Opinia w sprawie wniosku dotyczącego rozporządzenia Rady w sprawie współpracy administracyjnej oraz zwalczania oszustw w dziedzinie podatku od wartości dodanej (przekształcenie).

(2010/C 66/01)

(Dz.U.UE C z dnia 17 marca 2010 r.)

EUROPEJSKI INSPEKTOR OCHRONY DANYCH,

uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 286,

uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 8,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych⁽¹⁾,

uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, w szczególności jego art. 41⁽²⁾,

PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:

I. WPROWADZENIE

1. W dniu 18 sierpnia 2009 r. Komisja przyjęła wniosek dotyczący rozporządzenia Rady w sprawie współpracy administracyjnej oraz zwalczania oszustw w dziedzinie podatku od wartości dodanej (VAT)⁽³⁾. Wniosek ten w rzeczywistości zmienia rozporządzenie Rady (WE) nr 1798/2003 w sprawie współpracy administracyjnej w dziedzinie podatku od wartości dodanej, które było już kilkakrotnie zmieniane⁽⁴⁾. Niemniej jednak, do celów zapewnienia klarowności i lepszego zrozumienia tekstu, Komisja postanowiła zastosować procedurę przekształcenia, co oznacza, że rozporządzenie Rady (WE) nr 1798/2003 zostanie uchylone, o ile obecny wniosek zostanie przyjęty przez Radę.

2. W ramach procedury przekształcenia debata legislacyjna co do zasady ogranicza się do zmian merytorycznych zaproponowanych przez Komisję i nie dotyczy "przepisów niezmienionych"⁽⁵⁾. W niniejszej opinii europejski inspektor ochrony danych ("Inspektor") omówi jednak obecne rozporządzenie i proponowane zmiany merytoryczne w całości. Taka pełna analiza jest niezbędna, by dokonać prawidłowej oceny wpływu przedmiotowych przepisów na ochronę danych osobowych. Inspektor zaleci wprowadzenie dostosowań, które będą również dotyczyć takich niezmienionych przepisów. Inspektor wzywa prawodawcę do uwzględnienia tych zaleceń pomimo ograniczonego zakresu procedury przekształcenia. W związku z tym Inspektor zwraca uwagę na fakt, że art. 8 porozumienia międzyinstytucjonalnego w sprawie procedury przekształcenia przewiduje możliwość zmiany przepisów niepodlegających zmianie.

3. Podstawę prawną przedmiotowego wniosku stanowi art. 93 Traktatu WE; umożliwia on Radzie przyjmowanie środków dotyczących opodatkowania pośredniego. Rada podejmuje decyzję w sprawie wniosku Komisji jednomyślnie po zasięgnięciu opinii Parlamentu Europejskiego i Europejskiego Komitetu Ekonomiczno-Społecznego. Podstawa prawna i konkretna procedura nie ulegną zmianie po wejściu w życie traktatu lizbońskiego.

4. Nie zasięgnięto opinii Inspektora, choć jest to wymagane w art. 28 ust. 2 rozporządzenia (WE) nr 45/2001. Podstawę obecnej opinii stanowi zatem art. 41 ust. 2 tego samego rozporządzenia. Inspektor zaleca, by w preambule wniosku zawrzeć odniesienie do niniejszej opinii.

5. Inspektor jest świadomy znaczenia, jakie ma zwiększenie skuteczności środków zwalczania oszustw transgranicznych i poprawa skuteczności poboru VAT w przypadku transakcji transgranicznych. Choć wymiana informacji, będąca elementem współpracy administracyjnej i zwalczania oszustw związanych z VAT, obejmuje głównie informacje dotyczące osób prawnych, oczywiste jest, że dane odnoszące się do osób fizycznych są również przetwarzane. Inspektor przyjmuje do wiadomości, że przetwarzanie danych osobowych jest niezbędne do osiągnięcia tych celów. Podkreśla jednak, że przetwarzanie takich danych musi przebiegać zgodnie ze wspólnotowymi zasadami ochrony danych.

6. Sytuacje wymagające transgranicznej wymiany danych osobowych w ramach UE zasługują na szczególną uwagę, ponieważ wiążą się one ze zwiększeniem skali przetwarzanych danych, co z pewnością doprowadzi do niepewności prawnej dla osób, których dane dotyczą: może to dotyczyć podmiotów ze wszystkich innych państw członkowskich; zastosowanie mogą mieć krajowe przepisy tych innych państw członkowskich, które mogą nieznacznie różnić się od przepisów, do których przyzwyczajone są te osoby, lub które stosują w ramach nieznanego im systemu prawnego.

7. Po dokonaniu analizy ram prawnych wynikających z rozporządzenia (WE) nr 1798/2003 i proponowanych obecnie dostosowań Inspektor stwierdza, że - pomimo pewnych pozytywnych elementów - wniosek nie spełnia wszystkich wymogów wynikających ze wspólnotowych zasad ochrony danych.

8. Inspektor w sposób bardziej szczegółowy wyjaśni swój punkt widzenia w części III (mające zastosowanie reguły ochrony danych) i części IV (szczegółowa analiza wniosku), ale najpierw w następnej części przedstawi kontekst obecnego wniosku, obowiązujące ramy prawne i proponowane dostosowania.

II. WSPÓŁPRACA UE W DZIEDZINIE VAT

II.1. Kontekst

9. Obecny wniosek jest wynikiem dyskusji na poziomie UE, które oficjalnie rozpoczęły się w maju 2006 roku wraz z wydaniem komunikatu Komisji w sprawie zwalczania oszustw podatkowych na rynku wewnętrznym⁽⁶⁾. W grudniu 2008 roku, zachęcona przez Radę i Parlament Europejski, Komisja opublikowała kolejny komunikat w sprawie skoordynowanej strategii mającej na celu poprawę walki z oszustwami związanymi z podatkiem od wartości dodanej w Unii Europejskiej⁽⁷⁾. W komunikacie zapowiedziano pewne zmiany do ogólnej dyrektywy VAT 2006/112/WE oraz obecne przekształcenie rozporządzenia Rady (WE) nr 1798/2003⁽⁸⁾.

10. Rozporządzenie Rady (WE) nr 1798/2003 jak dotąd stanowiło punkt odniesienia w kwestiach dotyczących współpracy administracyjnej w dziedzinie podatku od wartości dodanej. Niemniej jednak, zgodnie z przeprowadzonym niedawno przez Komisję badaniem, którego wyniki opublikowano 18 sierpnia 2009 r., równolegle z obecnym wnioskiem, uznano, że współpraca administracyjna między państwami członkowskimi nie jest wystarczająco intensywna, by poradzić sobie ze zjawiskiem uchylania się od opodatkowania i oszustwami dotyczącymi VAT wewnątrz Wspólnoty⁽⁹⁾. Głównym celem obecnego wniosku jest zatem korekta rozporządzenia Rady (WE) nr 1798/2003 w sposób umożliwiający zwiększenie skuteczności środków zwalczania oszustw transgranicznych i poprawę skuteczności poboru VAT w przypadku transakcji transgranicznych.

II.2. Obecny system współpracy: rozporządzenie Rady (WE) nr 1798/2003

11. Rozporządzeniem Rady (WE) nr 1798/2003 UE wprowadziła wspólny system współpracy administracyjnej i wymiany informacji między właściwymi organami państw członkowskich, aby umożliwić im określanie prawidłowej wysokości VAT. Rozporządzenie zawiera wykaz właściwych organów i nakłada na państwa członkowskie obowiązek wyznaczenia jednego centralnego biura łącznikowego, które jest odpowiedzialne za kontakty z innymi państwami członkowskimi w dziedzinie współpracy administracyjnej.

12. Właściwe organy wymieniają informacje w trzech przypadkach: wymiana informacji na wniosek, wymiana informacji bez uprzedniego wniosku (wymiana spontaniczna) i przechowywanie danych w elektronicznej bazie danych prowadzonej przez każde państwo członkowskie, której część może być udostępniana bezpośrednio właściwym organom innych państw członkowskich.

13. Rozporządzenie Rady (WE) nr 1798/2003 obliguje również państwa członkowskie do czuwania nad tym, by osoby uczestniczące w wewnątrzwspólnotowej dostawie towarów i świadczeniu usług mogły otrzymać potwierdzenie ważności numeru identyfikacyjnego VAT dowolnej określonej osoby. System umożliwiający uzyskiwanie takich informacji nosi nazwę Systemu Wymiany Informacji o VAT ("VIES").

14. W ujęciu ogólnym rozporządzenie to stanowi, że przekazywanie informacji powinno się odbywać drogą elektroniczną. Zgodnie z tym rozporządzeniem Komisja jest odpowiedzialna za rozwijanie wspólnej sieci łączności lub wspólnego systemu połączeń ("CCN/CSI") w zakresie niezbędnym do umożliwienia wymiany informacji między państwami członkowskimi. Państwa członkowskie są odpowiedzialne za rozwijanie własnych systemów krajowych w zakresie niezbędnym do umożliwienia wymiany informacji przy użyciu CCN/CSI. Rozporządzenie zawiera jeszcze zasady dotyczące relacji z Komisją, kontroli równoległych i wymiany danych pochodzących z państw trzecich.

15. Nie określono rodzajów informacji, jakie właściwe organy mogą wymieniać na wniosek lub spontanicznie. Artykuł 1 rozporządzenia Rady (WE) nr 1798/2003 odnosi się tylko do "informacji", które mogą pomóc im w określeniu właściwego wymiaru podatku VAT. Elektroniczna baza danych zawiera informacje podsumowujące podatników zidentyfikowanych do celów VAT, zebrane zgodnie z ogólną dyrektywą VAT. Informacje te zawierają numery identyfikacyjne VAT poszczególnych podatników oraz całkowitą wartość dostaw towarów zrealizowanych przez danego podatnika. System VIES umożliwia jedynie potwierdzenie ważności numeru identyfikacyjnego VAT.

II.3. Planowane usprawnienia o charakterze ogólnym

16. W przedmiotowym wniosku Komisja proponuje zwiększenie skuteczności obecnej współpracy przez przypisanie właściwym organom wspólnej odpowiedzialności za ochronę dochodów z VAT we wszystkich państwach członkowskich, rozwijanie wymiany informacji między właściwymi organami oraz poprawę jakości i spójności tych informacji⁽¹⁰⁾.

17. Poprawę wymiany informacji między państwami członkowskimi można osiągnąć dzięki określeniu przypadków, w których właściwe organy nie mogą odmówić odpowiedzi na wniosek o informacje lub o przeprowadzenie postępowania administracyjnego, oraz przypadków, w których informacje muszą być wymieniane spontanicznie⁽¹¹⁾. We wniosku wprowadza się również bardziej rygorystyczne terminy i kładzie większy nacisk na wykorzystanie środków elektronicznych.

18. Spójność informacji dostępnych w elektronicznych bazach danych można zwiększyć dzięki określeniu rodzajów informacji, które państwa członkowskie są zobowiązane umieścić w swoich krajowych bazach danych. We wniosku zwiększono także bezpośredni zautomatyzowany dostęp właściwych organów innych państw członkowskich do elektronicznych baz danych. Informacje dostępne innym podatnikom za pośrednictwem systemu VIES uzupełniono o imię i nazwisko lub nazwę oraz adres osoby posiadającej numer identyfikacyjny VAT.

19. Wniosek uściśla również przypadki, w jakich państwa członkowskie mogą i mają obowiązek prowadzić kontrole wielostronne. Ponadto zapewnia on podstawę prawną do utworzenia wspólnej struktury operacyjnej dla współpracy wielostronnej (Eurofisc). System ten powinien umożliwić szybką wymianę ukierunkowanych informacji między wszystkimi państwami członkowskimi oraz utworzenie wspólnych analiz strategicznych i wspólnych analiz ryzyka.

20. Wniosek wprowadza także zobowiązanie do informacji zwrotnej, co umożliwia państwom członkowskim ocenę skuteczności wymiany informacji.

21. Pewne kwestie zostaną dokładniej omówione zgodnie z procedurą komitetową. Dotyczy to przykładowo standardowych formularzy stosowanych w przypadkach, gdy właściwe organy występują z wnioskiem o informacje, sposobu wypełniania zobowiązania do informacji zwrotnej, kryteriów stosowanych przy podejmowaniu decyzji o wprowadzaniu zmian do danych przechowywanych w elektronicznej bazie danych i przy tworzeniu Eurofisc.

III. MAJĄCE ZASTOSOWANIE ZASADY OCHRONY DANYCH

22. W przypadku przetwarzania danych osobowych należy przestrzegać wspólnotowych przepisów dotyczących ochrony danych osobowych. W przepisach dotyczących ochrony danych "dane osobowe" są szeroko zdefiniowane jako "wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej"⁽¹²⁾. Jak stwierdzono wcześniej, wymiana informacji w tym kontekście dotyczy przede wszystkim osób prawnych. Jej przedmiotem będą jednak również informacje dotyczące osób fizycznych. Określenie "wszelkie informacje" zawarte w art. 1 ust. 1 przedmiotowego rozporządzenia Rady wydaje się obejmować nawet więcej informacji na temat osób fizycznych pracujących na rzecz osób prawnych lub w inny sposób z nimi związanych (zob. również pkt 31 poniżej).

23. W przypadku przetwarzania danych przez państwa członkowskie zastosowanie mają krajowe przepisy wykonujące dyrektywę 95/46/WE. W obecnym rozporządzeniu Rady (WE) nr 1798/2003 dwukrotnie dokonano odniesienia do dyrektywy 95/46/WE - w motywie 17 i art. 41. Inspektor zauważa, że przepisy te odnoszą się do dyrektywy 95/46/WE wyłącznie w związku z możliwością ograniczenia pewnych praw gwarantowanych w dyrektywie. Wspomniany motyw i artykuł pojawiają się ponownie we wniosku Komisji (jako motyw 35 i art. 57), ale ich brzmienie zostanie nieco zmienione, co zostanie bardziej szczegółowo omówione w pkt 49 i dalszych. Na tym etapie należy zwrócić uwagę na fakt, że Komisja proponuje dodać do art. 41 (nowy art. 57) zdanie ogólne, w którym stwierdza się, że "[w]szystkie przypadki przechowywania lub wymiany informacji, o których mowa w niniejszym rozporządzeniu, podlegają przepisom wykonującym dyrektywę 95/46/WE". Inspektor z zadowoleniem przyjmuje dodanie tego fragmentu i zachęca prawodawcę do dodania takiego stwierdzenia również w motywach.

24. Choć Komisja nie jest bezpośrednio zaangażowana w wymianę danych między właściwymi organami, art. 51 ust. 2 pokazuje, że Komisja otrzyma "wszelkie dostępne informacje dotyczące stosowania niniejszego rozporządzenia", "dane statystyczne" i "wszelkie inne informacje", które mogą pomóc w określeniu właściwego wymiaru VAT, o czym mowa w art. 1⁽¹³⁾. Jak wspomniano w pkt 14, Komisja jest również odpowiedzialna za "rozwijanie wspólnej sieci łączności/wspólnego systemu połączeń (CCN/CSI) niezbędnego do umożliwienia wymiany informacji między państwami członkowskimi" (art. 55). Jak wynika z art. 57 ust. 2, odpowiedzialność ta może w pewnych warunkach wiązać się z dostępem do informacji wymienianych za pośrednictwem tego systemu.

25. Z powyższego wynika, że Komisja również będzie przetwarzać dane osobowe. Jest zatem związana zasadami ochrony danych mającymi zastosowanie do instytucji i organów UE, ustanowionymi w rozporządzeniu (WE) nr 45/2001 oraz podlega nadzorowi Inspektora. Aby zachować klarowność i uniknąć wszelkich wątpliwości co do możliwości stosowania tego rozporządzenia, Inspektor wzywa prawodawcę do dodania odniesienia do rozporządzenia w motywach i w jednym z przepisów tekstu normatywnego.

26. W przypadku przetwarzania danych osobowych art. 16 i 17 dyrektywy 95/46/WE oraz art. 21 i 22 rozporządzenia (WE) nr 45/2001 wymagają zapewnienia poufności i bezpieczeństwa przetwarzanych danych. W niedawno cytowanym art. 55 nie jest szczegółowo stwierdzone, czy Komisja jest odpowiedzialna za prowadzenie i bezpieczeństwo CCN/CSI⁽¹⁴⁾. Aby uniknąć wątpliwości dotyczących odpowiedzialności za zapewnienie takiej poufności i bezpieczeństwa, Inspektor wzywa prawodawcę do precyzyjniejszego zdefiniowania zakresu odpowiedzialności w tym względzie, położenia nacisku na obowiązki państw członkowskich i do określenia powiązania tych elementów z wymogami wynikającymi z dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001.

27. Precyzyjniejsze określenie podmiotu odpowiedzialnego za zapewnienie przestrzegania przepisów ochrony danych (w terminologii ochrony danych nazywanego "administratorem danych"⁽¹⁵⁾ jest również istotne w związku z tworzeniem Eurofisc. W art. 35 wyjaśniono, że w skład Eurofisc wejdą właściwi urzędnicy wyznaczeni przez właściwe organy państw członkowskich. Komisja zapewni Eurofisc wsparcie techniczne, administracyjne i operacyjne. Proponowana struktura budzi wątpliwości co do mających zastosowanie przepisów ochrony danych (dyrektywa 95/46/WE lub rozporządzenie (WE) nr 45/2001) i odpowiedzialności za ich przestrzeganie. Czy Komisja zamierza utrzymać odpowiedzialność państw członkowskich, samodzielnie lub wspólnie z Komisją, czy organem odpowiedzialnym zostanie sam Eurofisc - ewentualnie wspólnie z Komisją? Inspektor wzywa prawodawcę do wyjaśnienia tych kwestii i zapewnienia precyzyjnego podziału odpowiedzialności.

IV. SZCZEGÓŁOWA ANALIZA WNIOSKU

IV.1. Określenie danych i celu oraz zapewnienie konieczności przetwarzania danych

28. Inspektor zauważa, że wniosek niewystarczająco precyzyjnie określa rodzaj danych podlegających wymianie oraz cele, dla których dane podlegają wymianie. Ponadto przedmiotowy wniosek w niewystarczający sposób zapewnia, że dane osobowe będą przedmiotem wymiany wyłącznie w razie konieczności. Sytuację tę ilustruje art. 1 ust. 1 przedmiotowego rozporządzenia Rady.

29. W art. 1 ust. 1 określono ogólny cel rozporządzenia polegający na tym, by zapewnić przestrzeganie krajowych przepisów dotyczących VAT. Należy to osiągnąć dzięki współpracy między państwami członkowskimi i wymianie między właściwymi organami państw członkowskich informacji, które mogą pomóc w określeniu właściwego wymiaru VAT, monitorowaniu prawidłowości stosowania VAT, w szczególności w odniesieniu do transakcji wewnątrzwspólnotowych, oraz zwalczaniu oszustw.

30. Sam art. 1 ust. 1 nie byłby zgodny z wymogami wynikającymi ze wspólnotowych zasad ochrony danych, ponieważ jest on sformułowany zbyt ogólnie i pozostawia zbyt wiele możliwości interpretacji. Sytuacja taka stwarza ryzyko istotnego naruszenia mających zastosowanie przepisów ochrony danych w praktyce.

31. Po pierwsze, pojęcie "informacji" jest bardzo szerokie i pociąga za sobą ryzyko nieproporcjonalnej wymiany informacji. Jak już wspomniano, wydaje się, że obejmuje ono nawet dalsze informacje na temat osób fizycznych pracujących na rzecz osób prawnych lub w inny sposób z nimi związanych. W związku z tym Inspektor pragnie zwrócić uwagę na przepisy dotyczące szczególnych kategorii danych i zawierające szczególne, bardziej rygorystyczne zasady przetwarzania danych dotyczących przestępstw, wyroków skazujących, sankcji administracyjnych lub orzeczeń w sprawach cywilnych⁽¹⁶⁾.

32. Po drugie, cele dokonywania wymiany informacji są bardzo ogólne, co jest sprzeczne z wymogiem przedstawienia określonych i jednoznacznych celów⁽¹⁷⁾.

33. Po trzecie, zgodnie z art. 1 ust. 1 informacje mogą być wymieniane, gdy "mogą pomóc" właściwym organom w innym państwie członkowskim. W przypadku przekazywania danych osobowych, wymiana takich danych byłaby sprzeczna z wymogiem, zgodnie z którym dane te są przetwarzane jedynie w zakresie, w jakim jest to konieczne do osiągnięcia określonego celu⁽¹⁸⁾. Nie mając informacji na temat rodzaju przekazywanych informacji osobowych i bez dokładniejszego określenia celów, nie można dokonać oceny konieczności dokonania wymiany.

34. Dlatego niezbędne jest pewne doprecyzowanie celu i rodzaju - przynajmniej w odniesieniu do głównych elementów lub kategorii - informacji, jakie mogą lub będą podlegać wymianie, aby ich wymiana była zgodna z wymogami ochrony danych. Należy zatem również zapewnić zgodność z zasadą konieczności.

35. W odniesieniu do rozporządzenia Rady (WE) nr 1798/20003 jako całości oraz proponowanych zmian do niego Inspektor zauważa, że nie zawierają one żadnych

dalszych informacji, a w najlepszym przypadku są one tylko częściowe. Inspektor dokładniej omówi swój punkt widzenia na ten temat w dalszej części. Wprowadza się zatem rozróżnienie pomiędzy różnymi operacjami przetwarzania: wymiana informacji na wniosek, spontaniczna wymiana informacji, dostęp właściwych organów do informacji za pośrednictwem elektronicznej bazy danych, informacje dostępne dla innych osób zarejestrowanych do celów VAT (VIES) i przetwarzanie danych przez Eurofisc.

Informacje na wniosek

36. W przypadku informacji na wniosek nie przedstawiono żadnych dokładniejszych specyfikacji rodzaju informacji podlegających wymianie ani celów dokonywania takiej wymiany. Artykuł 7 odnosi się do "informacji, o których mowa w art. 1" i stwierdza, że obejmują one "wszelkie informacje odnoszące się do konkretnego przypadku lub przypadków". Wniosek o informacje może doprowadzić do przeprowadzenia postępowania administracyjnego. Ponadto w art. 9 znajduje się odniesienie do przekazywania "wszelkich stosownych informacji". Nie wyjaśniono, jakiego rodzaju informacji może to dotyczyć. Cele, do których dane mogą być przetwarzane, nie zostały dokładniej określone i nie ma wzmianki o wymogu konieczności.

37. Inspektor wzywa prawodawcę do określenia rodzaju informacji osobowych, które mogą podlegać wymianie, przedstawienia celów, do których można dokonywać wymiany danych osobowych, i do oceny konieczności przekazania informacji, lub przynajmniej zapewnienia przestrzegania zasady konieczności.

Spontaniczna wymiana informacji

38. W przypadku spontanicznej wymiany informacji określono przypadki, w których państwa członkowskie przekazują informacje innym właściwym organom. Jeśli chodzi o rodzaj informacji podlegających wymianie, po raz kolejny umieszczono odniesienie do art. 1 ust. 1. W art. 14 ust. 1 wymieniono następujące przypadki:

1) jeżeli zakłada się, że opodatkowanie ma miejsce w państwie członkowskim przeznaczenia, a informacje dostarczone przez państwo członkowskie pochodzenia są nieodzowne dla skuteczności systemu kontroli państwa członkowskiego przeznaczenia;

2) jeżeli państwo członkowskie ma podstawy sądzić, że w innym państwie członkowskim popełniono naruszenie prawodawstwa dotyczącego VAT lub popełnienie takiego naruszenia jest prawdopodobne;

3) jeżeli istnieje ryzyko strat podatkowych w innym państwie członkowskim.

Pomimo że trzy wyżej opisane przypadki, szczególnie drugi i trzeci, nadal mają szeroki zakres, zasadniczo można je uznać jako dalsze doprecyzowanie celów wymiany danych. W pierwszej sytuacja uwzględniono nawet zasadę konieczności. Spontaniczna wymiana informacji nie ogranicza się jednak do tych trzech sytuacji. Artykuł 15 stanowi, że właściwe organy spontanicznie przekazują również znane sobie informacje, o których mowa w art. 1, które "mogą być użyteczne" właściwym organom innych państw członkowskich.

39. Proponowane zmiany w rzeczywistości rozszerzają zakres obecnie obowiązujących przepisów. Artykuł 18 rozporządzenia (WE) nr 1798/2003 stanowi, że zgodnie z procedurą komitetową należy ustalić dokładną kategorię informacji podlegających wymianie spontanicznej. Obecnie Komisja proponuje skreślić ten przepis.

40. Inspektor ponownie wzywa prawodawcę do określenia rodzaju informacji osobowych, które mogą podlegać wymianie, przedstawienia celów, do których można dokonywać wymiany danych osobowych, i do oceny konieczności przekazania informacji, lub przynajmniej zapewnienia przestrzegania zasady konieczności.

Dostępność danych za pośrednictwem elektronicznej bazy danych

41. W odniesieniu do informacji, które są dostępne właściwym organom za pośrednictwem elektronicznej bazy danych, we wniosku przedstawiono bardziej szczegółowe przepisy dotyczące rodzaju informacji zamieszczanych w takiej bazie danych. W art. 18 znajduje się wykaz informacji przechowywanych i przetwarzanych w elektronicznej bazie danych. Dotyczy to informacji zgromadzonych zgodnie z ogólną dyrektywą VAT 2006/112/WE, czyli informacji zgromadzonych za pośrednictwem informacji podsumowujących i informacji zebranych przez organy krajowe w celu rejestracji niemających siedziby podatników świadczących usługi elektroniczne na rzecz innych osób niebędących podatnikami. Inne informacje znajdujące się w bazie danych dotyczą tożsamości, działalności lub formy prawnej osób, którym nadano numer identyfikacyjny VAT, oraz przebiegu wymiany informacji na wniosek lub spontanicznej wymiany informacji na temat danych osób. Wykaz i treść danych, które nie są gromadzone na podstawie dyrektywy VAT, przyjmuje się zgodnie z procedurą komitetową.

42. Od 1 stycznia 2015 r. w bazie danych będą również umieszczane informacje dotyczące usługodawców, wśród nich dane dotyczące ich obrotu i informacji na temat przestrzegania przez nie zobowiązań podatkowych w rodzaju opóźnień w składaniu deklaracji podatkowych lub ewentualnych zaległości w uiszczaniu podatków (zob. art. 18 ust. 3).

43. Artykuł 22 zobowiązuje państwa członkowskie do udzielania właściwym organom innych państw członkowskich zautomatyzowanego dostępu do informacji przechowywanych w elektronicznej bazie danych. Nie podano dalszych szczegółów dotyczących celów, dla których właściwe organy będą mogły korzystać z takiej bazy danych. Stanowi to zmianę wobec obecnego tekstu rozporządzenia, w którym określono, że właściwe organy mogą uzyskać bezpośredni dostęp do ograniczonej części informacji "wyłącznie w celu zapobiegania naruszeniom ustawodawstwa dotyczącego podatku VAT" i "w każdym przypadku, w którym uzna to za niezbędne dla kontroli wewnątrzwspólnotowego nabycia towarów lub wewnątrzwspólnotowego świadczenia usług" (zob. obecny art. 24).

44. Rozszerzając możliwości dostępu właściwych organów do tej bazy danych, wniosek zwiększa zagrożenia w zakresie ochrony danych. Jeśli jednak w jak największym stopniu ograniczy się zakres danych osobowych przechowywanych w elektronicznej bazie danych, niekoniecznie będzie to budziło wątpliwości z punktu widzenia ochrony danych. W tym kontekście Inspektor z zadowoleniem przyjmuje uszczegółowienie danych gromadzonych w bazach danych. We wniosku określono jednak jedynie rodzaj informacji, jakie państwa członkowskie są zobowiązane przechowywać w bazach danych, nie wspomina się przy tym, czy w bazach danych można również umieszczać jakiekolwiek inne informacje i czy mogą mieć do nich dostęp także właściwe organy innych państw członkowskich. W związku z tym Inspektor zaleca, by prawodawca wyraźnie stwierdził, że w przypadku danych osobowych w bazach danych nie umieszcza się żadnych innych informacji, lub by przynajmniej czuwał nad tym, by zautomatyzowany dostęp był ograniczony do wymienionych kategorii danych. Ponadto Inspektor wzywa prawodawcę, by określił cele umożliwiające bezpośredni dostęp do przedmiotowych baz danych i dopilnował przestrzegania zasady konieczności.

45. Część wniosku dotycząca wymiany informacji za pośrednictwem elektronicznych baz danych zawiera również zasady dotyczące jakości tych danych. Artykuł 20 stanowi, że państwa członkowskie czuwają nad uaktualnianiem baz danych, zapewniając ich kompletność i dokładność. W art. 23 przewidziano regularne weryfikacje informacji celem zagwarantowania jakości i wiarygodności informacji zawartych w bazie danych. Wymogi te są w pełni zgodne z wymogami dotyczącymi jakości danych zawartymi w art. 6 ust. 1 lit. d) dyrektywy 95/46/WE oraz art. 4 ust. 1 lit. d) rozporządzenia (WE) nr 45/2001. W art. 20 stwierdzono również, że z zastosowaniem procedury komitetowej zostaną określone kryteria ustalania, która z modyfikacji w bazie danych nie jest stosowna, istotna lub użyteczna i dlatego nie musi być dokonywana. Inspektor podkreśla, że kryteria te powinny być zgodne z wymogami ochrony danych (zob. również pkt 57-59 poniżej).

46. Artykuł 19 stanowi, że informacje w elektronicznej bazie danych przechowuje się przez okres co najmniej pięciu lat, licząc od końca pierwszego roku kalendarzowego, w którym przyznano dostęp do informacji. Nie podano uzasadnienia takiego okresu przechowywania. W przypadku informacji zawierających dane osobowe określanie minimalnego okresu bez żadnego odniesienia do zasady konieczności jest sprzeczne z wymogiem zawartym w przepisach dotyczących ochrony danych, zgodnie z którym takie dane nie powinny być przechowywane dłużej niż jest to konieczne. W związku z tym Inspektor zachęca do ponownej analizy tego przepisu w świetle obowiązku wynikającego z art. 6 ust. 1 lit. e) dyrektywy 95/46/WE i art. 4 ust. 1 lit. e) rozporządzenia (WE) nr 45/2001 oraz do określenia maksymalnego okresu przechowywania informacji zawierających dane osobowe, z możliwością zastosowania odstępstw wyłącznie w wyjątkowych okolicznościach.

Informacje dostępne za pośrednictwem VIES

47. Rozdział IX wniosku dotyczy informacji dostępnych podatnikom. Jak wyjaśniono w pkt 13 powyżej, za pośrednictwem VIES podatnicy mogą obecnie uzyskiwać informacje na temat ważności numeru identyfikacyjnego VAT, pod jakim dana osoba dokonała wewnątrzwspólnotowej dostawy towarów lub świadczenia usług lub była odbiorcą jednej z tych transakcji. Komisja proponuje dodać zdanie, w którym stwierdza się, że potwierdzenie takie uzyskuje się do celów takich transakcji, oraz udostępnić osobie występującej o takie potwierdzenie dodatkowo nazwisko lub nazwę i adres przypisany danemu numerowi identyfikacyjnemu VAT. Inspektor jest zdania, że zasady te są zgodne z wymogami ochrony danych.

Eurofisc

48. Wniosek Komisji zapewnia podstawę prawną do utworzenia wspólnej struktury współpracy wielostronnej (Eurofisc). Struktura ta ma umożliwić szybką wymianę ukierunkowanych informacji między wszystkimi państwami członkowskimi. Struktura ta ma umożliwić przeprowadzanie analiz ryzyka i analiz strategicznych, które będą stanowić podstawę upowszechniania wielostronnej wymiany informacji. W art. 36 ust. 2 stwierdzono, że ustalenia w zakresie wymiany informacji w ramach tej struktury są podejmowane zgodnie z procedurą komitetową. W rozdziale, w którym należy określić przedmiotową strukturę, nie ma odniesienia do żadnych wymogów dotyczących ochrony danych. Inspektor chce podkreślić, że - oprócz mających zastosowanie przepisów omówionych w części III powyżej - należy określić rodzaj wykorzystywanych informacji osobowych oraz cele, do których dane osobowe będą badane i wymienianie, a także zapewnić przestrzeganie zasady konieczności.

IV.2. Inne elementy istotne z punktu widzenia ochrony danych

Artykuł 57: zasada ograniczenia przeznaczenia

49. Rozdział XV wniosku dotyczy warunków regulujących wymianę informacji. Rozdział ten zawiera przepisy dotyczące elementów praktycznych wymiany informacji. Jeden z artykułów - art. 57 - jest szczególnie istotny z punktu widzenia ochrony danych. Stanowi on, że osoby mające dostęp do informacji będących przedmiotem wymiany na mocy przedmiotowego rozporządzenia są objęte obowiązkiem zachowania tajemnicy służbowej. Choć w ust. 5 znajduje się odniesienie do dyrektywy 95/46/WE (zob. poniżej) obowiązku zachowania tajemnicy nie powiązano z przepisami ochrony danych. Inspektor zaleca, by prawodawca dodał odniesienie do zasad ochrony danych także w ust. 1.

50. Artykuł 57 ust. 1 wydaje się wprowadzać możliwość wykorzystywania danych do celów innych niż poprzednio przewidziano w tym rozporządzeniu. Ustęp 3 wyraźnie umożliwia wykorzystywanie informacji do innych celów, jeżeli w ustawodawstwie państwa członkowskiego organu współpracującego informacja taka może być wykorzystywana do podobnych celów. W tym kontekście Inspektor zwraca uwagę na zasadę ograniczonego przeznaczenia ustanowioną w art. 6 ust. 1 lit. b) dyrektywy 95/46/WE oraz art. 4 ust. 1 lit. b) rozporządzenia (WE) nr 45/2001. Inspektor podkreśla, że w przypadku informacji zawierających dane osobowe takie dane zasadniczo nie mogą być wykorzystywane do celów innych niż cele, do których zostały zgromadzone, chyba że spełnione zostaną rygorystyczne warunki określone w art. 13 ust. 1 dyrektywy lub art. 20 ust. 1 rozporządzenia (zob. również pkt 51-53 poniżej). W związku z tym Inspektor zwraca się do prawodawcy o ponowne przeanalizowanie przedmiotowego przepisu pod kątem zasady ograniczonego przeznaczenia ustanowionej w art. 6 ust. 1 lit. b) dyrektywy 95/46 i art. 4 ust. 1 lit. b) rozporządzenia (WE) nr 45/2001.

Artykuł 57 ust. 5: ograniczenie niektórych konkretnych praw i obowiązków ochrony danych

51. W motywie 35 stwierdza się, że do celów rozporządzenia właściwe jest rozważenie ograniczeń niektórych praw i obowiązków ustanowionych w dyrektywie 95/46/WE. Wprowadzono odniesienie do art. 13 ust. 1 lit. e) dyrektywy, który umożliwia wprowadzenie takich ograniczeń. W motywie zawartym we wniosku dodano, że ograniczenia te są konieczne i proporcjonalne, zważywszy na potencjalną utratę dochodów przez państwa członkowskie oraz na żywotne znaczenie przedmiotowych informacji dla skutecznego zwalczania oszustw.

52. Motyw ten został rozwinięty w art. 57 ust. 5. Po stwierdzeniu, że wszelkie przypadki przechowywania lub wymiany informacji, o których mowa w rozporządzeniu, podlegają przepisom wykonującym dyrektywę 95/46/WE (zob. pkt 23 powyżej), w ustępie tym stwierdza się, że "państwa członkowskie do celów właściwego stosowania niniejszego rozporządzenia ograniczają zakres praw i obowiązków przewidzianych w art. 10, art. 11 ust. 1 oraz w art. 12 i 21 dyrektywy 95/46/WE w takim stopniu, w jakim jest to konieczne do zabezpieczenia interesów określonych w art. 13 lit. e) wspomnianej dyrektywy". Wyżej wymienione artykuły nakładają na administratora danych obowiązek poinformowania o tym osoby, której dane dotyczą (art. 10 i 11), zawierają prawo dostępu każdej osoby do informacji, które jej dotyczą (art. 12), i zobowiązują krajowy organ nadzoru ds. ochrony danych do prowadzenia publicznego rejestru operacji przetwarzania danych (art. 21).

53. Inspektor podkreśla, że w art. 13 lit. e) dyrektywy 95/46/WE wprowadzono możliwość odstępstw od niektórych przepisów tej dyrektywy i że przepis ten należy interpretować w sposób precyzyjny. Inspektor przyjmuje do wiadomości, że w pewnych okolicznościach można uznać za konieczne do celów zapobiegania oszustwom podatkowym i wykrywania takich przestępstw, by tymczasowo zawiesić obowiązek uprzedniego poinformowania osoby, której dane dotyczą, oraz prawo uzyskiwania dostępu do informacji. Jednak art. 13 dyrektywy 95/46/WE wymaga, by (1) ograniczenie takie zostało ustanowione w "akcie prawodawczym" i by (2) "stanowiło ono środek konieczny, aby chronić" jeden z wymienionych interesów. Obecny tekst proponowanego art. 57 ust. 5 nie odzwierciedla pierwszego wymogu, ponieważ nie wprowadzono odniesienia do wymaganej postawy prawnej. Inspektor wzywa zatem prawodawcę do uwzględnienia tego wymogu w art. 57 ust. 5. Można uznać, że drugi wymóg został uwzględniony w sformułowaniu "w takim stopniu, w jakim jest to konieczne". Niemniej jednak w celu zachowania spójności Inspektor proponuje, by sformułowanie to zastąpić określeniem "jeżeli jest to środek konieczny". Inspektor wzywa również prawodawcę do odrzucenia proponowanego dodatkowego zdania w motywie 35, w którym stwierdza się, że ograniczenia są konieczne i proporcjonalne, ponieważ zdanie to jest zbyt ogólne i nie niesie za sobą wartości prawnej.

Przejrzystość

54. W art. 10 i 11 dyrektywy 95/46/WE nakłada się na administratora danych obowiązek poinformowania osoby, której dane dotyczą, przed datą ich zgromadzenia lub - w przypadku gdy danych nie uzyskuje się od osoby, której one dotyczą - w momencie ich zapisywania. Przepisy te można uznać za rozwinięcie ogólnej zasady przejrzystości stanowiącej część rzetelnego przetwarzania, zgodnie z wymogami zawartymi w art. 6 ust. 1 lit. a) dyrektywy 95/46/WE. Inspektor zauważył, że wniosek nie zawiera innych przepisów, które by dotyczyły zasady przejrzystości, przykładowo sposobu informowania opinii publicznej o systemie lub sposobu informowania osób, których dane dotyczą, o ich przetwarzaniu. W związku z tym Inspektor wzywa prawodawcę do przyjęcia przepisu dotyczącego przejrzystości współpracy i systemów wspierających.

Artykuł 52: wymiana informacji z państwami trzecimi

55. W art. 52 przewidziano możliwość wymiany informacji z państwami trzecimi. Stanowi on, że "można przekazać [...] państwu trzeciemu informacje uzyskane na podstawie niniejszego rozporządzenia, za zgodą właściwych organów

dostarczających informacje, zgodnie z ich wewnętrznymi przepisami dotyczącymi przekazywania danych osobowych do państw trzecich". Inspektor z zadowoleniem odnotowuje, że prawodawca jest świadomy szczególnych reguł jakie mają zastosowanie w przypadku wymiany danych osobowych z państwami spoza UE. Do celów zachowania jasności w tekście można dodać wyraźnie odniesienie do dyrektywy 95/46/WE, zawierające stwierdzenie, że takie przekazanie informacji powinno być zgodne z wewnętrznymi przepisami wykonującymi przepisy rozdziału IV dyrektywy 95/46/WE dotyczącego przekazywania danych osobowych do państw trzecich.

56. Wniosek zawiera jedynie odniesienie do właściwych organów państw członkowskich. Nie jest jasne, czy planuje się wymianę informacji (osobowych) z państwami trzecimi również na poziomie europejskim. Jest to ściśle związane z kwestiami podniesionymi w części III powyżej dotyczącej przepisów mających zastosowanie do funkcjonowania Eurofisc. Przekazywanie przez instytucje lub organy wspólnotowe danych osobowych do państw trzecich musi przebiegać zgodnie z art. 9 rozporządzenia (WE) nr 45/2001. Inspektor zwraca się do prawodawcy o wyjaśnienie tej kwestii.

Procedura komitetowa

57. Jak wynika z powyższej analizy, kilka kwestii istotnych z punktu widzenia ochrony danych zostanie bardziej szczegółowo omówionych w przepisach przyjętych w wyniku zastosowania procedury komitetowej, zgodnie z art. 60 wniosku (zob. pkt 41, 45 i 48 powyżej). Pomimo że Inspektor rozumie praktyczną potrzebę stosowania takiej procedury, chce podkreślić, że główne odniesienia i gwarancje w zakresie ochrony danych powinny zostać ustanowione w przepisach podstawowych.

58. Inspektor pragnie zaznaczyć, że gdyby dalsze przepisy miały być omawiane w ramach procedury komitetowej, dyskusje powinny uwzględniać wymogi ochrony danych wynikające z dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001. Inspektor wzywa także Komisję do uwzględniania Inspektora w tych działaniach i zasięgania jego rady w przypadku gdyby rzeczywiście doszło do omawiania dalszych przepisów istotnych z punktu widzenia ochrony danych. Miało to by miejsce na przykład w przypadku tworzenia Eurofisc (zob. pkt 48 powyżej).

59. Aby zapewnić udział Inspektora przy przyjmowaniu na podstawie procedury komitetowej dalszych przepisów istotnych z punktu widzenia ochrony danych, Inspektor zaleca prawodawcy dodanie w art. 60 ustępu 3 stwierdzającego, że "jeżeli środki wykonawcze związane są z przetwarzaniem danych osobowych, zasięga się opinii Europejskiego Inspektora Ochrony Danych".

V. WNIOSKI I ZALECENIA

60. Inspektor jest świadomy znaczenia, jakie ma zwiększenie skuteczności środków zwalczania oszustw transgranicznych i poprawa skuteczności poboru VAT w przypadku transakcji transgranicznych. Inspektor uznaje również, że osiągnięcie tych celów nierozerwalnie wiąże się z przetwarzaniem danych osobowych. Podkreśla jednak, że przetwarzanie takich danych musi się odbywać zgodnie ze wspólnotowymi zasadami ochrony danych.

61. Po dokonaniu analizy ram prawnych wynikających z rozporządzenia (WE) nr 1798/2003 i proponowanych obecnie dostosowań Inspektor stwierdza, że pomimo pewnych pozytywnych elementów, nie spełniono wszystkich wymogów wynikających ze wspólnotowych zasad ochrony danych.

62. W niniejszej opinii Inspektor kieruje do prawodawcy następujące zalecenia:

– W odniesieniu do kwestii przepisów wspólnotowych mających zastosowanie do ochrony danych - doprecyzować obowiązki, odpowiednio, państw członkowskich, Komisji i Eurofisc dotyczące przestrzegania tych zasad.

– W odniesieniu do wymiany danych między właściwymi organami na wniosek lub spontanicznie - określić rodzaj informacji osobowych, które mogą podlegać wymianie, cele, do których dane osobowe mogą być wymieniane, i ocenić konieczność przekazania takich danych lub przynajmniej zapewnić przestrzeganie zasady konieczności.

– W odniesieniu do wymiany danych przez bezpośredni dostęp do elektronicznych baz danych - wyraźnie stwierdzić, że w przypadku danych osobowych w takich bazach danych umieszcza się wyłącznie dane już określone lub przynajmniej dopilnować, by zautomatyzowany dostęp był ograniczony do wspomnianych kategorii danych. Ponadto - określić cele bezpośredniego dostępu do baz danych, zapewnić przestrzeganie zasady konieczności i określić maksymalny okres przechowywania danych osobowych w bazie danych, z możliwością zastosowania odstępstw w wyjątkowych okolicznościach.

– W odniesieniu do art. 57 (i motywu 35):

– w ust. 1 dodać odniesienie do wspólnotowych przepisów dotyczących ochrony danych;

– ponownie przeanalizować ust. 1 i 3 pod kątem zasady ograniczonego przeznaczenia ustanowionej w art. 6 ust. 1 lit. b) dyrektywy 95/46 i art. 4 ust. 1 lit. b) rozporządzenia (WE) nr 45/2001;

– w ust. 5 uwzględnić wymóg zawarty w art. 13 dyrektywy 95/46/WE, by wspomniane ograniczenie praw i obowiązków było ustanowione w akcie prawodawczym;

– w ust. 5 zastąpić określenie "w takim stopniu, w jakim jest to konieczne" określeniem "jeżeli jest to środek konieczny";

– odrzucić proponowane dodanie zdania w motywie 35.

– W odniesieniu do zasady przejrzystości - przyjąć przepis dotyczący przejrzystości współpracy i systemów wspierających.

– W odniesieniu do wymiany danych z państwami trzecimi - w art. 52 dodać wyraźne odniesienie do rozdziału IV dyrektywy 95/46/WE i doprecyzować, czy w ramach Komisji lub Eurofisc planuje się jakąkolwiek wymianę informacji osobowych z państwami trzecimi.

– W odniesieniu do zasad przyjętych na podstawie procedury komitetowej - w art. 60 dodać ust. 3 w brzmieniu: "jeżeli środki wykonawcze związane są z przetwarzaniem danych osobowych, zasięga się opinii Europejskiego Inspektora Ochrony Danych".

Sporządzono w Brukseli dnia 30 października 2009 r.

______

⁽¹⁾ Dz.U. L 281 z 23.11.1995, s. 31.

⁽²⁾ Dz.U. L 8 z 12.1.2001, s. 1.

⁽³⁾ COM(2009) 427 wersja ostateczna z 18 sierpnia 2009 r.

⁽⁴⁾ Dz.U. L 264 z 15.10.2003, s. 1.

⁽⁵⁾ Zob. porozumienie międzyinstytucjonalne z dnia 28 listopada 2001 r. w sprawie bardziej uporządkowanego wykorzystania techniki przekształcania aktów prawnych (Dz.U. C 77 z 28.3.2002, s. 1).

⁽⁶⁾ Komunikat COM(2006) 254 z dnia 31 maja 2006 r. w sprawie konieczności opracowania skoordynowanej strategii mającej na celu poprawę walki z oszustwami podatkowymi.

⁽⁷⁾ Zob. konkluzje Rady z 4 grudnia 2007 r. i 7 października 2008 r. oraz rezolucja Parlamentu Europejskiego z 2 września 2008 r. (2008/2033(INI)). Zob. komunikat COM(2008) 807 z 1 grudnia 2008 r.

⁽⁸⁾ .Dz.U. L 347 z 11.12.2006, s. 1.

⁽⁹⁾ Sprawozdanie COM(2009) 428 z 18 sierpnia 2009 r. w sprawie stosowania rozporządzenia Rady (WE) nr 1798/2003.

⁽¹⁰⁾ Wniosek uwzględnia zmiany do rozporządzenia (WE) nr 1798/2003 zaproponowane w rozporządzeniu Rady (WE) nr 143/2008, które będzie obowiązywać od 1 stycznia 2015 r. (Dz.U. L 44 z 20.2.2008, s. 1). Zmiany te wprowadzają zasady dotyczące miejsca świadczenia usług, procedur szczególnych i procedury zwrotu VAT.

⁽¹¹⁾ Zob. uzasadnienie wniosku, s. 4.

⁽¹²⁾ Zob. art. 2 lit. a) dyrektywy 95/46/WE oraz art. 2 lit. a) rozporządzenia (WE) nr 45/2001. Zob. opinia 4/2007 z 20 czerwca 2007 r. grupy roboczej art. 29 w sprawie pojęcia danych osobowych (dostępna pod: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_pl.pdf).

⁽¹³⁾ Zob. również pkt 28 i kolejne. W pozostałej części niniejszej opinii wszystkie odniesienia do motywów i artykułów dotyczą motywów i artykułów wniosku, o ile nie stwierdzono inaczej.

⁽¹⁴⁾ Zob. stosowne uwagi również w opinii Inspektora z 16 września 2008 r. na temat wniosku dotyczącego decyzji Rady w sprawie ustanowienia europejskiego systemu przekazywania informacji z rejestrów karnych (ECRIS) (Dz.U. C 42 z 20.2.2009, s. 1), pkt 23 i kolejne.

⁽¹⁵⁾ Zob. art. 2 lit. d) dyrektywy 95/46/WE oraz art. 2 lit. d) rozporządzenia (WE) nr 45/2001. Obydwa przepisy przewidują możliwość administrowania samodzielnego lub wspólnego ("...samodzielnie lub wspólnie z innymi ...").

⁽¹⁶⁾ Zob. art. 8 ust. 5 dyrektywy 95/46/WE oraz art. 10 ust. 5 rozporządzenia (WE) nr 45/2001.

⁽¹⁷⁾ Zob. art. 6 ust. 1 lit. b) dyrektywy 95/46/WE oraz art. 4 ust. 1 lit. b) rozporządzenia (WE) nr 45/2001.

⁽¹⁸⁾ Zob. art. 7 dyrektywy 95/46/WE oraz art. 5 rozporządzenia (WE) nr 45/2001.