CLUJUST publică mai jos hotărârea completă a Curții de Justiție a Uniunii Europene (CJUE) în cauza Bara și alții vs. CNAS și ANAF referitoare la transferul datelor caracter personal între instituții. Hotărârea este preluată de pe site-ul CJUE
HOTĂRÂREA CURȚII (Camera a treia)
1 octombrie 2015(*)
„Trimitere preliminară – Directiva 95/46/CE – Prelucrarea datelor cu caracter personal – Articolele 10 și 11 – Informarea persoanelor vizate – Articolul 13 – Excepții și restricții – Transfer de către o autoritate a administrației publice a unui stat membru al unor date fiscale cu caracter personal în vederea prelucrării lor de către o altă autoritate a administrației publice”
În cauza C‑201/14,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Curtea de Apel Cluj (România), prin decizia din 31 martie 2014, primită de Curte la 22 aprilie 2014, în procedura
Smaranda Bara și alții
împotriva
Președintelui Casei Naționale de Asigurări de Sănătate,
Casei Naționale de Asigurări de Sănătate,
Agenției Naționale de Administrare Fiscală (ANAF),
CURTEA (Camera a treia),
compusă din domnul M. Ilešič, președinte de cameră, domnul A. Ó Caoimh, doamna C. Toader și domnii E. Jarašiūnas și C. G. Fernlund (raportor), judecători,
avocat general: domnul P. Cruz Villalón,
grefier: doamna L. Carrasco Marco, administrator,
având în vedere procedura scrisă și în urma ședinței din 29 aprilie 2015,
luând în considerare observațiile prezentate:
– pentru Smaranda Bara și alții, de C. F. Costaș și de M. K. Kapcza, avocați;
– pentru Casa Națională de Asigurări de Sănătate, de V. Ciurchea, în calitate de agent;
– pentru guvernul român, de R. H. Radu, de A. Buzoianu, de A.‑G. Văcaru și de D. M. Bulancea, în calitate de agenți;
– pentru guvernul ceh, de M. Smolek și de J. Vláčil, în calitate de agenți;
– pentru Comisia Europeană, de I. Rogalski, de B. Martenczuk și de J. Vondung, în calitate de agenți,
după ascultarea concluziilor avocatului general în ședința din 9 iulie 2015,
pronunță prezenta
Hotărâre
1 Cererea de decizie preliminară privește interpretarea articolului 124 TFUE, precum și a articolelor 10, 11 și 13 din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).
2 Această cerere a fost formulată în cadrul unui litigiu între doamna Bara și alții, pe de o parte, și președintele Casei Naționale de Asigurări de Sănătate, Casa Națională de Asigurări de Sănătate (denumită în continuare „CNAS”) și Agenția Națională de Administrare Fiscală (denumită în continuare „ANAF”), pe de altă parte, privind prelucrarea anumitor date.
Cadrul juridic
Dreptul Uniunii
3 Potrivit articolului 2 din Directiva 95/46, intitulat „Definiții”:
„În sensul prezentei directive:
(a) «date cu caracter personal» înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale;
(b) «prelucrarea datelor cu caracter personal» (prelucrare) înseamnă orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea;
(c) «sistem de evidență a datelor cu caracter personal» (sistem de evidență) înseamnă orice serie structurată de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;
(d) «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin acte cu putere de lege sau norme administrative interne sau comunitare, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul intern sau comunitar;
[…]”
4 Articolul 3 din această directivă, intitulat „Domeniul de aplicare”, are următorul cuprins:
„(1) Prezenta directivă se aplică prelucrării automate, în totalitate sau parțial, precum și prelucrării neautomate a datelor cu caracter personal, conținute sau care urmează să fie conținute într‑un sistem de evidență a datelor cu caracter personal.
(2) Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:
– puse în practică pentru exercitarea activităților din afara domeniului de aplicare a dreptului comunitar, cum ar fi cele prevăzute în titlurile V și VI din Tratatul privind Uniunea Europeană, și, în orice caz, prelucrărilor care au ca obiect siguranța publică, apărarea, securitatea statului (inclusiv bunăstarea economică a statului atunci când aceste prelucrări sunt legate de probleme de securitate a statului) și activitățile statului în domeniul dreptului penal;
– efectuate de către o persoană fizică în cursul unei activități exclusiv personale sau domestice.”
5 Articolul 6 din directiva menționată, care privește principiile referitoare la calitatea datelor, prevede:
„(1) Statele membre stabilesc că datele cu caracter personal trebuie să fie:
(a) prelucrate în mod corect și legal;
(b) colectate în scopuri determinate, explicite și legitime și să nu mai fie prelucrate ulterior într‑un mod incompatibil cu aceste scopuri. Prelucrarea ulterioară a datelor în scopuri istorice, statistice sau științifice nu este considerată incompatibilă atât timp cât statele membre prevăd garanții corespunzătoare;
(c) adecvate, pertinente și neexcesive în ceea ce privește scopurile pentru care sunt colectate și prelucrate ulterior;
(d) exacte și, dacă este necesar, actualizate; trebuie luate toate măsurile necesare pentru ca datele inexacte sau incomplete din punctul de vedere al scopului pentru care sunt colectate sau pentru care vor fi prelucrate ulterior să fie șterse sau rectificate;
(e) păstrate într‑o formă care permite identificarea persoanelor vizate o perioadă nu mai lungă decât este necesar în vederea atingerii scopurilor pentru care au fost colectate sau pentru care vor fi prelucrate ulterior. Statele membre stabilesc garanțiile corespunzătoare pentru datele cu caracter personal care sunt stocate pe o perioadă mai mare decât cea menționată, în scopuri istorice, statistice sau științifice.
(2) Operatorul are obligația să asigure respectarea alineatului (1).”
6 Articolul 7 din aceeași directivă, care privește criteriile referitoare la legitimitatea prelucrării datelor, prevede:
„Statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă:
(a) persoana vizată și‑a dat consimțământul neechivoc sau
(b) prelucrarea este necesară pentru executarea unui contract la care subiectul datelor este parte sau în vederea luării unor măsuri, la cererea acesteia, înainte de încheierea contractului sau
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului sau
(d) prelucrarea este necesară în scopul protejării interesului vital al persoanei vizate sau
(e) prelucrarea este necesară pentru aducerea la îndeplinire a unei sarcini de interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul sau terțul căruia îi sunt comunicate datele sau
(f) prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecție în temeiul articolului 1 alineatul (1).”
7 Articolul 10 din Directiva 95/46, intitulat „Informațiile în cazurile de colectare a datelor de la persoana vizată”, prevede:
„Statele membre prevăd ca operatorul sau reprezentantul său să furnizeze persoanei de la care colectează date care o privesc cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana este deja informată cu privire la aceste date:
(a) identitatea operatorului și, dacă este cazul, a reprezentantului;
(b) scopul prelucrării căreia îi sunt destinate datele;
(c) orice alte informații suplimentare, cum ar fi:
– destinatarii sau categoriile de destinatari ai datelor;
– dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării răspunsului;
– existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal,
în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.”
8 Articolul 11 din această directivă, intitulat „Informații în cazul în care datele nu au fost obținute de la persoana vizată”, are următorul cuprins:
„(1) Atunci când datele nu au fost colectate de la persoana vizată, statele membre prevăd obligativitatea ca operatorul sau reprezentantul său, în momentul înregistrării datelor cu caracter personal sau, dacă se are în vedere o comunicare a datelor către terți, nu mai târziu de data la care datele sunt comunicate prima oară, să furnizeze persoanei vizate cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana vizată este deja informată cu privire la aceste date:
(a) identitatea operatorului și, dacă este cazul, a reprezentantului său;
(b) scopurile prelucrării;
(c) orice alte informații suplimentare, cum ar fi:
– categoriile de date în cauză;
– destinatarii sau categoriile de destinatari ai datelor;
– existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal;
în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.
(2) Alineatul (1) nu se aplică atunci când, în special în cazul prelucrării în scopuri statistice sau de cercetare istorică ori științifică, informarea persoanei vizate se dovedește a fi imposibilă, implică eforturi disproporționate sau dacă legislația prevede expres înregistrarea ori comunicarea datelor. În aceste cazuri, statele membre prevăd garanții corespunzătoare.”
9 Potrivit articolului 13 din directiva menționată, intitulat „Excepții și restricții”:
„(1) Statele membre pot adopta măsuri legislative pentru a restrânge domeniul obligațiilor și drepturilor prevăzute la articolul 6 alineatul (1), articolul 10, articolul 11 alineatul (1), articolul 12 și articolul 21, dacă o astfel de restricție constituie o măsură necesară pentru a proteja:
(a) securitatea statului;
(b) apărarea;
(c) siguranța publică;
(d) prevenirea, investigarea, detectarea și punerea sub urmărire a infracțiunilor sau a încălcării eticii în cazul profesiunilor reglementate;
(e) un interes economic sau financiar important al unui stat membru sau al Uniunii Europene, inclusiv în domeniile monetar, bugetar și fiscal;
(f) o funcție de monitorizare, inspecție sau de reglementare legată, chiar și ocazional, de exercitarea autorității publice în cazurile menționate la literele (c), (d) și (e);
(g) protecția persoanei vizate sau a drepturilor și a libertăților altora.
(2) Sub rezerva garanțiilor legale corespunzătoare, în special în sensul că datele nu sunt folosite pentru luarea unor măsuri sau decizii împotriva unei anumite persoane, statele membre pot, în cazul în care nu există în mod clar riscuri de încălcare a vieții private a persoanei vizate, să restrângă printr‑o măsură legislativă drepturile prevăzute la articolul 12 atunci când datele sunt prelucrate exclusiv în scopul cercetării științifice sau sunt stocate sub formă de date cu caracter personal o perioadă care nu depășește perioada necesară în scopul unic de realizare a statisticilor.”
Dreptul românesc
Legea nr. 95/2006
10 Din decizia de trimitere reiese că articolul 215 din Legea nr. 95/2006 din 14 aprilie 2006 privind reforma în domeniul sănătății (Monitorul Oficial al României, partea I, nr. 372 din 28 aprilie 2006) prevede:
„(1) Obligația virării contribuției pentru asigurările sociale de sănătate revine persoanei fizice sau juridice care angajează persoane pe bază de contract individual de muncă ori în baza unui statut special prevăzut de lege, precum și persoanelor fizice, după caz.
(2) Persoanele juridice sau fizice la care își desfășoară activitatea asigurații sunt obligate să depună lunar la casele de asigurări alese în mod liber de asigurați declarații nominale privind obligațiile ce le revin față de fond și dovada plății contribuțiilor.
[…]”
11 Articolul 315 din legea menționată prevede:
„Datele necesare pentru stabilirea calității de asigurat vor fi transmise în mod gratuit caselor de asigurări de sănătate de către autoritățile, instituțiile publice și alte instituții pe bază de protocol.”
Ordinul președintelui CNAS nr. 617/2007
12 Articolul 35 din Ordinul președintelui CNAS nr. 617/2007 din 13 august 2007 pentru aprobarea Normelor metodologice privind stabilirea documentelor justificative pentru dobândirea calității de asigurat, respectiv asigurat fără plata contribuției, precum și pentru aplicarea măsurilor de executare silită pentru încasarea sumelor datorate la Fondul național unic de asigurări sociale de sănătate (Monitorul Oficial al României, partea I, nr. 649 din 24 septembrie 2007) prevede:
„[…] pentru obligațiile de plată față de fond ale persoanelor fizice care se asigură pe bază de contract de asigurare, altele decât cele pentru care colectarea veniturilor se face de ANAF, titlul de creanță îl constituie, după caz, declarația […], decizia de impunere emisă de organul competent al CAS [Casa de Asigurări de Sănătate], precum și hotărârile judecătorești privind debite datorate fondului. Decizia de impunere poate fi emisă de organul competent al CAS și pe baza informațiilor primite pe bază de protocol de la ANAF.”
Protocolul din 2007
13 Potrivit articolului 4 din Protocolul nr. P 5282/26.10.2007/95896/30.10.2007 încheiat între CNAS și ANAF (denumit în continuare „Protocolul din 2007”):
„După intrarea în vigoare a prezentului protocol, [ANAF], prin intermediul structurilor de profil subordonate, va furniza în format electronic baza de date inițială cu privire la:
a. veniturile persoanelor care fac parte din categoriile prevăzute la articolul l alineatul l din prezentul protocol, iar trimestrial actualizarea acestei baze de date, [către CNAS], pe mediu compatibil cu prelucrarea automată, conform anexei nr. l la prezentul protocol […]
[…]”
Litigiul principal și întrebările preliminare
14 Reclamanții din litigiul principal sunt persoane care obțin venituri din activități independente. ANAF a transmis CNAS datele privind veniturile lor declarate. Pe baza acestor date, CNAS a solicitat plata restanțelor contribuțiilor la sistemul de asigurări de sănătate.
15 Reclamanții din litigiul principal au sesizat Curtea de Apel Cluj cu o acțiune prin care contestă legalitatea transferului datelor fiscale privind veniturile lor în raport cu prevederile Directivei 95/46. Aceștia susțin că, pe baza unui simplu protocol intern, datele menționate au fost transmise și utilizate în alte scopuri decât cele pentru care fuseseră comunicate inițial către ANAF, fără consimțământul lor expres și fără informarea lor prealabilă.
16 Din decizia de trimitere reiese că entitățile publice sunt abilitate, în temeiul Legii nr. 95/2006, să transmită date cu caracter personal caselor de asigurări de sănătate pentru a le permite acestora din urmă să stabilească calitatea de asigurat a persoanelor vizate. Datele respective privesc identificarea persoanelor (nume, prenume, număr de identificare personal, adresă), însă nu cuprind date privind veniturile obținute.
17 Instanța de trimitere urmărește să stabilească dacă prelucrarea datelor de către CNAS necesita informarea prealabilă a persoanelor vizate în ceea ce privește identitatea operatorului și scopul în care au fost transmise aceste date. Această instanță este de asemenea chemată să se pronunțe în legătură cu aspectul dacă transmiterea datelor pe baza Protocolului din 2007 încalcă dispozițiile Directivei 95/46 care impun ca orice restricție cu privire la drepturile persoanelor vizate să fie prevăzută de lege și însoțită de garanții, în special atunci când datele sunt utilizate împotriva acestor persoane.
18 În aceste condiții, Curtea de Apel Cluj a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
„1) Este autoritatea națională fiscală, ca reprezentant al ministerului de resort al unui stat membru, instituție financiară în înțelesul articolului 124 TFUE?
2) Este posibil ca pe calea unui act asimilat celor administrative, respectiv a unui protocol încheiat între autoritatea națională fiscală și o altă instituție a statului, să se reglementeze transferul bazei de date privind veniturile realizate de cetățenii unui stat membru de la autoritatea națională fiscală către o altă instituție a statului membru fără a ne afla în prezența unui acces preferențial astfel cum este definit în articolul 124 TFUE?
3) Transferul bazei de date făcut cu scopul stabilirii în sarcina cetățenilor statului membru a unor obligații de plată cu titlu de contribuție socială, către instituția statului membru în beneficiul căreia operează transferul, se circumscrie noțiunii de considerent de ordin prudențial în înțelesul articolului 124 TFUE?
4) Pot fi prelucrate datele personale de către o autoritate căreia nu i‑au fost destinate aceste date în condițiile în care această operațiune aduce, cu caracter retroactiv, prejudicii patrimoniale?”
Cu privire la întrebările preliminare
Cu privire la admisibilitate
Cu privire la admisibilitatea primelor trei întrebări preliminare
19 Potrivit unei jurisprudențe constante, Curtea poate refuza să se pronunțe asupra unei întrebări preliminare adresate de o instanță națională atunci când este evident că interpretarea dreptului Uniunii solicitată nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică sau atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util întrebărilor care i‑au fost adresate (a se vedea Hotărârea PreussenElektra, C‑379/98, EU:C:2001:160, punctul 39 și jurisprudența citată).
20 Toate observațiile prezentate Curții susțin teza că primele trei întrebări preliminare privind interpretarea articolului 124 TFUE sunt inadmisibile pentru motivul că nu au legătură cu obiectul litigiului principal.
21 În această privință, trebuie amintit că articolul 124 TFUE este inclus în partea a treia din titlul VIII din Tratatul FUE, referitor la politica economică și monetară. Acest articol interzice orice măsură care nu se întemeiază pe considerente de ordin prudențial și care stabilește accesul preferențial la instituțiile financiare al instituțiilor, organelor, oficiilor sau agențiilor Uniunii, al autorităților administrațiilor publice centrale, al autorităților regionale sau locale, al celorlalte autorități publice sau al altor organisme ori întreprinderi publice din statele membre.
22 Interdicția menționată își are originea în articolul 104 A din Tratatul CE (devenit articolul 102 CE), care a fost introdus în Tratatul CE prin Tratatul de la Maastricht. Aceasta face parte dintre dispozițiile Tratatului FUE referitoare la politica economică și monetară care vizează să stimuleze statele membre să respecte o politică bugetară sănătoasă, evitând ca o finanțare monetară a deficitelor publice sau un acces preferențial al autorităților publice la piețele financiare să conducă la o îndatorare excesivă sau la deficite excesive ale statelor membre (a se vedea în acest sens Hotărârea Gauweiler și alții, C‑62/14, EU:C:2015:400, punctul 100).
23 Este, așadar, evident că interpretarea articolului 124 TFUE solicitată nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, care privește protecția datelor cu caracter personal.
24 Rezultă că nu este necesar să se răspundă la primele trei întrebări.
Cu privire la admisibilitatea celei de a patra întrebări
25 CNAS și guvernul român susțin că a patra întrebare este inadmisibilă. Guvernul menționat susține că nu există nicio legătură între prejudiciul invocat de reclamanții din litigiul principal și anularea actelor administrative atacate în cadrul procedurii principale.
26 Trebuie amintit în această privință că, potrivit unei jurisprudențe constante a Curții, întrebările referitoare la interpretarea dreptului Uniunii adresate de instanța națională în cadrul normativ și factual pe care îl definește sub răspunderea sa și a cărui exactitate Curtea nu are competența să o verifice beneficiază de o prezumție de pertinență. Curtea poate refuza să se pronunțe asupra unei cereri de decizie preliminară formulate de o instanță națională numai dacă este evident că interpretarea solicitată a dreptului Uniunii nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică ori când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările care îi sunt adresate (Hotărârea Fish Legal și Shirley, C‑279/12, EU:C:2013:853, punctul 30 și jurisprudența citată).
27 Trebuie arătat că cauza principală privește legalitatea prelucrării datelor fiscale colectate de ANAF. Instanța de trimitere ridică problema interpretării dispozițiilor Directivei 95/46, în cadrul controlului legalității transferului acestor date la CNAS și al prelucrării lor ulterioare. A patra întrebare preliminară este, așadar, pertinentă și suficient de precisă pentru a permite Curții să răspundă în mod util. Prin urmare, cererea de decizie preliminară trebuie considerată admisibilă în ceea ce privește a patra întrebare.
Cu privire la fond
28 Prin intermediul celei de a patra întrebări, instanța de trimitere solicită, în esență, să se stabilească dacă articolele 10, 11 și 13 din Directiva 95/46 trebuie interpretate în sensul că se opun unor măsuri naționale precum cele în discuție în litigiul principal, care permit unei autorități a administrației publice a unui stat membru să transmită date personale unei alte autorități a administrației publice și prelucrarea lor ulterioară, fără ca persoanele vizate să fi fost informate despre această transmitere și despre această prelucrare.
29 În această privință, este necesar să se constate, pe baza informațiilor oferite de instanța de trimitere, că datele fiscale transferate de ANAF către CNAS constituie date cu caracter personal în sensul articolului 2 litera (a) din directiva menționată, întrucât este vorba despre „informații referitoare la o persoană fizică identificată sau identificabilă” (Hotărârea Satakunnan Markkinapörssi și Satamedia, C‑73/07, EU:C:2008:727, punctul 35). Atât transmiterea lor de către ANAF, organism responsabil cu administrarea bazei de date care le include, cât și prelucrarea lor ulterioară de către CNAS prezintă, așadar, caracterul unei „prelucrări a datelor cu caracter personal” în sensul articolului 2 litera (b) din aceeași directivă (a se vedea în acest sens în special Hotărârea Österreichischer Rundfunk și alții, C‑465/00, C‑138/01 și C‑139/01, EU:C:2003:294, punctul 64, precum și Hotărârea Huber, C‑524/06, EU:C:2008:724, punctul 43).
30 Potrivit dispozițiilor capitolului II din Directiva 95/46, intitulat „Condițiile generale de legalitate a prelucrării datelor cu caracter personal”, sub rezerva derogărilor permise în temeiul articolului 13 din această directivă, orice prelucrare a datelor cu caracter personal trebuie, pe de o parte, să fie conformă cu principiile referitoare la calitatea datelor, enunțate la articolul 6 din directiva menționată, și, pe de altă parte, să respecte unul dintre criteriile privind legitimitatea prelucrării datelor, enumerate la articolul 7 din aceeași directivă (Hotărârea Österreichischer Rundfunk și alții, C‑465/00, C‑138/01 și C‑139/01, EU:C:2003:294, punctul 65, Hotărârea Huber, C‑524/06, EU:C:2008:724, punctul 48, precum și Hotărârea ASNEF și FECEMD, C‑468/10 și C‑469/10, EU:C:2011:777, punctul 26).
31 În plus, operatorul sau reprezentantul său are o obligație de informare, ale cărei condiții, prevăzute la articolele 10 și 11 din Directiva 95/46, variază în funcție de aspectul dacă aceste date sunt sau nu sunt colectate de la persoana vizată, sub rezerva derogărilor admise în temeiul articolului 13 din această directivă.
32 În ceea ce privește, în primul rând, articolul 10 din directiva menționată, acesta prevede că operatorul furnizează persoanei de la care colectează date care o privesc informațiile menționate la literele (a)-(c) ale acestui articol, cu excepția cazului în care această persoană este deja informată cu privire la datele respective. Aceste informații privesc identitatea operatorului, scopul prelucrării, precum și orice alte informații suplimentare necesare pentru asigurarea unei prelucrări corecte a datelor. Printre informațiile suplimentare necesare pentru a asigura o prelucrare corectă a acestor date, articolul 10 litera (c) din aceeași directivă menționează expres „destinatarii sau categoriile de destinatari ai datelor”, precum și „existența dreptului de acces la datele care […] privesc [persoana menționată] și de rectificare a datelor cu caracter personal”.
33 Astfel cum a arătat avocatul general la punctul 74 din concluzii, această cerință a informării persoanelor vizate de prelucrarea datelor lor cu caracter personal este cu atât mai importantă cu cât este o condiție necesară exercitării de către aceste persoane a dreptului lor de acces și de rectificare a datelor prelucrate, definit la articolul 12 din Directiva 95/46, și a dreptului de opoziție al acestora față de prelucrarea datelor respective, vizat la articolul 14 din această directivă.
34 În consecință, cerința prelucrării corecte a datelor personale prevăzută la articolul 6 din Directiva 95/46 obligă o autoritate a administrației publice să informeze persoanele vizate despre transmiterea acestor date unei alte autorități a administrației publice în vederea prelucrării de către aceasta din urmă în calitate de destinatar al datelor menționate.
35 Din explicațiile instanței de trimitere rezultă că reclamanții din litigiul principal nu au fost informați de ANAF despre transmiterea către CNAS a datelor personale care îi vizau.
36 Guvernul român susține totuși că ANAF are obligația, în temeiul articolului 315 din Legea nr. 95/2006, să transmită caselor regionale de asigurări de sănătate informațiile necesare pentru stabilirea de către CNAS a calității de asigurat a persoanelor care obțin venituri din activități independente.
37 Este adevărat că articolul 315 din Legea nr. 95/2006 prevede expres că „datele necesare pentru stabilirea calității de asigurat vor fi transmise în mod gratuit caselor de asigurări de sănătate de către autoritățile, instituțiile publice și alte instituții pe bază de protocol”. Cu toate acestea, din explicațiile oferite de instanța de trimitere rezultă că datele necesare pentru stabilirea calității de asigurat, în sensul dispoziției menționate, nu includ datele privind veniturile, legea recunoscând calitatea de asigurat și persoanelor fără venituri impozabile.
38 În astfel de condiții, articolul 315 din Legea nr. 95/2006 nu poate constitui, în sensul articolului 10 din Directiva 95/46, o informație prealabilă care să permită scutirea operatorului de obligația de a informa persoanele de la care colectează date privind veniturile lor despre destinatarii acestor date. În consecință, nu se poate considera că transmiterea în cauză a fost efectuată cu respectarea dispozițiilor articolului 10 din Directiva 95/46.
39 Trebuie analizat dacă lipsa acestei informări a persoanelor vizate poate intra sub incidența articolului 13 din directiva menționată. Astfel, din alineatul (1) literele (e) și (f) al acestui articol 13 rezultă că statele membre pot restrânge domeniul obligațiilor și drepturilor prevăzute la articolul 10 din aceeași directivă dacă o astfel de restricție constituie o măsură necesară pentru a proteja „un interes economic sau financiar important al unui stat membru […], inclusiv în domeniile monetar, bugetar și fiscal”, precum și „o funcție de monitorizare, inspecție sau de reglementare legată, chiar și ocazional, de exercitarea autorității publice în cazurile menționate la literele (c), (d) și (e)”. Cu toate acestea, același articol 13 impune expres ca astfel de limitări să fie adoptate prin măsuri legislative.
40 Or, în plus față de împrejurarea, indicată de instanța de trimitere, că datele privind veniturile nu fac parte dintre datele personale necesare stabilirii calității de asigurat, trebuie subliniat că articolul 315 din Legea nr. 95/2006 nu face decât să vizeze, în principiu, transmiterea acestor date personale deținute de autorități, de instituții publice și de alte instituții. Din decizia de trimitere rezultă de asemenea că definiția informațiilor transmisibile, precum și modalitățile de efectuare a transmiterii acestor informații au fost elaborate nu prin intermediul unei măsuri legislative, ci prin intermediul Protocolului din 2007 încheiat între ANAF și CNAS, care nu ar fi făcut obiectul unei publicări oficiale.
41 În aceste împrejurări, nu se poate considera că sunt îndeplinite condițiile prevăzute la articolul 13 din Directiva 95/46 pentru ca un stat membru să poată deroga de la drepturile și obligațiile care decurg din articolul 10 din această directivă.
42 În ceea ce privește, în al doilea rând, articolul 11 din directiva menționată, acesta prevede la alineatul (1) că operatorul care prelucrează date care nu au fost colectate de la persoana vizată trebuie să îi comunice acesteia informațiile prevăzute la literele (a)-(c). Aceste informații privesc identitatea operatorului, scopul prelucrării, precum și orice alte informații suplimentare necesare pentru a asigura o prelucrare corectă a datelor. Printre aceste informații suplimentare, articolul 11 alineatul (1) litera (c) din aceeași directivă menționează expres „categoriile de date în cauză”, precum și „existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal”.
43 În consecință, conform articolului 11 alineatul (1) literele (b) și (c) din Directiva 95/46, în împrejurările din cauza principală, prelucrarea de către CNAS a datelor transmise de ANAF presupunea informarea persoanelor vizate de aceste date în legătură cu scopurile acestei prelucrări, precum și cu categoriile de date vizate.
44 Or, din explicațiile date de instanța de trimitere rezultă că CNAS nu a oferit reclamanților din litigiul principal informațiile prevăzute la articolul 11 alineatul (1) literele (a)-(c) din directiva menționată.
45 În plus, trebuie menționat că, conform articolului 11 alineatul (2) din Directiva 95/46, dispozițiile articolului 11 alineatul (1) din această directivă nu se aplică atunci când, printre altele, înregistrarea sau comunicarea datelor este prevăzută de lege, fiind necesar ca statele membre să prevadă în acest caz garanții corespunzătoare. Pentru motivele menționate la punctele 40 și 41 din prezenta hotărâre, dispozițiile Legii nr. 95/2006 invocate de guvernul român și Protocolul din 2007 nu pot intra nici sub incidența regimului derogatoriu instituit de articolul 11 alineatul (2), nici sub incidența celui care rezultă din articolul 13 din directiva menționată.
46 Având în vedere toate considerațiile precedente, trebuie să se răspundă la întrebarea adresată că articolele 10, 11 și 13 din Directiva 95/46 trebuie interpretate în sensul că se opun unor măsuri naționale precum cele în discuție în litigiul principal, care permit unei autorități a administrației publice a unui stat membru să transmită date personale unei alte autorități a administrației publice și prelucrarea lor ulterioară, fără ca persoanele vizate să fi fost informate despre această transmitere sau despre această prelucrare.
Cu privire la cheltuielile de judecată
47 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.
Pentru aceste motive, Curtea (Camera a treia) declară:
Articolele 10, 11 și 13 din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date trebuie interpretate în sensul că se opun unor măsuri naționale precum cele în discuție în litigiul principal, care permit unei autorități a administrației publice a unui stat membru să transmită date personale unei alte autorități a administrației publice și prelucrarea lor ulterioară, fără ca persoanele vizate să fi fost informate despre această transmitere sau despre această prelucrare.