1.

Nariadenie (EÚ) 2016/679 (ďalej len „GDPR“) ( 2 ) nie je úzko uplatniteľným predpisom. Široko vymedzená pôsobnosť, súdne rozhodnutia, ktoré v zásade vylúčili akékoľvek výnimky, ( 3 ) ako aj abstraktný a v dôsledku toho pomerne extenzívny prístup k výkladu ( 4 ) prispeli k prakticky neobmedzenému dosahu GDPR. Pri takomto prístupe je dnes skutočne ťažké nájsť situáciu, v ktorej by niekto v určitej fáze nespracúval osobné údaje.

2.

Tento prístup, založený na povýšení ochrany údajov podľa článku 8 Charty základných práv Európskej únie na nadradené základné (nad)právo, však zo strany ochrany údajov produkuje zjavne odstredivé účinky na iné oblasti práva a z nich vyplývajúce spory. Viaceré prípady sa zrazu začínajú prezentovať ako otázka ochrany údajov a predkladajú sa (nielen) tomuto súdu ako otázka výkladu GDPR. Špecifické otázky, ktoré sa v týchto sporoch objavujú, však niekedy nie sú otázkami, o ktorých by sa predpokladalo, že sa majú riadiť právnou úpravou, akou je GDPR, a to napriek jeho pomerne širokej pôsobnosti.

3.

Málokto by si asi vopred pomyslel, že na GDPR alebo jeho predchodcu, smernicu 95/46/ES, ( 5 ) možno nazerať tak, že upravuje prístup účtovných praktikantov k ich odpovediam na testové otázky, prípadne v spojení s ich právom na opravu týchto osobných údajov po teste, ( 6 ) alebo tak, že bráni identifikácii osoby ako účastníka dopravnej nehody políciou, čo v skutočnosti bráni poškodenému uplatniť nárok na náhradu škody na svojom vozidle na civilnom súde, ( 7 ) alebo že obmedzuje sprístupnenie informácií o daniach zaplatených spoločnosťou v konkurze správcovi konkurznej podstaty tejto spoločnosti s cieľom obnoviť rovnováhu medzi súkromnými a verejnými veriteľmi v súvislosti s odporovacími žalobami v konkurznom konaní; ( 8 ) aby som uviedol niekoľko zaujímavých príkladov.

4.

Tento prípad je ďalším príkladom takýchto odstredivých účinkov GDPR. Spoločnosť SIA „SS“ je poskytovateľom online reklamných služieb. V rámci tejto činnosti získava osobné údaje osôb, ktoré umiestňujú inzeráty na jej webovej stránke. Príslušná vnútroštátna daňová správa požiadala spoločnosť o zaslanie určitých údajov týkajúcich sa inzerátov ojazdených automobilov uverejnených na webovej stránke s cieľom zabezpečiť riadny výber daní z predaja automobilov. Daňová správa podrobne špecifikovala formát, v ktorom sa majú údaje poskytovať. Zároveň uviedla, že údaje sa majú poskytovať trvalo a zjavne bez finančnej náhrady.

5.

V tejto súvislosti sa vnútroštátny súd pýta na prípustný rozsah takýchto žiadostí o prenos údajov. Rovnako ako v predchádzajúcich prípadoch sa zdá, že sa tu uplatňuje nariadenie GDPR. Osobné údaje sú alebo budú určitým spôsobom spracúvané niekým aspoň v neskoršej fáze prenosu. Práva dotknutých osôb v súvislosti s takýmto spracúvaním by mali byť chránené rovnako ako osobné údaje. To však neznamená, že GDPR osobitne upravuje vzťah medzi budúcim prevádzkovateľom (orgánom verejnej moci) a súčasným prevádzkovateľom (súkromnou spoločnosťou). GDPR sleduje údaje a chráni ich bez ohľadu na to, kde sa nachádzajú, a teda upravuje povinnosti každého následného prevádzkovateľa vo vzťahu k údajom a dotknutým osobám. Naproti tomu GDPR až na niekoľko výslovných výnimiek neupravuje konkrétne podrobnosti vzťahu medzi dvoma následnými prevádzkovateľmi takýchto údajov. GDPR najmä podrobne nestanovuje modality vzťahu medzi prevádzkovateľmi, či už zmluvnými alebo verejnoprávnymi, na základe ktorých môže jeden z nich požadovať a získavať údaje od druhého.

6.

Odôvodnenie 31 GDPR znie takto:

„Orgány verejnej moci, ktorým sa poskytujú osobné údaje v súlade so zákonnou povinnosťou na výkon ich oficiálnej úlohy, napríklad daňové a colné orgány, finančné spravodajské jednotky, nezávislé správne orgány alebo orgány finančného trhu zodpovedné za reguláciu trhov s cennými papiermi a dohľad nad nimi, by sa nemali považovať za príjemcov, ak v súlade s právom Únie alebo právom členského štátu prijímajú osobné údaje, ktoré sú nevyhnutné na vykonávanie určitého zisťovania vo všeobecnom záujme. Žiadosti o poskytnutie by mali orgány verejnej moci zasielať vždy písomne, spolu so zdôvodnením, príležitostne a nemali by sa týkať celého informačného systému ani viesť ku prepojeniu informačných systémov. Uvedené orgány verejnej moci by mali osobné údaje spracúvať v súlade s platnými pravidlami ochrany údajov podľa účelov spracúvania.“

7.

Odôvodnenie 45 GDPR znie:

„Ak sa spracúvanie vykonáva v súlade so zákonnými povinnosťami, ktoré má prevádzkovateľ, alebo ak je spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo z úradnej moci, základ pre spracúvanie by mal existovať v práve Únie alebo v práve členského štátu. Týmto nariadením sa nevyžaduje, aby pre každé jednotlivé spracúvanie existoval osobitný právny predpis. Za dostatočný možno považovať právny predpis, ktorý je základom pre viaceré spracovateľské operácie založené na zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa, alebo ak je spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci. Na základe práva Únie alebo práva členského štátu by sa tiež malo rozhodovať o účele spracúvania. Okrem toho by toto právo mohlo spresniť všeobecné podmienky tohto nariadenia, ktoré sa týkajú zákonnosti spracúvania osobných údajov, stanoviť špecifikácie na určenie prevádzkovateľa, typu osobných údajov, ktoré podliehajú spracúvaniu, príslušných dotknutých osôb, subjektov, ktorým môžu byť osobné údaje poskytnuté, obmedzenia účelu, doby uchovávania a iných opatrení s cieľom zabezpečiť zákonné a spravodlivé spracúvanie. V práve Únie alebo v práve členského štátu by malo byť takisto stanovené, či by prevádzkovateľom vykonávajúcim úlohu vo verejnom záujme alebo pri výkone verejnej moci mal byť orgán verejnej moci alebo iná fyzická alebo právnická osoba, ktorá sa spravuje verejným alebo súkromným právom, ako napríklad profesijné združenie, ak je to z dôvodu verejného záujmu opodstatnené, a to aj na účely v oblasti zdravia, ako je verejné zdravie a sociálna ochrana a správa služieb zdravotnej starostlivosti.“

8.

Článok 2 stanovuje vecnú pôsobnosť GDPR:

„1.   Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

2.   Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov:

…

…“

9.

Článok 4 obsahuje definície na účely GDPR:

„1.   ‚osobné údaje‘ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len ‚dotknutá osoba‘);…

2.   ‚spracúvanie‘ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

…

7.   ‚prevádzkovateľ‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

8.   ‚sprostredkovateľ‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

9.   ‚príjemca‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

…“

10.

Článok 5 GDPR stanovuje zásady spracúvania osobných údajov:

„1.   Osobné údaje musia byť:

2.   Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“

11.

Podľa článku 6 GDPR:

„1.   Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

…

…

…

2.   Členské štáty môžu zachovať alebo zaviesť špecifickejšie ustanovenia s cieľom prispôsobiť uplatňovanie pravidiel tohto nariadenia s ohľadom na spracúvanie v súlade s odsekom 1 písm. c) a e), a to presnejším stanovením osobitných požiadaviek na spracúvanie a stanovením ďalších opatrení, ktorými sa zaistí zákonné a spravodlivé spracúvanie, vrátane požiadaviek na iné osobitné situácie spracúvania stanovené v kapitole IX.

3.   Základ pre spracúvanie uvedené v odseku 1 písm. c) a e) musí byť stanovený:

Účel spracúvania sa stanoví v tomto právnom základe, alebo pokiaľ ide o spracúvanie uvedené v odseku 1 písm. e), spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Uvedený právny základ môže obsahovať osobitné ustanovenia na prispôsobenie uplatňovania pravidiel tohto nariadenia, vrátane: všeobecných podmienok vzťahujúcich sa na zákonnosť spracúvania prevádzkovateľom; typov spracúvaných údajov; dotknutých osôb; subjektov, ktorým sa môžu osobné údaje poskytnúť, a účely, na ktoré ich možno poskytnúť; obmedzenia účelu; doby uchovávania; a spracovateľských operácií a postupov vrátane opatrení na zabezpečenie zákonného a spravodlivého spracúvania, ako napríklad tie na iné osobitné situácie spracúvania, ako sú stanovené v kapitole IX. Právo Únie alebo právo členského štátu musí spĺňať cieľ verejného záujmu a byť primerané sledovanému oprávnenému cieľu.“

12.

Kapitola III s názvom „Práva dotknutej osoby“ stanovuje v článkoch 12 až 22 práva a príslušné povinnosti prevádzkovateľov. Túto kapitolu uzatvára článok 23 GDPR. Je nazvaný „Obmedzenia“ a stanovuje, že:

„1.   V práve Únie alebo práve členského štátu, ktorému prevádzkovateľ alebo sprostredkovateľ podliehajú, sa prostredníctvom legislatívneho opatrenia môže obmedziť rozsah povinností a práv ustanovených v článkoch 12 až 22 a v článku 34, ako aj v článku 5, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam ustanoveným v článkoch 12 až 22, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť:

…

…

2.   Konkrétne musí každé legislatívne opatrenie uvedené v odseku 1 obsahovať osobitné ustanovenia, ktoré v relevantných prípadov upravujú aspoň:

13.

Podľa § 15 ods. 6 Likums „Par nodokļiem un nodevām“ (ďalej len „zákon o daniach a poplatkoch“) v znení platnom v čase relevantnom pre skutkový stav v tejto veci sú poskytovatelia internetových reklamných služieb povinní na požiadanie poskytnúť štátnej daňovej správe informácie, ktorými disponujú, o daňových subjektoch, ktoré uverejnili reklamu s využitím týchto služieb, a informácie o nimi uverejnených reklamách.

14.

Dňa 28. augusta 2018 riaditeľ Nodokļu kontroles pārvalde (úrad daňovej kontroly), ktorý je súčasťou Valsts ieņēmumu dienests (daňová správa, Lotyšsko) (ďalej len „žalovaná“) zaslal SIA „SS“ (ďalej len „žalobkyňa“) žiadosť o informácie podľa § 15 ods. 6 zákona o daniach a poplatkoch.

15.

V tejto žiadosti žalovaná vyzvala žalobkyňu, aby jej obnovila prístup k informáciám o telefónnych číslach inzerentov a identifikačných číslach vozidiel inzerovaných na internetovej stránke žalobkyne (www.s.com). Žalovaná tiež požiadala žalobkyňu, aby do 3. septembra 2018 poskytla informácie o inzerátoch uverejnených v časti uvedeného portálu, nazvanej „Osobné autá“, počas obdobia od 14. júla do 31. augusta 2018. Žalobkyňa bola požiadaná, aby poskytla tieto informácie elektronicky vo formáte, v ktorom možno filtrovať a vyberať údaje. Tiež bola požiadaná, aby súbor zahŕňal nasledujúce informácie: prepojenie na inzerát, znenie inzerátu, značka vozidla, model, identifikačné číslo vozidla, cena a telefónne čísla predávajúceho.

16.

V prípade, ak by nebolo možné obnoviť tento prístup, žalobkyňa bola požiadaná, aby uviedla dôvod, a bola požiadaná, aby poskytla spomenuté informácie v súvislosti s inzerátmi uverejnenými v predchádzajúcom mesiaci vždy do tretieho dňa v mesiaci.

17.

Žalobkyňa predložila vtedajšiemu generálnemu riaditeľovi žalovanej sťažnosť, ktorou napadla uvedenú žiadosť o informácie. Podľa žalobkyne rozsah žiadosti o informácie, ktoré predstavujú osobné údaje v zmysle článku 4 ods. 1 GDPR, nemá oporu v zákone. V žiadosti o informácie pritom nie je špecifikovaná konkrétna skupina dotknutých osôb, účel alebo rozsah zamýšľaného spracúvania ani doba, počas ktorej bude trvať povinnosť poskytovať informácie. Žalovaná ako prevádzkovateľ teda nekonala v súlade so zásadou proporcionality alebo zásadou minimalizácie spracúvania osobných údajov, teda zásadami stanovenými v GDPR, ktoré musí žalovaná dodržiavať.

18.

Žalovaná rozhodnutím z 30. októbra 2018 (ďalej len „napadnuté rozhodnutie“) zamietla uvedenú sťažnosť a potvrdila žiadosť o informácie.

19.

V odôvodnení rozhodnutia žalovaná v podstate uvádza, že daňová správa pri spracúvaní týchto údajov plní úlohy a vykonáva právomoci, ktoré jej priznáva zákon. Daňová správa konkrétne zodpovedá za výber a kontrolu daní, poplatkov a iných odvodov. Zo zákona je povinná v rámci týchto úloh dohliadať na ekonomické a finančné činnosti fyzických a právnických osôb s cieľom zaručiť, aby sa uvedené platby uhrádzali do štátnej pokladnice a do rozpočtu Únie. Na plnenie týchto úloh zákon priznáva úradníkom žalovanej právomoc získavať dokumenty a informácie potrebné na evidovanie a zaznamenávanie zdaniteľných transakcií alebo na výkon kontroly daní a poplatkov. Podľa § 15 ods. 6 zákona o daniach a poplatkoch sú poskytovatelia služieb týkajúcich sa uverejňovania inzerátov na internete konkrétne povinní poskytovať na žiadosť štátnej daňovej správy informácie, ktoré majú k dispozícii, o zdaniteľných osobách, ktoré uverejnili inzeráty pomocou uvedených služieb, a o inzerátoch, ktoré uverejnili. Dôverné informácie, ktoré má k dispozícii žalovaná, sú navyše chránené zákonom, najmä zákazom šíriť tieto informácie, ktorý platí pre zamestnancov daňovej správy. Z toho by vyplývalo, že žiadosť o informácie je zákonná.

20.

Žalobkyňa podala na Administratīvā rajona tiesa (Okresný správny súd, Lotyšsko) žalobu o neplatnosť proti napadnutému rozhodnutiu, v ktorej tvrdila, že v odôvodnení rozhodnutia nie je uvedený konkrétny účel spracúvania údajov ani kritériá výberu požadovaných informácií vo vzťahu k určitej skupine identifikovateľných osôb.

21.

Administratīvā rajona tiesa (Okresný správny súd) rozsudkom z 21. mája 2019 zamietol uvedenú žalobu. V podstate považoval za dôvodnú argumentáciu uvedenú žalovanou, podľa ktorej nemožno uložiť nijaké obmedzenie týkajúce sa množstva informácií v súvislosti s ktoroukoľvek osobou, ku ktorým môže mať prístup daňová správa, pokiaľ sa nekonštatuje, že predmetné informácie nezodpovedajú cieľom správy daní. Podľa uvedeného rozsudku boli vyžiadané informácie potrebné na identifikáciu neohlásených ekonomických činností. Ustanovenia GDPR sa uplatňujú len na žalobkyňu ako poskytovateľa služieb, ale nie na žalovanú.

22.

Žalobkyňa sa proti tomuto rozhodnutiu odvolala na Administratīvā apgabaltiesa (Krajský správny súd, Lotyšsko). Podľa žalobkyne sa na daný prípad vzťahuje nariadenie GDPR. Pokiaľ ide o osobné údaje získané na základe žiadosti o informácie, žalovaná sa musí považovať za prevádzkovateľa v zmysle tohto nariadenia, a preto musí dodržiavať požiadavky v ňom stanovené. Žalovaná však žiadosťou o informácie porušila zásadu proporcionality tým, že každý mesiac požadovala značné množstvo údajov týkajúcich sa neurčitého počtu inzerátov bez toho, aby uviedla konkrétne daňové subjekty, u ktorých bola začatá daňová kontrola. Žalobkyňa tvrdí, že v žiadosti o informácie nie je uvedené trvanie povinnosti, ktorá jej bola uložená na poskytnutie informácií uvedených v žiadosti žalovanej. Preto sa domnieva, že žalovaná porušila zásady spracúvania osobných údajov uvedené v článku 5 GDPR (zákonnosť, spravodlivosť a transparentnosť). Tvrdí, že v žiadosti o informácie ani v odôvodnení rozhodnutia nie je uvedený konkrétny rámec (účel), v rámci ktorého má žalovaná v úmysle spracúvať informácie, ani potrebné množstvo informácií (minimalizácia údajov). Podľa názoru žalobkyne musí správny orgán v žiadosti o informácie uviesť jasne vymedzené kritériá, podľa ktorých sa vyberajú informácie požadované týmto orgánom vo vzťahu k určitej skupine identifikovateľných osôb.

23.

Podľa vnútroštátneho súdu nemožno s istotou konštatovať, že túto žiadosť o informácie možno považovať za „náležite odôvodnenú“ a „príležitostného charakteru“ a že sa netýka všetkých informácií uvedených v časti „Osobné autá“ na internetovej stránke žalobkyne, keďže správca dane v podstate zamýšľa vykonať priebežnú a vyčerpávajúcu kontrolu. Vnútroštátny súd má pochybnosti o tom, či zamýšľané spracúvanie osobných údajov žalovanou možno považovať za zlučiteľné s platnými pravidlami ochrany údajov podľa účelu spracúvania v zmysle odôvodnenia 31 GDPR. Je preto potrebné určiť kritériá na posúdenie toho, či žiadosť žalovanej o informácie rešpektuje základné práva a slobody a či ju možno považovať za nevyhnutnú a primeranú v demokratickej spoločnosti na zabezpečenie dôležitých cieľov verejného záujmu Únie a Lotyšska v oblasti rozpočtu a daní.

24.

Podľa vnútroštátneho súdu sa v predmetnej žiadosti o informácie neuvádza žiadne „určité zisťovanie“, ktoré by žalovaná viedla v zmysle GDPR. V tejto žiadosti o informácie sa nepožadujú informácie o konkrétnych osobách, ale o všetkých dotknutých osobách, ktoré uverejnili inzerát v sekcii „Osobné autá“ na príslušnej webovej lokalite. Správca dane tiež požaduje, aby tieto informácie boli poskytnuté najneskôr do tretieho dňa každého mesiaca (a žalobkyňa teda musí žalovanej poskytnúť všetky informácie o inzerátoch uverejnených v predchádzajúcom mesiaci). Vzhľadom na uvedené má vnútroštátny súd pochybnosti o zlučiteľnosti takéhoto postupu vnútroštátneho orgánu s požiadavkami stanovenými v GDPR.

25.

Za týchto skutkových a právnych okolností rozhodol Administratīvā apgabaltiesa (Krajský správny súd) o prerušení konania a o predložení nasledujúcich prejudiciálnych otázok Súdnemu dvoru:

26.

Belgická, grécka, španielska a lotyšská vláda, ako aj Európska komisia predložili písomné pripomienky. Žalobkyňa, belgická, španielska a lotyšská vláda spolu s Komisiou odpovedali na písomné otázky Súdneho dvora v súlade s článkom 61 ods. 1 Rokovacieho poriadku Súdneho dvora.

27.

Tieto návrhy majú nasledujúcu štruktúru. Na úvod sa budem venovať otázke, či sa GDPR vzťahuje na žiadosť orgánu verejnej moci o prenos určitého množstva osobných údajov adresovanú prevádzkovateľovi. Pokiaľ ide o otázky vnútroštátneho súdu, je potrebné začať objasnením dvoch vecí: kto je kto v konaní pred vnútroštátnym súdom a aké osobitné pravidlá stanovuje GDPR pre takéto prípady (časť A). Ďalej sa budem zaoberať (základným) právnym rámcom, ktorý vyplýva z GDPR, pokiaľ ide o žiadosti o prenos údajov adresované orgánmi verejnej moci súkromným podnikom (časť B). Na záver uvediem niekoľko poznámok k tomu, čo je podľa môjho názoru v tomto prípade skutočne spornou otázkou, hoci ju vnútroštátny súd výslovne nepoložil (časť C).

28.

Vnútroštátny súd položil deväť otázok, z ktorých sa každá nejakým spôsobom týka zákonnosti konkrétnych žiadostí daňovej správy o poskytnutie určitých osobných údajov súkromných spoločností vydaných na účely výberu daní a odhaľovania daňových únikov. Príslušné osobné údaje získal súkromný podnik od dotknutých osôb v rámci svojej bežnej obchodnej činnosti.

29.

Z deviatich položených otázok však nie je jasné, kto presne má aké povinnosti a podľa ktorého ustanovenia GDPR. Táto nejednoznačnosť skôr naznačuje značnú mieru neistoty pri stanovení rámca predmetného prípadu, a to prinajmenšom z dvoch dôvodov.

30.

Po prvé, kto je kto v tomto prípade z hľadiska GDPR? Prípad sa týka prenosu určitých údajov z väčšieho súboru údajov, ktoré zhromažďuje a kontroluje súkromný podnik, zo súkromného podniku na verejný orgán. Ide o osobitnú operáciu v zmysle článku 4 ods. 2 GDPR, ktorá je základom otázok položených Súdnemu dvoru.

31.

Zdá sa však, že pokiaľ ide o tento prenos údajov, vnútroštátny súd už považuje daňovú správu (žalovanú) v súvislosti s touto konkrétnou operáciou za prevádzkovateľa. ( 9 ) Tento predpoklad, ktorý je základom celého návrhu na začatie prejudiciálneho konania, je výslovne vyjadrený v otázkach č. 6 a 9. Preto je potrebné na úvod objasniť: kto presne má v tomto prípade dodržiavať GDPR? Kto je v tejto konkrétnej spracovateľskej operácii prevádzkovateľom? (časť 2)

32.

Po druhé táto neistota vyvoláva ďalšiu dôležitú otázku: ktoré konkrétne ustanovenia GDPR sa vzťahujú na žiadosti o prenos údajov a ktoré z týchto ustanovení sa konkrétne týkajú druhu a množstva údajov, ktoré môže orgán verejnej moci požadovať od súkromného podniku? V tejto súvislosti je príznačné, že v troch otázkach vnútroštátneho súdu sa spomína len článok 5 ods. 1 GDPR, ktorý je prierezovým ustanovením stanovujúcim zásady spracúvania osobných údajov akýmkoľvek prevádzkovateľom. Naproti tomu ostatné otázky odkazujú len na „požiadavky stanovené v GDPR“ bez uvedenia, ktoré konkrétne ustanovenia by mali tieto požiadavky obsahovať.

33.

Preto je potrebné najprv objasniť, ktoré ustanovenia GDPR sa uplatňujú, najmä pokiaľ ide o vzťah medzi žalujúcou spoločnosťou a žalovanou daňovou správou. Ako GDPR upravuje takéto žiadosti o prenos údajov a vzájomné práva a povinnosti medzi súkromným podnikom a orgánom verejnej moci? (časť 3)

34.

Skôr než sa budem zaoberať týmito dvoma otázkami, pripomeniem, prečo podľa môjho názoru nemožno na uplatňovanie a dodržiavanie GDPR nazerať abstraktne a definície vykladať bez odkazu na konkrétnu spracovateľskú operáciu, ktorá má slúžiť ako východisko. Až po tomto vysvetlení možno správne analyzovať subjekty a ich príslušné povinnosti (časť 1).

35.

V prejednávanej veci sa všetky zúčastnené strany vrátane lotyšskej vlády zhodli na tom, že ak je východiskovým bodom analýzy legislatívne vymedzenie pojmov „osobné údaje“ a „spracúvanie“ uvedené v článku 4 GDPR, potom je tento nástroj určite uplatniteľný na konanie vo veci samej.

36.

Po prvé údaje, ktorých sa žiadosť o informácie týka, sú osobnými údajmi v zmysle článku 4 ods. 1 GDPR. Požadované informácie, ako napríklad telefónne číslo dotknutej osoby alebo číslo karosérie, predstavujú „informácie týkajúce sa identifikovanej alebo identifikovateľnej osoby“. Tieto informácie totiž umožňujú identifikovať predajcu automobilov, a teda potenciálne daňové subjekty.

37.

Po druhé z ustálenej judikatúry vyplýva, že oznamovanie údajov ( 10 ) alebo sprístupňovanie osobných údajov prenosom, ako je to v prípade uchovávania alebo iných spôsobov sprístupňovania, predstavuje spracúvanie. ( 11 )„Poskytovanie prenosom“ je napokon zahrnuté do zoznamu spracovateľských operácií podľa článku 4 ods. 2 GDPR.

38.

Po tretie toto spracúvanie osobných údajov sa jednoznačne vykonáva automatizovanými prostriedkami v zmysle článku 2 ods. 1 GDPR.

39.

Žiadna z výnimiek, ktoré by sa v každom prípade museli vykladať reštriktívne, ( 12 ) sa v tomto prípade neuplatňuje. Vzhľadom na rozsudok vo veci Österreischischer Rundfunk a i. ( 13 ) a najmä vzhľadom na nedávny rozsudok vo veci Penalty Points ( 14 ) nemožno tvrdiť, že k spracúvaniu dotknutých osobných údajov došlo „v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie“ v zmysle článku 2 ods. 2 písm. a) GDPR.

40.

Zdá sa, že sa neuplatňuje ani výnimka podľa článku 2 ods. 2 písm. d) GDPR. „Príslušnými orgánmi“ v zmysle tohto ustanovenia sú zrejme orgány, ako je polícia alebo prokuratúra. ( 15 ) Nepatria medzi ne daňové správy konajúce na účely výberu daní, a už vôbec nie poskytovatelia internetových reklamných služieb. Okrem toho, hoci by spracúvanie údajov príslušnými orgánmi daňovej správy mohlo v niektorých prípadoch viesť k odhaleniu trestného činu daňového podvodu, v tejto fáze ide len o hypotetickú možnosť. ( 16 )

41.

Ak k tomuto prípadu pristupujeme týmto spôsobom, dospejeme k záveru, že sa naň skutočne vzťahuje nariadenie GDPR: ide o osobné údaje, ktoré sa spracúvajú automatizovanými prostriedkami. Ako sa však uvádza v úvode týchto návrhov, takýto prístup založený na extenzívnom výklade príslušných pojmov podľa článku 4 GDPR, ako sú „spracúvanie“, ( 17 )„osobné údaje“ ( 18 ) alebo „prevádzkovateľ“, ( 19 ) ktorý presahuje rámec akejkoľvek konkrétnej spracovateľskej operácie, by znamenal, že každé oznámenie akýchkoľvek informácií by sa riadilo GDPR.

42.

V záujme správneho výkladu povinností všetkých zúčastnených subjektov by východiskovým bodom analýzy podľa GDPR mala byť jasná identifikácia konkrétnej operácie spracúvania osobných údajov. Až potom možno pristúpiť k riadnemu posúdeniu povinností, ktoré pre túto konkrétnu operáciu vyplývajú z GDPR pre konkrétne subjekty zapojené do spracúvania. ( 20 ) Predmetom regulácie je konkrétna spracovateľská operácia, práca na údajoch a s údajmi. Regulačná logika GDPR je orientovaná na výkon a proces, a preto je nevyhnutne dynamická.

43.

Aká je konkrétna spracovateľská operácia v tomto prípade? Vybavenie žiadostí o informácie, ako sú žiadosti v konaní vo veci samej, si nepochybne vyžaduje spracúvanie osobných údajov, na ktoré sa GDPR v zásade vzťahuje. V tomto prípade existujú dva rôzne subjekty, ktoré v určitej fáze spracúvajú údaje. Vnútroštátny súd sa vo svojich otázkach zameriava na postup žalovanej, ktorou je vnútroštátna daňová správa. Zo skutkových okolností prípadu však vyplýva, že údaje musí najprv spracúvať žalobkyňa, súkromná spoločnosť.

44.

V rozsudku vo veci Fashion ID ( 21 ) sa Súdny dvor zaoberal konkrétnymi spornými operáciami spracúvania údajov na účely určenia príslušných prevádzkovateľov. Súdny dvor konštatoval, že pojem „prevádzkovateľ“ nevyhnutne neodkazuje na jediný subjekt a môže sa týkať viacerých subjektov, ktoré sa na tomto spracúvaní zúčastňujú, a na každý z týchto subjektov sa teda vzťahujú ustanovenia uplatniteľné v oblasti ochrany osobných údajov. ( 22 ) Fyzickú alebo právnickú osobu však nemožno považovať za prevádzkovateľa v zmysle uvedeného ustanovenia za predchádzajúce alebo neskoršie operácie v postupe spracúvania, pri ktorých neurčuje účely ani prostriedky. ( 23 )

45.

V prejednávanom prípade je pravdepodobné, že žalovaná bude prevádzkovateľom, keď dostane požadované údaje od žalobkyne a začne ich spracúvať v zmysle článku 4 ods. 2 GDPR. ( 24 ) V tejto fáze žalovaná nielenže začne spracúvať údaje, ale pravdepodobne aj určí prostriedky a účely vlastného spracúvania na účely článku 4 ods. 7 GDPR. Pri vykonávaní akýchkoľvek budúcich spracovateľských operácií bude potom sama žalovaná musieť dodržiavať, pokiaľ členský štát neprijme v tejto súvislosti žiadne obmedzenia podľa článku 23 GDPR, zásady kvality údajov stanovené v článku 5 GDPR a oprieť svoje spracovateľské operácie o niektorú z okolností podľa článku 6 ods. 1 GDPR. ( 25 )

46.

Z návrhu na začatie prejudiciálneho konania však vyplýva, že konanie v tejto veci ešte nedospelo do tohto štádia. Daňová správa nemá požadované informácie. Preto nemohla začať žiadnu operáciu spracúvania týchto údajov. Okrem toho Súdny dvor nedostal žiadne informácie o tom, ako chce žalovaná s údajmi naložiť, ani o type spracúvania, ktoré by vykonala.

47.

Zatiaľ sa stalo len to, že daňová správa požiadala súkromnú spoločnosť o poskytnutie určitého súboru údajov. To samo osebe nie je spracúvanie osobných údajov, aspoň nie tých, ktoré ešte neboli získané. V tomto scenári zostáva prevádzkovateľom údajov žalobkyňa, súkromná spoločnosť, keďže údaje získala na základe svojich vlastných činností, a teda na ňou určené prostriedky a účely. Počas spracúvania údajov, ktoré má žalobkyňa k dispozícii, na účely oznámenia týchto údajov žalovanej za stanovených podmienok, zostáva žalobkyňa na účely tejto operácie prevádzkovateľom. Toto ďalšie spracúvanie vykonáva samotná žalobkyňa. ( 26 )

48.

V tejto súvislosti a v súlade s článkom 6 ods. 1 písm. c) GDPR tým žalobkyňa zabezpečuje splnenie zákonnej povinnosti, ktorá sa na ňu vzťahuje ako na prevádzkovateľa, konkrétne podľa § 15 ods. 6 zákona o daniach a poplatkoch. Žalobkyňa je ako prevádzkovateľ tiež povinná osobné údaje spracúvať a poskytovať žalovanej v súlade s GDPR. Vnútroštátny súd sa však nezaoberá rozsahom spracúvania údajov požadovaných od žalobkyne v napadnutej žiadosti. Vnútroštátny súd v skutočnosti nevzniesol žiadne otázky týkajúce sa povinností, ktoré by žalobkyni mohli vyplývať z GDPR v súvislosti s takýmto spracúvaním.

49.

Zo zamerania sa na žalovanú ako predpokladaného nositeľa povinností podľa GDPR vyplýva, že vnútroštátny súd sa zaujíma o (právny) základ spracúvania v zmysle článku 6 ods. 3 GDPR, t. j. § 15 ods. 6 zákona o daniach a poplatkoch, ktorý bol ďalej doplnený žiadosťami o informácie zo strany žalovanej.

50.

Stručne povedané kľúčovou otázkou, ktorá je základom všetkých deviatich otázok vnútroštátneho súdu, sa zdá byť rozsah a podmienky prenosu osobných údajov medzi dvoma po sebe nasledujúcimi prevádzkovateľmi. ( 27 ) Ktoré ustanovenia GDPR, ak vôbec nejaké, upravujú vzťah medzi po sebe nasledujúcimi prevádzkovateľmi? Ukladá GDPR nejaké obmedzenia (vecné alebo časové) týkajúce sa rozsahu a typu prenosu osobných údajov medzi dvoma prevádzkovateľmi, v tomto prípade medzi súkromným podnikom a orgánom verejnej moci? Všetky tieto otázky sa týkajú právneho základu na získanie osobných údajov a netýkajú sa samotnej operácie spracúvania.

51.

GDPR sa zaoberá predovšetkým ochranou osobných údajov dotknutých osôb a vzťahom medzi dotknutými osobami a akýmkoľvek subjektom, ktorý ich údaje spracúva. Na tento účel GDPR stanovuje práva dotknutých osôb a povinnosti príslušných prevádzkovateľov pri spracúvaní osobných údajov.

52.

Predmetná regulačná logika sa zameriava na údaje a subjekty, ktoré k nim pristupujú a pracujú s nimi. V GDPR je len veľmi málo ustanovení, ktoré priamo a výslovne upravujú vzťahy medzi sprostredkovateľmi údajov. ( 28 ) Je pravda, že GDPR do týchto vzťahov zasahuje nepriamo. Ukladá povinnosť každému následnému subjektu, ktorý prijíma údaje, chrániť údaje a práva dotknutých osôb. Týmto spôsobom GDPR skutočne ukladá určité podmienky pre zverejňovanie a prenos údajov. To však neznamená, že GDPR vzťahy medzi týmito subjektmi priamo upravuje.

53.

Ak by sa údaje vnímali ako tovar, potom je regulačná logika GDPR analogická osobitnému verejnoprávnemu režimu zavedenému pre určité druhy (vzácneho, umeleckého, historického) tovaru. Tento režim stanovuje určité obmedzenia pre daný tovar: ako sa má vyrábať, ako sa má používať, za akých podmienok sa môže meniť, skladovať, ďalej predávať alebo ničiť. Takýto osobitný režim chráni tovar, a tým nepriamo zaväzuje každého ďalšieho vlastníka alebo držiteľa. Samotný osobitný režim však zostáva spojený s tovarom. Neupravuje ani súkromnoprávne dojednania, na základe ktorých môže byť predmetný tovar predaný medzi dvoma súkromnými osobami, ani podmienky, za ktorých môže alebo musí byť tovar predaný súkromnou osobou verejnoprávnej osobe. Regulácia tovaru je odlišná od regulácie súvisiaceho právneho titulu a obchodovania s ním.

54.

GDPR možno zmysluplne vykladať len objasnením jeho regulačnej logiky a zameraním sa na konkrétnu spracovateľskú operáciu ako základ pre povinnosti, ktoré môžu z GDPR vyplývať. V opačnom prípade by sa GDPR uplatňovalo vždy, pričom aj pri najkreatívnejšom výklade by jednoducho neexistovalo žiadne ustanovenie upravujúce konkrétnu predloženú otázku. Nevyhnutným výsledkom takýchto prípadov bude, že GDPR nemá prednosť pred niektorými vnútroštátnymi zákonmi alebo postupmi. Skutočnosť, že sa im „nebráni“, však nemusí byť nevyhnutne dôsledkom toho, že vnútroštátne režimy sú v zásade zákonné, ale toho, že GDPR takúto otázku jednoducho neupravuje, aj keď sa tak či onak týka osobných údajov.

55.

Judikatúra Súdneho dvora pozná takéto „falošne pozitívne“ prípady, keď sú vo vnútroštátnom práve stanovené rôzne povinnosti poskytovať údaje z rôznych dôvodov. Väčšina týchto prípadov sa opäť netýka prebiehajúcej spracovateľskej operácie ako takej, ale skôr otázky právneho základu budúcej spracovateľskej operácie. Ich rozsah siaha od začatia občianskoprávneho konania na účely vymáhania autorských práv ( 29 ) až po riadnu správu verejných prostriedkov ( 30 ) alebo ochranu národnej bezpečnosti. ( 31 ) Príklady z tejto kategórie zahŕňajú Rigas satiksme ( 32 ), Promusicae ( 33 ), Bonnier ( 34 ) alebo J & S Service ( 35 ).

56.

Vo všetkých týchto situáciách sa GDPR nepochybne uplatňovalo, pokiaľ ide o práva dotknutých osôb voči prevádzkovateľovi (prevádzkovateľom) v súvislosti s konkrétnymi spracovateľskými operáciami, ktoré sa práve vykonali alebo sa majú vykonať. Regulačná logika a správna pôsobnosť GDPR však musia opäť sledovať tok údajov a zabezpečiť ochranu osobných údajov v rámci spracovateľských operácií. Jeho cieľom nie je upravovať žiadne „nadväzujúce“ vzťahy medzi rôznymi subjektmi, ktoré môžu disponovať údajmi, ani to, prečo a ako môžu mať k údajom prístup. Inými slovami, GDPR nezaručuje žiadne „práva“ jedného prevádzkovateľa voči inému prevádzkovateľovi.

57.

To však neznamená, že tieto otázky právo neupravuje. Upravuje, avšak inými nástrojmi zaoberajúcimi sa predovšetkým presadzovaním práva. Právny základ pre spracúvanie vyžadovaný v článku 6 ods. 3 GDPR sa nachádza v týchto nástrojoch. Pokiaľ ide o povinné prenosy osobných údajov, takéto prenosy sú logickejšie upravené v „nástrojoch presadzovania práva“, či už podľa práva EÚ ( 36 ) alebo vnútroštátneho práva. V prípade dobrovoľných prenosov osobných údajov bude v rozsahu možnom a prípustnom podľa verejnoprávneho režimu stanoveného v GDPR základom pre takéto prenosy vnútroštátne obchodné alebo zmluvné právo vo vzťahu k typu dohody medzi príslušnými po sebe nasledujúcimi prevádzkovateľmi.

58.

Ak sa vezme do úvahy uvedené objasnenie, v prejednávanej veci podľa môjho názoru (zatiaľ) nedochádza k žiadnej spracovateľskej operácii. Ide o právny základ takéhoto spracúvania, ktorý GDPR spomína, ale priamo neupravuje. Napriek tomu v snahe byť vnútroštátnemu súdu plne nápomocný, v nasledujúcej časti týchto návrhov uvediem náčrt základného rámca, ktorý vyplýva z GDPR a ktorý sa vzťahuje na spracovateľskú operáciu, keď ju vykonáva prevádzkovateľ, súkromný podnik (časť B). Cieľom GDPR je chrániť dotknutú osobu, nie chrániť súkromný podnik pred verejnými zásahmi do jeho slobody podnikania alebo jeho vlastníckeho práva vo forme využívania údajov. To neznamená, že takýto zásah nemôže vyvolávať oprávnené obavy, ale skôr to, že ho sotva bude upravovať GDPR (časť C).

59.

Nasleduje pomerne všeobecná diskusia o právnom základe spracúvania údajov, ktoré by žalobkyňa musela zabezpečiť pri vybavovaní žiadosti žalovanej o informácie. V tejto súvislosti je pravdepodobné, že relevantným ustanovením je článok 6 GDPR, najmä jeho odseky 1 a 3, vykladané vzhľadom na odôvodnenie 45.

60.

Na úvod je potrebné uviesť, že Súdnemu dvoru neboli poskytnuté žiadne konkrétne informácie o iných vnútroštátnych pravidlách ochrany údajov uplatniteľných v okolnostiach konania vo veci samej. Okrem toho Súdny dvor nedostal žiadne informácie o tom, či okrem článku 15 ods. 6 zákona o daniach a poplatkoch existujú aj iné všeobecne záväzné vnútroštátne právne predpisy (napríklad vyhláška alebo vykonávacie pokyny), ktoré by bližšie upravovali spornú povinnosť poskytovateľov služieb (internetovej reklamy) poskytovať daňovému úradu určité údaje. Veľmi málo informácií je k dispozícii aj o vnútroštátnom legislatívnom rámci, ktorým sa vo všeobecnosti GDPR vykonáva.

61.

Okrem toho nebolo objasnené, či bol článok 23 ods. 1 písm. e) GDPR nejakým spôsobom transponovaný do vnútroštátneho práva. To, či toto ustanovenie práva EÚ bolo alebo nebolo transponované, nemá vplyv na určenie zákonnosti žiadosti o prenos informácií. Je to však dôležité na určenie rozsahu a povahy povinností, ktoré môže mať následný prevádzkovateľ (orgán verejnej moci) voči dotknutým osobám, ako aj na určenie povinností pôvodného prevádzkovateľa a informácií, ktoré má pôvodný prevádzkovateľ poskytnúť dotknutým osobám.

62.

Z uvedeného vyplýva, že nasledujúca diskusia je do určitej miery nevyhnutne všeobecná. Budem sa zaoberať zásadami, ktoré vyplývajú z článku 6 GDPR pre budúce spracúvanie, ktoré má súkromný podnik vykonávať s cieľom vyhovieť žiadosti orgánu verejnej moci o poskytnutie údajov, a to najprv z hľadiska účelu prenosu takýchto údajov (časť 1) a jeho rozsahu a trvania (časť 2). Potom sa zameriam na právny základ prenosu takýchto údajov, keďže požiadavky týkajúce sa právneho základu budú jasnejšie po vyriešení predchádzajúcich čiastkových otázok (časť 3).

63.

Účel, na ktorý správca dane požaduje poskytnutie osobných údajov v pôvodnom konaní, je vo všeobecnosti nepochybne legitímny. Zabezpečenie riadneho výberu daní a odhaľovanie potenciálnych daňových porušení určite patrí medzi druhy legitímnych cieľov a účelov spracúvania údajov podľa článku 6 ods. 1 a 3 GDPR. ( 37 )

64.

Kľúčom k problémom nastoleným v tomto prípade je stupeň abstrakcie, s ktorým by sa mal takýto cieľ stanoviť. V tomto ohľade sa zdá, že existuje určitá nejednoznačnosť, pokiaľ ide o rozlišovanie medzi dvoma konkrétnymi druhmi cieľov: i) vyhľadanie určitých druhov informácií (s cieľom zistiť porušenie) na jednej strane a ii) overenie, že došlo k porušeniu (a snaha poskytnúť ďalšie informácie na potvrdenie tohto predpokladu) na strane druhej.

65.

Povaha (a rozsah) týchto dvoch typov prenosov údajov sa bude líšiť. Vyhľadávanie a zisťovanie sú koncipované ex ante, široko a do značnej miery vágne, pokiaľ ide o konkrétne dotknuté osoby. Ak je cieľom odhaliť prípadné porušenia, potom je potrebné pomyselnú sieť rozhodiť pomerne široko. Naopak overovanie potenciálnych porušení prostredníctvom poskytovania relevantných údajov môže byť oveľa diferencovanejšie a cielenejšie. Je koncipované oveľa viac ex post a je zamerané na overenie určitých podozrení, ktoré sa zvyčajne týkajú už identifikovateľnej dotknutej osoby.

66.

Podľa môjho názoru článok 6 GDPR umožňuje obe možnosti. Článok 6 ods. 3 GDPR však vyžaduje jasný právny základ pre oba tieto typy prenosov údajov.

67.

V kontexte prejednávanej veci však chápem váhanie vnútroštátneho súdu vzhľadom na znenie článku 15 ods. 6 zákona o daniach a poplatkoch. Znenie, ktoré bolo zjavne platné v čase, keď vnútroštátny súd podal návrh na začatie prejudiciálneho konania, uvádzalo, že poskytovatelia internetových reklamných služieb môžu byť na žiadosť štátnych daňových orgánov povinní poskytnúť informácie o (relevantných) daňových subjektoch.

68.

Zdá sa teda, že v tomto prípade je účel zverejnenia údajov stanovený v príslušnom právnom základe podobný druhému variantu uvedenému vyššie: overenie určitých informácií týkajúcich sa konkrétnych daňovníkov. Zdá sa však, že vnútroštátna daňová správa využila tento právny základ na podanie žiadosti, ktorá sa javí ako žiadosť o (neobmedzený) prenos údajov alebo dokonca priame zhromažďovanie údajov na účely všeobecného vyhľadávania a zisťovania, čo spadá do prvého variantu uvedeného vyššie. V tom spočíva logický nesúlad, ktorý sa zdá byť jadrom prípadu na vnútroštátnej úrovni a vedie k nejasnostiam, pokiaľ ide o primeranosť takéhoto opatrenia (časť 2), ako aj jeho správny právny základ (časť 3).

69.

Proporcionalita, podobne ako „minimalizácia“, sa týka skúmania vzťahu medzi (stanovenými) cieľmi a (zvolenými) prostriedkami. Problém v tomto prípade spočíva v tom, že posúdenie proporcionality sa pravdepodobne bude líšiť v závislosti od toho, ktorá z dvoch práve spomenutých (ideálnych ( 38 )) možností sa vyberie.

70.

V kontexte „vyhľadávania a zisťovania“ orgány verejnej moci čo najviac rozširujú svoju sieť, aby našli relevantné informácie. To môže znamenať spracúvanie veľkého množstva údajov. Potreba vyhľadávať a spracúvať väčšie súbory údajov je totiž neodmysliteľnou súčasťou tohto typu všeobecného a nejasného vyhľadávania informácií. V rámci tejto možnosti sa primeranosť a minimalizácia spracúvania údajov môže týkať len typu požadovaných údajov, v ktorých možno potrebné informácie potenciálne nájsť. ( 39 )

71.

V kontexte „overovania“, keď orgány verejnej moci potrebujú získať dôkazy týkajúce sa obsahu konkrétnej transakcie alebo súboru transakcií, môže byť posúdenie primeranosti zo svojej podstaty náročnejšie. Správca dane sa potom môže pýtať len na konkrétne transakcie uskutočnené v určitom čase, zvyčajne so zameraním na konkrétnu zdaniteľnú osobu alebo osoby, s cieľom vykonať následnú kontrolu. Žiadosti o informácie budú preto pravdepodobne prispôsobené konkrétnym údajom obsiahnutým v tomto type informácií.

72.

Podľa môjho názoru sa logika odôvodnenia 31 GDPR zrejme vzťahuje len na druhú možnosť. V druhej vete tohto odôvodnenia, o ktorú sa zainteresované strany a najmä Komisia opierali, a o ktorej intenzívne diskutovali, sa uvádza, že žiadosti o poskytnutie osobných údajov by mali orgány verejnej moci zasielať vždy písomne, spolu so zdôvodnením, príležitostne a nemali by sa týkať celého informačného systému ani viesť ku prepojeniu informačných systémov.

73.

Podľa môjho názoru však nie je možné vytrhnúť odôvodnenie (jeho časť) nariadenia z kontextu, považovať ho za samostatné a záväzné ustanovenie, aj keď nemá ekvivalent v právne záväznom texte tohto nástroja, ( 40 ) a na základe toho vyhlásiť, že akýkoľvek prenos osobných údajov orgánom verejnej moci sa môže uskutočniť len za týchto podmienok. Jednoducho nemôžem súhlasiť s názorom, že časť odôvodnenia 31, posudzovaná samostatne, zakazuje všetky rozsiahle prenosy údajov orgánom verejnej moci, dokonca aj tie, pre ktoré existuje primeraný právny základ (vo vnútroštátnom práve alebo v práve EÚ) a ktoré sa uskutočňujú v súlade so všetkými záväznými ustanoveniami GDPR.

74.

V tomto prípade lotyšská vláda uviedla, že množstvo požadovaných informácií možno považovať za primerané, keďže žiadosť o informácie sa týka len inzerátov uverejnených v sekcii „Osobné autá“, ktorá je jednou zo 112 sekcií príslušnej webovej stránky prevádzkovanej žalobkyňou. Belgická a španielska vláda dodali, že podľa ich názoru problémom nie je množstvo údajov, ale skôr druh požadovaných údajov.

75.

Súhlasím s týmito pripomienkami.

76.

Primeranosť v prípade vyhľadávania a zisťovania ex ante predstavuje „kontrolu kvality“ vo vzťahu k typu požadovaných údajov. Iba na následné overenie určitých skutočností možno plne uplatniť „kvantitatívnu kontrolu“. Ak by to tak nebolo, väčšina prostriedkov monitorovania alebo sledovania údajov by bola v praxi vylúčená.

77.

Ak existuje vhodný právny základ v práve Únie alebo vo vnútroštátnom práve, vnútroštátna daňová správa môže v zásade požadovať všetky údaje potrebné na vykonanie daného druhu kontroly bez časového obmedzenia. Jediným obmedzením vyplývajúcim z GDPR je primeranosť z hľadiska typu požadovaných údajov. Ako grécka vláda správne zdôrazňuje, žiadosti o informácie by sa mali obmedziť na typ údajov týkajúcich sa ekonomickej činnosti daňových subjektov a nie ich súkromného života.

78.

Ako príklad uvediem, že ak je deklarovaným účelom identifikácia nepriznaných príjmov z predaja ojazdených automobilov, daňová správa nie je oprávnená požadovať aj informácie o tom, či osoba predávajúca automobil má alebo nemá ryšavé vlasy, dodržiava určitú diétu alebo vlastní bazén. Druh požadovaných informácií preto musí jasne súvisieť s deklarovaným vyhľadávaním a vyšetrovaním.

79.

Vnútroštátnemu súdu potom prináleží posúdiť primeranosť jednej z uvedených dvoch možností vzhľadom na skutkové a právne okolnosti každého prípadu. ( 41 ) V tomto prípade je potrebné položiť si otázku, či je druh požadovaných informácií vhodný na to, aby žalovaná mohla získať informácie potrebné na dosiahnutie stanoveného cieľa.

80.

A konečne až teraz je možné, vo svetle toho, čo bolo práve vysvetlené, zmysluplne posúdiť kľúčovú otázku právneho základu. Na to, aby žalobkyňa mohla spracúvanie vykonávať, si oba varianty opísané v predchádzajúcich bodoch týchto návrhov („vyhľadávanie a zisťovanie“ a „overovanie“) prirodzene vyžadujú právny základ v zmysle článku 6 ods. 3 GDPR. Toto ustanovenie výslovne umožňuje osobitnú úpravu uplatňovania všeobecných pravidiel stanovených v GDPR, a to prostredníctvom práva EÚ alebo vnútroštátneho práva.

81.

Zvolený právny základ však musí v každom prípade logicky zahŕňať konkrétny účel a typ spracúvania vykonávaného na tento účel. Presný spôsob tohto postupu je predmetom osobitných ustanovení o úprave uplatňovania pravidiel GDPR prijatých členským štátom alebo Úniou podľa článku 6 ods. 3 tohto nariadenia. Vo všeobecnosti platí, že čím sú prenosy údajov všeobecnejšie, rozsiahlejšie a trvalejšie, tým robustnejší, podrobnejší a explicitnejší musí byť legislatívny základ, pretože takéto prenosy predstavujú väčší zásah do ochrany údajov. Naopak, čím sú žiadosti o sprístupnenie údajov diskrétnejšie a obmedzenejšie, zvyčajne zamerané len na jednu alebo niekoľko dotknutých osôb, alebo dokonca zamerané na obmedzený objem údajov, tým je pravdepodobnejšie, že takéto žiadosti možno zrealizovať prostredníctvom jednotlivých administratívnych žiadostí, zatiaľ čo legislatívne poverenie môže byť pomerne široké a všeobecné.

82.

Inými slovami, obe regulačné vrstvy, a to legislatívna a administratívna, ktoré tvoria prípadný právny základ pre spracúvanie údajov, fungujú spoločne. Aspoň jedna z nich musí byť dostatočne konkrétna a prispôsobená určitým typom alebo určitému objemu požadovaných osobných údajov. Čím viac sú takéto prenosy upravené na legislatívnej a štrukturálnej úrovni, tým menej je potrebná úprava v jednotlivých administratívnych žiadostiach. Legislatívna vrstva môže byť dokonca taká podrobná a vyčerpávajúca, že je úplne samostatná a priamo uplatniteľná. Naopak, čím všeobecnejšia a nejasnejšia je definícia na legislatívnej úrovni, tým podrobnejšia musí byť na úrovni individuálnej administratívnej žiadosti, vrátane jasného vymedzenia účelu, ktorý definuje jej rozsah.

83.

Tento bod nepriamo poskytuje odpoveď na otázku položenú vnútroštátnym súdom v časti o proporcionalite, ktorá by sa tu mohla najlepšie riešiť súbežne s určením, či môže daňová správa podávať žiadosti o neobmedzené prenosy údajov. Podľa môjho názoru tak môže urobiť na základe GDPR. Relevantnejšou otázkou by však bolo, či má primeraný právny základ vo vnútroštátnom práve pre to, čo je podľa definície trvalým a nepretržitým prenosom údajov. Ak majú takéto prenosy jasný základ vo vnútroštátnom práve a stanovené trvanie, článok 6 ods. 3 GDPR ich nevylučuje. Na tom nič nemení ani odôvodnenie 31 GDPR. ( 42 ) Nevidím žiadny praktický zmysel v takom výklade tohto odôvodnenia, podľa ktorého by sa od správnych orgánov vyžadovalo, aby opakovane (každý deň, mesiac alebo rok) vydávali identické individuálne žiadosti s cieľom získať niečo, čo by už mohli získať podľa vnútroštátneho práva.

84.

V tomto prípade sa zdá, že právnym základom pre spracúvanie je článok 15 ods. 6 zákona o daniach a poplatkoch, ako aj konkrétne žiadosti o údaje predložené správcom dane. Zdá sa teda, že existuje dvojitý právny základ vo forme všeobecného oprávnenia stanoveného v právnom predpise a vo forme osobitného a cieleného administratívneho uplatňovania tohto predpisu.

85.

Celkovo sa tento dvojitý právny základ javí ako dostatočný na odôvodnenie spracúvania osobných údajov žalobkyňou na účely ich prenosu orgánu verejnej moci podľa článku 6 ods. 1 písm. c) a ods. 3 GDPR. Hoci vnútroštátne právne predpisy, ktoré oprávňujú daňovú správu požadovať informácie, sú pomerne všeobecné, zdá sa, že konkrétne žiadosti o údaje sú, napriek potenciálne veľkému množstvu údajov, zväčša zamerané na určitý typ údajov.

86.

V konečnom dôsledku však prináleží vnútroštátnemu súdu, aby s plnou znalosťou vnútroštátneho práva vrátane akýchkoľvek iných vnútroštátnych vykonávacích predpisov, ktoré neboli uvedené v priebehu tohto konania, overil, či spracúvanie vyžadované od žalobkyne v konaní vo veci samej, spĺňa alebo nespĺňa požiadavky uvedené v tejto časti týchto návrhov.

87.

Jadrom tohto posúdenia, ktoré si vyžaduje osobitnú pozornosť, je otázka, či článok 15 ods. 6 zákona o daniach a poplatkoch, spolu s konkrétnymi žiadosťami o informácie, spĺňajú z hľadiska právneho základu požiadavku predvídateľnosti. ( 43 ) Právna úprava, ktorá umožňuje prenos údajov, musí stanoviť jasné a presné pravidlá, ktoré budú upravovať pôsobnosť a uplatnenie predmetného opatrenia a ukladať minimálne požiadavky tak, aby osoby, ktorých osobné údaje sú dotknuté, mali dostatočné záruky umožňujúce účinne chrániť tieto údaje pred rizikom zneužitia. ( 44 )

88.

Preto musí byť právny základ ako celok (legislatívna aj administratívna úroveň spolu) formulovaný dostatočne presne vo vzťahu ku všetkým dotknutým osobám: orgánom verejnej moci, pokiaľ ide o to, čo môžu požadovať, podnikom, pokiaľ ide o to, čo môžu poskytovať, a predovšetkým dotknutým osobám, aby vedeli, kto môže mať prístup k ich údajom a na aké účely. Možno pripomenúť, že informácie o spracúvaní údajov sú skutočne kľúčovou požiadavkou GDPR. Dotknuté osoby musia byť informované o spracovaní údajov a tieto informácie sú predpokladom na uplatnenie ďalších práv na prístup, vymazanie alebo opravu. ( 45 )

89.

Pokiaľ nebol článok 23 GDPR transponovaný do vnútroštátneho práva tak, aby obmedzoval práva dotknutých osôb podľa kapitoly III GDPR, z článkov 13 a 14 GDPR vyplýva, že prevádzkovateľ konkrétneho spracúvania musí dotknutej osobe informácie poskytnúť. V súvislosti s postupnými prenosmi údajov môže byť ťažké určiť, na kom spočíva informačná povinnosť. ( 46 ) Prakticky povedané, ak neexistujú obmedzenia prijaté podľa článku 23 ods. 1 GDPR, ktoré musia byť vo vnútroštátnom práve v súlade s požiadavkou článku 23 ods. 2 GDPR, orgán verejnej moci, ktorý údaje získal, môže byť povinný poskytnúť informácie všetkým dotknutým osobám podľa článku 14 GDPR. Ak neexistuje jasný a predvídateľný právny základ, ktorý by v konečnom dôsledku umožňoval takýto prenos, je ťažké očakávať, že prevádzkovateľ, ktorý údaje zhromaždil, by už dotknutú osobu o tom informoval podľa článku 13 GDPR.

90.

Na záver článok 6 ods. 1 písm. c) a článok 6 ods. 3 GRDP podľa môjho názoru nebráni tomu, aby vnútroštátne predpisy ukladali poskytovateľom online reklamných služieb povinnosť poskytovať určité osobné údaje daňovej správe bez časového obmedzenia za predpokladu, že pre tento druh prenosu údajov existuje jasný právny základ vo vnútroštátnom práve a požadované údaje sú vhodné a potrebné na plnenie administratívnych úloh daňovej správy.

91.

Nie je mojou úlohou špekulovať o skutočných motívoch účastníkov konania pred vnútroštátnym súdom. Preto zostávam verný svojej nádeji v existenciu dobrých samaritánov, ktorí nezištne konajú na obranu iných. Prečo by súkromná spoločnosť nemohla jednoducho brániť práva dotknutých osôb, ktorých osobné údaje zhromaždila?

92.

Hoci by to mohol byť dôvod na radosť, keď sa obchodná spoločnosť zaviaže na ochranu údajov, predpokladám, že niektoré iné podniky môžu mať iné dôvody, prečo by mohli chcieť zabrániť prenosu osobných údajov, ktoré zhromaždili, na základe rozhodnutia orgánu verejnej moci. Jedným z dôvodov môžu byť náklady. Mali by mať verejné orgány možnosť zveriť časť svojej verejnej správy externým dodávateľom a prinútiť súkromné spoločnosti, aby znášali náklady na výkon toho, čo je v podstate verejnou správou? Táto otázka sa stáva relevantnejšou v prípadoch trvalých a rozsiahlych prenosov údajov, ktoré majú súkromné podniky vykonávať pre spoločné dobro bez akejkoľvek náhrady. ( 47 ) Iné dôvody môžu mať viac obchodnú povahu. Ak na okamih predpokladáme, samozrejme, čisto hypoteticky, že ľudia vo všeobecnosti neradi platia dane, možno by nebolo prehnané predpokladať, že niektorí z týchto ľudí sa môžu rozhodnúť inzerovať svoje ojazdené vozidlá iným spôsobom ako prostredníctvom internetovej stránky, ktorá potom tieto informácie poskytne daňovým úradom.

93.

Nájsť rovnováhu medzi všetkými záujmami v takejto situácii nie je vôbec jednoduché. Na jednej strane preto, že situácia, keď orgány verejnej správy vyžadujú od súkromných spoločností údaje, ktoré musia byť pripravené a predložené podľa presných požiadaviek, sa nebezpečne blíži k nútenému outsourcingu verejnej správy. Platí to najmä v prípade údajov, ktoré sú inak voľne dostupné a ktoré by orgán verejnej moci mohol pri troche technického úsilia zozbierať sám. Na druhej strane, ako poukázala belgická vláda s odkazom na širšiu relevanciu situácie v konaní pred vnútroštátnym súdom, v prípadoch rôznych druhov platforiem zdieľanej ekonomiky alebo v iných situáciách, keď orgány verejnej moci požadujú prístup k údajom, ktoré sú potrebné na požadovaný legitímny verejný účel, ale ktoré nie sú voľne dostupné, a preto ich nemôžu zhromažďovať samotné orgány verejnej moci, môže byť potrebná o niečo diferencovanejšia odpoveď. Aj za takýchto okolností však otázka možnej náhrady zostáva otvorená.

94.

Určite vidím tieto problémy v konaní vo veci samej ukryté v pozadí. Nájdenie vhodnej rovnováhy v týchto prípadoch by sa však malo uskutočniť predovšetkým na vnútroštátnej úrovni alebo na úrovni EÚ pri prijímaní príslušných právnych predpisov, ktoré poskytujú právny základ pre tento typ prenosu údajov. Nemalo by to byť vecou súdov, a to tým menej, ak vnútroštátny súd žiadnu z týchto otázok výslovne neuviedol. Okrem toho existujú minimálne dva ďalšie dôvody, prečo tento prípad nie je vhodným prípadom pre tento typ diskusie.

95.

Po prvé, rovnako ako mnohé iné otázky, ktoré nejakým spôsobom súvisia s tokom osobných údajov, ale netýkajú sa ochrany práv dotknutých osôb, tieto otázky jednoducho nie sú výslovne zahrnuté v GDPR. Otázka právnej ochrany prevádzkovateľov údajov, súkromných spoločností, pred prípadným nezákonným alebo neprimeraným zásahom do slobody usadiť sa, vlastníckeho práva ( 48 ) alebo dokonca možného práva na spravodlivú náhradu za prenesené údaje, nie je otázkou upravenou v GDPR.

96.

Po druhé, ak právny základ pre takéto prenosy údajov nie je stanovený v práve Únie, ( 49 ) otázka možnej náhrady za takéto požadované prenosy údajov môže byť len ťažko predmetom práva Únie. To opäť neznamená, že takéto problémy nemôžu vzniknúť aj v súvislosti s ochranou základných práv (dotknutých prevádzkovateľov údajov). Tieto otázky by však potom museli byť riadne riešené súdmi členského štátu, ktorý takéto prenosy nariadil. Každý takýto prípad by preto mal byť postúpený vnútroštátnemu (ústavnému) súdu.

97.

Navrhujem, aby Súdny dvor odpovedal na návrh na začatie prejudiciálneho konania, ktorý podal Administratīvā apgabaltiesa (Krajský správny súd, Lotyšsko), takto: