62014CJ0201[1]
A Bíróság ítélete (harmadik tanács), 2015. október 1-je. Smaranda Bara e.a. kontra Casa Naţională de Asigurări de Sănătate és társai. A Curtea de Apel Cluj (Románia) által benyújtott előzetes döntéshozatal iránti kérelem. Előzetes döntéshozatal iránti kérelem - 95/46/EK irányelv - Személyes adatok kezelése - 10. és 11. cikk - Az érintettek tájékoztatása - 13. cikk - Mentességek és korlátozások - Személyes adóadatok tagállami közigazgatási szerv által másik közigazgatási szerv részére, adatkezelés céljából történő továbbítása. C-201/14. sz. ügy.
A BÍRÓSÁG ÍTÉLETE (harmadik tanács)
2015. október 1-je ( * )
"Előzetes döntéshozatal iránti kérelem - 95/46/EK irányelv - Személyes adatok kezelése - 10. és 11. cikk - Az érintettek tájékoztatása - 13. cikk - Mentességek és korlátozások - Személyes adóadatok tagállami közigazgatási szerv által másik közigazgatási szerv részére, adatkezelés céljából történő továbbítása"
A C-201/14. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Curtea de Apel Cluj (Románia) a Bírósághoz 2014. április 22-én érkezett, 2014. március 31-i határozatával terjesztett elő az előtte
Smaranda Bara és társai
és
a Președintele Casei Naționale de Asigurări de Sănătate,
a Casa Naţională de Asigurări de Sănătate,
az Agenţia Naţională de Administrare Fiscală (ANAF)
között folyamatban levő eljárásban,
A BÍRÓSÁG (harmadik tanács),
tagjai: M. Ilešič tanácselnök, A. Ó Caoimh, C. Toader, E. Jarašiūnas és C. G. Fernlund (előadó) bírák,
főtanácsnok: P. Cruz Villalón,
hivatalvezető: L. Carrasco Marco tanácsos,
tekintettel az írásbeli szakaszra és a 2015. április 29-i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
- Smaranda Bara és társai képviseletében F. Costaş és K. Kapcza avocați,
- a Casa Naţională de Asigurări de Sănătate képviseletében V. Ciurchea, meghatalmazotti minőségben,
- a román kormány képviseletében R. H. Radu, A. Buzoianu, A.-G. Văcaru és D. M. Bulancea, meghatalmazotti minőségben,
- a cseh kormány képviseletében M. Smolek és J. Vláčil, meghatalmazotti minőségben,
- az Európai Bizottság képviseletében I. Rogalski, B. Martenczuk és J. Vondung, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2015. július 9-i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem az EUMSZ 124. cikk, valamint a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv (HL L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) értelmezésére irányul.
2 Ezt a kérelmet az S. Bara és társai, valamint a Președintele Casei Naționale de Asigurări de Sănătate (a nemzeti egészségbiztosítási pénztár elnöke), a Casa Națională de Asigurări de Sănătate (nemzeti egészségbiztosítási pénztár, a továbbiakban: CNAS) és az Agenția Națională de Administrare Fiscală (nemzeti adóhivatal, a továbbiakban: ANAF) között bizonyos személyes adatok kezelése tárgyában terjesztették elő.
Jogi háttér
Az uniós jog
3 A 95/46 irányelv "Fogalommeghatározások" című 2. cikke értelmében: "Ezen irányelv alkalmazásában: [...]"
a) »személyes adat« az azonosított vagy azonosítható természetes személyre (»érintettre«) vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi [helyesen: mentális], gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén;
b) »személyes adatok feldolgozása« (»feldolgozás«) [helyesen: »személyes adatok kezelése« (»kezelés«)] a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés [helyesen: lekérdezés], felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés;
c) »személyesadat-nyilvántartó rendszer« (»nyilvántartó rendszer«) a személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető;
d) »adatkezelő« az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának [helyesen: kezelésének] céljait és módját; ha a célokat és módokat egy adott nemzeti vagy közösségi jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez a nemzeti vagy közösségi jogszabály jelöli ki;
4 Ezen irányelv "Hatály" című 3. cikke a következőket tartalmazza: "(1) Ezen irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon való feldolgozására [helyesen: kezelésére], valamint azoknak a személyes adatoknak a nem automatizált módon való feldolgozására [helyesen: kezelésére], amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. (2) Az irányelv nem alkalmazandó [helyesen: nem alkalmazható] az alábbi személyesadat-feldolgozásokra [helyesen: személyesadat-kezelésekre]:
- a közösségi jog hatályán kívül eső tevékenységek, mint például az Európai Unióról szóló szerződés V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási [helyesen: kezelési] művelet nemzetbiztonsági ügyre vonatkozik [helyesen: nemzetbiztonsági üggyel kapcsolatos]), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási [helyesen: kezelési] műveletek,
- a természetes személy által kizárólag személyes célú vagy háztartási tevékenysége keretében végzett adatfeldolgozás [helyesen: adatkezelés]."
5 Az említett irányelv 6. cikke, amely az adatok minőségére vonatkozó elveket tartalmazza, így rendelkezik: "(1) A tagállamok rendelkeznek arról, hogy a személyes adatok: (2) Az adatkezelő feladata gondoskodni arról, hogy az (1) bekezdés rendelkezései teljesüljenek."
a) feldolgozását [helyesen: kezelését] tisztességesen és törvényesen kell végezni;
b) gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozása [helyesen: kezelése] nem végezhető e célokkal összeférhetetlen módon. A személyes adatok további feldolgozása [helyesen: kezelése] történelmi, statisztikai vagy tudományos célokra nem tekintendő összeférhetetlennek, amennyiben a tagállamok biztosítják a megfelelő garanciákat;
c) gyűjtésük és/vagy további feldolgozásuk [helyesen: kezelésük] célja szempontjából megfelelőek, relevánsak és nem túlzott mértékűek;
d) pontosak, és ha szükséges, időszerűek kell, hogy legyenek; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy a hibás vagy hiányos adatok, tekintettel gyűjtésük vagy további feldolgozásuk [helyesen: kezelésük] céljaira, törlésre vagy helyesbítésre kerüljenek;
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé. A tagállamok állapítják meg a személyes adatok történelmi, statisztikai vagy tudományos célból, hosszabb ideig történő tárolásának megfelelő garanciáit.
6 Ugyanezen irányelv 7. cikke, amely az adatkezelés jogszerűvé tételére vonatkozó kritériumokról szól, így rendelkezik: "A tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben dolgozhatók fel [helyesen: kezelhetők], ha
a) az érintett ahhoz egyértelmű hozzájárulását adta;
vagy
b) az adatfeldolgozás [helyesen: adatkezelés] olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
vagy
c) az adatfeldolgozás [helyesen: adatkezelés] az adatkezelőre vonatkozó jogi kötelezettségnek teljesítéséhez szükséges;
vagy
d) feldolgozásuk [helyesen: kezelésük] az érintett létfontosságú érdekei védelméhez szükséges;
vagy
e) az adatfeldolgozás [helyesen: adatkezelés] közérdekből elvégzendő feladat végrehajtásához vagy az adatkezelőre, illetve az adatokról tudomást szerző harmadik félre ruházott hivatali hatáskör gyakorlásához szükséges [helyesen: illetve azon harmadik félre ruházott közhatalmi hatáskör gyakorlásához szükséges, akivel az adatokat közölték];
vagy
f) az adatfeldolgozás [helyesen: adatkezelés] az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az 1. cikk (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében."
7 A 95/46 irányelv "Tájékoztatás az érintettől való adatgyűjtés esetében" című 10. cikke a következőket tartalmazza: "A tagállamoknak rendelkezniük kell arról, hogy az adatkezelőnek vagy képviselőjének legalább az alábbiakról tájékoztatnia kell az érintettet, akitől a rá vonatkozó adatokat gyűjtik, kivéve ha az érintett már rendelkezik ezen információkkal:
a) az adatkezelő, vagy ha van ilyen, képviselőjének személye;
b) az adatfeldolgozás [helyesen: adatkezelés] célja, amelyre az adatokat szánják;
c) minden olyan további adat, mint például: amennyiben e további információk, tekintettel az adatgyűjtés sajátos körülményeire, az érintett vonatkozásában a tisztességes adatfeldolgozás [helyesen: adatkezelés] biztosításához szükségesek."
- az adatok címzettjei vagy a címzettek kategóriái,
- hogy a kérdések megválaszolása kötelező vagy önkéntes, továbbá a válaszadás elmulasztásának lehetséges következményei,
- betekintési jog és az érintettre vonatkozó adatok helyesbítéséhez való jog,
8 Ezen irányelv "Tájékoztatás, ha az adatokat nem az érintettől szerezték be" címet viselő 11. cikke a következőképpen fogalmaz: "(1) Abban az esetben, ha az adatokat nem az érintettől szerezték be, a tagállamoknak rendelkezniük kell arról, hogy az adatkezelő vagy képviselője a személyes adatok felvételének elvállalásakor, illetve, ha az adatokat harmadik személyhez szándékoznak továbbítani, legkésőbb az adatok első közlésekor köteles az érintettel legalább az alábbi információkat közölni, kivéve, ha az érintett már rendelkezik ezekkel az információkkal: (2) Az (1) bekezdés nem alkalmazható, különösen a statisztikai célú vagy a történelmi, vagy tudományos célú adatfeldolgozás esetében, ha a kérdéses információk rendelkezésre bocsátása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényel, illetve ha a rögzítést vagy a közlést jogszabály kifejezetten előírja. Ezekben az esetekben a tagállamoknak garantálniuk kell a megfelelő biztosítékokat."
a) az adatkezelő, vagy ha van ilyen, képviselőjének személye;
b) az adatfeldolgozás [helyesen: adatkezelés] célja;
c) bármely egyéb információ, mint például: amennyiben e további információk, tekintettel az adatgyűjtés sajátos körülményeire, az érintett vonatkozásában a tisztességes adatfeldolgozás [helyesen: adatkezelés] biztosításához szükségesek.
- az érintett adatok kategóriái,
- az adatok címzettjei vagy a címzettek kategóriái,
- betekintési jog és az érintettre vonatkozó adatok helyesbítéséhez való jog,
9 Az említett irányelv "Mentességek és korlátozások" című 13. cikke a következőképpen rendelkezik: "(1) A tagállamok jogszabályokat fogadhatnak el a 6. cikk (1) bekezdésében, a 10. cikkben, a 11. cikk (1) bekezdésében, valamint a 12. és a 21. cikkben foglalt jogok és kötelezettségek körének korlátozására, amennyiben a korlátozás az alábbiak biztosításához szükséges: (2) Megfelelő jogi garanciák mellett, különösen ha az adatokat nem használják fel meghatározott egyénre vonatkozó intézkedések vagy döntések hozatalához olyan esetben, amikor nyilvánvalóan nem áll fenn annak a veszélye, hogy az érintett magánélethez való jogát sérelem éri, a tagállamok törvényes eszközökkel korlátozhatják a 12. cikkben foglalt jogokat, amennyiben az adatokat kizárólag tudományos kutatás céljára használják fel, vagy személyes jellegüket megőrző formában csak a statisztika elkészítéséhez szükséges ideig tárolják."
a) nemzetbiztonság;
b) honvédelem;
c) közbiztonság;
d) bűncselekmények vagy a szabályozott foglalkozások etikai vétségeinek megelőzése, vizsgálata, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
e) valamely tagállam vagy az Európai Unió fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket;
f) a c), d) és e) pontban említett esetekben esetlegesen a hatósági feladatok gyakorlásához kapcsolódó ellenőrzési, felügyeleti és szabályozási tevékenység;
g) az érintett, vagy mások jogainak és szabadságainak védelme.
A román jog
A 95/2006. sz. törvény
10 Az előzetes döntéshozatalra utaló határozatból kitűnik, hogy az egészségügyi ágazat átalakításáról szóló, 2006. április 14-i 95/2006. sz. törvény (Legea nr. 95/2006 privind reforma în domeniul sănătății) (2006. április 28-i Monitorul Oficial al României, I. rész, 372. sz.) 215. cikke a következőképpen rendelkezik:
"(1) Az egészségbiztosítási járulékfizetési kötelezettség azt a természetes vagy jogi személyt terheli, aki vagy amely egyedi munkaszerződés vagy a törvényben előírt különleges szabályzat alapján személyeket foglalkoztat, valamint esetlegesen a természetes személyt.
(2) Azok a természetes vagy jogi személyek, akik vagy amelyek számára a biztosítottak tevékenységüket végzik, kötelesek havi esedékességgel benyújtani a biztosítottak által szabadon választott egészségbiztosítási pénztárhoz az őket az alappal szemben terhelő kötelezettségekre vonatkozó név szerinti nyilatkozatot és a járulékfizetés megtörténtének igazolását.
[...]"
11 E törvény 315. cikke a következőket tartalmazza:
"A biztosítotti jogállás megállapításához szükséges adatokat jegyzőkönyv alapján a hatóságok, közintézmények és más intézmények ingyenesen továbbítják az egészségbiztosítási pénztárak részére."
A 617/2007. sz. CNAS elnöki rendelet
12 A biztosítotti vagy járulékfizetés nélküli biztosítotti jogállás megszerzéséhez szükséges igazoló iratok meghatározására és az egységes nemzeti egészségbiztosítási alap részére fizetendő összegek beszedésére vonatkozó intézkedések alkalmazására irányadó végrehajtási szabályok jóváhagyásáról szóló, 2007. augusztus 13-i 617/2007. sz. CNAS elnöki rendelet 35. cikke a következőket mondja ki:
"az alap javára teljesítendő, biztosítási szerződést kötő, az ANAF által végzett pénzügyi beszedéssel érintettektől eltérő természetes személyeket terhelő fizetési kötelezettségek vonatkozásában végrehajtható okiratnak minősülnek az esettől függően a [...] nyilatkozat, a CAS [egészségbiztosítási pénztár] illetékes szerve által kibocsátott megállapítási értesítés, illetve az alap követeléseire vonatkozó bírósági határozatok. A megállapítási értesítést a CAS illetékes szerve bocsáthatja ki, az ANAF-fal kötött jegyzőkönyv alapján továbbított adatok alapján."
A 2007-es jegyzőkönyv
13 A CNAS és az ANAF között megkötött, P 5282/26.10.2007/95896/30.10.2007 sz. jegyzőkönyv (a továbbiakban: 2007-es jegyzőkönyv) 4. cikke értelmében: "A jelen jegyzőkönyv hatálybalépését követően az [ANAF] a megfelelő alárendelt szervein keresztül elektronikus formában rendelkezésre bocsátja a kezdeti elektronikus adatbázist a következők vonatkozásában: [...]".
a. az e jegyzőkönyv 1. cikkének (1) bekezdése szerinti csoportokba tartozó személyek jövedelme, továbbá ezen adatbázis háromhavonkénti frissítése a [CNAS] számára, az automatizált adatkezeléssel kompatibilis adathordozón, e jegyzőkönyv 1. sz. mellékletével összhangban [...].
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
14 Az alapeljárás felperesei önálló vállalkozói tevékenységből szereznek jövedelmet. Az ANAF megküldte a CNAS részére a bevallott jövedelmükre vonatkozó adatokat. A CNAS ezen adatok alapján felszólította őket, hogy fizessék meg az egészségbiztosítási járulékok tekintetében fennálló tartozásukat.
15 Az alapeljárás felperesei a Curtea de Apel Cluj (kolozsvári fellebbviteli bíróság) előtt keresetet indítottak, amelynek keretében a 95/46 irányelvre tekintettel a jövedelmükre vonatkozó adóügyi adatok továbbításának jogszerűségét kifogásolják. Arra hivatkoznak, hogy ezeket a személyes adatokat pusztán egy belső jegyzőkönyv alapján, az alapeljárás felpereseinek kifejezett hozzájárulása és előzetes tájékoztatása nélkül továbbították és használták fel olyan célokra, amelyek eltértek azoktól, amelyek miatt ezeket az adatokat eredetileg közölték az ANAF-fal.
16 Az előzetes döntéshozatalra utaló határozatból kitűnik, hogy a közjogi jogalanyok a 95/2006. sz. törvény alapján továbbíthatják egészségbiztosítási pénztáraknak az érintettek biztosítotti jogállásának megállapításához szükséges személyes adatokat. Ezek személyazonosító adatok (családi név, utónév, személyi azonosító szám, lakcím), a jövedelemre vonatkozó adatok viszont nem tartoznak e körbe.
17 A kérdést előterjesztő bíróság annak megállapítására törekszik, hogy a CNAS általi adatkezeléshez szükség van-e arra, hogy az érintett személyeket előzetesen tájékoztassák az adatkezelő személyéről és az adatok továbbításának céljáról. E bíróságnak arról is határoznia kell, hogy a 2007-es jegyzőkönyv alapján történő adattovábbítás ellentétes-e a 95/46 irányelv azon rendelkezéseivel, amelyek szerint az érintettek jogainak bármely korlátozását törvényben kell előírni és garanciákkal kell ellátni, különösen akkor, ha ezeket az adatokat felhasználják e személyek ellen.
18 E körülmények között a Curtea de Apel Cluj felfüggesztette az eljárást, és előzetes döntéshozatal céljából a következő kérdéseket terjesztette a Bíróság elé:
"1) Az EUMSZ 124. cikk szerinti pénzügyi szervezetnek minősül-e a nemzeti adóhatóság mint a tagállam hatáskörrel rendelkező miniszterét képviselő szerv?
2) Szabályozható-e közigazgatási aktushoz hasonló aktusban, azaz a nemzeti adóhatóság és valamely másik állami intézmény között megkötött jegyzőkönyvben a tagállam állampolgárai által szerzett jövedelmekre vonatkozó adatbázisnak a nemzeti adóhatóságtól a tagállam valamely másik intézménye részére történő továbbítása anélkül, hogy az EUMSZ 124. cikk szerinti kiváltságos hozzáférés valósulna meg?
3) A prudenciális megfontolás EUMSZ 124. cikk szerinti fogalma alá tartozik-e az adatbázis abból a célból történő továbbítása, hogy társadalombiztosítási járulék címén fizetési kötelezettségeket rójanak a tagállam állampolgáraira, azon tagállami intézmény javára, amelynek érdekében a továbbítást végzik?
4) Kezelheti-e olyan hatóság a személyes adatokat, amely nem volt az említett adatok címzettje, amennyiben ez a művelet visszaható hatállyal vagyoni kárt idéz elő?"
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az elfogadhatóságról
Az első, a második és a harmadik kérdés elfogadhatóságáról
19 Az állandó ítélkezési gyakorlat szerint a Bíróság a nemzeti bíróság által előzetes döntéshozatalra előterjesztett kérdés elbírálását akkor tagadhatja meg, ha nyilvánvaló, hogy az uniós jog kért értelmezése nem függ össze az alapeljárás tényállásával vagy tárgyával, ha a szóban forgó probléma hipotetikus jellegű, vagy ha a Bíróság nem rendelkezik azon ténybeli és jogi elemek ismeretével, amelyek szükségesek ahhoz, hogy a neki feltett kérdésekre hasznos választ adjon (lásd: PreussenElektra-ítélet, C-379/98, EU:C:2001:160, 39. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
20 A Bíróság elé terjesztett valamennyi észrevétel annak megállapítására irányul, hogy az EUMSZ 124. cikk értelmezésére vonatkozóan előzetes döntéshozatalra előterjesztett első, második és harmadik kérdés elfogadhatatlan, mivel nem függ össze az alapeljárás tárgyával.
21 E tekintetben emlékeztetni kell arra, hogy az EUMSZ 124. cikk az EUM-Szerződés harmadik részének a gazdaság- és monetáris politikáról szóló VIII. címe alá tartozik. E cikk értelmében tilos minden olyan intézkedés, amely nem prudenciális megfontoláson alapul, és amely az Unió intézményeinek, szerveinek vagy hivatalainak, a tagállamok központi kormányzatának, regionális vagy helyi közigazgatási szerveinek, közjogi testületeinek, egyéb közintézményeinek vagy közvállalkozásainak kiváltságos hozzáférést biztosít a pénzügyi szervezetekhez.
22 E tilalom az EK-Szerződés 104 A. cikkéből (jelenleg EK 102. cikk) ered, amelyet a Maastrichti Szerződéssel illesztettek be az EK-Szerződésbe. Az EUM-Szerződés gazdaságpolitikára vonatkozó rendelkezései körébe tartozik, amelyek annak biztosítására irányulnak, hogy a tagállamok hatékony és eredményes költségvetési politikát folytassanak, elkerülve azt, hogy az államháztartási hiány monetáris finanszírozása vagy a kormányok pénzpiacokhoz való kiváltságos hozzáférése a tagállamok túlzott eladósodásához vagy túlzott hiányhoz vezessen (lásd ebben az értelemben: Gauweiler és társai ügyben hozott ítélet, C-62/14, EU:C:2015:400, 100. pont).
23 Nyilvánvaló tehát, hogy az EUMSZ 124. cikk kért értelmezése a személyes adatok védelme vonatkozásában nem függ össze az alapeljárás tényállásával vagy tárgyával.
24 Ennélfogva az első, a második és a harmadik kérdésre nem kell választ adni.
A negyedik kérdés elfogadhatóságáról
25 A CNAS és a román kormány kifejti, hogy a negyedik kérdés elfogadhatatlan. A román kormány arra hivatkozik, hogy nincsen összefüggés az alapeljárás felperesei által hivatkozott kár és a megtámadott közigazgatási aktusoknak az alapeljárásban kért megsemmisítése között.
26 E tekintetben emlékeztetni kell arra, hogy a Bíróság állandó ítélkezési gyakorlata szerint a nemzeti bíróság által saját felelősségére meghatározott jogszabályi és ténybeli háttér alapján - amelynek helytállóságát a Bíróság nem vizsgálhatja - az uniós jog értelmezésére vonatkozóan előterjesztett kérdések releváns voltát vélelmezni kell. A nemzeti bíróságok által előterjesztett előzetes döntéshozatal iránti kérelem Bíróság általi elutasítása csak abban az esetben lehetséges, amennyiben nyilvánvaló, hogy az uniós jog kért értelmezése nem függ össze az alapeljárás tényállásával vagy tárgyával, illetve ha a szóban forgó probléma hipotetikus jellegű, vagy a Bíróság nem rendelkezik azon ténybeli és jogi elemek ismeretével, amelyek szükségesek ahhoz, hogy a neki feltett kérdésekre hasznos választ adjon (Fish Legal és Shirley ítélet, C-279/12, EU:C:2013:853, 30. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
27 Rá kell mutatni arra, hogy az alapeljárás az ANAF által gyűjtött adóügyi adatok kezelésének jogszerűségére vonatkozik. A kérdést előterjesztő bíróság a 95/46 irányelv rendelkezéseinek az adatok CNAS részére történő átadása és ezt követő kezelése jogszerűségi vizsgálatával összefüggő értelmezése iránt tudakozódik. Az előzetes döntéshozatalra előterjesztett negyedik kérdés ezért releváns és kellően pontos ahhoz, hogy a Bíróság a neki feltett kérdésekre hasznos választ adjon. Következésképpen az előzetes döntéshozatal iránti kérelmet a negyedik kérdés tekintetében elfogadhatónak kell minősíteni.
Az ügy érdeméről
28 A kérdést előterjesztő bíróság negyedik kérdése lényegében arra irányul, hogy a 95/46 irányelv 10., 11. és 13. cikkét úgy kell-e értelmezni, hogy azokkal ellentétesek az olyan nemzeti rendelkezések, mint amilyenek az alapeljárásban szerepelnek, amelyek megengedik azt, hogy egy tagállami közigazgatási szerv személyes adatokat továbbítson egy másik közigazgatási szervnek, és hogy ezeket az adatokat a későbbiekben kezeljék, anélkül hogy az érintetteket tájékoztatnák az adattovábbításról és -kezelésről.
29 E tekintetben a kérdést előterjesztő bíróság által szolgáltatott információk alapján meg kell állapítani, hogy az ANAF által a CNAS részére átadott adóügyi adatok az említett irányelv 2. cikkének a) pontja értelmében vett személyes adatoknak minősülnek, mivel "azonosított vagy azonosítható természetes személyre [...] vonatkozó [információról]" van szó (Satakunnan Markkinapörssi és Satamedia ítélet, C-73/07, EU:C:2008:727, 35. pont). Következésképpen mind az ANAF - az általa gyűjtött adatokból készített adatbázis kezeléséért felelős szerv - részéről történő adattovábbítás, mind ezt követően a CNAS általi adatkezelés az irányelv 2. cikkének b) pontja értelmében vett "személyes adatok kezelésének" minősül (lásd ebben az értelemben többek között: Österreichischer Rundfunk és társai ítélet, C-465/00, C-138/01 és C-139/01, EU:C:2003:294, 64. pont; Huber-ítélet, C-524/06, EU:C:2008:724, 43. pont).
30 A 95/46 irányelv "A személyes adatok feldolgozásának jogszerűségére vonatkozó általános szabályok [helyesen: A személyes adatok kezelése jogszerűségének általános feltételei]" című II. fejezetében foglalt rendelkezéseknek megfelelően, az ezen irányelv 13. cikke által engedett eltérésekre is figyelemmel, a személyes adatok bármilyen kezelése meg kell, hogy feleljen egyrészt az említett irányelv 6. cikkében az adatok minőségére vonatkozóan megfogalmazott elveknek, másrészt pedig az adatkezelés jogszerűvé tételére vonatkozóan az ugyanezen irányelv 7. cikkében felsorolt kritériumok valamelyikének (Österreichischer Rundfunk és társai ítélet, C-465/00, C-138/01 és C-139/01, EU:C:2003:294, 65. pont; Huber-ítélet, C-524/06, EU:C:2008:724, 48. pont; ASNEF és FECEMD ítélet, C-468/10 és C-469/10, EU:C:2011:777, 26. pont).
31 Ezenkívül az adatkezelőre, illetve képviselőjére a 95/46 irányelv 10. és 11. cikkében szabályozott tájékoztatási kötelezettség vonatkozik, amely - az ezen irányelv 13. cikke által engedett eltérésekre is figyelemmel - attól függ, hogy ezeket az adatokat az érintett személytől gyűjtötték-e be, vagy sem.
32 Először is az említett irányelv 10. cikkével kapcsolatban meg kell állapítani, hogy e cikk szerint az adatkezelőnek tájékoztatnia kell az e cikk a)-c) pontjában felsorolt információkról az érintettet, akitől a rá vonatkozó adatokat gyűjti, kivéve, ha az érintett már rendelkezik ezen információkkal. Ezek az információk az adatkezelő személyére, az adatkezelés céljára, valamint minden olyan további információra vonatkoznak, amely a tisztességes adatkezelés biztosításához szükséges. A tisztességes adatkezelés biztosításához szükséges további információk között az irányelv 10. cikkének c) pontja kifejezetten említi "az adatok címzettjei[t] vagy a címzettek kategóriái[t]", valamint az említett személyre vonatkozó adatok tekintetében fennálló "betekintési jog[ot] és [...] helyesbítés[hez] való jog[ot]".
33 A személyes adataik kezelése által érintett személyek tájékoztatására vonatkozó ezen kötelezettség - ahogyan erre a főtanácsnok indítványának 74. pontjában rámutatott - annál is inkább fontos, mivel az határozza meg az érintettek részéről a kezelt adatokhoz való hozzáférésre és helyesbítésre irányuló, a 95/46 irányelv 12. cikkében rögzített joguk, illetve az említett adatok kezelésével szembeni tiltakozáshoz való, az irányelv 14. cikkében meghatározott joguk gyakorlását.
34 Következésképpen a személyes adatok tisztességes kezelésének a 95/46 irányelv 6. cikkében foglalt követelménye alapján a közigazgatási szerv köteles tájékoztatni az érintetteket arról, hogy ezeket az adatokat egy másik közigazgatási szerv részére, ez utóbbi szerv mint az említett adatok címzettje által végzendő adatkezelés céljából továbbította.
35 A kérdést előterjesztő bíróság által közölt információk szerint az ANAF nem tájékoztatta az alapeljárás felpereseit a rájuk vonatkozó személyes adatok CNAS részére történt továbbításáról.
36 A román kormány szerint viszont az ANAF - elsősorban a 95/2006. sz. törvény 315. cikke alapján - köteles továbbítani a regionális egészségbiztosítási pénztáraknak az önálló vállalkozói tevékenységből jövedelmet szerző személyek biztosítotti jogállásának CNAS általi megállapításához szükséges információkat.
37 Kétségtelen, hogy a 95/2006. sz. törvény 315. cikke kifejezetten úgy rendelkezik, hogy "a biztosítotti jogállás megállapításához szükséges adatokat jegyzőkönyv alapján a hatóságok, közintézmények és más intézmények ingyenesen továbbítják az egészségbiztosítási pénztárak részére". A kérdést előterjesztő bíróság által adott tájékoztatásból azonban kitűnik, hogy az említett rendelkezés értelmében a biztosítotti jogállás megállapításához szükséges adatok körébe nem tartoznak bele a jövedelemre vonatkozó adatok, mivel a törvény az adóköteles jövedelem nélküli személyek biztosítotti jogállását is elismeri.
38 Ilyen körülmények között a 95/2006 törvény 315. cikke nem minősíthető a 95/46 irányelv 10. cikke értelmében olyan előzetes tájékoztatásnak, amely mentesítheti az adatkezelőt azon kötelezettsége alól, hogy azt a személyt, akitől a jövedelmére vonatkozó adatokat gyűjti, tájékoztassa az adatok címzettjéről. Következésképpen nem állapítható meg, hogy a szóban forgó adattovábbítást a 95/46 irányelv 10. cikkében foglalt rendelkezéseket tiszteletben tartva végezték volna.
39 Meg kell vizsgálni, hogy az érintettek tájékoztatásának elmaradása az említett irányelv 13. cikkének hatálya alá tartozhat-e. A 13. cikk (1) bekezdésének e) és f) pontja szerint ugyanis a tagállamok korlátozhatják az irányelv 10. cikkében foglalt jogok és kötelezettségek körét, amennyiben a korlátozás "valamely tagállam [...] fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket", valamint "a c), d) és e) pontban említett esetekben esetlegesen a hatósági feladatok gyakorlásához kapcsolódó ellenőrzési, felügyeleti és szabályozási tevékenység" biztosításához szükséges. Az említett 13. cikk azonban kifejezetten előírja, hogy az ilyen korlátozást jogszabály elfogadásával lehet bevezetni.
40 Márpedig a kérdést előterjesztő bíróság által említett azon körülmény mellett, hogy a jövedelemre vonatkozó adatok nem tartoznak a biztosítotti jogállás megállapításához szükséges személyes adatok körébe, azt is hangsúlyozni kell, hogy a 95/2006. sz. törvény 315. cikke csupán elvi lehetőségként írja elő a nevezett személyes adatok hatóságok, közintézmények és más intézmények részére történő továbbítását. Az előzetes döntéshozatalra utaló határozatból az is kitűnik, hogy a továbbítható információk meghatározását, valamint az ezen információk továbbítására vonatkozó végrehajtási szabályokat nem jogszabályban, hanem az ANAF és a CNAS között 2007-ben létrejött, hivatalosan közzé nem tett jegyzőkönyvben állapították meg.
41 Ilyen körülmények között nem állapítható meg, hogy fennállnak azok a 95/46 irányelv 13. cikkében foglalt feltételek, amelyek alapján a tagállamok eltérhetnek az irányelv 10. cikkéből eredő jogoktól és kötelezettségektől.
42 Másodszor, az említett irányelv 11. cikkével kapcsolatban meg kell állapítani, hogy e cikk (1) bekezdése úgy rendelkezik, hogy az adatkezelő abban az esetben, ha az adatokat nem az érintettől szerezte be, köteles közölni az érintettel az a)-c) pontban felsorolt információkat. Ezek az információk az adatkezelő személyére, az adatkezelés céljára, valamint minden olyan további információra vonatkoznak, amely a tisztességes adatkezelés biztosításához szükséges. Ezen további információk között az irányelv 11. cikke (1) bekezdésének c) pontja kifejezetten említi "az érintett adatok kategóriái[t]", valamint az említett személyre vonatkozó adatok tekintetében fennálló "betekintési jog[ot] és [...] helyesbítés[hez] való jog[ot]".
43 Következésképpen a 95/46 irányelv 11. cikke (1) bekezdésének b) és c) pontja értelmében az alapeljárásban fennálló körülmények között az ANAF által továbbított adatok CNAS általi kezelése azt vonja maga után, hogy az érintett személyeket tájékoztatni kell a rájuk vonatkozó adatok kezelésének céljáról és az adatok kategóriáiról.
44 A kérdést előterjesztő bíróság által adott tájékoztatás szerint azonban a CNAS nem közölte az alapeljárás felpereseivel az említett irányelv 11. cikke (1) bekezdésének a)-c) pontjában felsorolt információkat.
45 Ehhez hozzá kell fűzni, hogy a 95/46 irányelv 11. cikke (2) bekezdésének megfelelően az irányelv 11. cikkének (1) bekezdésében foglalt rendelkezések nem alkalmazhatók különösen abban az esetben, ha az adatok rögzítését vagy közlését jogszabály írja elő; ilyenkor a tagállamoknak garantálniuk kell a megfelelő biztosítékokat. A jelen ítélet 40. és 41. cikkében kifejtett okokból a román kormány által hivatkozott 95/2006. sz. törvény rendelkezései és a 2007-es jegyzőkönyv nem tartoznak sem az említett irányelv 11. cikkének (2) bekezdéséből, sem pedig a 13. cikkéből eredő eltérést engedő szabályok hatálya alá.
46 A fenti megfontolások összességére tekintettel a feltett kérdésre azt a választ kell adni, hogy a 95/46 irányelv 10., 11. és 13. cikkét úgy kell értelmezni, hogy azokkal ellentétesek az olyan nemzeti rendelkezések, mint amilyenek az alapeljárásban szerepelnek, amelyek megengedik azt, hogy egy tagállami közigazgatási szerv személyes adatokat továbbítson egy másik közigazgatási szervnek, és hogy ezeket az adatokat a későbbiekben kezeljék, anélkül hogy az érintetteket tájékoztatnák az adattovábbításról és -kezelésről.
A költségekről
47 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (harmadik tanács) a következőképpen határozott:
A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv 10., 11. és 13. cikkét úgy kell értelmezni, hogy azokkal ellentétesek az olyan nemzeti rendelkezések, mint amilyenek az alapeljárásban szerepelnek, amelyek megengedik azt, hogy egy tagállami közigazgatási szerv személyes adatokat továbbítson egy másik közigazgatási szervnek, és hogy ezeket az adatokat a későbbiekben kezeljék, anélkül hogy az érintetteket tájékoztatnák az adattovábbításról és -kezelésről.
Aláírások
( * ) Az eljárás nyelve: román.
Lábjegyzetek:
[1] A dokumentum eredetije megtekinthető CELEX: 62014CJ0201 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:62014CJ0201&locale=hu