W przedmiotowej sprawie rumuński organ administracji podatkowej przekazał informacje o dochodach zgłoszonych przez Smaranda Bara oraz innych obywateli Rumunii, pracujących na własny rachunek, krajowej kasie ubezpieczeń zdrowotnych. W efekcie kasa zażądała wpłaty zaległych składek na rzecz systemu ubezpieczeń zdrowotnych.
W wyniku przekazania danych Smaranda Bara i inne osoby zaskarżyły do Curtea de Apel Cluj (sądu apelacyjnego w Klużu, Rumunia) zgodność z prawem przekazania w świetle dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.UE.L.1995.281.31). Skarżący uważają, że ich dane zostały wykorzystane do celów innych niż cele, w jakich pierwotnie ujawniono je organowi administracji podatkowej, bez wcześniejszego poinformowania ich o tym.
Prawo rumuńskie umożliwia podmiotom publicznym przekazywanie danych osobowych kasom ubezpieczeń zdrowotnych w celu umożliwienia im ustalenia statusu osoby ubezpieczonej względem osób, których dane dotyczą. Dane te służą identyfikacji osób (imię, nazwisko i adres), lecz nie obejmują informacji o uzyskiwanych dochodach.
Curtea de Apel Cluj zwrócił się do Trybunału Sprawiedliwości o ustalenie, czy takie przekazanie danych osobowych jest zgodne z prawem Unii.
Mariusz Krzysztofek
Ochrona danych osobowych w Unii Europejskiej>>>
W ogłoszonym wyroku Trybunał Sprawiedliwości stwierdził, że wymóg rzetelnego przetwarzania danych osobowych zobowiązuje organ administracji publicznej do informowania osób, których dane dotyczą, że ich dane zostaną przekazane innemu organowi administracji publicznej w celu ich przetworzenia. Dyrektywa 95/46/WE wyraźnie wymaga, aby wszelkie ewentualne ograniczenia obowiązku informowania były przyjmowane w drodze ustawodawczej.
Rumuńska ustawa przewidująca nieodpłatne przekazywanie danych osobowych kasom ubezpieczeń zdrowotnych nie stanowi wcześniejszego poinformowania, które pozwalałoby na zwolnienie administratora danych z obowiązku poinformowania osób, od których uzyskuje dane. Wspomniana ustawa nie określa ani informacji, jakie mogą być przekazywane, ani zasad ich przekazywania, jako że znajdują się one jedynie w dwustronnym protokole zawartym pomiędzy organem administracji podatkowej i kasą ubezpieczeń zdrowotnych.
Jeżeli chodzi o dalsze przetwarzanie przekazanych danych, dyrektywa 95/46/WE stanowi, że administrator danych musi poinformować osoby, których dane dotyczą o swojej tożsamości, o celach przetwarzania oraz o wszelkich dalszych okolicznościach koniecznych w celu zagwarantowania rzetelnego przetwarzania danych. Wśród wymienionych dalszych informacji znajdują się kategorie potrzebnych danych oraz istnienie prawa wglądu do swoich danych oraz ich sprostowania.
Trybunał zauważył, że przetwarzanie przez krajową kasę ubezpieczeń zdrowotnych danych przekazanych przez organ administracji podatkowej wymagało poinformowania osób, których dane te dotyczyły o celach tego przetwarzania i o kategoriach potrzebnych danych. W omawianej sprawie kasa ubezpieczeń zdrowotnych nie dostarczyła tych informacji.
W efekcie Trybunał orzekł, że prawo Unii stoi na przeszkodzie przekazywaniu danych osobowych pomiędzy dwoma organami administracji publicznej państwa członkowskiego oraz ich przetwarzaniu, bez uprzedniego informowania o tych działaniach osób, których dane dotyczą.
Tak wynika z wyroku Trybunału Sprawiedliwości z 1 października 2015 r. w sprawie C-201/14 Smaranda Bara i in. przeciwko Presedintele Casei Nationale de Asigurări de Sănătate i in.
Źródło: curia.europa.eu,