1.

Uredba (EU) 2016/679 (v nadaljevanju: Splošna uredba o varstvu podatkov) ( 2 ) ni ozek zakonodajni akt. Njeno široko opredeljeno področje uporabe, uspešno sodno izločanje kakršnih koli izjem v zvezi z njo ( 3 ) ter na opredelitvi pojmov utemeljen abstrakten in posledično precej posplošujoč pristop k njeni razlagi ( 4 ) so skupaj uspešno prispevali k praktično neomejenemu dosegu Splošne uredbe o varstvu podatkov. S takim pristopom je danes precej težko najti primer, ko nekdo nekje v neki fazi ne obdeluje nekih osebnih podatkov.

2.

Kljub temu navedeni pristop, utemeljen z dvigom varstva osebnih podatkov v skladu s členom 8 Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina) do temeljne (super)pravice, ki ima prednost pred vsemi, vodi do posebnih sredotežnih učinkov, ki jih je varstvo osebnih podatkov začelo ustvarjati na drugih področjih prava in v z njimi povezanih sporih. Številne zadeve so nenadoma prikazane kot primeri varstva osebnih podatkov in predložene (ne le) temu Sodišču kot zadeve, ki potrebujejo razlago Splošne uredbe o varstvu podatkov. Kljub temu se v navedenih sporih pojavljajo posebna vprašanja, ki včasih niso tista, ki naj bi jih kljub svojemu precej širokemu področju uporabe urejal zakonodajni akt, kot je Splošna uredba o varstvu podatkov.

3.

Dejansko bi si verjetno le malokdo vnaprej mislil, da bi bila lahko Splošna uredba o varstvu podatkov ali Direktiva 95/46/ES kot njena predhodnica ( 5 ) tista, ki ureja dostop pripravnikov za poklic računovodje do svojih izpitnih izdelkov, po možnosti v povezavi s pravico do popravka navedenih osebnih podatkov po opravi izpita; ( 6 ) ali tista, ki preprečuje policiji identifikacijo posameznega udeleženca prometne nesreče, zaradi česar oškodovanec na civilnem sodišču ne more zahtevati odškodnine za škodo na svojem vozilu; ( 7 ) ali celo tista, ki omejuje razkrivanje informacij stečajnemu upravitelju o že plačanem davku družbe v stečaju, ki jo upravlja, da se v okviru zahtevkov za izpodbijanje pravnih dejanj v stečajnem postopku vzpostavi enakost med zasebnopravnimi in javnopravnimi upniki; ( 8 ) če naštejem le nekaj zanimivejših primerov.

4.

Obravnava zadeva je še en primer takih sredotežnih učinkov Splošne uredbe o varstvu podatkov. SIA SS je ponudnik oglaševalskih storitev na spletu. V okviru navedene gospodarske dejavnosti pridobiva osebne podatke oseb, ki na njegovem spletišču objavljajo oglase. Pristojni nacionalni davčni organ je navedeno podjetje pozval, naj mu posreduje določeno količino podatkov v zvezi z oglasi za rabljena vozila, objavljenimi na navedenem spletišču, da poskrbi za ustrezno pobiranje davkov od prodaje vozil. Navedeni davčni organ je podrobno navedel format, v katerem želi prejeti podatke. Hkrati je jasno navedel, da naj bi bili navedeni prenosi podatkov stalni in očitno brez finančnega nadomestila.

5.

V teh okoliščinah predložitveno sodišče sprašuje o dovoljenem obsegu takih zahtevkov za prenos podatkov. Kot v prejšnjih zadevah se zdi, da se Splošna uredba o varstvu podatkov lahko uporabi tudi v obravnavani zadevi. Nekdo nekje obdeluje ali bo obdeloval osebne podatke, zagotovo pozneje ob izvedbi prenosa. Pravice posameznikov, na katere se nanašajo osebni podatki, bi pri taki obdelavi morale biti varovane, enako kot zadevni osebni podatki. Vendar to ne pomeni, da Splošna uredba o varstvu podatkov posebej ureja razmerje med prihodnjim (javnim organom) in sedanjim upravljavcem (zasebnim podjetjem). Splošna uredba o varstvu podatkov dejansko sledi podatkom, kamor koli gredo, in jih varuje, pri čemer ureja obveznosti vsakega naslednjega upravljavca glede podatkov in do posameznikov, na katere se nanašajo osebni podatki. Splošna uredba o varstvu podatkov pa nasprotno ne ureja, razen pri nekaj izrecnih izjemah, konkretnih podrobnosti razmerja med zaporednima upravljavcema navedenih podatkov. Splošna uredba o varstvu podatkov zlasti ne določa konkretnih podrobnosti razmerja med upravljavcema ne glede na to, ali ta izhaja iz pogodbe ali javnega prava, na podlagi katerega lahko nekdo zahteva in pridobi podatke od drugega.

6.

V uvodni izjavi 31 Splošne uredbe o varstvu podatkov je navedeno:

„Javnih organov, ki so jim bili osebni podatki razkriti v skladu s pravno obveznostjo za izvajanje njihovih uradnih nalog, kot so davčni in carinski organi, finančne preiskovalne enote, neodvisni upravni organi ali organi finančnih trgov, pristojni za regulacijo in nadzor trgov vrednostnih papirjev, ne bi smeli šteti za uporabnike, če prejmejo osebne podatke, ki so potrebni za izvedbo določene preiskave v splošnem interesu, in sicer v skladu s pravom Unije ali države članice. Zahteve za razkritje, ki jih predložijo javni organi, bi morale biti vedno v pisni obliki, utemeljene in občasne ter ne bi smele zadevati celotne zbirke ali voditi k medsebojnemu povezovanju zbirk. Obdelava osebnih podatkov s strani teh javnih organov bi morala biti skladna z veljavnimi predpisi o varstvu podatkov glede na namene obdelave.“

7.

V uvodni izjavi 45 Splošne uredbe o varstvu podatkov je navedeno:

„Kadar se obdelava izvaja v skladu s pravno obveznostjo, ki velja za upravljavca, ali kadar je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, bi morala imeti obdelava podlago v pravu Unije ali pravu države članice. Ta uredba ne zahteva posebnega zakona za vsako posamezno obdelavo. Zadosten je lahko zakon, ki je podlaga za več dejanj obdelave, ki temeljijo na pravni obveznosti, ki velja za upravljavca, ali za primere, ko je obdelava potrebna za izvajanje naloge v javnem interesu ali izvrševanje javne oblasti. V pravu Unije ali pravu držav članic bi moral biti določen tudi namen obdelave. Poleg tega bi bili lahko v navedenem pravu opredeljeni splošni pogoji iz te uredbe, ki urejajo zakonitost obdelave osebnih podatkov, določena natančnejša pravila za določitev upravljavca, vrst osebnih podatkov, ki se obdelujejo, zadevnih posameznikov, na katere se nanašajo osebni podatki, subjektov, katerim se osebni podatki lahko razkrijejo, omejitve namena, roka hranjenja in drugih ukrepov za zagotovitev zakonite in poštene obdelave. Prav tako je naloga prava Unije ali prava držav članic, da določi, ali naj bo upravljavec, ki nalogo izvaja v javnem interesu ali pri izvajanju javne oblasti, javni organ ali druga fizična ali pravna oseba, za katero velja javno pravo, ali, kadar to upravičuje javni interes, tudi v zdravstvene namene kot so javno zdravje in socialna zaščita ter upravljanje storitev zdravstvenega varstva, fizična ali pravna oseba, za katero velja zasebno pravo, kot na primer poklicno združenje.“

8.

Člen 2 Splošne uredbe o varstvu podatkov določa njeno področje uporabe:

„1.   Ta uredba se uporablja za obdelavo osebnih podatkov, ki se v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se ne izvaja z avtomatiziranimi sredstvi.

2.   Ta uredba se ne uporablja za obdelavo osebnih podatkov:

[…]

[…]“

9.

Člen 4 vsebuje opredelitev pojmov v Splošni uredbi o varstvu podatkov:

„1.   ‚osebni podatki‘ pomeni[jo] katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); […]

2.   ‚obdelava‘ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

[…]

7.   ‚upravljavec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

8.   ‚obdelovalec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali drug organ, ki obdeluje osebne podatke v imenu upravljavca;

9.   ‚uporabnik‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

[…]“

10.

Člen 5 Splošne uredbe o varstvu podatkov določa načela v zvezi z obdelavo osebnih podatkov:

„1.   Osebni podatki morajo biti:

2.   Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati (‚odgovornost‘).“

11.

Člen 6 te uredbe določa:

„1.   Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

[…]

[…]

[…]

2.   Države članice lahko ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) odstavka 1, tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave, tudi za druge posebne primere obdelave iz poglavja IX.

3.   Podlaga za obdelavo iz točk (c) in (e) odstavka 1 je določena v skladu s:

Namen obdelave se določi v navedeni pravni podlagi ali pa je v primeru obdelave iz točke (e) odstavka 1 potreben za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu. Navedena pravna podlaga lahko vključuje posebne določbe, s katerimi se prilagodi uporaba pravil iz te uredbe, med drugim: splošne pogoje, ki urejajo zakonitost obdelave podatkov s strani upravljavca; vrste podatkov, ki se obdelujejo; zadevne posameznike, na katere se nanašajo osebni podatki; subjekte, katerim se osebni podatki lahko razkrijejo, in namene, za katere se lahko razkrijejo; omejitve namena; obdobja hrambe; ter dejanja obdelave in postopke obdelave, vključno z ukrepi za zagotovitev zakonite in poštene obdelave, kot tiste za druge posebne primere obdelave iz poglavja IX. Pravo Unije ali pravo države članice izpolnjuje cilj javnega interesa in je sorazmerno z zakonitim ciljem, za katerega si prizadeva.“

12.

V poglavju III, naslovljenem „Pravice posameznika, na katerega se nanašajo osebni podatki“, so v členih 12 do 22 določene pravice in ustrezne obveznosti upravljavcev. Navedeno poglavje se konča s členom 23 Splošne uredbe o varstvu podatkov. Naslov člena je „Omejitve“, določa pa:

„1.   Pravo Unije ali pravo države članice, ki velja za upravljavca ali obdelovalca podatkov, lahko z zakonodajnim ukrepom omeji obseg obveznosti in pravic iz členov 12 do 22 in člena 34, pa tudi člena 5, kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 12 do 22, če taka omejitev spoštuje bistvo temeljnih pravic in svoboščin ter je potreben in sorazmeren ukrep v demokratični družbi za zagotavljanje:

[…]

[…]

2.   Zlasti vsak zakonodajni ukrep iz odstavka 1 vsebuje posebne določbe vsaj, kjer je ustrezno, glede:

13.

V skladu s členom 15(6) Likums „Par nodokļiem un nodevām“ (v nadaljevanju: zakon o davkih in dajatvah) v različici, ki je veljala ob dejanskem stanju obravnavane zadeve, bi ponudniki storitev objave oglasov po internetu morali na zahtevo državne davčne uprave zagotoviti informacije o davčnih zavezancih, ki so objavili oglase z uporabo teh storitev, in o tako objavljenih oglasih.

14.

Direktor Nodokļu kontroles pārvalde (urad za davčni nadzor) Valsts ieņēmumu dienests (latvijski davčni organ) (v nadaljevanju: tožena stranka) je 28. avgusta 2018 družbi SIA SS (v nadaljevanju: tožeča stranka) poslal zahtevo po informacijah na podlagi člena 15(6) zakona o davkih in dajatvah.

15.

Tožena stranka je v zahtevi tožečo stranko pozvala, naj ji obnovi dostop do informacij o telefonskih številkah oglaševalcev in identifikacijskih številkah vozil iz oglasov, objavljenih na spletišču tožeče stranke (www.ss.com). Tožena stranka je od tožeče stranke zahtevala tudi, naj ji do 3. septembra 2018 zagotovi informacije o oglasih, objavljenih v obdobju od 14. julija do 31. avgusta 2018 v razdelku spletišča, naslovljenem „Motorna vozila“. Tožeča stranka je bila pozvana, naj informacije posreduje elektronsko v formatu, ki bi omogočil filtriranje in selekcijo podatkov. Tožeča stranka je bila tudi pozvana, naj datoteka vsebuje naslednje informacije: povezavo na oglas, besedilo oglasa, znamko, model in identifikacijsko številko vozila, ceno ter telefonske številke prodajalca.

16.

Če zaradi okoliščin dostopa ne bi bilo mogoče obnoviti, je bila tožeča stranka pozvana, naj sporoči razloge za to in naj najpozneje do tretjega dne v mesecu vsakokrat zagotovi informacije v zvezi z oglasi.

17.

Tožeča stranka je pri vršilcu dolžnosti generalnega direktorja tožene stranke vložila upravno pritožbo zoper zahtevo po informacijah. Po navedbah tožeče stranke obseg zahteve po informacijah, ki so v smislu člena 4(1) Splošne uredbe o varstvu podatkov osebni podatki, ni bil zakonsko upravičen. V zahtevi naj ne bi bili navedeni konkretna skupina posameznikov, na katere se nanašajo osebni podatki, niti namen ali obseg predvidene obdelave niti trajanje obveznosti zagotavljanja informacij. Tako tožena stranka kot upravljavec ni ravnala v skladu z načelom sorazmernosti ali načelom čim manjše obdelave osebnih podatkov, ki izhaja iz Splošne uredbe o varstvu podatkov in zavezuje toženo stranko.

18.

Tožena stranka je z odločbo z dne 30. oktobra 2018 (v nadaljevanju: izpodbijana odločba) pritožbo zavrnila in potrdila zahtevo po informacijah.

19.

V obrazložitvi odločbe je tožena stranka v bistvu navedla, da davčni organ z obdelavo teh podatkov izvaja svoje zakonsko določene naloge in pooblastila. Davčni organ je odgovoren za pobiranje davkov in drugih dajatev ter nadzor nad njimi. Ima zakonsko obveznost nadzora nad gospodarskimi in finančnimi dejavnostmi fizičnih in pravnih oseb zaradi zagotavljanja, da se navedene dajatve plačajo v državni proračun in proračun Unije. Za izvajanje navedenih nalog zakon toženi stranki podeljuje pooblastila za zbiranje dokumentov in informacij, potrebnih za izvedbo knjiženja in evidentiranja obdavčljivih dogodkov ali nadzora nad davki in dajatvami. Natančneje, v skladu s členom 15(6) zakona o davkih in dajatvah morajo ponudniki storitev objave oglasov po internetu na zahtevo davčnega organa zagotoviti informacije o davčnih zavezancih, ki so objavili oglase z uporabo teh storitev, in o samih oglasih. Zaupne informacije, s katerimi razpolaga tožena stranka, so zaščitene z zakonom, zlasti s prepovedjo njihovega razkritja, ki velja za zaposlene pri davčnem organu. Iz tega bi sledilo, da je zahteva po informacijah zakonita.

20.

Tožeča stranka je zoper izpodbijano odločbo pri Administratīvā rajona tiesa (upravno sodišče prve stopnje, Latvija) vložila ničnostno tožbo, v kateri trdi, da v obrazložitvi odločbe niso bili navedeni niti konkretni namen obdelave podatkov niti merila, v skladu s katerimi je treba izbrati informacije, zahtevane v zvezi z določeno skupino določljivih oseb.

21.

Administratīvā rajona tiesa (upravno sodišče prve stopnje) je s sodbo z dne 21. maja 2019 navedeno tožbo zavrnilo. V bistvu se je strinjalo s toženo stranko, da količine informacij, do katerih lahko dostopa davčni organ v zvezi s katero koli osebo, ni mogoče omejiti, razen če se ne šteje, da zadevne informacije niso v skladu s cilji davčne uprave. V skladu z navedeno sodbo so bile zahtevane informacije potrebne za ugotavljanje neprijavljenih gospodarskih dejavnosti. Določbe Splošne uredbe o varstvu podatkov se uporabljajo samo za tožečo stranko kot ponudnico storitev in ne za davčni organ.

22.

Tožeča stranka se je zoper sodbo pritožila pri Administratīvā apgabaltiesa (regionalno upravno sodišče, Latvija). Po navedbah tožeče stranke se Splošna uredba o varstvu podatkov uporablja za obravnavano zadevo. V zvezi z osebnimi podatki, pridobljenimi z zahtevo po informacijah, je treba šteti, da je tožena stranka upravljavec v smislu navedene uredbe, zaradi česar mora izpolnjevati zahteve, določene v njej. Vendar je tožena stranka z zahtevo po informacijah kršila načelo sorazmernosti, saj zahteva, da se ji vsak mesec pošlje velika količina podatkov o neomejenem številu oglasov, ne da bi navedla konkretne davčne zavezance, proti katerim je bil uveden davčni nadzor. Trdi, da v zahtevi po informacijah ni navedeno, kako dolgo bo trajala obveznost, naložena tožeči stranki, da toženi stranki posreduje informacije, navedene v tej zahtevi. Tako meni, da je tožena stranka kršila načela v zvezi z obdelavo osebnih podatkov, določena v členu 5 Splošne uredbe o varstvu podatkov (zakonitost, poštenost in preglednost). Navaja, da niti v zahtevi po informacijah niti v obrazložitvi odločbe nista določena natančen okvir (namen), v katerega spada obdelava informacij, ki jo je predvidela tožena stranka, niti količina potrebnih informacij (najmanjši obseg podatkov). Meni, da mora upravni organ v svojo zahtevo po informacijah vključiti jasno opredeljena merila, v skladu s katerimi je treba izbrati informacije, ki jih zahteva navedeni organ v zvezi z določeno skupino določljivih oseb.

23.

Po mnenju predložitvenega sodišča ni mogoče nedvoumno ugotoviti, da se ta zahteva po informacijah lahko šteje za „ustrezno obrazloženo“ in „občasno“ ter da se ne nanaša na vse informacije v razdelku „Motorna vozila“ na spletišču tožeče stranke, saj želi davčni organ v bistvu opravljati neprekinjen in izčrpen nadzor. Predložitveno sodišče dvomi, ali je obdelavo osebnih podatkov, ki jo je predvidela tožena stranka, mogoče šteti za skladno s predpisi o varstvu podatkov, ki se uporabljajo glede na namen obdelave v smislu uvodne izjave 31 Splošne uredbe o varstvu podatkov. Zato je treba določiti merila, v skladu s katerimi je treba presojati, ali zahteva tožene stranke po informacijah spoštuje temeljne pravice in svoboščine ter ali se lahko navedena zahteva v demokratični družbi šteje za potrebno in sorazmerno za uresničevanje pomembnih ciljev v javnem interesu Unije in Latvije na davčnem in proračunskem področju.

24.

Po navedbah predložitvenega sodišča zadevna zahteva po informacijah ne napotuje na „določeno preiskavo“, ki bi jo opravljala tožena stranka v smislu določb Splošne uredbe o varstvu podatkov. Z navedeno zahtevo se ne zahtevajo informacije o določenih osebah, temveč o vseh posameznikih, na katere se nanašajo osebni podatki in ki so v razdelku spletišča, naslovljenem„Motorna vozila“, objavili oglase. Poleg tega davčni organ zahteva, naj se navedene informacije zagotovijo najpozneje do tretjega dne v mesecu (to pomeni, da mora tožeča stranka toženi stranki zagotoviti vse informacije o oglasih, objavljenih v prejšnjem mesecu). Glede na navedeno se predložitveno sodišče sprašuje, ali je mogoče tak način delovanja nacionalnega organa šteti za skladen z zahtevami iz Splošne uredbe o varstvu podatkov.

25.

Ob upoštevanju navedenega dejanskega in pravnega okvira je Administratīvā apgabaltiesa (regionalno upravno sodišče) prekinilo postopek in Sodišču v predhodno odločanje predložilo ta vprašanja:

26.

Pisna stališča so predložile belgijska, grška, španska in latvijska vlada ter Evropska komisija. Tožeča stranka ter belgijska, španska in latvijska vlada so skupaj s Komisijo odgovorile na pisna vprašanja, ki jih je Sodišče postavilo v skladu s členom 61(1) Poslovnika Sodišča.

27.

Ti sklepni predlogi so strukturirani, kot je navedeno v nadaljevanju. Začel bom z obravnavo vprašanja, ali se Splošna uredba o varstvu podatkov uporablja za zahtevo, s katero javni organ od upravljavca zahteva prenos neke količine osebnih podatkov. Glede na vprašanja predložitvenega sodišča je na začetku potrebno dvojno pojasnilo: kdo je kdo v sporu o glavni stvari in katera konkretna pravila v takih primerih določa Splošna uredba o varstvu podatkov (razdelek A). Nato se bom posvetil (precej osnovnemu) pravnemu okviru, ki izhaja iz Splošne uredbe o varstvu podatkov glede zahtev za prenos podatkov, ki so jih javni organi naslovili na zasebna podjetja (razdelek B). Zaključil bom z nekaj pripombami glede tega, kaj je vsaj po mojem mnenju dejansko težavno vprašanje v tej zadevi, čeprav ga predložitveno sodišče ni izrecno postavilo (razdelek C).

28.

Predložitveno sodišče je postavilo devet vprašanj, vsako od njih pa se na neki način nanaša na zakonitost določenih zahtev za prenos nekaterih osebnih podatkov zasebnih podjetij, ki jih je davčni organ izdal za pobiranje davkov in odkrivanje davčnih utaj. Zasebno podjetje je zadevne osebne podatke pridobilo od posameznikov, na katere se nanašajo osebni podatki, v okviru svoje redne dejavnosti.

29.

Kljub temu iz devetih postavljenih vprašanj ni jasno, kdo natančno ima katero obveznost in na podlagi katere določbe Splošne uredbe o varstvu podatkov. Ta nejasnost kaže na precejšnjo stopnjo negotovosti glede obravnave te zadeve z vsaj dveh vidikov.

30.

Prvič, kdo je kdo v tej zadevi v okviru kategorij, ki jih določa Splošna uredba o varstvu podatkov? Zadeva se nanaša na prenos določenih podatkov zasebnega podjetja javnemu organu iz večjega nabora podatkov, ki jih zbira in upravlja zasebno podjetje. Gre za konkretno dejanje obdelave v smislu člena 4(2) Splošne uredbe o varstvu podatkov, ki je podlaga za vprašanja, predložena temu Sodišču.

31.

Hkrati pa se v zvezi z navedenim prenosom podatkov zdi, da predložitveno sodišče davčni organ (toženo stranko) že šteje za upravljavca za navedeno konkretno dejanje obdelave. ( 9 ) Navedena predpostavka, na kateri temelji celotna predložitvena odločba, je izrecno izražena v šestem in devetem vprašanju. To zahteva predhodno pojasnilo: kdo natančno mora v obravnavani zadevi ravnati v skladu s Splošno uredbo o varstvu podatkov? Kdo je upravljavec za navedeno konkretno dejanje obdelave? (podrazdelek 2)

32.

Drugič, zaradi navedene negotovosti je tu še eno pomembno vprašanje: katere konkretne določbe Splošne uredbe o varstvu podatkov se uporabljajo za zahteve za prenos podatkov in katere od navedenih določb se zlasti nanašajo na vrsto in količino podatkov, ki jih lahko javni organ zahteva od zasebnega podjetja? V zvezi s tem je dokaj zgovorno dejstvo, da le tri vprašanja predložitvenega sodišča omenjajo člen 5(1) Splošne uredbe o varstvu, prečno določbo o načelih v zvezi z obdelavo osebnih podatkov katerega koli upravljavca. Nasprotno se druga vprašanja nanašajo le na „zahteve, določene v Splošni uredbi o varstvu podatkov“, brez navedbe konkretnih določb, ki naj bi vsebovale navedene zahteve.

33.

Tako je potrebno dodatno predhodno pojasnilo v zvezi z veljavnimi določbami Splošne uredbe o varstvu podatkov, zlasti glede razmerja med tožečo stranko podjetjem in toženo stranko davčnim organom. Kako Splošna uredba o varstvu podatkov posebej ureja take zahteve za prenos podatkov ter medsebojne pravice in obveznosti zasebnega podjetja in javnega organa? (podrazdelek 3)

34.

Glede na navedeno naj pred obravnavo navedenih dveh vprašanj spomnim, zakaj po mojem mnenju uporabe Splošne uredbe o varstvu podatkov in skladnosti z njo ni mogoče gledati abstraktno z razlago opredelitve pojmov, ki se ne nanašajo na konkretno dejanje obdelave, ki naj bi bilo sprejeto za izhodišče. Šele ko bo to pojasnjeno, je mogoče pravilno preučiti akterje in njihove ustrezne obveznosti (podrazdelek 1).

35.

V obravnavani zadevi se vse zainteresirane stranke, vključno z latvijsko vlado, strinjajo, da če izhodišče analize temelji na zakonodajni opredelitvi pojmov „osebni podatki“ in „obdelava“ iz člena 4 Splošne uredbe o varstvu podatkov, je navedeni instrument gotovo treba uporabiti v zadevi v sporu o glavni stvari.

36.

Prvič, podatki, na katere se nanaša zahteva po informacijah, so osebni podatki v smislu člena 4(1) Splošne uredbe o varstvu podatkov. Zahtevane informacije, kot je telefonska številka posameznikov, na katere se nanašajo osebni podatki, ali identifikacijska številka vozila, so „informacije v zvezi z določenim ali določljivim posameznikom“. Navedene informacije dejansko omogočajo identifikacijo prodajalcev vozil in tako morebitnih davčnih zavezancev.

37.

Drugič, v skladu z ustaljeno sodno prakso je sporočanje podatkov ( 10 ) ali razkritje osebnih podatkov s posredovanjem, kot je hramba podatkov ali drugačno omogočanje dostopa do njih, obdelava. ( 11 ) Nenazadnje je „razkritje s posredovanjem“ vključeno v opisni seznam dejanj obdelave v členu 4(2) Splošne uredbe o varstvu podatkov.

38.

Tretjič, navedena obdelava podatkov se očitno izvaja z avtomatiziranimi sredstvi v smislu člena 2(1) Splošne uredbe o varstvu podatkov.

39.

Poleg tega v obravnavani zadevi ni mogoče uporabiti nobenih izjem, ki jih je vsekakor treba razlagati ozko. ( 12 ) Glede na odločitev v zadevi Österreischischer Rundfunk in drugi ( 13 ) in zlasti na podlagi nedavne zadeve Kazenske točke ( 14 ) ni mogoče trditi, da je zadevna obravnava osebnih podatkov potekala „v okviru dejavnosti zunaj področja uporabe prava Unije“ v smislu člena 2(2)(a) Splošne uredbe o varstvu podatkov.

40.

Enako se zdi, da tudi izjeme iz člena 2(2)(d) Splošne uredbe o varstvu podatkov ni mogoče uporabiti. Zdi se, da so „pristojni organi“ iz te določbe organi, kot so policija ali državne službe, pristojne za pregon. ( 15 ) Ti ne zajemajo davčnih organov, ki delujejo zaradi pobiranja davkov, še manj pa ponudnikov storitev objave oglasov po internetu. Poleg tega, tudi če bi obdelava podatkov, ki bi jo opravili pristojni davčni organi, v nekaterih primerih na koncu mogoče privedla do odkritja kaznivega dejanja v obliki davčne utaje, je to v tej fazi le hipotetična možnost. ( 16 )

41.

Če se uporabi tak pristop, iz tega nujno sledi sklep, da je treba uporabiti Splošno uredbo o varstvu podatkov, saj obstajajo osebni podatki, ki se obdelujejo z avtomatiziranimi sredstvi. Vendar, kakor je bilo že nakazano v uvodu teh sklepnih predlogov, tak pristop, ki temelji na ustreznih pojmih iz člena 4 Splošne uredbe o varstvu podatkov, kot so „obdelava“, ( 17 )„osebni podatki“ ( 18 ) ali „upravljavec“, ( 19 ) ki se razlagajo široko in zunaj konkretnega dejanja obdelave, pomeni, da bi Splošna uredba o varstvu podatkov urejala vsako sporočanje vsake informacije.

42.

Za pravilno razlago obveznosti vseh vključenih akterjev bi se morala analiza na podlagi Splošne uredbe o varstvu podatkov začeti z jasno določitvijo konkretnega dejanja obdelave. Le tako je nato mogoče ustrezno pristopiti k presoji obveznosti, ki izhajajo iz Splošne uredbe o varstvu podatkov, za navedeno konkretno dejanje za dejanske akterje, vključene v navedeno obdelavo. ( 20 ) Urejeno je konkretno dejanje obdelave, to je delo na podatkih in z njimi. Regulativna logika in poudarek Splošne uredbe o varstvu podatkov temeljita na rezultatih in sta osredotočena na proces ter tako nujno dinamična.

43.

Kakšno je konkretno dejanje obdelave v obravnavani zadevi? Za izvedbo zahtev po informacijah, kot so tiste iz spora v glavni stvari, je nedvomno potrebna obdelava osebnih podatkov, za katero se načeloma uporablja Splošna uredba o varstvu podatkov. V obravnavani zadevi sta dva različna subjekta, ki v neki fazi obdelujeta podatke. Predložitveno sodišče se v vprašanjih osredotoča na obdelavo tožene stranke, to je nacionalnega davčnega organa. Kljub temu se na podlagi dejanskega stanja zadeve zdi, da bi obdelavo morala najprej opraviti tožeča stranka, to je zasebno podjetje.

44.

V sodbi v zadevi Fashion ID ( 21 ) je Sodišče preučilo konkretna zadevna dejanja pri obdelavi podatkov, da je določilo ustrezne upravljavce. Sodišče je ugotovilo, da pojem „upravljavec“ ne napotuje nujno na en sam organ in se lahko nanaša na več akterjev, udeleženih pri tej obdelavi, pri čemer torej za vsakega od njih veljajo določbe, ki se uporabijo na področju varstva podatkov. ( 22 ) Vendar se za fizično ali pravno osebo ne more šteti, da je upravljavec prejšnjih ali poznejših postopkih v verigi obdelave, za katere ne določa niti namenov niti sredstev. ( 23 )

45.

V obravnavani zadevi tožena stranka verjetno postane upravljavec, ko od tožeče stranke prejme zahtevane podatke in jih začne obdelovati v smislu člena 4(2) Splošne uredbe o varstvu podatkov. ( 24 ) V navedeni fazi tožena stranka ne bo le začela obdelovati podatkov, temveč bo verjetno tudi določila sredstva in namene svoje obdelave v smislu člena 4(7) Splošne uredbe o varstvu podatkov. Takrat, ko bo tožena stranka sama opravljala morebitna prihodnja dejanja obdelave podatkov, bo morala ravnati – če država članica v zvezi s tem ne sprejme omejitev v skladu s členom 23 Splošne uredbe o varstvu podatkov – v skladu z načeli glede kakovosti podatkov iz člena 5 Splošne uredbe o varstvu podatkov, za podlago za svoja dejanja obdelave pa bo morala uporabiti enega od primerov iz člena 6(1) Splošne uredbe o varstvu podatkov. ( 25 )

46.

Kljub temu je iz predložitvene odločbe razvidno, da obravnavani postopek še ni v navedeni fazi. Davčni organ nima v posesti zahtevanih podatkov. Zato ni mogel začeti nobenega dejanja obdelave navedenih podatkov. Poleg tega Sodišče ni prejelo informacij o tem, kaj namerava tožena stranka početi s podatki, ali o vrsti obdelave, ki bi jo opravljala.

47.

Doslej se je zgodilo le to, da je davčni organ od zasebnega podjetja zahteval, naj mu zagotovi določen nabor podatkov. To samo po sebi ni obdelava osebnih podatkov, zagotovo pa ne podatkov, ki še niso pridobljeni. V okviru takega dejanskega primera je tožeča stranka, zasebno podjetje, še vedno upravljavec podatkov v obsegu, v katerem je podatke z lastno dejavnostjo sploh pridobila, torej za samostojno določena sredstva in namene. Ko tožeča stranka podatke, ki jih ima v posesti, obdeluje, da jih sporoči toženi stranki v skladu s prejetimi pogoji, ostaja upravljavec tudi za navedeno dejanje obdelave. Tožeča stranka je ta, ki opravlja tako nadaljnjo obdelavo. ( 26 )

48.

V teh okoliščinah in v skladu s členom 6(1)(c) Splošne uredbe o varstvu podatkov tožeča stranka tako zagotavlja skladnost s pravno obveznostjo, ki velja zanjo kot upravljavca, in sicer členom 15(6) zakona o davkih in dajatvah. Tožeča stranka mora kot upravljavec tudi pri obdelavi osebnih podatkov in za sporočanje navedenih podatkov toženi stranki ravnati v skladu s Splošno uredbo o varstvu podatkov. Vendar predložitveno sodišče ne sprašuje o obsegu obdelave podatkov, zahtevanem od tožeče stranke za izpolnitev zadevne zahteve. Dejansko ni postavilo nobenega vprašanja o morebitnih, na Splošni uredbi o varstvu podatkov temelječih obveznostih tožeče stranke pri opravljanju navedene obdelave.

49.

Zdi se, da predložitveno sodišče z izpostavitvijo tožene stranke kot domnevnega nosilca obveznosti v skladu s Splošno uredbo o varstvu podatkov zanima (pravna) podlaga za obdelavo v smislu člena 6(3) Splošne uredbe o varstvu podatkov (torej člen 15(6) zakona o davkih in dajatvah), kakor jo dodatno uvajajo zahteve po informacijah, ki jih je vložila tožena stranka.

50.

Skratka, zdi se, da je ključno vprašanje, ki je podlaga za vseh devet vprašanj predložitvenega sodišča, vprašanje o obsegu in pogojih prenosov podatkov med zaporednima upravljavcema. ( 27 ) Katere določbe Splošne uredbe o varstvu podatkov (če sploh obstajajo) urejajo razmerje med zaporednimi upravljavci? Ali Splošna uredba o varstvu podatkov vsebuje kakršne koli (vsebinske ali časovne) omejitve obsega in vrste prenosov osebnih podatkov med upravljavcema, ki sta v obravnavani zadevi zasebno podjetje in javni organ? Vsa ta vprašanja se pravzaprav nanašajo na pravno podlago za pridobitev osebnih podatkov in se v resnici ne nanašajo na dejanja obdelave.

51.

Splošna uredba o varstvu podatkov se predvsem nanaša na varstvo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki, in razmerje med temi posamezniki ter subjekti, ki obdelujejo njihove podatke. V tem smislu Splošna uredba o varstvu podatkov določa pravice posameznikov, na katere se nanašajo osebni podatki, in obveznosti ustreznih upravljavcev v okviru obdelave osebnih podatkov.

52.

Taka regulativna logika se osredotoča na podatke in subjekte, ki dostopajo do njih ter delajo z njimi. V Splošni uredbi o varstvu podatkov je malo določb, ki neposredno in izrecno urejajo razmerje med subjekti, ki obdelujejo podatke. ( 28 ) Res je, da Splošna uredba o varstvu podatkov posredno posega v navedena razmerja. Vsak naslednji subjekt, ki pridobi podatke, zavezuje k varstvu podatkov in pravic posameznikov, na katere se nanašajo osebni podatki. Tako Splošna uredba o varstvu podatkov dejansko določa nekatere pogoje za razkritje podatkov in prenose podatkov. Kljub temu to zagotovo ne pomeni, da bi Splošna uredba o varstvu podatkov neposredno urejala razmerja med navedenimi subjekti.

53.

Če se na podatke gleda kot na blago, je regulativna logika Splošne uredbe o varstvu podatkov na neki način analogna posebni javnopravni ureditvi za nekatere vrste (dragocenega, umetniškega, zgodovinskega) blaga. Taka ureditev nalaga nekatere omejitve za navedeno blago: kako se lahko izdeluje, kako naj se uporablja, pod katerimi pogoji se lahko spreminja, hrani, prodaja naprej ali uniči. Taka posebna ureditev varuje blago in s tem posredno zavezuje vsakega morebitnega naslednjega lastnika ali imetnika navedenega blaga. Kljub temu navedena posebna ureditev že sama po sebi ostaja povezana z blagom. Ne ureja niti zasebnih dogovorov, po katerih se tako blago lahko proda med zasebnima strankama, niti pogojev, po katerih se isto blago lahko prenese ali mora prenesti z zasebnega na javni subjekt. Urejanje blaga se razlikuje od urejanja temeljne lastninske pravice na navedenem blagu in trgovanja z njim.

54.

Splošno uredbo o varstvu podatkov se da razumno razlagati le s pojasnitvijo navedene regulativne logike Splošne uredbe o varstvu podatkov in osredotočenjem na konkretno dejanje obdelave kot izhodišče za morebitne obveznosti, ki izhajajo iz navedenega instrumenta. Sicer bo treba Splošno uredbo o varstvu podatkov vedno uporabiti, čeprav ne glede na to, kako kreacionistično se razume, ne bo prav nobene določbe, ki bi urejala konkretno predloženo vprašanje. Neizogiben izid takih primerov bo ta, da Splošna uredba o varstvu podatkov ne nasprotuje določeni nacionalni zakonodaji ali praksi. Vendar „neobstoj nasprotovanja“ ne bo nujno posledica nacionalnih ureditev, ki so v splošnem zakonite, temveč tega, da Splošna uredba o varstvu podatkov preprosto ne ureja takega vprašanja, tudi če se tako ali drugače dotika osebnih podatkov.

55.

Sodna praksa Sodišča pozna take „lažne pozitivne izide“ glede različnih obveznosti razkritja podatkov, ki jih nacionalno pravo določa iz različnih razlogov. Večina takih primerov se tudi ne nanaša na morebitna neprekinjena dejanja obdelave, temveč na vprašanje, ki je višje v verigi, glede pravne podlage za tako prihodnje dejanje. Segajo od vložitve civilnopravne tožbe za varstvo avtorskih pravic ( 29 ) do ustreznega upravljanja javnih sredstev ( 30 ) ali zaščite nacionalne varnosti. ( 31 ) Primeri v zvezi s tem bi lahko zajeli zadeve, kot so Rigas satiksme, ( 32 ) Promusicae, ( 33 ) Bonnier ( 34 ) ali J & S Service. ( 35 )

56.

V vseh teh primerih je bilo zagotovo treba uporabiti Splošno uredbo o varstvu podatkov v zvezi s pravicami posameznikov, na katere se nanašajo osebni podatki, v razmerju do upravljavcev v verigi konkretnih dejanj obdelave, ki so se ravnokar ali naj bi se zgodila. Kljub temu morata, ponovno, regulativna logika in ustrezno področje uporabe Splošne uredbe o varstvu podatkov slediti prenosu podatkov in zagotoviti, da so osebni podatki v okviru dejanj obdelave zavarovani. Splošna uredba o varstvu podatkov ni namenjena urejanju vseh razmerij, ki so višje v verigi, med različnimi subjekti, ki bi lahko imeli podatke v posesti, vključno z razlogi, zakaj in kako lahko navedeni podatki pridejo v njihovo posest. Drugače povedano, Splošna uredba o varstvu podatkov posameznemu upravljavcu ne zagotavlja nobenih „pravic“ v razmerju do drugega upravljavca.

57.

To pa ne pomeni, da pravo ne ureja takih vprašanj. Ureja jih, vendar z drugimi instrumenti, ki se predvsem nanašajo na kazenski pregon. V navedenih instrumentih se lahko najde pravna podlaga, ki jo zahteva člen 6(3) Splošne uredbe o varstvu podatkov. Ko gre za obvezne prenose osebnih podatkov, so navedeni prenosi, precej logično, res običajno določeni v „instrumentih kazenskega pregona“ v skladu s pravom EU ( 36 ) ali nacionalnim pravom. Ko gre za prostovoljne prenose osebnih podatkov, pa bo v kar največjem obsegu, ki je mogoč in dovoljen po javnopravni ureditvi, ki je Splošna uredba o varstvu podatkov, podlaga za navedene prenose nacionalno gospodarsko ali pogodbeno pravo glede na vrsto dogovorov med ustreznima zaporednima upravljavcema.

58.

Ob upoštevanju teh pojasnil pri tej zadevi po mojem (še) ne gre za dejanje obdelave. Gre za pravno podlago za navedeno obdelavo, na kar Splošna uredba o varstvu podatkov le napotuje, vendar je sama neposredno ne ureja. Kljub temu je v prizadevanju, da se predložitvenemu sodišču v celoti pomaga, v naslednjem razdelku teh sklepnih predlogov podan opis osnovnega okvira, ki izhaja iz Splošne uredbe o varstvu podatkov in ki ga je treba uporabiti za dejanje obdelave, ko ga upravljavec, zasebno podjetje, opravi (razdelek B). Namen Splošne uredbe o varstvu podatkov je zavarovati posameznika, na katerega se nanašajo osebni podatki, in ne zasebno podjetje pred javnim poseganjem v njegovo svobodo gospodarske pobude ali njegovo lastninsko pravico v obliki izkoriščanja podatkov. To pa ne pomeni, da tako vprašanje ne more vzbuditi tehtnega pomisleka, temveč da lahko le stežka vzbudi pomislek, ki ga ureja in potencialno rešuje Splošna uredba o varstvu podatkov (razdelek C).

59.

V nadaljevanju sledi precej splošna razprava o pravni podlagi za obdelavo podatkov, ki naj bi jo tožeča stranka opravila ob izpolnitvi zahteve tožene stranke po informacijah. V zvezi s tem je ustrezna določba verjetno člen 6 Splošne uredbe o varstvu podatkov, zlasti pa njegova odstavka 1 in 3, razumljena ob upoštevanju uvodne izjave 45.

60.

Najprej je pomembno omeniti dejstvo, da to Sodišče ni prejelo nobenih konkretnih informacij o kakršnih koli dodatnih uporabnih nacionalnih pravilih o varstvu podatkov v okoliščinah, kot so tiste iz spora o glavni stvari. Poleg tega Sodišče razen člena 15(6) zakona o davkih in dajatvah ni prejelo nobenih informacij o drugih nacionalnih splošnih aktih (npr. uredbi ali izvedbenih navodilih), ki bi dodatno urejali zadevno obveznost ponudnikov storitev (objave oglasov po internetu) glede sporočanja določenih podatkov davčnim organom. Poleg tega je zelo malo informacij o nacionalnem zakonodajnem okviru, s katerim se v splošnem izvaja Splošna uredba o varstvu podatkov.

61.

Prav tako ni jasno, ali je bil člen 23(1)(e) Splošne uredbe o varstvu podatkov kakor koli prenesen v nacionalno pravo. To, ali je bila navedena določba iz prava EU prenesena, ne določa zakonitosti zahteve za prenos informacij. Vendar bi bilo to pomembno za določitev obsega in narave obveznosti, ki bi jih naslednji upravljavec (javni organ) morda imel do posameznikov, na katere se nanašajo osebni podatki, in za določitev obveznosti prvotnega upravljavca ter informacij, ki jih naslednji upravljavec zagotovi posameznikom, na katere se nanašajo osebni podatki.

62.

Posledično je razprava, ki sledi, lahko le precej splošna. Obravnaval bom načela, ki izhajajo iz člena 6 Splošne uredbe o varstvu podatkov za prihodnjo obdelavo, ki jo opravi zasebno podjetje, da izpolni zahtevo javnega organa po podatkih, najprej z vidika namena takih prenosov podatkov (podrazdelek 1) ter njihovega obsega in trajanja (podrazdelek 2). Nato se bom vrnil k pravni podlagi takih prenosov, saj bodo zahteve glede navedene podlage postale jasnejše po obravnavi predhodnih podvprašanj (podrazdelek 3).

63.

Splošni namen, za katerega davčni organ zahteva razkritje osebnih podatkov v sporu o glavni stvari, je v splošnem brez dvoma legitimen. Zagotavljanje ustreznega pobiranja davkov in odkrivanje potencialnih kršitev obveznosti plačila davka lahko zagotovo spadata med vrste legitimnih ciljev in namenov za obdelavo podatkov v skladu s členom 6(1) in (3) Splošne uredbe o varstvu podatkov. ( 37 )

64.

Ključ do vprašanj, ki se pojavljajo v obravnavani zadevi, je stopnja abstrakcije, na kateri bi bilo treba opredeliti tak cilj. V zvezi s tem se zdi, da obstaja nekaj zmede med dvema vrstama konkretnih ciljev: (i) iskanje določenih vrst informacij (da se odkrijejo kršitve zakonodaje), po drugi strani pa (ii) preverjanje dejstva, da je prišlo do določenih kršitev (in zahtevanje razkritja konkretnih podatkov, da se potrdi navedena domneva).

65.

Narava (in v skladu s tem obseg) obeh vrst prenosov z razkritjem podatkov je nujno različna. Logika iskanja in odkrivanja je ex ante, široka in večinoma nedoločna glede konkretnih posameznikov, na katere se nanašajo osebni podatki. Če je cilj odkriti morebitne kršitve, je treba metaforično mrežo vreči precej široko. Nasprotno pa je lahko logika preverjanja morebitnih kršitev z razkritjem ustreznih podatkov lahko veliko bolj niansirana in osredotočena. Pri tem je logika veliko bolj ex post, osredotočena na preverjanje določenih sumov, ki se običajno nanašajo na že določljivega posameznika, na katerega se nanašajo osebni podatki.

66.

Po mojem mnenju člen 6 Splošne uredbe o varstvu podatkov dovoljuje obe možnosti. Glede na navedeno člen 6(3) Splošne uredbe o varstvu podatkov predpisuje jasno pravno podlago za obe taki vrsti prenosov podatkov.

67.

Vendar razumem obotavljanje predložitvenega sodišča v okoliščinah obravnavane zadeve, če se upošteva besedilo člena 15(6) zakona o davkih in dajatvah. V besedilu, ki je bilo očitno v veljavi, ko je predložitveno sodišče vložilo predlog za sprejetje predhodne odločbe, je bilo navedeno, da so lahko ponudniki storitev objave oglasov po internetu dolžni na zahtevo davčne uprave zagotoviti informacije o (zadevnih) davčnih zavezancih.

68.

Zato se v obravnavani zadevi zdi, da je namen razkritja, naveden v ustrezni pravni podlagi, podoben drugemu zgoraj opisanemu primeru: preverjanje določenih informacij glede konkretnih davčnih zavezancev. Vendar se zdi, da je nacionalni davčni organ navedeno pravno podlago uporabil za nekaj, kar je videti kot zahteva za (neomejene) prenose podatkov ali celo čisto nabiranje podatkov, da se izvedeta splošno iskanje in odkrivanje, kar spada v prvi zgoraj opisani primer. Ravno tu se lahko najde logično neskladje, za katero se zdi, da je pravi vzrok za to zadevo na nacionalni ravni, in ki prinaša občutek zmede tako glede sorazmernosti takega ukrepa (podrazdelek 2) kot tudi njegove ustrezne pravne podlage (podrazdelek 3).

69.

Sorazmernost – in navsezadnje tudi „najmanjši obseg“ – je preizkus razmerja med (navedenimi) cilji in (izbranimi) sredstvi. Težava pri obravnavani zadevi je ta, da bo presoja sorazmernosti verjetno različna glede na cilj, ki je izbran med ravnokar opisanima (idealnima ( 38 )) primeroma.

70.

Javni organi bodo v okviru cilja „iskanja in odkrivanja“ vrgli mrežo čim dlje in s tem poskrbeli, da se ustrezne informacije lahko najdejo. To lahko povzroči obdelavo velike količine podatkov. Dejansko je potreba po pridobitvi in obdelavi večjih naborov podatkov neločljivo povezana z navedeno vrsto splošnega ter nedoločnega iskanja informacij. V navedenem scenariju sta sorazmernost in najmanjši obseg obdelave podatkov v resnici lahko povezana le z vrsto zahtevanih podatkov, v okviru katerih je mogoče najti potrebne informacije. ( 39 )

71.

V okviru cilja „preverjanja“, pri čemer morajo javni organi pridobiti dokaze v zvezi z vsebino konkretne transakcije ali sklopa transakcij, je lahko presoja sorazmernosti seveda zahtevnejša. Davčni organ lahko tedaj zahteva le konkretne transakcije v konkretnem časovnem okviru, da opravi preverjanje ex post, običajno v zvezi z dejansko določenimi davčnimi zavezanci. Zahteve po informacijah se bodo torej verjetno nanašale na konkretne podatke, ki vsebujejo navedeno vrsto informacij.

72.

Zdi se, da se logika uvodne izjave 31 Splošne uredbe o varstvu podatkov, kolikor jo lahko sploh prepoznam, nanaša le na zadnjenavedeni primer. Drugi stavek navedene uvodne izjave, na katerega so se oprle in o njem obsežno razpravljale zainteresirane stranke, zlasti Komisija, pravi, da bi morale biti zahteve za sporočitev podatkov, ki jih predložijo javni organi, vedno v pisni obliki, utemeljene in občasne ter ne bi smele zadevati celotne zbirke ali voditi k medsebojnemu povezovanju zbirk.

73.

Kljub temu po mojem mnenju ni mogoče vzeti (dela) uvodne izjave uredbe iz njenega sobesedila, jo obravnavati kot neodvisno in zavezujočo določbo, ne da bi se sploh odražala kjer koli drugje v pravno zavezujočem besedilu navedenega instrumenta, ( 40 ) in na tej podlagi razglasiti, da do prenosa osebnih podatkov javnim organom lahko pride le pod navedenimi pogoji. Preprosto ne morem sprejeti predloga, da del uvodne izjave 31, vzet ločeno, prepoveduje vse obsežnejše prenose podatkov javnim organom, tudi tiste, ki imajo ustrezno pravno podlago (v nacionalnem pravu in/ali pravu EU) ter so v skladu z vsemi zavezujočimi določbami Splošne uredbe o varstvu podatkov.

74.

V okviru obravnavane zadeve je latvijska vlada trdila, da se količina zahtevanih informacij lahko šteje za razumno, kadar zahteva za sporočitev vključuje le oglase, objavljene v razdelku „Motorna vozila“, ki je eden od 112 razdelkov zadevnega spletišča, ki ga upravlja tožeča stranka. Belgijska in španska vlada sta dodali, da po njunem mnenju ni vprašljiva količina podatkov, temveč predvsem vrsta zahtevanih podatkov.

75.

Strinjam se z navedenimi stališči.

76.

Sorazmernost za iskanje in odkrivanje ex ante pomeni „preverjanje kakovosti“ v zvezi z vrsto zahtevanih podatkov. „Preverjanje količine“ je mogoče razviti le za preverjanje določenih dejstev ex post. Če bi bilo drugače, bi bila večina sredstev za spremljanje ali nadzor podatkov v praksi izključena.

77.

Če obstaja ustrezna pravna podlaga v pravu EU ali nacionalnem pravu, lahko davčni organ načeloma zahteva vse potrebne podatke za vrsto preizkusa, ki ga mora opraviti, brez kakršne koli časovne omejitve. Edina omejitev, ki izhaja iz Splošne uredbe o varstvu podatkov, je sorazmernost z vidika vrste zahtevanih podatkov. Kot grška vlada pravilno poudarja, bi morale biti zahteve po informacijah omejene na vrsto podatkov, ki se nanašajo na gospodarsko dejavnost davčnih zavezancev in ne na njihovo zasebno življenje.

78.

Na primer, če je navedeni namen odkriti neprijavljene prihodke od prodaje rabljenih vozil, davčni organ nima pravice zahtevati tudi informacij, ali je oseba, ki prodaja vozilo, rdečelasa, ali se prehranjuje na določen način oziroma ali ima bazen. Vrsta zahtevanih informacij se mora torej jasno nanašati na razkrito iskanje in preiskavo.

79.

Sicer pa je naloga nacionalnega sodišča, da v katerem koli od zgoraj opredeljenih primerov opravi presojo sorazmernosti ob upoštevanju dejanskih in pravnih okoliščin posamezne zadeve. ( 41 ) Preprosto povedano, v obravnavani zadevi je vprašanje, ki ga je treba postaviti, ali je vrsta zahtevanih podatkov primerna za to, da tožena stranka pridobi potrebne informacije za izvedbo svojega navedenega cilja.

80.

Končno je glede na ravnokar podana pojasnila šele zdaj mogoče koristno presoditi ključno vprašanje pravne podlage. Da tožeča stranka lahko opravi obdelavo, se za oba primera, opisana v prejšnjih pododdelkih teh sklepnih predlogov („iskanje in odkrivanje“ ter „preverjanje“), zahteva pravna podlaga v skladu s členom 6(3) Splošne uredbe o varstvu podatkov. Navedena določba jasno omogoča posebno prilagoditev uporabe splošnih pravil Splošne uredbe o varstvu podatkov, določeno s pravom EU ali pravom držav članic.

81.

Vsekakor pa mora določena pravna podlaga logično zajeti konkretni namen in vrsto obdelave, opravljene za navedeni namen. Kako natančno se bo k temu pristopilo, je odvisno od konkretnih prilagoditvenih določb, ki jih država članica ali Unija sprejme v skladu s členom 6(3) Splošne uredbe o varstvu podatkov. V splošnem velja, da je za bolj posplošene, večje in stalnejše prenose podatkov potrebna robustnejša, podrobnejša in izrecnejša zakonodajna podlaga, saj taki prenosi podatkov pomenijo večji poseg v zaščito varstva podatkov. Nasprotno pa je pri bolj individualnih in omejenih zahtevah za razkritje – običajno se nanašajo na enega ali le nekaj posameznikov, na katere se nanašajo osebni podatki – večja verjetnost, da se navedene zahteve lahko izpolnijo na ravni posamičnih upravnih zahtev, pri čemer zakonodajna pooblastitvena določba ostaja precej široka in splošna.

82.

Drugače povedano, regulativni ravni, in sicer zakonodajna ter upravna, ki tvorita končno pravno podlago za obdelavo podatkov, delujeta skupaj. Vsaj ena od njiju mora biti dovolj konkretna in prilagojena določeni vrsti ali določeni količini zahtevanih osebnih podatkov. Več ko je za take prenose podatkov zagotovljeno na zakonodajni, strukturni ravni, manj je potrebno v posamični upravni zahtevi. Zakonodajna raven je lahko celo tako podrobna in celovita, da bo popolnoma samozadostna in samoizvršljiva. Nasprotno velja, da je pri splošnejši in nejasnejši zakonodajni ravni na ravni posamične upravne zahteve potrebnih več podrobnosti, vključno z jasno navedbo namena, ki bo tako omejil obseg.

83.

To posredno daje odgovor na vprašanje predložitvenega sodišča glede sorazmernosti, ki bi bilo lahko dejansko najbolje obravnavano tu pri ugotavljanju, ali lahko davčni organi predložijo zahteve, ki so časovno neomejene. Menim, da na podlagi Splošne uredbe o varstvu podatkov lahko. Kljub temu bi primernejše vprašanje moralo biti, ali imajo ustrezno pravno podlago v nacionalnem pravu za nekaj, kar je po vsebini neprekinjen in stalen prenos podatkov. Dokler sta v nacionalnem pravu podlaga in trajanje takih prenosov jasna, jima člen 6(3) Splošne uredbe o varstvu podatkov ne nasprotuje. Ponovno, v zvezi s tem uvodna izjava 31 Splošne uredbe o varstvu podatkov prinaša malo sprememb. ( 42 ) Zdi se mi, da je razumevanje navedene uvodne izjave, kot da od upravnih organov dejansko zahteva, da vsakič znova (vsak dan, mesec ali leto) izdajo enake posamične zahteve, da pridobijo nekaj, kar bi lahko pridobili že na podlagi nacionalne zakonodaje, praktično le malo smiselno.

84.

V obravnavani zadevi se zdi, da pravno podlago za obdelavo pomenijo tako člen 15(6) zakona o davkih in dajatvah kot tudi konkretne zahteve davčnega organa za razkritje podatkov. Pri tem se zdi, da obstaja dvojna pravna podlaga s splošno zakonodajno pooblastitveno določbo in njeno konkretno, ciljno usmerjeno uporabo.

85.

Na splošno se zdi, da taka dvojna pravna podlaga zadostuje za upravičenje obdelave osebnih podatkov, ki jo tožeča stranka opravi zaradi njihovega prenosa javnemu organu v skladu s členom 6(1)(c) in 6(3) Splošne uredbe o varstvu podatkov. Čeprav je nacionalna zakonodaja, ki pooblašča davčne organe, da zahtevajo informacije, precej splošna, se zdi, da so konkretne zahteve po podatkih večinoma usmerjene na določeno vrsto podatkov kljub njihovi potencialno veliki količini.

86.

Kljub temu je na koncu naloga nacionalnega sodišča, da ob popolnem poznavanju nacionalnega prava, vključno z vsemi dodatnimi nacionalnimi izvedbenimi pravili, ki niso bila omenjena v obravnavanem postopku, preveri, ali obdelava, ki jo opravi tožeča stranka in je zahtevana v sporu o glavni stvari, izpolnjuje zahteve iz dela teh sklepnih predlogov.

87.

Vprašanje, ki je v središču navedene presoje in ki mu je treba nameniti posebno pozornost, je, ali je člen 15(6) zakona o davkih in dajatvah, skupaj s konkretnimi zahtevami po informacijah, v skladu z zahtevo po predvidljivosti ( 43 ) pri preizkusu pravne podlage. Zakonodaja, ki omogoča prenose podatkov, mora določiti jasna in natančna pravila, ki urejajo obseg in uporabo zadevnega ukrepa, ter naložiti minimalne zahteve, tako da imajo osebe, za katerih osebne podatke gre, na voljo zadostna jamstva, ki omogočajo učinkovito varovanje teh podatkov pred tveganji zlorabe. ( 44 )

88.

Pravna podlaga kot celota (zakonodajna in upravna skupaj) mora biti torej oblikovana dovolj natančno za vse zadevne osebe: javne organe glede tega, kaj lahko zahtevajo, podjetja glede tega, kaj lahko zagotovijo, predvsem pa posameznike, na katere se nanašajo osebni podatki, da bodo vedeli, kdo bi lahko imel dostop do njihovih podatkov in za kakšne namene. Spomniti velja, da so informacije o obdelavi podatkov dejansko ključna zahteva iz Splošne uredbe po varstvu podatkov. Posamezniki, na katere se nanašajo osebni podatki, morajo biti seznanjeni z obstojem take obdelave, navedene informacije pa so osnovni pogoj za uveljavljanje nadaljnjih pravic do dostopa, izbrisa ali popravka. ( 45 )

89.

Razen če ni bil člen 23 Splošne uredbe o varstvu podatkov kakor koli prenesen v nacionalno pravo, da se omejijo pravice posameznikov, na katere se nanašajo osebni podatki, v skladu s poglavjem III Splošne uredbe o varstvu podatkov, iz členov 13 in 14 Splošne uredbe o varstvu podatkov izhaja, da upravljavec obdelave posamezniku, na katerega se nanašajo osebni podatki, zagotovi informacije. V okoliščinah zaporednih prenosov podatkov je morda težko določiti, kdo je zadolžen za obveščanje. ( 46 ) Poleg tega ima lahko v praktičnem smislu, kadar ni omejitev, sprejetih v skladu s členom 23(1) Splošne uredbe o varstvu podatkov, ki morajo v nacionalnem pravu izpolniti zahtevo iz člena 23(2) Splošne uredbe o varstvu podatkov, javni organ, ki je pridobil podatke, obveznost zagotavljanja ustreznih informacij v skladu s členom 14 Splošne uredbe o varstvu podatkov vsem zadevnim posameznikom, na katere se nanašajo osebni podatki. Če ni jasne in predvidljive pravne podlage, ki dovoljuje, da se taki prenosi podatkov na koncu opravijo, je težko pričakovati, da bo upravljavec, ki je zbral podatke, že ustrezno obvestil posameznika, na katerega se nanašajo osebni podatki, v skladu s členom 13 Splošne uredbe o varstvu podatkov.

90.

Torej skratka, menim, da člen 6(1)(c) in 6(3) Splošne uredbe o varstvu podatkov ne nasprotuje nacionalnim pravilom, da določijo časovno neomejene obveznosti za ponudnike storitev objave oglasov na internetu, da davčnemu organu sporočajo določene osebne podatke, dokler je za tako vrsto prenosov podatkov v nacionalnem pravu jasna pravna podlaga ter so zahtevani podatki primerni in ustrezni za opravljanje uradnih nalog davčnega organa.

91.

Nisem v vlogi, ko bi moral ugibati, kakšni so resnični motivi strank pred nacionalnim sodiščem. Zato bom ostal zvest upanju v obstoj dobrih samarijanov, ki nesebično branijo druge. Zakaj zasebno podjetje ne more preprosto braniti pravic posameznikov, na katere se nanašajo osebni podatki in od katerih so jih zbrali?

92.

Čeprav se je treba skoraj veseliti, ko se komercialna podjetja zavzemajo za varstvo podatkov, domnevam, da imajo nekatera druga podjetja lahko tudi druge razloge, iz katerih želijo nasprotovati prenosom podatkov, ki so jih zbrali, odrejenim od javne oblasti. Eden od razlogov je lahko povezan s stroški takega prizadevanja. Ali naj se javnim organom dovoli, da dejansko oddajo del izvajanja javnega upravljanja v zunanje izvajanje in da se s tem zasebna podjetja prisili, da krijejo stroške izvajanja v bistvu javnega upravljanja? Navedeno vprašanje postane pomembno v primerih stalnih, obsežnih prenosov podatkov, ki naj bi jih zasebna podjetja opravljala za skupno dobro brez kakršnega koli nadomestila. ( 47 ) Drugi razlogi so lahko bolj povezani s poslovanjem. Če se za hip predpostavi, seveda na povsem hipotetični ravni, da ljudje v splošnem neradi plačujejo davke, morda ne bo za lase privlečeno, če še predpostavi, da lahko nekateri med njimi izberejo druga mesta za oglaševanje rabljenih vozil, kot je spletišče, ki nato navedene informacije sporoča davčnim organom.

93.

Iskanje ravnovesja med vsemi interesi v takem primeru je vse prej kot preprosto. Po eni strani bi se dejstvo, da javna oblast od zasebnih podjetij zahteva podatke, ki morajo biti pripravljeni in predloženi v skladu z njenimi natančnimi zahtevami, lahko nevarno približalo prisilnemu oddajanju izvajanja javnega upravljanja v zunanje izvajanje. To se lahko zlasti zgodi v zvezi s podatki, ki so sicer prosto dostopni in ki bi jih javni organi lahko sami pridobili z nekaj tehničnega napora. Po drugi strani je, kot je belgijska vlada ustrezno poudarila z izpostavitvijo širšega pomena okoliščin v sporu o glavni stvari, morda potreben nekoliko bolj niansiran odgovor v primeru različnih oblik skupnih gospodarskih platform ali pri drugih primerih, pri katerih javni organi zahtevajo dostop do podatkov, ki so bistveni za naveden legitimen javni namen, ki pa niso prosto dostopni, zaradi česar jih javni organi ne morejo sami zbrati. Kljub temu tudi v takih okoliščinah vprašanje mogočega nadomestila ostaja odprto.

94.

Zagotovo vidim taka vprašanja, ki prežijo v ozadju spora o glavni stvari. Kljub temu bi bilo treba razumno ravnotežje za take primere poiskati predvsem na nacionalni ravni ali ravni EU pri sprejemanju ustrezne zakonodaje, ki zagotavlja pravno podlago za tovrstne prenose. To ne bi smelo biti stvar sodnega ukrepanja, a fortiori v zadevi, v kateri predložitveno sodišče sploh ni izrecno postavilo nobenih takih vprašanj. Poleg tega sta vsaj še dva razloga, zakaj obravnavana zadeva ni prava zadeva za začetek tovrstnih razprav.

95.

Prvič, kot številna druga vprašanja, ki se nekako vrtijo okoli prenosa osebnih podatkov, ki pa se v resnici ne nanašajo na varstvo pravic posameznikov, na katere se nanašajo osebni podatki, Splošna uredba o varstvu podatkov takih vprašanj preprosto ne ureja posebej. Vprašanje zakonitega varstva upravljavcev podatkov – zasebnih podjetij pred morebiti nezakonitim ali nesorazmernim posegom v njihovo svobodo gospodarske pobude, mogočo lastninsko pravico ( 48 ) ali celo njihovo morebitno pravico do pravičnega nadomestila za prenesene podatke – ni vprašanje, ki ga ureja Splošna uredba o varstvu podatkov.

96.

Drugič, dokler pravo EU ne določa pravne podlage za tak prenos podatkov, ( 49 ) je vprašanje morebitnega nadomestila za take naložene prenose podatkov le stežka stvar prava EU. To pa ne pomeni, da do takih vprašanj morda ne bo prišlo, tudi v okviru varstva temeljnih pravic (zadevnih upravljavcev podatkov). Vendar bi navedena vprašanja nato morala ustrezno obravnavati sodišča države članice, ki bi sploh naložila take prenose. Vsak tovrsten primer bi torej moral biti predložen nacionalnemu (ustavnemu) sodišču.

97.

Sodišču predlagam, naj na vprašanja za predhodno odločanje, ki jih je postavilo Administratīvā apgabaltiesa (regionalno upravno sodišče, Latvija), odgovori: