ROZSUDOK SÚDNEHO DVORA (tretia komora)

z 1. októbra 2015 ( * )

„Návrh na začatie prejudiciálneho konania — Smernica 95/46/ES — Spracovanie osobných údajov — Články 10 a 11 — Informovanie dotknutých osôb — Článok 13 — Výnimky a obmedzenia — Prenos osobných daňových údajov verejnou inštitúciou členského štátu na ich spracovanie inou verejnou inštitúciou“

Vo veci C‑201/14,

ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Curtea de Apel Cluj (Rumunsko) z 31. marca 2014 a doručený Súdnemu dvoru 22. apríla 2014, ktorý súvisí s konaním:

Smaranda Bara a i.

proti

Președintele Casei Naționale de Asigurări de Sănătate,

Casa Naţională de Asigurări de Sănătate,

Agenţia Naţională de Administrare Fiscală (ANAF),

SÚDNY DVOR (tretia komora),

v zložení: predseda tretej komory M. Ilešič, sudcovia A. Ó Caoimh, C. Toader, E. Jarašiūnas a C. G. Fernlund (spravodajca),

generálny advokát: P. Cruz Villalón,

tajomník: L. Carrasco Marco, referentka,

so zreteľom na písomnú časť konania a po pojednávaní z 29. apríla 2015,

so zreteľom na pripomienky, ktoré predložili:

Smaranda Bara a i., v zastúpení: C. F. Costaş a K. Kapcza, avocați,

Casa Naţională de Asigurări de Sănătate, v zastúpení: V. Ciurchea, splnomocnený zástupca,

rumunská vláda, v zastúpení: R. H. Radu, A. Buzoianu, A.‑G. Văcaru a D. M. Bulancea, splnomocnení zástupcovia,

česká vláda, v zastúpení: M. Smolek a J. Vláčil, splnomocnení zástupcovia,

Európska komisia, v zastúpení: I. Rogalski, B. Martenczuk a J. Vondung, splnomocnení zástupcovia,

po vypočutí návrhov generálneho advokáta na pojednávaní 9. júla 2015,

vyhlásil tento

Rozsudok

1

Návrh na začatie prejudiciálneho konania sa týka výkladu článku 124 ZFEÚ, ako aj článkov 10, 11 a 13 smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe takýchto údajov (Ú. v. ES L 281, s. 31; Mim. vyd. 13/015, s. 355).

2

Tento návrh bol podaný v rámci sporu medzi pani Bara a i. na jednej strane a Președintele Casei Naționale de Asigurări de Sănătate (riaditeľ Národnej zdravotnej poisťovne), Casa Națională de Asigurări de Sănătate (Národná zdravotná poisťovňa, ďalej len „CNAS“) a Agenția Națională de Administrare Fiscală (Národná agentúra pre daňovú správu, ďalej len „ANAF“) na strane druhej vo veci spracovania určitých údajov.

Právny rámec

Právo Únie

3

Podľa článku 2 smernice 95/46 nazvaného „Definície“:

„Na účely tejto smernice:

a)

‚osobné údaje‘ znamenajú akúkoľvek informáciu, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby (‚údajového subjektu‘); identifikovateľná osoba je osoba, ktorú možno identifikovať, priamo alebo nepriamo, najmä pomocou overenia identifikačného čísla alebo jedného alebo viacerých faktorov špecifických pre jeho fyzickú, fyziologickú, duševnú, hospodársku, kultúrnu alebo sociálnu identitu;

b)

‚spracovanie osobných údajov‘ (‚spracovanie‘) znamená akúkoľvek operáciu alebo komplex operácií, ktorá sa vykonáva na osobných údajoch, či už automatickými prostriedkami, alebo nie, ako je zber, zaznamenávanie, organizácia, uskladnenie, úprava alebo nahradenie, vyhľadávanie, nahliadnutie, používanie, odhalenie prenosom, šírenie alebo sprístupnenie iným spôsobom, upravenie alebo kombinácia, blokovanie, vymazanie alebo zničenie;

c)

‚registračný systém osobných údajov‘ (‚registračný systém‘) znamená akúkoľvek štruktúrovanú zostavu osobných údajov, ktoré sú prístupné podľa konkrétnych kritérií, či už centralizované, decentralizované, alebo rozptýlené na funkčnej alebo geografickej báze;

d)

‚kontrolór‘ znamená fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný orgán, ktorý sám, alebo v spojení s inými, určí účely a prostriedky spracovania osobných údajov; tam, kde sú účely a prostriedky spracovania stanovené vnútroštátnymi zákonmi a nariadeniami, alebo zákonmi a nariadeniami spoločenstva, ten, kto spracovanie riadi, alebo konkrétne kritéria pre jeho menovanie, môžu byť navrhnuté na základe vnútroštátneho práva alebo práva spoločenstva;

…“

4

Článok 3 tejto smernice nazvaný „Rozsah“ znie takto:

„1.   Táto smernica sa uplatňuje na spracovanie osobných údajov vcelku alebo čiastočných údajov, automatickými prostriedkami, a na spracovanie osobných údajov inými, ako automatickými prostriedkami, ktoré tvoria časť registračného systému alebo určených pre to, aby tvorili časť registračného systému.

2.   Táto smernica sa neuplatňuje na spracovanie osobných údajov:

v priebehu činností, ktoré sú mimo rozsahu zákona spoločenstva [práva Spoločenstva – neoficiálny preklad], ako sú tie, ktoré sú uvedené v hlave V a VI Zmluvy o Európskej únii a v žiadnom prípade sa neuplatňujú [neuplatňuje – neoficiálny preklad] na operácie spracovania týkajúce sa verejnej bezpečnosti, obrany, bezpečnosti štátu (vrátane hospodárskej prosperity štátu, keď sa operácia spracovania týka záležitostí bezpečnosti štátu) a činností štátu v oblastiach trestného zákona [trestného práva – neoficiálny preklad],

fyzickou osobou v priebehu osobnej činnosti, alebo činnosti týkajúcej sa domácnosti.“

5

Článok 6 uvedenej smernice, ktorý upravuje zásady týkajúce sa kvality údajov, stanovuje:

„1.   Členské štáty zabezpečia, že osobné údaje musia byť:

a)

spracovávané spravodlivo a zákonne;

b)

zhromaždené na špecifikované, explicitné a zákonné účely a nebudú sa ďalej spracovávať spôsobmi, ktoré nie sú zlučiteľné s týmito účelmi. Ďalšie spracovanie údajov pre historické, štatistické alebo vedecké účely sa nepovažuje za nezlučiteľné, pod podmienkou, že členské štáty zabezpečia primerané bezpečnostné opatrenia;

c)

adekvátne, relevantné a nie neprimerané vo vzťahu k účelom, pre ktoré sú zhromažďované a/alebo ďalej spracované;

d)

presné a tam, kde je to nevyhnutné, udržiavané aktuálne; musí sa vykonať každé primerané opatrenie, aby sa zaistilo, že údaje, ktoré sú nepresné alebo neúplné, so zreteľom na účely, pre ktoré boli zhromažďované, alebo pre ktoré sú ďalej spracovávané sa vymažú alebo skorigujú;

e)

udržiavané vo forme, ktorá umožňuje identifikáciu osôb pracujúcich s údajmi počas obdobia ktoré je nevyhnutné na účely, pre ktoré boli údaje zhromažďované, alebo pre ktoré sú ďalej spracovávané. Členské štáty stanovia primerané bezpečnostné opatrenia pre osobné údaje uložené na dlhšie obdobia pre historické, štatistické alebo vedecké použitie.

2.   Úlohou kontrolóra je zaistiť, aby sa vyhovelo odseku 1.“

6

Článok 7 tej istej smernice, ktorý upravuje zásady zákonnosti spracovania údajov, uvádza:

„Členské štáty zabezpečia, aby bolo možné osobné údaje spracovať, iba ak:

a)

osoba pracujúca s údajmi [dotknutá osoba – neoficiálny preklad] poskytla svoj súhlas jednoznačne;

alebo

b)

spracovanie je nevyhnutné pre výkon zmluvy, ktorej osoba pracujúca s údajmi [dotknutá osoba – neoficiálny preklad] je zainteresovanou stranou, alebo aby sa vykonali opatrenia na požiadanie osoby pracujúcej s údajmi [dotknutej osoby – neoficiálny preklad] pred uzatvorením zmluvy;

alebo

c)

spracovanie je nevyhnutné na vyhovenie právnemu záväzku, ktorého subjektom je kontrolór [na splnenie zákonnej povinnosti, ktorou je kontrolór viazaný – neoficiálny preklad];

alebo

d)

spracovanie je nevyhnutné, aby sa ochránili životné záujmy osoby pracujúcej s údajmi [dotknutej osoby – neoficiálny preklad];

alebo

e)

spracovanie je nevyhnutné na splnenie úlohy vykonávanej vo verejnom záujme alebo v uplatňovaní oficiálneho poverenia zvereného kontrolórovi, alebo tretej strane, ktorej sa údaje odhalia;

alebo

f)

spracovanie je nevyhnutné pre účely legitímnych záujmov, ktoré plní kontrolór, alebo tretia strana alebo strany, ktorým sú údaje odhalené, s výnimkou, ak takéto záujmy sú prevýšené záujmami týkajúcimi sa základných práv a slobôd osoby pracujúcej s údajmi [dotknutej osoby – neoficiálny preklad], ktoré potrebujú ochranu podľa článku 1 ods. 1.“

7

Článok 10 smernice 95/46, nazvaný „Informácie v prípade zberu údajov od osoby pracujúcej s údajmi [dotknutej osoby – neoficiálny preklad]“, stanovuje:

„Členské štáty zabezpečia, že kontrolór alebo jeho zástupca, musí poskytnúť osobe pracujúcej s údajmi [dotknutej osobe – neoficiálny preklad], od ktorej sa údaje, ktoré sa jej týkajú, zbierajú, aspoň nasledujúce informácie, s výnimkou, ak ich tento subjekt už má:

a)

identita kontrolóra a jeho zástupcu;

b)

účely spracovania, pre ktoré sú údaje potrebné;

c)

akékoľvek ďalšie informácie, ako napríklad:

príjemcovia alebo kategórie príjemcov údajov,

či odpovede na otázky sú povinné alebo dobrovoľné, ako aj možné dôsledky neschopnosti odpovedať,

existencia práva prístupu a práva skorigovania údajov, ktoré sa ho týkajú,

pokiaľ sú takéto ďalšie informácie potrebné, so zreteľom na špecifické okolnosti, za ktorých sa údaje spracovávajú, aby sa zabezpečilo správne spracovanie pokiaľ ide o údajový subjekt.“

8

Článok 11 tejto smernice, nazvaný „Informácie v prípade, že údaje neboli od osoby pracujúcej s údajmi [dotknutej osoby – neoficiálny preklad] získané“, znie:

„1.   Tam, kde sa údaje od údajového subjektu nezískali, členské štáty zabezpečia, že kontrolór, alebo jeho zástupca, musí v čase zaznamenávania osobných údajov, alebo ak sa predpokladá odhalenie tretej strane, nie neskôr, než v čase, keď sa údaje prvýkrát odhalia, poskytnúť údajovému subjektu aspoň nasledujúce informácie, ak ich už nemá:

a)

identita kontrolóra a jeho zástupcu, ak existuje;

b)

účely spracovania;

c)

akékoľvek ďalšie informácie, ako napríklad

kategórie údajov, ktorých sa to týka,

príjemcovia alebo kategórie príjemcov,

existencia práva prístupu k údajom a právo na skorigovanie údajov, ktoré sa ho týkajú,

pokiaľ sú takéto ďalšie informácie potrebné, so zreteľom na špecifické okolnosti, za ktorých sa údaje spracovávajú, aby sa zabezpečilo správne spracovanie pokiaľ ide o údajový subjekt.

2.   Odsek 1 sa neuplatňuje najmä tam, kde pre spracovanie na štatistické účely alebo na účely historického alebo vedeckého výskumu, sa poskytnutie takýchto informácií ukázalo ako nemožné, alebo by mohlo znamenať vyvinutie neprimeraného úsilia, alebo ak zaznamenanie alebo odhalenie je výslovne stanovené zákonom. V takýchto prípadoch zabezpečia členské štáty primerané bezpečnostné opatrenia.“

9

Podľa ustanovení článku 13 uvedenej smernice nazvaného „Výnimky a obmedzenia“:

„1.   Členské štáty môžu prijať legislatívne opatrenia na obmedzenie rozsahu povinností a práv uvedených v článkoch 6 ods. 1, v článku 10 a 11 ods. 1, v článkoch 12 a 21, keď takéto obmedzenie vytvára nevyhnutné opatrenia na zabezpečenie údajov o:

a)

štátnej bezpečnosti;

b)

obrane;

c)

verejnej bezpečnosti;

d)

prevencii, vyšetrovaní, pátraní a trestnom konaní alebo porušení etiky pre predpísané profesie;

e)

dôležitom hospodárskom alebo finančnom záujme členského štátu alebo Európskej únie, vrátane peňažných, rozpočtových a daňových záležitostí;

f)

monitorovaní, inšpekcii alebo regulačnej funkcii spojenej aj s výkonom oficiálneho orgánu [s hoci aj príležitostným výkonom verejnej moci – neoficiálny preklad] v prípadoch uvedených v písmenách c), d) a e);

g)

ochrane osoby pracujúcej s údajmi [dotknutej osoby – neoficiálny preklad] alebo práv a slobôd ostatných.

2.   Vzhľadom na adekvátne právne záruky, najmä pokiaľ ide o to, že sa údaje nebudú používať na vykonanie opatrení alebo rozhodnutí týkajúcich sa ktoréhokoľvek jedinca, členské štáty môžu tam, kde očividne nie je žiadne riziko porušenia súkromia osoby pracujúcej s údajmi, obmedziť legislatívnym opatrením práva uvedené v článku 12, keď sa údaje spracovávajú výhradne s cieľom vedeckého výskumu alebo sa uchovávajú v osobnej forme po dobu, ktorá nepresiahne dobu nevyhnutnú na jediný účel vytvorenia štatistiky.“

Rumunské právo

Zákon č. 95/2006

10

Z rozhodnutia vnútroštátneho súdu vyplýva, že článok 215 zákona č. 95/2006 o reforme zdravotníctva (Legea nr. 95/2006 privind reforma în domeniul sănătății) zo 14. apríla 2006 (Monitorul Oficial al României, časť I, č. 372 z 28. apríla 2006) stanovuje:

„(1)   Povinnosť platiť príspevok na zdravotné poistenie platí pre fyzickú alebo právnickú osobu, ktorá zamestnáva osoby na základe osobnej pracovnej zmluvy alebo osobitného štatútu podľa zákona, ako aj v prípade fyzických osôb.

(2)   Právnické alebo fyzické osoby, pre ktoré poistenci vykonávajú činnosť, sú povinné mesačne predložiť zdravotným poisťovniam, ktoré si poistenci dobrovoľne vybrali, nominálne vyhlásenia o povinnostiach, ktoré majú voči fondu, a potvrdenie o zaplatení príspevkov.

…“

11

Článok 315 tohto zákona uvádza:

„Orgány, verejné inštitúcie a iné inštitúcie bezplatne postupujú zdravotným poisťovniam údaje potrebné na účely vzniku postavenia poistenca na základe protokolu.“

Nariadenie riaditeľa CNAS č. 617/2007

12

Článok 35 nariadenia riaditeľa CNAS č. 617/2007 z 13. augusta 2007, ktorým sa schvaľujú metodické pravidlá týkajúce sa vyhotovovania potvrdení pre nadobudnutie postavenia poistenca alebo poistenca, ktorý nie je platiteľom poistného, a uplatňovania opatrení na vymáhanie dlžných súm do Jednotného vnútroštátneho fondu zdravotného poistenia (Monitorul Oficial al României, časť I, č. 649 z 24. septembra 2007), stanovuje:

„… vzhľadom na povinnosti platiť do fondu prináležiace fyzickým osobám, ktoré sa poistia v rámci poistnej zmluvy, odlišné od povinností osôb, ktoré podliehajú výberu daní prostredníctvom ANAF, listinou zakladajúcou pohľadávku môže byť daňové priznanie,… platobný výmer vydaný príslušným orgánom CAS [zdravotná poisťovňa], alebo súdne rozhodnutia o dlhoch voči fondu. Platobný výmer môže vydať príslušný orgán CAS aj na základe informácií získaných od ANAF‑u na základe protokolu.“

Protokol z roku 2007

13

Podľa článku 4 protokolu č. P 5282/26.10.2007/95896/30.10.2007 uzatvoreného medzi CNAS a ANAF (ďalej len „protokol z roku 2007“):

„Po nadobudnutí účinnosti tohto protokolu [ANAF] vykoná prostredníctvom svojich podriadených špecializovaných oddelení elektronický prenos pôvodnej databázy obsahujúcej údaje o:

a.

príjmoch osôb, ktoré patria do kategórií stanovených v článku 1 ods. 1 tohto protokolu, a štvrťročne prenos aktualizovanej databázy týchto údajov do [CNAS] vo forme kompatibilnej s automatickým spracovaním údajov v súlade s prílohou č. 1 tohto protokolu…

…“

Spor vo veci samej a prejudiciálne otázky

14

Žalobcami vo veci samej sú osoby, ktoré majú príjmy zo samostatnej zárobkovej činnosti. ANAF postúpila CNAS údaje týkajúce sa ich príjmov uvedených v daňovom priznaní. Na základe týchto údajov CNAS vyžadovala zaplatenie nedoplatkov na príspevkoch do režimu zdravotného poistenia.

15

Žalobcovia vo veci samej sa obrátili na Curtea de Apel Cluj s návrhom, v rámci ktorého spochybňujú zákonnosť prenosu daňových údajov týkajúcich sa ich príjmov so zreteľom na smernicu 95/46. Tvrdia, že tieto osobné údaje boli len na základe interného protokolu postúpené a použité na iné účely, než na aké ich pôvodne poskytli ANAF, bez ich výslovného súhlasu a bez toho, aby o tom boli vopred informovaní.

16

Z rozhodnutia vnútroštátneho súdu vyplýva, že podľa zákona č. 95/2006 môžu verejné inštitúcie postúpiť osobné údaje zdravotným poisťovniam, aby im umožnili registráciu dotknutých osôb ako poistencov. Tieto údaje sa týkajú identifikácie osôb (priezvisko, meno, rodné číslo, adresa), nezahŕňajú však údaje týkajúce sa získaných príjmov.

17

Vnútroštátny súd sa snaží zistiť, či si spracovanie údajov zo strany CNAS vyžaduje predbežné informovanie dotknutých osôb, pokiaľ ide o identitu kontrolóra a cieľ, na ktorý boli tieto údaje prenesené. Tento súd má takisto rozhodnúť o tom, či prenos údajov na základe protokolu z roku 2007 odporuje ustanoveniam smernice 95/46, ktoré vyžadujú, aby každé obmedzenie práv dotknutých osôb bolo stanovené zákonom a zaručené, najmä pokiaľ ide o použitie údajov proti týmto osobám.

18

Za týchto podmienok Curtea de Apel Cluj rozhodol prerušiť konanie a položiť Súdnemu dvoru nasledujúce prejudiciálne otázky:

„1.

Je vnútroštátny daňový orgán ako orgán, ktorý zastupuje príslušné ministerstvo členského štátu, finančnou inštitúciou v zmysle článku 124 ZFEÚ?

2.

Umožňuje akt považovaný za správny akt, a to protokol uzatvorený medzi národným daňovým orgánom a inou štátnou inštitúciou, prenos databázy údajov týkajúcich sa príjmov občanov členského štátu z národného daňového orgánu do inej inštitúcie uvedeného členského štátu bez toho, aby sa vytvoril zvýhodnený prístup vymedzený v článku 124 ZFEÚ?

3.

Spadá prenos databázy s cieľom stanoviť občanom členského štátu povinnosť platby príspevkov na sociálne zabezpečenie inštitúcii členského štátu, ktorá získava údaje z prenosu, pod pojem dôvod verejného dohľadu v zmysle článku 124 ZFEÚ?

4.

Môžu byť osobné údaje predmetom spracovania zo strany orgánu, ktorému neboli určené, ak táto operácia spätne spôsobí majetkovú ujmu?“

O prejudiciálnych otázkach

O prípustnosti

O prípustnosti prvej až tretej otázky

19

Podľa ustálenej judikatúry Súdny dvor môže odmietnuť rozhodnúť o prejudiciálnej otázke položenej vnútroštátnym súdom iba vtedy, keď je zjavné, že požadovaný výklad práva Únie nemá nijaký vzťah k existencii alebo k predmetu sporu vo veci samej, keď je problém hypotetický alebo keď Súdny dvor nemá dostatok skutkových a právnych informácií potrebných na to, aby poskytol užitočnú odpoveď na otázky, ktoré sú mu položené (pozri rozsudok PreussenElektra, C‑379/98, EU:C:2001:160, bod 39 a citovanú judikatúru).

20

Všetky pripomienky predložené Súdnemu dvoru sa zhodujú v tom, že prvá až tretia prejudiciálna otázka týkajúce sa výkladu článku 124 ZFEÚ sú neprípustné z dôvodu, že nemajú žiadny vzťah k predmetu sporu vo veci samej.

21

V tomto ohľade treba pripomenúť, že článok 124 ZFEÚ sa nachádza v tretej časti hlave VIII Zmluvy o fungovaní EÚ, týkajúcej sa hospodárskej a menovej politiky. Tento článok zakazuje akékoľvek opatrenie, ktoré nie je založené na dôvodoch verejného dohľadu a ktoré umožňuje zvýhodnený prístup inštitúciám, orgánom, úradom alebo agentúram Únie, ústredným vládam, regionálnym, miestnym alebo iným verejným orgánom, iným subjektom spravovaným verejným právom alebo verejnoprávnym podnikom členských štátov k finančným inštitúciám.

22

Tento zákaz má svoj pôvod v článku 104 A Zmluvy o ES (teraz článok 102 ES), ktorý bol do Zmluvy o ES začlenený Maastrichtskou zmluvou. Patrí medzi ustanovenia ZFEÚ týkajúce sa hospodárskej politiky, ktorých cieľom je viesť členské štáty k dodržiavaniu zdravej rozpočtovej politiky vyhýbaním sa tomu, aby menové financovanie verejného deficitu alebo prednostný prístup orgánov verejnej moci na finančné trhy viedol k príliš vysokému zadlženiu alebo príliš vysokým deficitom členských štátov (pozri v tomto zmysle rozsudok Gauweiler a i., C‑62/14, EU:C:2015:400, bod 100).

23

Je teda zjavné, že požadovaný výklad článku 124 ZFEÚ nemá nijaký vzťah k existencii alebo k predmetu sporu vo veci samej, ktorý sa týka ochrany osobných údajov.

24

Z toho vyplýva, že na prvú až tretiu otázku nie je potrebné odpovedať.

O prípustnosti štvrtej otázky

25

CNAS a rumunská vláda tvrdia, že štvrtá otázka je neprípustná. Táto vláda poukazuje na to, že neexistuje nijaká súvislosť medzi ujmou uvádzanou žalobcami vo veci samej a zrušením správnych aktov, o ktoré žiadajú v rámci konania vo veci samej.

26

V tejto súvislosti treba pripomenúť, že podľa ustálenej judikatúry Súdneho dvora pri otázkach týkajúcich sa výkladu práva Únie položených vnútroštátnym súdom v rámci právnej úpravy a skutkových okolností, ktoré tento súd vymedzí na vlastnú zodpovednosť a ktorých správnosť Súdnemu dvoru neprináleží preverovať, platí prezumpcia relevantnosti. Zamietnuť návrh vnútroštátneho súdu na začatie prejudiciálneho konania Súdnym dvorom možno len vtedy, ak je zjavné, že požadovaný výklad práva Únie nemá žiadnu súvislosť s existenciou alebo predmetom sporu vo veci samej, pokiaľ ide o hypotetický problém alebo ak Súdny dvor nedisponuje skutkovými a právnymi podkladmi potrebnými na užitočnú odpoveď na otázky, ktoré sa mu položili (rozsudok Fish Legal a Shirley, C‑279/12, EU:C:2013:853, bod 30 a citovaná judikatúra).

27

Treba uviesť, že spor vo veci samej sa týka zákonnosti spracovania daňových údajov získaných ANAF. Vnútroštátny súd si kladie otázku v súvislosti s výkladom ustanovení smernice 95/46 v rámci kontroly zákonnosti presunu týchto údajov do CNAS a ich následného spracovania. Štvrtá prejudiciálna otázka je teda relevantná a dostatočne presná na to, aby umožnila Súdnemu dvoru poskytnúť užitočnú odpoveď. Preto vzhľadom na štvrtú prejudiciálnu otázku je potrebné považovať návrh na začatie prejudiciálneho konania za prípustný.

O veci samej

28

Svojou štvrtou otázkou sa vnútroštátny súd v podstate pýta, či sa články 10, 11 a 13 smernice 95/46 majú vykladať v tom zmysle, že bránia vnútroštátnym opatreniam, o aké ide vo veci samej, ktoré umožňujú verejnej inštitúcii členského štátu preniesť osobné údaje inej verejnej inštitúcii a ich následné spracovanie bez toho, aby boli dotknuté osoby o tomto prenose a spracovaní informované.

29

V tejto súvislosti treba konštatovať, že, ako uviedol vnútroštátny súd, daňové údaje prenesené CNAS zo strany ANAF predstavujú osobné údaje v zmysle článku 2 písm. a) uvedenej smernice, pretože ide o „informácie, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby“ (rozsudok Satakunnan Markkinapörssi a Satamedia, C‑73/07, EU:C:2008:727, bod 35). Ich prenos zo strany ANAF, orgánu povereného správou databázy, ktorá ich zhromažďuje, ako aj ich následné spracovanie zo strany CNAS, predstavuje teda „spracovanie osobných údajov“ v zmysle článku 2 písm. b) tej istej smernice (pozri v tomto zmysle najmä rozsudky Österreichischer Rundfunk a i., C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294, bod 64, ako aj Huber,C‑524/06, EU:C:2008:724, bod 43).

30

Podľa ustanovení kapitoly II smernice 95/46 s názvom „Všeobecné nariadenia týkajúce sa zákonnosti spracovania osobných údajov“ musí byť okrem výnimiek pripustených na základe článku 13 tejto smernice akékoľvek spracovanie osobných údajov jednak v súlade so zásadami o kvalite údajov vymenovanými v článku 6 uvedenej smernice a jednak musí zodpovedať jednej zo zásad týkajúcich sa legitímnosti spracovania údajov uvedených v článku 7 danej smernice (rozsudky Österreichischer Rundfunk a i., C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294, bod 65; Huber, C‑524/06, EU:C:2008:724, bod 48, ako aj ASNEF a FECEMD, C‑468/10 a C‑469/10, EU:C:2011:777, bod 26).

31

Okrem toho kontrolór alebo jeho zástupca podlieha informačnej povinnosti, ktorej podmienky stanovené v článkoch 10 a 11 smernice 95/46 sa líšia v závislosti od toho, či boli tieto údaje získané od dotknutej osoby alebo nie, a to s výnimkou odchýlok, ktoré umožňuje článok 13 tejto smernice.

32

V prvom rade, pokiaľ ide o článok 10 uvedenej smernice, tento článok stanovuje, že kontrolór musí poskytnúť dotknutej osobe, od ktorej sa údaje, ktoré sa jej týkajú, získavajú, informácie uvedené v tomto článku v písm. a) až c), okrem prípadu, že táto osoba už danými informáciami disponuje. Tieto informácie sa týkajú identity kontrolóra, účelu tohto spracovania, ako aj akýchkoľvek ďalších informácií potrebných na zabezpečenie spravodlivého spracovania údajov. Medzi ďalšími informáciami potrebnými na zabezpečenie spravodlivého spracovania údajov článok 10 písm. c) tejto smernice výslovne uvádza „príjemcov alebo kategórie príjemcov údajov“, ako aj „existenciu práva prístupu a práva skorigovania údajov, ktoré sa [týkajú uvedenej osoby]“.

33

Ako uviedol generálny advokát v bode 74 svojich návrhov, táto požiadavka informovania osôb dotknutých spracovaním ich osobných údajov je o to dôležitejšia, že podmieňuje výkon práva týchto osôb na prístup k spracovávaným údajom a ich opravu stanoveného v článku 12 smernice 95/46 a ich práva na vznesenie námietok so spracovaním týchto údajov zakotveného v článku 14 tejto smernice.

34

Z toho vyplýva, že požiadavka spravodlivého spracovania osobných údajov stanovená v článku 6 smernice 95/46 ukladá verejnej inštitúcii povinnosť informovať dotknuté osoby o prenose týchto údajov inej verejnej inštitúcii na to, aby ich táto inštitúcia spracovala ako ich príjemca.

35

Z vysvetlení, ktoré poskytol vnútroštátny súd, vyplýva, že ANAF neinformovala žalobcov vo veci samej o prenose ich osobných údajov do CNAS.

36

Rumunská vláda však tvrdí, že ANAF je, konkrétne na základe článku 315 zákona č. 95/2006, povinná postúpiť regionálnym zdravotným poisťovniam informácie potrebné na to, aby CNAS mohla určiť postavenie poistenca osôb, ktoré majú príjmy zo samostatnej zárobkovej činnosti.

37

Článok 315 zákona č. 95/2006 bezpochyby výslovne stanovuje, že „orgány, verejné inštitúcie a iné inštitúcie bezplatne postupujú zdravotným poisťovniam údaje potrebné na účely vzniku postavenia poistenca na základe protokolu“. Z vysvetlení, ktoré poskytol vnútroštátny súd, však vyplýva, že údaje potrebné na vznik postavenia poistenca v zmysle uvedeného ustanovenia nezahŕňajú údaje týkajúce sa príjmu, keďže zákon priznáva postavenie poistenca aj osobám, ktoré nepoberajú zdaniteľný príjem.

38

Za týchto podmienok nemôže článok 315 zákona č. 95/2006 predstavovať predbežnú informáciu v zmysle článku 10 smernice 95/46, ktorá by kontrolóra zbavovala jeho povinnosti informovať osoby, od ktorých zbiera údaje týkajúce sa ich príjmu, o príjemcoch týchto údajov. Preto sa nemožno domnievať, že dotknutý prenos sa uskutočnil v súlade s ustanoveniami článku 10 smernice 95/46.

39

Je potrebné preskúmať, či sa na dané nesplnenie povinnosti informovať dotknuté osoby môže vzťahovať článok 13 uvedenej smernice. Z odseku 1 písm. e) a f) tohto článku 13 totiž vyplýva, že členské štáty môžu obmedziť rozsah povinností a práv uvedených v článku 10 danej smernice, pokiaľ takéto obmedzenie predstavuje nevyhnutné opatrenie na zabezpečenie „dôležitého hospodárskeho alebo finančného záujmu členského štátu…, vrátane peňažných, rozpočtových a daňových záležitostí“ ako aj „monitorovania, inšpekcie alebo regulačnej funkcie spojenej s hoci aj príležitostným výkonom verejnej moci v prípadoch uvedených v písmenách c), d) a e)“. Uvedený článok 13 však výslovne vyžaduje, aby boli tieto obmedzenia prijaté prostredníctvom legislatívnych opatrení.

40

Okrem okolnosti uvedenej vnútroštátnym súdom, podľa ktorej údaje týkajúce sa príjmu nepatria medzi osobné údaje potrebné na vznik postavenia poistenca, treba zdôrazniť, že článok 315 zákona č. 95/2006 v zásade len predpokladá prenos týchto posledných uvedených osobných údajov, ktorými orgány alebo verejné či iné inštitúcie disponujú. Z rozhodnutia vnútroštátneho súdu takisto vyplýva, že definícia informácií, ktoré možno preniesť, ako aj podmienky uskutočnenia prenosu týchto informácií, neboli vypracované prostredníctvom legislatívneho opatrenia, ale protokolu z roku 2007 uzavretého medzi ANAF a CNAS, ktorý nebol oficiálne uverejnený.

41

Za týchto okolností sa nemožno domnievať, že sú splnené podmienky stanovené v článku 13 smernice 95/46 na to, aby sa členský štát mohol odchýliť od práv a povinností uvedených v článku 10 tejto smernice.

42

V druhom rade, pokiaľ ide o článok 11 uvedenej smernice, tento článok vo svojom odseku 1 stanovuje, že kontrolór zodpovedný za spracovanie údajov, ktoré neboli získané od dotknutej osoby, musí tejto osobe poskytnúť informácie uvedené v písmenách a) až c). Tieto informácie sa týkajú identity spracovateľa, účelu spracovania, ako aj všetkých ďalších informácií nevyhnutných na spravodlivé spracovanie údajov. Medzi týmito ďalšími informáciami článok 11 ods. 1 písm. c) danej smernice výslovne uvádza „kategórie údajov, ktorých sa to týka“, ako aj „existenciu práva prístupu k údajom a právo na skorigovanie údajov, ktoré sa ho týkajú“.

43

Z toho vyplýva, za okolností sporu vo veci samej, že podľa článku 11 ods. 1 písm. b) a c) smernice 95/46 skutočnosť, že CNAS spracovala údaje prenesené od ANAF, zahŕňa, že osoby dotknuté týmito údajmi mali byť informované o účele tohto spracovania, ako aj o kategóriách dotknutých údajov.

44

Z vysvetlení poskytnutých vnútroštátnym súdom však vyplýva, že CNAS neposkytla žalobcom vo veci samej informácie stanovené v článku 11 ods. 1 písm. a) až c) uvedenej smernice.

45

Je opodstatnené dodať, že podľa článku 11 ods. 2 smernice 95/46 sa ustanovenia článku 11 ods. 1 tejto smernice neuplatnia najmä tam, kde je zaznamenanie alebo odhalenie údajov stanovené zákonom, pričom v takýchto prípadoch zabezpečia členské štáty primerané bezpečnostné opatrenia. Z dôvodov uvedených v bodoch 40 a 41 tohto rozsudku sa na ustanovenia zákona č. 95/2006, na ktoré sa odvoláva rumunská vláda, a protokol z roku 2007 nemôže vzťahovať ani odchylný režim upravený v článku 11 ods. 2, ani režim vyplývajúci z článku 13 uvedenej smernice.

46

Vzhľadom na všetky predchádzajúce úvahy treba na položenú otázku odpovedať tak, že články 10, 11 a 13 smernice 95/46 sa majú vykladať v tom zmysle, že bránia vnútroštátnym opatreniam, o aké ide vo veci samej, ktoré umožňujú verejnej inštitúcii členského štátu preniesť osobné údaje inej verejnej inštitúcii a ich následné spracovanie bez toho, aby boli dotknuté osoby o tomto prenose alebo spracovaní informované.

O trovách

47

Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

 

Z týchto dôvodov Súdny dvor (tretia komora) rozhodol takto:

 

Články 10, 11 a 13 smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe takýchto údajov sa majú vykladať v tom zmysle, že bránia vnútroštátnym opatreniam, o aké ide vo veci samej, ktoré umožňujú verejnej inštitúcii členského štátu preniesť osobné údaje inej verejnej inštitúcii a ich následné spracovanie bez toho, aby boli dotknuté osoby o tomto prenose alebo spracovaní informované.

 

Podpisy


( * )   Jazyk konania: rumunčina.