Απόφαση στην υπόθεση C-201/14 Smaranda Bara κ.λπ. κατά Președintele Casei Naționale de Asigurări de Sănătate κλπ. Για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα μεταξύ δύο διοικητικών αρχών κράτους μέλους και την επεξεργασία τους από αυτές απαιτείται η προηγούμενη ενημέρωση των προσώπων τα οποία αφορά η εν λόγω επεξεργασία. Η οδηγία για την προστασία των προσωπικών δεδομένων[1] διέπει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
Η Smaranda Bara και πολλοί άλλοι Ρουμάνοι πολίτες είναι αυτοαπασχολούμενοι εργαζόμενοι. Η ρουμανική φορολογική διοίκηση διαβίβασε τα δηλωθέντα εισοδήματά τους στο Casa Națională de Asigurări de Sănătate (Εθνικό Ταμείο Κοινωνικής Ασφαλίσεως), το οποίο ζήτησε την προκαταβολή κοινωνικοασφαλιστικών εισφορών. Τα εν λόγω πρόσωπα άσκησαν προσφυγή ενώπιον του Curtea de Apel Cluj (εφετείο του Cluj, Ρουμανία), αμφισβητώντας τη νομιμότητα της διαβιβάσεως αυτής υπό το πρίσμα της οδηγίας. Υποστηρίζουν ότι τα εν λόγω δεδομένα χρησιμοποιήθηκαν για σκοπούς διαφορετικούς από εκείνους για τους οποίους είχαν αρχικώς γνωστοποιηθεί στη φορολογική διοίκηση, χωρίς την προηγούμενη ενημέρωσή τους.
Το ρουμανικό δίκαιο επιτρέπει στις δημόσιες αρχές να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα στα ταμεία ασφαλίσεως υγείας, προκειμένου αυτά να μπορούν να αναγνωρίσουν την ιδιότητα του ασφαλισμένου στα οικεία πρόσωπα. Τα δεδομένα αυτά αφορούν την ταυτοποίηση των προσώπων (επώνυμο, όνομα, διεύθυνση), αλλά δεν περιλαμβάνουν δεδομένα σχετικά με τα εισοδήματά τους. Στο πλαίσιο αυτό, το Curtea de Apel Cluj ζητεί, κατ’ ουσίαν, από το Δικαστήριο να διευκρινίσει αν το δίκαιο της Ένωσης αντιτίθεται στην ευχέρεια διοικητικής αρχής κράτους μέλους να διαβιβάζει δεδομένα προσωπικού χαρακτήρα προς τον σκοπό επεξεργασίας τους, χωρίς προηγούμενη ενημέρωση των οικείων προσώπων σχετικά με την εν λόγω διαβίβαση ή επεξεργασία.
Στη σημερινή του απόφαση, το Δικαστήριο κρίνει ότι η απαίτηση περί θεμιτής επεξεργασίας προσωπικών δεδομένων υποχρεώνει μια διοικητική αρχή να ενημερώνει τα οικεία πρόσωπα σχετικά με τη διαβίβαση των δεδομένων τους σε άλλη διοικητική αρχή προς τον σκοπό επεξεργασίας τους από τη δεύτερη ως αποδέκτρια των εν λόγω δεδομένων. Η οδηγία απαιτεί ρητώς να επιβάλλονται τέτοιου είδους περιορισμοί με νομοθετικά μέτρα. Ο ρουμανικός νόμος που προβλέπει την ατελή διαβίβαση δεδομένων προσωπικού χαρακτήρα στα ταμεία κοινωνικής ασφαλίσεως δεν συνιστά προηγούμενη ενημέρωση ικανή να απαλλάξει τον υπεύθυνο της επεξεργασίας από την υποχρέωσή του να ενημερώνει τα πρόσωπα από τα οποία συγκεντρώνει τα δεδομένα.
Ειδικότερα, ο νόμος αυτός δεν ορίζει ούτε τις διαβιβάσιμες πληροφορίες ούτε τους όρους της διαβιβάσεώς τους, καθόσον τα συγκεκριμένα στοιχεία θεσπίσθηκαν με απλό διμερές πρωτόκολλο το οποίο συνήφθη μεταξύ της φορολογικής διοικήσεως και του ταμείου κοινωνικής ασφαλίσεως. Όσον αφορά τη μεταγενέστερη επεξεργασία των διαβιβασθέντων δεδομένων, η οδηγία προβλέπει ότι ο υπεύθυνος της επεξεργασίας πρέπει να παρέχει στα οικεία πρόσωπα πληροφορίες σχετικά με την ταυτότητά του, τους σκοπούς της επεξεργασίας καθώς κάθε άλλη πρόσθετη πληροφορία που είναι απαραίτητη για να διασφαλισθεί η θεμιτή επεξεργασία των δεδομένων. Μεταξύ των πρόσθετων πληροφοριών συγκαταλέγονται οι κατηγορίες των σχετικών δεδομένων καθώς και η ύπαρξη δικαιώματος προσβάσεως στα συγκεκριμένα δεδομένα και δικαιώματος διορθώσεώς τους.
Το Δικαστήριο παρατηρεί ότι η επεξεργασία από το ταμείο κοινωνικής ασφαλίσεως των δεδομένων που του διαβίβασε η φορολογική διοίκηση προϋπέθετε ότι τα οικεία πρόσωπα είχαν ενημερωθεί σχετικά με τους σκοπούς της επεξεργασίας αυτής καθώς και τις κατηγορίες των σχετικών δεδομένων. Εν προκειμένω, το ταμείο κοινωνικής ασφαλίσεως δεν παρέσχε τις πληροφορίες αυτές. Το Δικαστήριο καταλήγει στο συμπέρασμα ότι το δίκαιο της Ένωσης αντιτίθεται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα μεταξύ δύο διοικητικών αρχών κράτους μέλους και τη μεταγενέστερη επεξεργασία τους από αυτές χωρίς προηγούμενη ενημέρωση των οικείων προσώπων. (curia.europa.eu)
Δείτε το πλήρες κείμενο της απόφασης εδώ
[1] Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281, σ. 31).