Przetwarzanie danych osobowych do celów podatkowych

Przepisy rozporządzenia 2016/679 należy interpretować w ten sposób, że wymogom tego rozporządzenia, a w szczególności tym, o których mowa w jego art. 5 ust. 1, podlega zbieranie od podmiotu gospodarczego przez organ podatkowy państwa członkowskiego informacji zawierających znaczną ilość danych osobowych.

Organ podatkowy państwa członkowskiego nie może odstąpić od stosowania przepisów art. 5 ust. 1 tego rozporządzenia, w sytuacji gdy takie prawo nie zostało mu przyznane na mocy aktu prawnego w rozumieniu art. 23 ust. 1 wskazanego rozporządzenia.

Przepisy rozporządzenia 2016/679 należy interpretować w ten sposób, iż nie stoją one na przeszkodzie nałożeniu przez organ podatkowy państwa członkowskiego na podmiot świadczący usługi w zakresie publikacji ogłoszeń w Internecie obowiązku przekazywania temu organowi informacji dotyczących podatników, którzy opublikowali ogłoszenia w jednej z rubryk portalu internetowego prowadzonego przez ten podmiot, pod warunkiem że dane te są niezbędne w świetle konkretnych celów, do których są one zbierane, i że okres, w odniesieniu do którego owe dane są zbierane, nie przekracza czasu, jaki jest absolutnie niezbędny do osiągnięcia zamierzonego celu interesu ogólnego.

Wniosek, w którym organ podatkowy państwa członkowskiego domaga się od podmiotu gospodarczego przekazania i udostępnienia danych osobowych, które ten ostatni jest zobowiązany dostarczyć i udostępnić temu organowi na podstawie przepisów krajowych tego państwa członkowskiego, rozpoczyna proces „zbierania” tych danych w rozumieniu art. 4 pkt 2 rozporządzenia 2016/679. Przekazanie i udostępnienie temu organowi rzeczonych danych przez zainteresowany podmiot gospodarczy wiąże się z „przetwarzaniem” w rozumieniu art. 4 pkt 2 tego rozporządzenia.

Art. 2 ust. 2 lit. d) rozporządzenia 2016/679 przewiduje, że rozporządzenie to nie ma zastosowania do przetwarzania danych osobowych dokonywanego przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar.

Z motywu 10 dyrektywy 2016/680 wynika, że pojęcie „właściwego organu” należy rozumieć w związku z ochroną danych osobowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej, z uwzględnieniem zmian, które mogą okazać się niezbędne w tym względzie ze względu na szczególny charakter tych dziedzin. Ponadto motyw 11 tej dyrektywy mówi o tym, że rozporządzenie 2016/679 ma zastosowanie do przetwarzania danych osobowych dokonywanego przez „właściwy organ” w rozumieniu art. 3 pkt 7 tej dyrektywy, lecz do celów innych niż w niej przewidziane [wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C-439/19].

W związku z tym nie wydaje się, aby w sytuacji gdy organ podatkowy państwa członkowskiego zwraca się do podmiotu gospodarczego o przekazanie mu danych osobowych dotyczących niektórych podatników w celu poboru podatku i zwalczania przestępstw podatkowych, ów organ mógł zostać uznany za „właściwy organ” w rozumieniu art. 3 pkt 7 dyrektywy 2016/680, a związku z tym, aby takie wnioski o udzielenie informacji mogły być objęte wyjątkiem przewidzianym w art. 2 ust. 2 lit. d) rozporządzenia 2016/679.

Nawet jeśli nie można wykluczyć wykorzystania danych osobowych, o których mowa w postępowaniu głównym, w kontekście postępowań karnych, które mogłyby zostać wszczęte przeciwko niektórym osobom w przypadku podejrzenia popełnienia przestępstwa skarbowego, nie wydaje się, żeby owe dane był zgromadzone w szczególnym celu prowadzenia takich postępowań karnych lub w ramach działalności państwa w obszarach prawa karnego (zob. podobnie wyrok z dnia 27 września 2017 r., Puškár, C-73/16).

W związku z tym zbieranie przez organ podatkowy państwa członkowskiego danych osobowych dotyczących ogłoszeń sprzedaży pojazdów publikowanych na stronie internetowej podmiotu gospodarczego jest objęte przedmiotowym zakresem stosowania rozporządzenia 2016/679 i w konsekwencji organ ten musi przestrzegać w szczególności zasad dotyczących przetwarzania danych osobowych, określonych w art. 5 tego rozporządzenia.

Pobór podatku i zwalczanie przestępstw podatkowych należy uznać za zadania realizowane w interesie publicznym w rozumieniu art. 6 ust. 1 akapit pierwszy lit. e) rozporządzenia 2016/679 (zob. analogicznie wyrok z dnia 27 września 2017 r., Puškár, C-73/16).

W przypadku gdy przekazanie danych osobowych nie jest bezpośrednio oparte na przepisie prawnym stanowiącym jego podstawę, lecz wynika z żądania właściwego organu władzy publicznej, konieczne jest, aby w treści tego żądania określono konkretne cele tego zbierania danych z punktu widzenia zadania realizowanego w interesie publicznym lub sprawowania władzy publicznej, tak aby adresat owego żądania mógł upewnić się, że przekazanie danych osobowych jest zgodne z prawem oraz aby sądy krajowe mogły przeprowadzić kontrolę zgodności z prawem danej operacji przetwarzania.

Zgodnie z art. 5 ust. 1 lit. c) rozporządzenia 2016/679 dane osobowe powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Odstępstwa i ograniczenia zasady ochrony takich danych powinny być stosowane w granicach tego, co jest ściśle konieczne [zob. podobnie wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima, C-439/19]. Wynika z tego, że administrator danych, również wówczas, gdy działa w ramach powierzonego mu zadania realizowanego w interesie publicznym, nie może zbierać danych osobowych w sposób ogólny i niezróżnicowany oraz że powinien on powstrzymać się od zbierania danych, które nie są absolutnie niezbędne z punktu widzenia celów przetwarzania.

Zgodnie z zasadą odpowiedzialności ustanowioną w art. 5 ust. 2 rozporządzenia 2016/679 administrator danych powinien być w stanie wykazać, że przestrzega określonych w ust. 1 tego artykułu zasad dotyczących przetwarzania danych osobowych.

Wyrok TSUE z dnia 24 lutego 2022 r., C-175/20

Standard: 84239 (pełna treść orzeczenia)