publikacji ogłoszeń w Internecie są zobowiązane, na żądanie łotewskiego organu podatkowego, do dostarczenia posiadanych przez nie informacji dotyczących podatników, którzy opublikowali ogłoszenia, korzystając z tych usług.

Postępowanie główne i pytania prejudycjalne

16	Spółka SS jest podmiotem świadczącym usługi w zakresie publikowania ogłoszeń w Internecie, mającym siedzibę na Łotwie.

W dniu 28 sierpnia 2018 r. łotewski organ podatkowy skierował do SS, na podstawie art. 15 ust. 6 ustawy o podatkach i opłatach, wniosek o udzielenie informacji, w którym wezwał tę spółkę do odnowienia dostępu, którym dysponował wcześniej ten organ podatkowy, do numerów identyfikacyjnych pojazdów będących przedmiotem ogłoszeń publikowanych na portalu internetowym rzeczonej spółki, a także do numerów telefonu sprzedających, oraz do dostarczenia, nie później niż do dnia 3 września 2018 r., informacji na temat ogłoszeń opublikowanych w okresie od 14 lipca do 31 sierpnia 2018 r. w sekcji „samochody osobowe” tego portalu.

We wniosku tym wyjaśniono, że informacje te, obejmujące link do ogłoszenia, tekst tego ogłoszenia, markę pojazdu, model, numer identyfikacyjny pojazdu i jego cenę, a także numer telefonu sprzedawcy, powinny być przekazywane drogą elektroniczną, w formacie umożliwiającym filtrowanie lub wybieranie danych.

Ponadto na wypadek, gdyby dostęp do informacji zawartych w ogłoszeniach publikowanych na wskazanym portalu internetowym nie mógł zostać przywrócony, spółka SS została wezwana do wskazania przyczyn takiego stanu rzeczy, a także do dostarczania, najpóźniej trzeciego dnia każdego miesiąca, istotnych informacji dotyczących ogłoszeń opublikowanych w poprzednim miesiącu.

Uznawszy, że wystosowany przez łotewski organ podatkowy wniosek o udzielenie informacji jest niezgodny z zasadami proporcjonalności i minimalizacji danych osobowych, ustanowionymi w rozporządzeniu 2016/679, spółka SS złożyła zażalenie na ten wniosek do pełniącego obowiązki dyrektora generalnego łotewskiego organu podatkowego.

21	Decyzją z dnia 30 października 2018 r. oddalił on to zażalenie, wskazawszy w szczególności, że w ramach przetwarzania danych osobowych, o którym mowa w postępowaniu głównym, łotewski organ podatkowy wykonywał uprawnienia przyznane mu na mocy ustawy.

Spółka SS wniosła do administratīvā rajona tiesa (sądu administracyjnego pierwszej instancji, Łotwa) skargę o stwierdzenie nieważności tej decyzji. Oprócz argumentów przedstawionych w zażaleniu, w skardze tej podniosła ona, że we wspomnianej decyzji nie wskazano konkretnego celu przetwarzania danych osobowych przewidywanego przez łotewski organ podatkowy ani ilości niezbędnych do tego celu danych, co stanowi naruszenie art. 5 ust. 1 rozporządzenia 2016/679.

Wyrokiem z dnia 21 maja 2019 r. administratīvā rajona tiesa (sąd administracyjny pierwszej instancji) oddalił tę skargę, wskazawszy zasadniczo, że łotewski organ podatkowy miał podstawy, by żądać dostępu do informacji dotyczących dowolnej osoby i w nieograniczonej ilości, chyba że informacje te zostałyby uznane za niezgodne z celami poboru podatku. Sąd pierwszej instancji uznał ponadto, że przepisy rozporządzenia 2016/679 nie mają zastosowania do tego organu.

Spółka SS wniosła apelację od tego wyroku do sądu odsyłającego, podnosząc, po pierwsze, że łotewski organ podatkowy podlega przepisom rozporządzenia 2016/679, a po drugie, że wymagając przekazywania co miesiąc i przez nieograniczony czas znacznej ilości danych osobowych dotyczących nieograniczonej liczby ogłoszeń, bez wskazania konkretnych podatników, przeciwko którym została wszczęta kontrola podatkowa, organ ten naruszył zasadę proporcjonalności.

Sąd odsyłający wskazuje, iż w ramach sporu w postępowaniu głównym bezsporne jest to, że zastosowanie się do żądania wniosku o udzielenie informacji jest nierozerwalnie związane z przetwarzaniem danych osobowych i że łotewski organ podatkowy ma prawo do uzyskania informacji, którymi dysponuje podmiot świadczący usługi w zakresie publikowania reklam w Internecie i które są niezbędne do wykonania konkretnych czynności w zakresie poboru podatku.

26	Spór w postępowaniu głównym dotyczy ilości i rodzaju informacji, jakich może żądać łotewski organ podatkowy, ograniczonego lub nieograniczonego charakteru tych informacji, a także kwestii, czy obowiązek przekazania informacji, któremu podlega spółka SS, powinien być ograniczony w czasie.

W szczególności sąd odsyłający uważa, że to do niego należy ustalenie, czy w okolicznościach sprawy rozpoznawanej w postępowaniu głównym przetwarzanie danych osobowych jest dokonywane w sposób przejrzysty w stosunku do osób, których dane dotyczą, czy informacji wyszczególnionych w przedmiotowym wniosku o udostępnienie zażądano w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz czy przetwarzanie danych osobowych jest dokonywane wyłącznie w zakresie, w jakim jest ono rzeczywiście konieczne do wykonywania przez łotewski organ podatkowy jego funkcji, w rozumieniu art. 5 ust. 1 rozporządzenia 2016/679.

Wykonanie tego zadania wymaga określenia kryteriów pozwalających na dokonanie oceny, czy wniosek o udostępnienie informacji wystosowany przez łotewski organ podatkowy respektuje istotę swobód i praw podstawowych oraz czy w demokratycznym społeczeństwie wniosek, o którym mowa w postępowaniu głównym, może zostać uznany za konieczny i proporcjonalny do zagwarantowania realizacji ważnych celów Unii oraz poszanowania łotewskich interesów publicznych w dziedzinie budżetowej i podatkowej.

W tych okolicznościach Administratīvā apgabaltiesa (regionalny sąd administracyjny, Łotwa) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)

Czy wymogi […] rozporządzenia [2016/679] należy interpretować w ten sposób, że wniosek o udzielenie informacji złożony przez organ podatkowy, taki jak w niniejszej sprawie, w którym żąda się dostarczenia informacji zawierających znaczną ilość danych osobowych, powinien spełniać wymogi […] rozporządzenia [2016/679] (w szczególności jego art. 5 ust. 1)?

2)	Czy wymogi […] rozporządzenia [2016/679] należy interpretować w ten sposób, że organ podatkowy może odstąpić od stosowania przepisu art. 5 ust. 1 tego rozporządzenia, nawet gdy ustawodawstwo obowiązujące [na Łotwie] nie przyznaje takiego uprawnienia wspomnianemu organowi?

Czy przy dokonywaniu wykładni wymogów […] rozporządzenia [2016/679] można uznać, że istnieje zgodny z prawem cel uzasadniający obowiązek – nałożony poprzez wniosek o udzielenie informacji, taki jak w niniejszej sprawie – dostarczenia wszystkich żądanych danych w nieograniczonej ilości i w nieograniczonym okresie, przy czym nie ustalono daty upływu terminu na wykonanie tego wniosku o udzielenie informacji?

Czy przy dokonywaniu wykładni wymogów […] rozporządzenia [2016/679] można uznać, że istnieje zgodny z prawem cel uzasadniający obowiązek – nałożony poprzez wniosek o udzielenie informacji, taki jak w niniejszej sprawie – dostarczenia wszystkich żądanych danych, nawet gdy we wniosku o udzielenie informacji nie wskazano (lub wskazano w sposób niekompletny) celu przekazania informacji?

Czy przy dokonywaniu wykładni wymogów rozporządzenia [2016/679] można uznać, że istnieje zgodny z prawem cel uzasadniający obowiązek – nałożony poprzez wniosek o udzielenie informacji, taki jak w niniejszej sprawie – dostarczenia wszystkich żądanych danych, nawet gdy w praktyce dotyczy to w pełni wszystkich zainteresowanych, którzy opublikowali ogłoszenia w sekcji »samochody osobowe« danego portalu?

6)	Jakie kryteria należy stosować w celu zbadania, czy organ podatkowy działający jako administrator danych zapewnia w należyty sposób, że przetwarzanie danych (w tym również uzyskanie informacji) jest zgodne z wymogami […] rozporządzenia [2016/679]?

7)	Jakie kryteria należy stosować w celu zbadania, czy wniosek o udzielenie informacji, taki jak w niniejszej sprawie, jest należycie uzasadniony i ma charakter okazjonalny?

8)	Jakie kryteria należy stosować w celu zbadania, czy przetwarzanie danych osobowych odbywa się w niezbędnym zakresie i w sposób zgodny z wymogami […] rozporządzenia [2016/679]?

9)	Jakie kryteria należy stosować w celu zbadania, czy organ podatkowy działający jako administrator danych zapewnia zgodność przetwarzania danych z wymogami art. 5 ust. 1 […] rozporządzenia [2016/679] (rozliczalność)?”.

W przedmiocie pytań prejudycjalnych

W przedmiocie pytania pierwszego

Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy przepisy rozporządzenia 2016/679 należy interpretować w ten sposób, że wymogom tego rozporządzenia, a w szczególności tym, o których mowa w jego art. 5 ust. 1, podlega zbieranie od podmiotu gospodarczego przez organ podatkowy państwa członkowskiego informacji zawierających znaczną ilość danych osobowych.

Aby udzielić odpowiedzi na to pytanie należy zbadać w pierwszej kolejności, czy tego rodzaju wniosek o udzielenie informacji jest objęty przedmiotowym zakresem stosowania rozporządzenia 2016/679, określonym w art. 2 ust. 1 tego rozporządzenia, a w drugiej kolejności, czy nie figuruje on wśród rodzajów przetwarzania danych osobowych, które art. 2 ust. 2 tego rozporządzenia wyłącza z tego zakresu stosowania.

W pierwszej kolejności zgodnie z brzmieniem art. 2 ust. 1 rozporządzenia 2016/679 ma ono zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

W art. 4 pkt 1 rozporządzenia 2016/679 uściślono, że „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, to jest o osobie fizycznej, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. W motywie 26 tego rozporządzenia wyjaśniono w tym względzie, że aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby, w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

34	W ramach sporu w postępowaniu głównym bezsporne jest to, że informacje, o których przekazanie wnosi łotewski organ podatkowy, stanowią dane osobowe w rozumieniu art. 4 pkt 1 rozporządzenia 2016/679.

Zgodnie z art. 4 pkt 2 tego rozporządzenia zbieranie, przeglądanie, ujawnianie poprzez przesłanie lub innego rodzaju udostępnianie danych osobowych stanowią „przetwarzanie” w rozumieniu wskazanego rozporządzenia. Z brzmienia tego przepisu, a w szczególności z wyrażenia „[każdą] operację”, wynika, że prawodawca Unii zamierzał nadać pojęciu „przetwarzania” szeroki zakres. Taką wykładnię potwierdza niewyczerpujący charakter czynności wymienionych we wspomnianym przepisie, wyrażony poprzez użycie sformułowania „taką jak”.

W niniejszej sprawie łotewski organ podatkowy zwrócił się do zainteresowanego podmiotu gospodarczego z żądaniem przywrócenia dostępu służb tego organu do numerów identyfikacyjnych pojazdów będących przedmiotem ogłoszeń publikowanych na portalu internetowym prowadzonym przez ten podmiot gospodarczy oraz dostarczenia rzeczonym służbom informacji o ogłoszeniach publikowanych na owym portalu.

Tego rodzaju wniosek, w którym organ podatkowy państwa członkowskiego domaga się od podmiotu gospodarczego przekazania i udostępnienia danych osobowych, które ten ostatni jest zobowiązany dostarczyć i udostępnić temu organowi na podstawie przepisów krajowych tego państwa członkowskiego, rozpoczyna proces „zbierania” tych danych w rozumieniu art. 4 pkt 2 rozporządzenia 2016/679.

38	Ponadto przekazanie i udostępnienie temu organowi rzeczonych danych przez zainteresowany podmiot gospodarczy wiąże się z „przetwarzaniem” w rozumieniu art. 4 pkt 2 tego rozporządzenia.

W drugiej kolejności należy zbadać, czy działanie, poprzez które organ podatkowy państwa członkowskiego stara się zebrać od podmiotu gospodarczego dane osobowe dotyczące niektórych podatników, może zostać uznane za wyłączone z zakresu stosowania rozporządzenia 2016/679 na podstawie art. 2 ust. 2 tego rozporządzenia.

W tym względzie należy na wstępie przypomnieć, że przepis ten przewiduje wyjątki dotyczące określonego w art. 2 ust. 1 tego rozporządzenia jego zakresu zastosowania oraz że wyjątki te powinny być interpretowane w sposób ścisły (wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 84).

W szczególności art. 2 ust. 2 lit. d) rozporządzenia 2016/679 przewiduje, że rozporządzenie to nie ma zastosowania do przetwarzania danych osobowych dokonywanego przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar.

Jak wynika z motywu 19 tego rozporządzenia, wyjątek ten jest uzasadniony tym, że przetwarzanie danych osobowych w takich celach i przez właściwe organy podlega szczególnemu aktowi Unii, a mianowicie dyrektywie 2016/680, która została przyjęta tego samego dnia co rozporządzenie 2016/679 i która definiuje w art. 3 pkt 7, co należy rozumieć przez „właściwy organ”, a definicję taką należy stosować analogicznie do art. 2 ust. 2 lit. d) tego rozporządzenia [zob. podobnie wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 69].

Z motywu 10 dyrektywy 2016/680 wynika, że pojęcie „właściwego organu” należy rozumieć w związku z ochroną danych osobowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej, z uwzględnieniem zmian, które mogą okazać się niezbędne w tym względzie ze względu na szczególny charakter tych dziedzin. Ponadto motyw 11 tej dyrektywy mówi o tym, że rozporządzenie 2016/679 ma zastosowanie do przetwarzania danych osobowych dokonywanego przez „właściwy organ” w rozumieniu art. 3 pkt 7 tej dyrektywy, lecz do celów innych niż w niej przewidziane [wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 70].

W związku z tym nie wydaje się, aby w sytuacji gdy organ podatkowy państwa członkowskiego zwraca się do podmiotu gospodarczego o przekazanie mu danych osobowych dotyczących niektórych podatników w celu poboru podatku i zwalczania przestępstw podatkowych, ów organ mógł zostać uznany za „właściwy organ” w rozumieniu art. 3 pkt 7 dyrektywy 2016/680, a związku z tym, aby takie wnioski o udzielenie informacji mogły być objęte wyjątkiem przewidzianym w art. 2 ust. 2 lit. d) rozporządzenia 2016/679.

Ponadto, nawet jeśli nie można wykluczyć wykorzystania danych osobowych, o których mowa w postępowaniu głównym, w kontekście postępowań karnych, które mogłyby zostać wszczęte przeciwko niektórym osobom w przypadku podejrzenia popełnienia przestępstwa skarbowego, nie wydaje się, żeby owe dane był zgromadzone w szczególnym celu prowadzenia takich postępowań karnych lub w ramach działalności państwa w obszarach prawa karnego (zob. podobnie wyrok z dnia 27 września 2017 r., Puškár, C‑73/16, EU:C:2017:725, pkt 40).

W związku z tym zbieranie przez organ podatkowy państwa członkowskiego danych osobowych dotyczących ogłoszeń sprzedaży pojazdów publikowanych na stronie internetowej podmiotu gospodarczego jest objęte przedmiotowym zakresem stosowania rozporządzenia 2016/679 i w konsekwencji organ ten musi przestrzegać w szczególności zasad dotyczących przetwarzania danych osobowych, określonych w art. 5 tego rozporządzenia.

W świetle wszystkich powyższych rozważań na pytanie pierwsze należy odpowiedzieć, że przepisy rozporządzenia 2016/679 należy interpretować w ten sposób, że wymogom tego rozporządzenia, a w szczególności tym, o których mowa w jego art. 5 ust. 1, podlega zbieranie od podmiotu gospodarczego przez organ podatkowy państwa członkowskiego informacji zawierających znaczną ilość danych osobowych.

W przedmiocie pytania drugiego

Poprzez pytanie drugie sąd odsyłający dąży w istocie do ustalenia, czy przepisy rozporządzenia 2016/679 należy interpretować w ten sposób, że organ podatkowy państwa członkowskiego może odstąpić od stosowania przepisów art. 5 ust. 1 tego rozporządzenia, nawet jeśli takie prawo nie zostało mu przyznane na mocy prawa krajowego tego państwa członkowskiego.

49	Na wstępie należy przypomnieć, że jak wynika z motywu 10 rozporządzenia 2016/679, akt ten ma na celu w szczególności zapewnienie wysokiego poziomu ochrony osób fizycznych w Unii.

W tym kontekście rozdziały II i III rozporządzenia 2016/679 określają odpowiednio zasady dotyczące przetwarzania danych osobowych oraz prawa osoby, której dane dotyczą, jakie powinny być przestrzegane przy każdym przetwarzaniu danych osobowych. W szczególności każde przetwarzanie danych osobowych powinno być zgodne z zasadami dotyczącymi przetwarzania takich danych, określonymi w art. 5 wspomnianego rozporządzenia (zob. podobnie wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 208).

Artykuł 23 rozporządzenia 2016/679 upoważnia jednak Unię i państwa członkowskie do przyjmowania „aktów prawnych” ograniczających zakres obowiązków i praw przewidzianych w szczególności w art. 5 tego rozporządzenia – o ile przepisy takich aktów odpowiadają prawom i zobowiązaniom przewidzianym w art. 12–22 tego rozporządzenia – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym ważnym celom leżącym w ogólnym interesie publicznym Unii lub danego państwa członkowskiego, takim jak w szczególności ważny interes gospodarczy lub finansowy, między innymi w dziedzinach budżetowych i podatkowych.

52	W tym względzie z motywu 41 rozporządzenia 2016/679 wynika, że zawarte w tym rozporządzeniu odniesienie do „aktu prawnego” niekoniecznie oznacza, że wymagane jest przyjęcie aktu prawnego przez parlament.

53	Niemniej jednak należy przypomnieć, że – jak stanowi motyw 4 rozporządzenia 2016/679 – rozporządzenie to nie narusza praw podstawowych, wolności i zasad uznanych w karcie oraz zapisanych w traktatach, do których należy w szczególności ochrona danych osobowych.

Tymczasem zgodnie z art. 52 ust. 1 zdanie pierwsze karty wszelkie ograniczenia w korzystaniu z uznanych w tym akcie praw i wolności, do których należą między innymi prawo do poszanowania życia prywatnego, zagwarantowane w art. 7 karty, oraz prawo do ochrony danych osobowych, zapisane w art. 8 karty, muszą być przewidziane ustawą, co oznacza w szczególności, że podstawa prawna umożliwiająca ingerencję w te prawa powinna sama określać zakres ograniczenia wykonywania danego prawa (zob. podobnie wyrok z dnia 6 października 2020 r., Privacy International, C‑623/17, EU:C:2020:790, pkt 65 i przytoczone tam orzecznictwo).

W tym względzie Trybunał orzekł ponadto, że uregulowanie zawierające środek umożliwiający taką ingerencję musi zawierać jasne i precyzyjne przepisy regulujące zakres i sposób stosowania takiego środka oraz ustanawiające minimalne wymogi służące temu, aby osoby, których dane osobowe zostały przekazane, miały wystarczające gwarancje pozwalające na skuteczną ochronę tych danych przed ryzykiem nadużyć (zob. podobnie wyrok z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej), C‑746/18, EU:C:2021:152, pkt 48 i przytoczone tam orzecznictwo].

W konsekwencji, jak podkreślił zresztą prawodawca Unii w motywie 41 rozporządzenia 2016/679, każdy akt prawny przyjęty na podstawie art. 23 tego rozporządzenia powinien być jasny i precyzyjny, a jego stosowanie przewidywalne dla osób mu podlegających. W szczególności osoby te powinny być w stanie określić okoliczności i warunki, w jakich zakres praw przyznanych im przez wspomniane rozporządzenie może podlegać ograniczeniu.

Z powyższych rozważań wynika, że organ podatkowy państwa członkowskiego nie może odstąpić od stosowania przepisów art. 5 rozporządzenia 2016/679 w braku jasnej i precyzyjnej podstawy prawnej w prawie Unii lub w prawie krajowym, której stosowanie jest przewidywalne dla jednostek oraz która określa okoliczności i warunki, w których zakres obowiązków i praw przewidzianych we wspomnianym art. 5 może zostać ograniczony.

W związku z tym na pytanie drugie należy odpowiedzieć, że przepisy rozporządzenia 2016/679 należy interpretować w ten sposób, że organ podatkowy państwa członkowskiego nie może odstąpić od stosowania przepisów art. 5 ust. 1 tego rozporządzenia, w sytuacji gdy takie prawo nie zostało mu przyznane na mocy aktu prawnego w rozumieniu art. 23 ust. 1 wskazanego rozporządzenia.

W przedmiocie pytań od trzeciego do dziewiątego

Poprzez pytania od trzeciego do dziewiątego, które należy przeanalizować łącznie, sąd odsyłający dąży w istocie do ustalenia, czy przepisy rozporządzenia 2016/679 należy interpretować w ten sposób, że stoją one na przeszkodzie nałożeniu przez organ podatkowy państwa członkowskiego na podmiot świadczący usługi w zakresie publikacji ogłoszeń w Internecie obowiązku przekazywania temu organowi przez nieokreślony czas informacji dotyczących wszystkich podatników, którzy opublikowali ogłoszenia w jednej z rubryk portalu internetowego prowadzonego przez ten podmiot, w sytuacji gdy organ podatkowy nie sprecyzował celu tego wniosku o udzielenie informacji.

Na wstępie należy zauważyć, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym mogą mieć miejsce dwa rodzaje przetwarzania danych osobowych. Jak wynika z pkt 37 i 38 niniejszego wyroku, mamy tu do czynienia z dokonywanym przez organ podatkowy zbieraniem danych osobowych od danego usługodawcy, a w związku z tym z przekazywaniem tych danych organowi podatkowemu przez tego usługodawcę.

Jak wynika z orzecznictwa przytoczonego w pkt 50 niniejszego wyroku, z zastrzeżeniem odstępstw dopuszczonych w art. 23 rozporządzenia 2016/679, każda z tych operacji przetwarzania powinna być zgodna z zasadami dotyczącymi przetwarzania danych osobowych określonymi w art. 5 tego rozporządzenia, jak również respektować prawa osoby, której dane dotyczą, określone w art. 12–22 wskazanego aktu prawnego.

W niniejszej sprawie wątpliwości sądu odsyłającego budzą w szczególności okoliczności, po pierwsze, że operacje przetwarzania wskazane w pkt 60 niniejszego wyroku dotyczą informacji w nieokreślonej liczbie, odnoszących się do nieokreślonego okresu, a po drugie, że cel tego przetwarzania nie został sprecyzowany w treści żądania przekazania informacji.

63	W tym względzie należy w pierwszej kolejności podkreślić, że art. 5 ust. 1 lit. b) rozporządzenia 2016/679 przewiduje w szczególności, że dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach.

64	Przede wszystkim wymóg, aby cele przetwarzania były konkretne, oznacza, jak wynika z motywu 39 tego rozporządzenia, że należy je określić najpóźniej w momencie zbierania danych osobowych.

65	Poza tym cele przetwarzania powinny być wyraźne, co oznacza, że należy je jasno wskazać.

66	Wreszcie cele te muszą być zgodne z prawem. Konieczne jest zatem zapewnienie przetwarzania w sposób zgodny z prawem w rozumieniu art. 6 ust. 1 rzeczonego rozporządzenia.

Przetwarzanie, o którym mowa w pkt 60 niniejszego wyroku, zostaje rozpoczęte poprzez wystosowanie przez łotewski organ podatkowy do podmiotu świadczącego usługi w zakresie publikowania ogłoszeń w Internecie żądania przekazania danych osobowych. Wydaje się w tym względzie, że zgodnie z art. 15 ust. 6 ustawy o podatkach i opłatach usługodawca ten jest zobowiązany do spełnienia takiego żądania.

68	W świetle rozważań przedstawionych w pkt 64 i 65 niniejszego wyroku konieczne jest, aby cele tego przetwarzania zostały jasno określone w treści żądania.

O ile cele określone w ten sposób w treści owego żądania są niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej organowi podatkowemu, okoliczność ta – jak wynika z art. 6 ust. 1 akapit pierwszy i lit. e) rozporządzenia 2016/679 w związku z art. 6 ust. 3 akapit drugi tego rozporządzenia – wystarczy, by przetwarzanie to spełniało również wymóg zgodności z prawem, o którym przypomniano w pkt 66 niniejszego wyroku.

W tym względzie należy przypomnieć, że pobór podatku i zwalczanie przestępstw podatkowych należy uznać za zadania realizowane w interesie publicznym w rozumieniu art. 6 ust. 1 akapit pierwszy lit. e) rozporządzenia 2016/679 (zob. analogicznie wyrok z dnia 27 września 2017 r., Puškár, C‑73/16, EU:C:2017:725, pkt 108).

Wynika z tego, że w przypadku gdy przekazanie danych osobowych nie jest bezpośrednio oparte na przepisie prawnym stanowiącym jego podstawę, lecz wynika z żądania właściwego organu władzy publicznej, konieczne jest, aby w treści tego żądania określono konkretne cele tego zbierania danych z punktu widzenia zadania realizowanego w interesie publicznym lub sprawowania władzy publicznej, tak aby adresat owego żądania mógł upewnić się, że przekazanie danych osobowych jest zgodne z prawem oraz aby sądy krajowe mogły przeprowadzić kontrolę zgodności z prawem danej operacji przetwarzania.

72	W drugiej kolejności zgodnie z art. 5 ust. 1 lit. c) rozporządzenia 2016/679 dane osobowe powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

W tym względzie należy przypomnieć, że zgodnie z utrwalonym orzecznictwem odstępstwa i ograniczenia zasady ochrony takich danych powinny być stosowane w granicach tego, co jest ściśle konieczne [zob. podobnie wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 110 i przytoczone tam orzecznictwo].

Wynika z tego, że administrator danych, również wówczas, gdy działa w ramach powierzonego mu zadania realizowanego w interesie publicznym, nie może zbierać danych osobowych w sposób ogólny i niezróżnicowany oraz że powinien on powstrzymać się od zbierania danych, które nie są absolutnie niezbędne z punktu widzenia celów przetwarzania.

W niniejszej sprawie należy zauważyć, że – jak wynika z pkt 17–19 niniejszego wyroku – łotewski organ podatkowy zwrócił się do zainteresowanego podmiotu gospodarczego o dostarczenie mu danych dotyczących ogłoszeń sprzedaży samochodów osobowych opublikowanych na jego stronie internetowej w okresie od dnia 14 lipca do dnia 31 sierpnia 2018 r., a w wypadku gdyby dostęp do tych informacji nie mógł zostać przywrócony, o dostarczanie mu najpóźniej trzeciego dnia każdego miesiąca danych dotyczących ogłoszeń sprzedaży samochodów osobowych opublikowanych na jego stronie internetowej w ciągu trzech ostatnich miesięcy, przy czym to drugie żądanie nie zostało w żaden sposób ograniczone w czasie.

W świetle rozważań przedstawionych w pkt 74 niniejszego wyroku do sądu odsyłającego należy zbadanie, czy cel zbierania tych danych może zostać osiągnięty bez potencjalnego dostępu łotewskiego organu podatkowego do danych dotyczących wszystkich ogłoszeń sprzedaży samochodów osobowych opublikowanych na stronie internetowej tego podmiotu gospodarczego, a w szczególności czy możliwe jest, że organ ten wyselekcjonuje określone ogłoszenia na podstawie konkretnych kryteriów.

77	W tym kontekście należy podkreślić, że zgodnie z zasadą odpowiedzialności ustanowioną w art. 5 ust. 2 rozporządzenia 2016/679 administrator danych powinien być w stanie wykazać, że przestrzega określonych w ust. 1 tego artykułu zasad dotyczących przetwarzania danych osobowych.

78	W związku z tym to łotewski organ podatkowy powinien wykazać, że zgodnie z art. 25 ust. 2 tego rozporządzenia dążył, w miarę możliwości, do minimalizacji ilości danych osobowych, które mają zostać zebrane.

Co się tyczy okoliczności, że wystosowany przez łotewski organ podatkowy wniosek o udzielenie informacji nie przewiduje – w przypadku nieprzywrócenia przez dany podmiot świadczący usługi w zakresie publikacji ogłoszeń dostępu do ogłoszeń opublikowanych w okresie objętym tym wnioskiem – żadnego ograniczenia czasowego, należy przypomnieć, że biorąc pod uwagę zasadę minimalizacji danych, administrator danych jest również zobowiązany ograniczyć do niezbędnego minimum, w świetle zamierzonego celu przetwarzania danych, okres zbierania przedmiotowych danych osobowych.

80	W związku z tym okres, w odniesieniu do którego dane są zbierane, nie może przekraczać czasu, jaki jest absolutnie niezbędny do osiągnięcia zamierzonego celu leżącego w interesie ogólnym.

81	Jak wynika z pkt 77 niniejszego wyroku, ciężar dowodu w tym zakresie spoczywa na łotewskim organie podatkowym.

Jednakże okoliczność, że rzeczone dane są zbierane bez określenia przez łotewski organ podatkowy, w treści samego wniosku o udzielenie informacji, ograniczenia czasowego dla takiego przetwarzania, nie pozwala sama w sobie na uznanie, że czas trwania przetwarzania przekracza okres absolutnie niezbędny do osiągnięcia zamierzonego celu.

W tym kontekście należy jednak przypomnieć, że aby spełnić wymóg proporcjonalności wyrażony w art. 5 ust. 1 lit. c) rozporządzenia 2016/679 [zob. podobnie wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 98 i przytoczone tam orzecznictwo], uregulowanie, na podstawie którego ma miejsce przetwarzanie, musi zawierać jasne i precyzyjne przepisy regulujące zakres i sposób stosowania danego środka oraz ustanawiające minimalne wymogi służące temu, aby osoby, o których dane osobowe chodzi, miały wystarczające gwarancje pozwalające na skuteczną ochronę tych danych przed ryzykiem nadużyć. Uregulowanie to musi być prawnie wiążące w prawie wewnętrznym i w szczególności wskazywać, w jakich okolicznościach i pod jakimi warunkami można przyjąć środek przewidujący przetwarzanie takich danych, gwarantując w ten sposób, że ingerencja zostanie ograniczona do tego, co absolutnie niezbędne (wyrok z dnia 6 października 2020 r., Privacy International, C‑623/17, EU:C:2020:790, pkt 68 i przytoczone tam orzecznictwo).

Wynika z tego, że uregulowania krajowe odnoszące się do wniosku o udzielenie informacji, takiego jak rozpatrywany w postępowaniu głównym, muszą opierać się na obiektywnych kryteriach, tak aby możliwe było określenie okoliczności i warunków, w jakich podmiot świadczący usługi online jest zobowiązany do przekazywania danych osobowych dotyczących osób korzystających z tych usług (zob. podobnie wyrok z dnia 6 października 2020 r., Privacy International, C‑623/17, EU:C:2020:790, pkt 78 i przytoczone tam orzecznictwo).

W świetle wszystkich powyższych rozważań na pytania od trzeciego do dziewiątego należy odpowiedzieć, że przepisy rozporządzenia 2016/679 należy interpretować w ten sposób, iż nie stoją one na przeszkodzie nałożeniu przez organ podatkowy państwa członkowskiego na podmiot świadczący usługi w zakresie publikacji ogłoszeń w Internecie obowiązku przekazywania temu organowi informacji dotyczących podatników, którzy opublikowali ogłoszenia w jednej z rubryk portalu internetowego prowadzonego przez ten podmiot, pod warunkiem że dane te są niezbędne w świetle konkretnych celów, do których są one zbierane, i że okres, w odniesieniu do którego owe dane są zbierane, nie przekracza czasu, jaki jest absolutnie niezbędny do osiągnięcia zamierzonego celu interesu ogólnego.

W przedmiocie kosztów

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (piąta izba) orzeka, co następuje:

Przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że wymogom tego rozporządzenia, a w szczególności tym, o których mowa w jego art. 5 ust. 1, podlega zbieranie od podmiotu gospodarczego przez organ podatkowy państwa członkowskiego informacji zawierających znaczną ilość danych osobowych.

Przepisy rozporządzenia 2016/679 należy interpretować w ten sposób, że organ podatkowy państwa członkowskiego nie może odstąpić od stosowania przepisów art. 5 ust. 1 tego rozporządzenia, w sytuacji gdy takie prawo nie zostało mu przyznane na mocy aktu prawnego w rozumieniu art. 23 ust. 1 wskazanego rozporządzenia.

Przepisy rozporządzenia 2016/679 należy interpretować w ten sposób, iż nie stoją one na przeszkodzie nałożeniu przez organ podatkowy państwa członkowskiego na podmiot świadczący usługi w zakresie publikacji ogłoszeń w Internecie obowiązku przekazywania temu organowi informacji dotyczących podatników, którzy opublikowali ogłoszenia w jednej z rubryk portalu internetowego prowadzonego przez ten podmiot, pod warunkiem że dane te są niezbędne w świetle konkretnych celów, do których są one zbierane, i że okres, w odniesieniu do którego owe dane są zbierane, nie przekracza czasu, jaki jest absolutnie niezbędny do osiągnięcia zamierzonego celu interesu ogólnego.

Podpisy

( *1 ) Język postępowania: łotewski.