–

za MK: J. Zäh, Rechtsanwalt,

–

za K GmbH: B. Geck, Rechtsanwältin,

–

za Irsko: M. Browne, Chief State Solicitor, A. Joyce a M. Tierney, jako zmocněnci, ve spolupráci s: D. Fennelly, BL,

–

za italskou vládu: G. Palmieri, jako zmocněnkyně, ve spolupráci s: G. Natale, avvocato dello Stato,

–

za Evropskou komisi: A. Bouchagiar, M. Heller a H. Kranenborg, jako zmocněnci,

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 82 odst. 1, jakož i čl. 88 odst. 1 a 2 ve spojení s článkem 5, čl. 6 odst. 1, jakož i čl. 9 odst. 1 a 2 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, dále jen „GDPR“).

2

Tato žádost byla předložena v rámci sporu mezi MK, fyzickou osobou, a společností K GmbH, která je jejím zaměstnavatelem, ve věci náhrady nehmotné újmy, kterou uvedená osoba údajně utrpěla v důsledku zpracování jejích osobních údajů touto společností na základě podnikové dohody.

3

Body 8, 10 a 155 odůvodnění GDPR znějí takto:

[…]

[…]

4

Článek 4 tohoto nařízení, nadepsaný „Definice“, stanoví:

„Pro účely tohoto nařízení se rozumí:

[…]

[…]“

5

Kapitola II GDPR, nadepsaná „Zásady“, obsahuje články 5 až 11.

6

Článek 5 tohoto nařízení, nadepsaný „Zásady zpracování osobních údajů“, stanoví:

„1.   Osobní údaje musí být:

[…]

[…]

2.   Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

7

Článek 6 uvedeného nařízení, nadepsaný „Zákonnost zpracování“, stanoví:

„1.   Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.

2.   Členské státy mohou zachovat nebo zavést konkrétnější ustanovení, aby přizpůsobily používání pravidel tohoto nařízení ohledně zpracování ke splnění odst. 1 písm. c) a e) tím, že přesněji určí konkrétní požadavky na zpracování a jiná opatření k zajištění zákonného a spravedlivého zpracování, a to i u jiných zvláštních situací, při nichž dochází ke zpracování, jak stanoví kapitola IX.

3.   Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:

[…] Tento právní základ může obsahovat konkrétní ustanovení pro přizpůsobení uplatňování pravidel tohoto nařízení, včetně obecných podmínek, kterými se řídí zákonnost zpracování správcem, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje poskytnout, a účelu tohoto poskytování, účelového omezení, doby uložení a jednotlivých operací zpracování a postupů zpracování, jakož i dalších opatření k zajištění zákonného a spravedlivého zpracování, jako jsou opatření pro jiné zvláštní situace, při nichž dochází ke zpracování, než stanoví kapitola IX. […]

[…]“

8

Článek 9 téhož nařízení, nadepsaný „Zpracování zvláštních kategorií osobních údajů“, zní následovně:

„1.   Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

2.   Odstavec 1 se nepoužije, pokud jde o některý z těchto případů:

[…]“

9

Článek 82 tohoto nařízení, nadepsaný „Právo na náhradu újmy a odpovědnost“, obsažený v kapitole VIII GDPR, nadepsané „Právní ochrana, odpovědnost a sankce“, v odstavci 1 stanoví:

„Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.“

10

V článku 88 tohoto nařízení, nadepsaném „Zpracování v souvislosti se zaměstnáním“ a obsaženém v kapitole IX GDPR, nadepsané „Ustanovení týkající se zvláštních situací, při nichž dochází ke zpracování“, je v odst. 1 a 2 stanoveno:

„1.   Členské státy mohou právním předpisem nebo kolektivními smlouvami stanovit konkrétnější pravidla k zajištění ochrany práv a svobod ve vztahu ke zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním, zejména za účelem náboru, plnění pracovní smlouvy včetně plnění povinností stanovených zákonem nebo kolektivními smlouvami, řízení, plánování a organizace práce, za účelem zajištění rovnosti a rozmanitosti na pracovišti, zdraví a bezpečnosti na pracovišti, ochrany majetku zaměstnavatele nebo majetku zákazníka, dále za účelem individuálního a kolektivního výkonu a požívání práv a výhod spojených se zaměstnáním a za účelem ukončení zaměstnaneckého poměru.

2.   Tato pravidla zahrnují zvláštní a vhodná opatření zajišťující ochranu lidské důstojnosti, oprávněných zájmů a základních práv subjektů údajů, především pokud jde o transparentnost zpracování, předávání osobních údajů v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost a systémy monitorování na pracovišti.“

11

Článek 99 GDPR, nadepsaný „Vstup v platnost a použitelnost“, stanoví:

„1.   Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

2.   Toto nařízení se použije ode dne 25. května 2018.“

12

Ustanovení § 26 Bundesdatenschutzgesetz (spolkový zákon o ochraně údajů) ze dne 30. června 2017 (BGBl. 2017 I, s. 2097, dále jen „BDSG“), nadepsaný „Zpracování údajů v souvislosti se zaměstnáním“, v odstavcích 1 a 4 stanoví:

„(1)   Osobní údaje zaměstnanců lze pro účely pracovního poměru zpracovávat, pokud je to nezbytné pro rozhodnutí o vzniku pracovního poměru nebo po vzniku pracovního poměru pro jeho naplňování nebo ukončení, jakož i pro výkon práv nebo plnění povinností, které souvisí se zastupováním zájmů zaměstnanců, které vyplývají ze zákona nebo z nástroje kolektivní úpravy práce, z podnikové dohody nebo kolektivní dohody týkající se veřejné služby (kolektivní smlouvy). […]

[…]

(4)   Zpracování osobních údajů včetně zvláštních kategorií osobních údajů zaměstnanců pro účely pracovního poměru je přípustné na základě kolektivní smlouvy. Partneři účastnící se vyjednávání při něm musí dodržovat čl. 88 odst. 2 [GDPR].“

13

Žalobce v původním řízení je zaměstnancem žalované v původním řízení, která je společností založenou podle německého práva, a předsedá podnikové radě zřízené v rámci této společnosti.

14

Uvedená společnost původně zpracovávala určité osobní údaje svých zaměstnanců, zejména pro účely účetnictví, prostřednictvím softwaru nazvaného „SAP“ (dále jen „software SAP“), a v této souvislosti uzavřela s podnikovou radou několik podnikových dohod.

15

V roce 2017 zavedla skupina společností D, k níž patří žalovaná v původním řízení (dále jen „skupina D“), v rámci celé této skupiny cloudový software nazvaný „Workday“ (dále jen „software Workday“) jako jednotný systém správy informací o zaměstnancích. V tomto rámci zaslala žalovaná v původním řízení různé osobní údaje svých zaměstnanců ze softwaru SAP na server mateřské společnosti skupiny D, který se nachází ve Spojených státech amerických.

16

Dne 3. července 2017 žalovaná v původním řízení a její podniková rada uzavřely dohodu o toleranci v souvislosti se zavedením softwaru Workday (dále jen „podniková dohoda o toleranci“), která mimo jiné zakazovala, aby byl tento software používán během zkušební fáze pro účely řízení lidských zdrojů, jako je hodnocení zaměstnance. Podle přílohy 2 této dohody byly jedinými kategoriemi údajů, které mohly být předány do softwaru Workday, identifikační číslo přidělené zaměstnanci skupiny D, jeho příjmení, jméno, telefonní číslo, datum nástupu do zaměstnání u dotyčné společnosti, datum jeho nástupu do zaměstnání ve skupině D, místo výkonu práce, název dotčené společnosti, jakož i jeho pracovní telefonní číslo a pracovní e-mailová adresa. Účinky uvedené dohody byly prodlouženy do doby, než vstoupila v platnost konečná podniková dohoda uzavřená dne 23. ledna 2019.

17

V tomto kontextu podal žalobce v původním řízení k místně příslušnému Arbeitsgericht (pracovní soud, Německo) a poté k místně příslušnému Landesarbeitsgericht (zemský pracovní soud, Německo) žaloby, jimiž se domáhal přístupu k určitým informacím, výmazu údajů, které se ho týkaly, a přiznání náhrady újmy. Tento žalobce zejména tvrdil, že žalovaná v původním řízení předala na server mateřské společnosti jeho osobní údaje, z nichž některé nebyly uvedeny v podnikové dohodě o toleranci, zejména jeho soukromé kontaktní údaje, podrobnosti o jeho smlouvě a odměně za práci, jeho číslo sociálního pojištěnce a daňové identifikační číslo, jeho státní příslušnost, jakož i rodinný stav.

18

Vzhledem k tomu, že žalobci v původním řízení nebylo v plném rozsahu vyhověno, podal opravný prostředek Revision k Bundesarbeitsgericht (Spolkový pracovní soud, Německo), který je předkládajícím soudem. Jediným dosud nevyřešeným nárokem je nárok žalobce na náhradu nehmotné újmy na základě GDPR, která mu údajně vznikla v důsledku nezákonného zpracování jeho osobních údajů prostřednictvím softwaru Workday, a to v období od prvního dne, kdy se toto nařízení stalo použitelným, tedy od 25. května 2018, do konce prvního trimestru roku 2019.

19

Pokud jde o nezákonnost tohoto zpracování, žalobce v původním řízení zaprvé tvrdí, že toto zpracování nebylo nezbytné ani pro účely pracovního poměru, pro který tehdy žalovaná v původním řízení používala software SAP, ani pro účely testování softwaru Workday, neboť k tomuto účelu by postačovalo použití fiktivních údajů, které by zajistilo, aby v rámci skupiny D nebyl zpřístupněn žádný skutečný údaj. Zadruhé i za předpokladu, že by podniková dohoda o toleranci mohla představovat platný základ pro uvedené zpracování, bylo oprávnění v ní obsažené překročeno, jelikož tato žalovaná předala jiné údaje, než které jsou uvedeny v příloze 2 této dohody. A konečně důkazní břemeno, že jednání žalované jsou v souladu s GDPR, nese podle tvrzení žalobce žalovaná.

20

Žalovaná v původním řízení namítá, že dotyčné zpracování splňuje požadavky GDPR, že důkazní břemeno nese žalobce v původním řízení a že tento žalobce neprokázal ani existenci nehmotné újmy, ani příčinnou souvislost mezi případným porušením tohoto nařízení a tvrzenou újmou.

21

Podle předkládajícího soudu spadají operace zpochybněné žalobcem v původním řízení do věcné působnosti GDPR, neboť představují „zpracování“„osobních údajů“ tohoto „subjektu údajů“ ve smyslu čl. 4 bodů 1 a 2 tohoto nařízení. Uvedený soud má také za to, že žalovaná v původním řízení je „správcem“ ve smyslu čl. 4 bodu 7 uvedeného nařízení. Stran časové působnosti tohoto nařízení předkládající soud uvádí, že zpracování sice začalo přede dnem, kdy se toto nařízení stalo použitelným, avšak pokračovalo i po tomto datu z důvodu několika prodloužení původních účinků podnikové dohody o toleranci.

22

V této souvislosti si předkládající soud klade v první řadě otázku, zda je s tímto nařízením slučitelná taková vnitrostátní právní norma, jako je § 26 odst. 4 BDSG, upravující zpracování osobních údajů v souvislosti se zaměstnáním, která v podstatě stanoví, že takové zpracování prováděné na základě kolektivních smluv je zákonné s výhradou, že je dodržen čl. 88 odst. 2 GDPR, nebo zda musí být dotyčné zpracování za tímto účelem rovněž v souladu s dalšími ustanoveními tohoto nařízení. Uvedený soud se přiklání k názoru, že pokud se zpracování osobních údajů zaměstnanců řídí „kolektivní smlouvou“ ve smyslu článku 88 GDPR, nemůže toto zpracování opomíjet požadavky vyplývající nejen z článku 88, ale rovněž z článku 5, čl. 6 odst. 1, jakož i z čl. 9 odst. 1 a 2 tohoto nařízení, zejména pokud jde o kritérium nezbytnosti zpracování stanovené v těchto posledních třech uvedených článcích.

23

Ve druhé řadě se uvedený soud pro případ kladné odpovědi na první otázku táže, zda strany takové kolektivní smlouvy mají prostor pro uvážení, který by měl podléhat pouze omezenému soudnímu přezkumu, a to z hlediska posouzení nezbytnosti dotyčného zpracování ve smyslu článku 5, čl. 6 odst. 1, jakož i čl. 9 odst. 1 a 2 GDPR. Toto tvrzení může být podle něj podpořeno argumenty, že tyto strany mají velmi blízko k podnikovým záležitostem a obvykle dosáhly spravedlivé rovnováhy mezi dotčenými zájmy. Judikatura Soudního dvora týkající se jiných aktů unijního práva, zejména rozsudky ze dne 7. února 1991, Nimz (C‑184/89, EU:C:1991:50), a ze dne 20. března 2003, Kutz-Bauer (C‑187/00, EU:C:2003:168), však podle předkládajícího soudu vede spíše k domněnce, že ustanovení kolektivní smlouvy spadající do působnosti unijního práva nemohou být s tímto právem v rozporu a že v případě potřeby je nutno taková ustanovení nepoužít.

24

Ve třetí řadě se předkládající soud pro případ kladné odpovědi na druhou otázku táže, na která kritéria by měl případně omezit svůj soudní přezkum.

25

A konečně čtvrtá až šestá otázka položené uvedeným soudem předtím, než je vzal zpět, se v podstatě týkaly práva na náhradu nehmotné újmy podle čl. 82 odst. 1 GDPR.

26

Za těchto podmínek se Bundesarbeitsgericht (Spolkový pracovní soud) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

27

Rozhodnutím předsedy Soudního dvora ze dne 24. ledna 2024 byly předkládajícímu soudu doručeny rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů) (C‑300/21, EU:C:2023:370); ze dne 14. prosince 2023, Nacionalna agencia za prichodite (C‑340/21, EU:C:2023:986); ze dne 14. prosince 2023, Gemeinde Ummendorf (C‑456/22, EU:C:2023:988); ze dne 21. prosince 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022), jakož i ze dne 25. ledna 2024, MediaMarktSaturn (C‑687/21, EU:C:2024:72), aby předkládající soud upřesnil, zda s ohledem na tyto rozsudky trvá na své žádosti o rozhodnutí o předběžné otázce, a to konkrétně pokud jde o čtvrtou až šestou otázku.

28

Rozhodnutím předsedy Soudního dvora ze dne 15. března 2024 bylo řízení do doručení odpovědi na tuto otázku přerušeno na základě čl. 55 odst. 1 písm. b) jednacího řádu Soudního dvora.

29

Písemným sdělením došlým Soudnímu dvoru dne 8. května 2024 jej předkládající soud informoval o tom, že bere zpět čtvrtou až šestou otázku, ale trvá na první až třetí otázce.

30

Žalovaná v původním řízení tvrdí, že první až třetí otázka jsou nepřípustné z důvodu, že nejsou relevantní pro řešení sporu, který byl předkládajícímu soudu předložen. V podstatě uvádí, že žalobce v původním řízení nezpochybňuje obsah podnikové dohody použitelné v projednávané věci, ale překročení mezí této dohody předmětným zpracováním údajů, takže předmětem tohoto sporu není porušení požadavků článku 88 GDPR v souvislosti s touto dohodou. Tyto otázky jsou navíc podle tvrzení žalované v původním řízení hypotetické, jelikož mají tomuto soudu umožnit přezkum zákonnosti tohoto zpracování jako celku, a nikoli pouze ve vztahu ke skutečnostem, proti nimž brojí žalobce v původním řízení.

31

V této souvislosti podle ustálené judikatury platí, že přísluší pouze vnitrostátnímu soudu, kterému byl spor předložen a který nese odpovědnost za soudní rozhodnutí, jež bude vydáno, aby s ohledem na konkrétní okolnosti věci posoudil jak nezbytnost rozhodnutí o předběžné otázce pro vydání rozsudku, tak relevanci otázek, které Soudnímu dvoru klade a na které se v tomto ohledu vztahuje domněnka relevance. Proto když se položená otázka týká výkladu nebo platnosti pravidla unijního práva, Soudní dvůr je v zásadě povinen rozhodnout, s výjimkou situace, kdy je zjevné, že žádaný výklad nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, pokud se jedná o hypotetický problém nebo dále pokud Soudní dvůr nedisponuje skutkovými nebo právními poznatky nezbytnými pro užitečnou odpověď na uvedenou otázku (rozsudek ze dne 20. června 2024, Scalable Capital,C‑182/22 a C‑189/22, EU:C:2024:531, bod 18, jakož i citovaná judikatura).

32

V projednávané věci se první až třetí otázka týkají výkladu několika ustanovení unijního práva, konkrétně článku 88 GDPR ve spojení s jeho články 5, 6 a 9. Předkládající soud se navíc domnívá, že byly překročeny meze stanovené podnikovou dohodou použitelnou v projednávané věci, kterou kvalifikuje jako „kolektivní smlouvu“ ve smyslu tohoto nařízení, a že zpracování osobních údajů dotčené ve věci v původním řízení musí být zkoumáno jako celek, neboť může být nezákonné z hlediska jak odstavce 1, tak odstavce 4 § 26 BDSG, který výslovně odkazuje na článek 88 GDPR.

33

Z toho vyplývá, že žádost o rozhodnutí o předběžné otázce je přípustná.

34

Podstatou první otázky předkládajícího soudu je, zda čl. 88 odst. 1 a 2 GDPR musí být vykládán v tom smyslu, že účinkem vnitrostátního ustanovení, jehož předmětem je zpracování osobních údajů v souvislosti se zaměstnáním a jež bylo přijato na základě čl. 88 odst. 1 tohoto nařízení, musí být povinnost jeho adresátů dodržovat nejen požadavky vyplývající z čl. 88 odst. 2 uvedeného nařízení, ale i požadavky vyplývající z článku 5, čl. 6 odst. 1, jakož i čl. 9 odst. 1 a 2 tohoto nařízení.

35

V tomto ohledu je třeba připomenout, že cílem GDPR je zajistit v zásadě úplnou harmonizaci vnitrostátních právních předpisů týkajících se ochrany osobních údajů. Některá ustanovení uvedeného nařízení však členským státům dávají možnost stanovit další přísnější nebo odchylná vnitrostátní pravidla a ponechávají členským státům prostor pro uvážení ohledně způsobu, jakým mohou být tato ustanovení uplatňována („ustanovení o výjimce“) (v tomto smyslu viz rozsudek ze dne 30. března 2023, Hauptpersonalrat der Lehrerinnen und Lehrer,C‑34/21, EU:C:2023:270, bod 51 a citovaná judikatura).

36

Článek 88 GDPR, který se týká zpracování osobních údajů v souvislosti se zaměstnáním, stanoví podmínky, za kterých mohou členské státy stanovit prostřednictvím zákona nebo kolektivních smluv „konkrétnější pravidla“ k zajištění ochrany práv a svobod zaměstnanců dotčených takovým zpracováním. V bodě 155 odůvodnění tohoto nařízení je mimo jiné uvedeno, že pojem „kolektivní smlouva“ ve smyslu tohoto článku 88 zahrnuje takové „podnikové dohody“, jako je dohoda dotčená v původním řízení. Kromě toho články 5, 6 a 9 uvedeného nařízení stanoví zásady týkající se zpracování osobních údajů, podmínky, za nichž je toto zpracování zákonné, a pravidla zpracování pro zvláštní kategorie těchto údajů.

37

Podle ustálené judikatury musí být znění ustanovení unijního práva, které stejně jako článek 88 GDPR výslovně neodkazuje na právo členských států za účelem vymezení svého smyslu a dosahu, zpravidla vykládáno autonomním a jednotným způsobem v celé Unii, přičemž tento výklad je třeba nalézt zejména s přihlédnutím ke znění dotčeného ustanovení, cílům sledovaným tímto ustanovením a kontextu, do něhož toto ustanovení spadá (obdobně viz rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite,C‑340/21, EU:C:2023:986, bod 23 a citovaná judikatura).

38

Zaprvé je třeba uvést, že ze znění článku 88 GDPR vyplývá, že jeho odstavec 1 vyžaduje, aby „konkrétnější pravidla“ povolená tímto ustanovením měla normativní obsah, který je specifický pro upravovanou oblast a odlišný od obecných pravidel tohoto nařízení, zatímco jeho odstavec 2 vymezuje v souladu s harmonizačním cílem sledovaným uvedeným nařízením prostor pro uvážení členských států, které hodlají přijmout vnitrostátní právní úpravu na základě tohoto odstavce 1 (v tomto smyslu viz rozsudek ze dne 30. března 2023, Hauptpersonalrat der Lehrerinnen und Lehrer,C‑34/21, EU:C:2023:270, body 61, 65, 72 a 75).

39

Naproti tomu toto znění výslovně nestanoví, zda „konkrétnější pravidla“, která mají členské státy možnost přijmout, musí být v souladu pouze s požadavky uvedenými v čl. 88 odst. 2 GDPR nebo také s požadavky dalších ustanovení tohoto nařízení, takže zpracování osobních údajů prováděné na základě takových pravidel musí být mimoto v souladu s posledně uvedenými ustanoveními.

40

Zadruhé, pokud jde o cíle článku 88 GDPR, Soudní dvůr již rozhodl, že tento článek představuje „ustanovení o výjimce“ a že možnost, kterou jeho odstavec 1 přiznává členským státům, lze s ohledem na zvláštnosti takového zpracování vysvětlit zejména existencí vztahu podřízenosti mezi zaměstnancem a zaměstnavatelem. Soudní dvůr upřesnil, že podmínky uložené v čl. 88 odst. 2 tohoto nařízení odrážejí meze prostoru pro uvážení ponechaného členským státům v tom smyslu, že s tím související nedostatek harmonizace lze připustit pouze tehdy, jsou-li zbývající rozdíly doprovázeny zvláštními a vhodnými zárukami, jejichž cílem je ochrana práv a svobod zaměstnanců ve vztahu ke zpracování jejich osobních údajů v souvislosti se zaměstnáním (v tomto smyslu viz rozsudek ze dne 30. března 2023, Hauptpersonalrat der Lehrerinnen und Lehrer,C‑34/21, EU:C:2023:270, body 52, 53 a 73).

41

Soudní dvůr navíc zdůraznil, že pokud členské státy využijí možnosti, kterou jim přiznává článek 88 GDPR, musí využít svého prostoru pro uvážení za podmínek a v mezích stanovených ustanoveními tohoto nařízení a vykonávat legislativní činnost způsobem, který nezasáhne do obsahu a cílů uvedeného nařízení, jímž je především zajistit vysokou úroveň ochrany základních práv a svobod osob dotčených takovým zpracováním, jak vyplývá z bodu 10 jeho odůvodnění. Cílem pravidel přijatých členským státem na základě tohoto článku 88 musí být tedy ochrana práv a svobod zaměstnanců v souvislosti se zpracováním jejich osobních údajů (v tomto smyslu viz rozsudek ze dne 30. března 2023, Hauptpersonalrat der Lehrerinnen und Lehrer,C‑34/21, EU:C:2023:270, body 54, 59, 62 a 74).

42

Článek 88 GDPR však nelze vykládat v tom smyslu, že cílem nebo účinkem „konkrétnějších pravidel“, která jsou členské státy oprávněny přijmout na základě tohoto článku, může být obcházení povinností správce, či dokonce zpracovatele vyplývajících z dalších ustanovení tohoto nařízení, neboť jinak by byly ohroženy všechny tyto cíle, a konkrétně cíl spočívající v zajištění vysoké úrovně ochrany zaměstnanců v případě zpracování jejich osobních údajů v souvislosti se zaměstnáním.

43

Z toho vyplývá, že čl. 88 odst. 1 a 2 GDPR musí být vykládán v tom smyslu, že i v případě, že členské státy zavedou na základě tohoto článku do svých vnitrostátních právních řádů zákonem nebo prostřednictvím kolektivních smluv „konkrétnější pravidla“, musí být dodrženy rovněž požadavky vyplývající z dalších ustanovení, která jsou v této otázce konkrétně uvedena, a sice z článku 5, čl. 6 odst. 1 a čl. 9 odst. 1 a 2 tohoto nařízení. To platí zvláště ohledně dodržení kritéria nezbytnosti zpracování stanoveného těmito ustanoveními, na které se předkládající soud konkrétně táže.

44

Zatřetí je tento výklad potvrzen kontextem, do něhož spadá článek 88 GDPR.

45

Článek 88 GDPR se totiž nachází v jeho kapitole IX, nadepsané „Ustanovení týkající se zvláštních situací, při nichž dochází ke zpracování“, zatímco články 5, 6 a 9 tohoto nařízení se nacházejí v kapitole II tohoto nařízení, nadepsané „Zásady“, která má tedy obecnější působnost. Ze znění tohoto článku 6, který v odstavcích 2 a 3 výslovně odkazuje na ustanovení této kapitoly IX, navíc jasně vyplývá, že podmínky zákonnosti stanovené v uvedeném článku 6 platí i v rámci „zvláštních situací“ upravených ustanoveními uvedené kapitoly IX.

46

Z ustálené judikatury vyplývá, že při každém zpracování osobních údajů musí být dodržovány zásady zpracování těchto údajů uvedené v kapitole II GDPR, jakož i práva subjektu údajů uvedená v jeho kapitole III. Toto zpracování musí být zejména v souladu se zásadami zpracování těchto údajů stanovenými v článku 5 tohoto nařízení a splňovat podmínky zákonnosti zpracování uvedené v jeho článku 6 [v tomto smyslu viz rozsudky ze dne 2. března 2023, Norra Stockholm Bygg,C‑268/21, EU:C:2023:145, bod 43, a ze dne 11. července 2024, Meta Platforms Ireland (Zástupná žaloba),C‑757/22, EU:C:2024:598, bod 49, jakož i citovaná judikatura].

47

Pokud jde konkrétně o vztah mezi článkem 88 GDPR a ostatními ustanoveními tohoto nařízení, Soudní dvůr zejména ve světle bodu 8 odůvodnění tohoto nařízení uvedl, že bez ohledu na případnou existenci „konkrétnějších pravidel“ přijatých členskými státy na základě čl. 88 odst. 1 uvedeného nařízení musí být každé zpracování osobních údajů v souladu s povinnostmi vyplývajícími z ustanovení kapitol II a III téhož nařízení, jakož i zejména z jeho článků 5 a 6 (v tomto smyslu viz rozsudek ze dne 30. března 2023, Hauptpersonalrat der Lehrerinnen und Lehrer,C‑34/21, EU:C:2023:270, body 67 až 71).

48

Stejně tak je třeba při každém zpracování osobních údajů, které spadá do působnosti tohoto nařízení, dodržovat povinnosti vyplývající z článku 9 GDPR, a to i v případě existence „konkrétnějších pravidel“ přijatých podle čl. 88 odst. 1 tohoto nařízení. Článek 9, který upravuje zpracování zvláštních kategorií údajů v něm uvedených, je totiž obsažen v kapitole II uvedeného nařízení, stejně jako jeho články 5 a 6, jejichž požadavky lze navíc kumulovat s požadavky vyplývajícími z článku 9 (v tomto smyslu viz rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, body 73, 77 až 79). Tento výklad je i v souladu s účelem článku 9, který spočívá v zajištění zvýšené ochrany proti zpracování, která z důvodu zvláštní citlivosti těchto údajů při takovém zpracování mohou zvláště závažným způsobem zasáhnout do základních práv subjektů údajů (v tomto smyslu viz rozsudek ze dne 4. října 2024, Lindenapotheke,C‑21/23, EU:C:2024:846, bod 89 a citovaná judikatura).

49

V případě, že právo členského státu obsahuje „konkrétnější pravidla“ ve smyslu čl. 88 odst. 1 GDPR, musí proto zpracování osobních údajů, na které se vztahují tato pravidla, splňovat nejen podmínky stanovené v odstavcích 1 a 2 tohoto článku, ale rovněž podmínky stanovené v článcích 5, 6 a 9 tohoto nařízení, jak jsou vykládány judikaturou Soudního dvora.

50

S ohledem na výše uvedené je třeba na první otázku odpovědět tak, že čl. 88 odst. 1 a 2 GDPR musí být vykládán v tom smyslu, že účinkem vnitrostátního ustanovení, jehož předmětem je zpracování osobních údajů v souvislosti se zaměstnáním a které bylo přijato na základě čl. 88 odst. 1 tohoto nařízení, musí být povinnost jeho adresátů dodržovat nejen požadavky vyplývající z čl. 88 odst. 2 uvedeného nařízení, ale i požadavky vyplývající z článku 5, čl. 6 odst. 1, jakož i čl. 9 odst. 1 a 2 tohoto nařízení.

51

Podstatou druhé otázky předkládajícího soudu je, zda musí být čl. 88 odst. 1 GDPR vykládán v tom smyslu, že pokud kolektivní smlouva spadá do působnosti tohoto ustanovení, brání prostor pro uvážení, který mají strany této smlouvy pro účely určení, zda je zpracování osobních údajů „nezbytné“ ve smyslu článku 5, čl. 6 odst. 1, jakož i čl. 9 odst. 1 a 2 tohoto nařízení, v tomto ohledu vnitrostátnímu soudu ve výkonu úplného soudního přezkumu.

52

Nejprve je nutno připomenout, jak bylo uvedeno v bodě 41 tohoto rozsudku, že členské státy, které využijí možnosti, kterou jim přiznává článek 88 GDPR, musí využít svého prostoru pro uvážení za podmínek a v mezích stanovených ustanoveními tohoto nařízení, a zajistit tak, aby „konkrétnější pravidla“, která zavedou do svého vnitrostátního právního řádu, nenarušovala obsah a cíle uvedeného nařízení. Cílem těchto pravidel musí být zejména zajištění vysoké úrovně ochrany základních práv a svobod zaměstnanců při zpracování jejich osobních údajů v souvislosti se zaměstnáním.

53

Pokud jde o rozsah soudního přezkumu, který může být vykonáván ve vztahu k takovým konkrétním pravidlům, Soudní dvůr již rozhodl, že vnitrostátnímu soudu, jenž má jako jediný pravomoc vykládat vnitrostátní právo, přísluší, aby posoudil, zda uvedená pravidla skutečně dodržují podmínky a meze stanovené zejména článkem 88 GDPR. V případě, že uvedený soud dospěje k závěru, že dotyčná vnitrostátní ustanovení nejsou s těmito podmínkami a mezemi v souladu, musí proto podle zásady přednosti unijního práva uvedená ustanovení nepoužít. Při neexistenci konkrétnějších pravidel, která by dodržovala požadavky tohoto článku 88, se tedy zpracování osobních údajů v souvislosti se zaměstnáním přímo řídí tímto nařízením (v tomto smyslu viz rozsudek ze dne 30. března 2023, Hauptpersonalrat der Lehrerinnen und Lehrer,C‑34/21, EU:C:2023:270, body 80, 82 až 84 a 89).

54

Tyto úvahy platí rovněž pro strany kolektivní smlouvy ve smyslu článku 88 GDPR, jakou je i kolektivní smlouva dotčená ve věci v původním řízení. Jak totiž v podstatě uvedla Evropská komise v písemném vyjádření, strany kolektivní smlouvy musí mít možnost volného uvážení, které je, zejména co se týče jeho mezí, rovnocenné s prostorem pro uvážení přiznaným členským státům, jelikož „konkrétnější pravidla“ uvedená v odstavci 1 tohoto článku 88 mohou vyplývat mimo jiné z kolektivních smluv. Rovněž v bodě 155 odůvodnění tohoto nařízení je uvedeno, že taková pravidla mohou být stanovena právními předpisy členských států nebo kolektivními smlouvami, včetně „podnikových dohod“.

55

Bez ohledu na prostor pro uvážení, který článek 88 GDPR přiznává stranám kolektivní smlouvy, musí být tedy možné, aby se soudní přezkum takové smlouvy, stejně jako soudní přezkum pravidla vnitrostátního práva přijatého na základě tohoto ustanovení, týkal bez jakéhokoli omezení dodržení všech podmínek a mezí stanovených ustanoveními tohoto nařízení pro zpracování osobních údajů.

56

Dále je třeba upřesnit, že cílem takového soudního přezkumu musí být konkrétně ověření „nezbytnosti“ zpracování těchto údajů ve smyslu článků 5, 6 a 9 GDPR. Jinými slovy, článek 88 tohoto nařízení nemůže být vykládán v tom smyslu, že strany kolektivní smlouvy mají prostor pro uvážení, který by jim umožnil zavést „konkrétnější pravidla“ vedoucí k méně přísnému uplatňování tohoto požadavku nezbytnosti, či dokonce k jeho nezohlednění.

57

Je pravda, jak v podstatě poznamenaly předkládající soud a Irsko, že strany kolektivní smlouvy mají obecně dobré předpoklady k tomu, aby posoudily, zda je zpracování údajů v konkrétním profesním rámci nezbytné, neboť tyto strany mají obvykle rozsáhlé znalosti potřeb v dotyčné oblasti zaměstnání a daném odvětví činnosti. Takový proces posuzování však nesmí vést k tomu, že se uvedené strany z ekonomických důvodů nebo z pohodlnosti uchýlí ke kompromisům, které by mohly nepřípustně ohrozit cíl GDPR spočívající v zajištění vysoké úrovně ochrany základních práv a svobod zaměstnanců v souvislosti se zpracováním jejich osobních údajů.

58

Výklad článku 88 GDPR, podle kterého by vnitrostátní soudy nemohly vykonávat úplný soudní přezkum kolektivní smlouvy, zejména za účelem ověření, zda důvody uvedené stranami této smlouvy prokazují nezbytnost zpracování osobních údajů, které z ní vyplývá, by proto nebyl slučitelný s tímto nařízením z hlediska cíle ochrany připomenutého v předchozím bodě tohoto rozsudku.

59

A konečně je nutno zdůraznit, že v případě, že by vnitrostátní soud, jemuž byla věc předložena, dospěl po přezkumu k závěru, že některá ustanovení dotyčné kolektivní smlouvy nejsou v souladu s podmínkami a mezemi stanovenými GDPR, měl by v souladu s judikaturou uvedenou v bodě 53 tohoto rozsudku od použití těchto ustanovení upustit.

60

S ohledem na výše uvedené je třeba na druhou otázku odpovědět tak, že čl. 88 odst. 1 GDPR musí být vykládán v tom smyslu, že pokud kolektivní smlouva spadá do působnosti tohoto ustanovení, nebrání prostor pro uvážení, který mají strany této smlouvy pro účely určení, zda je zpracování osobních údajů „nezbytné“ ve smyslu článku 5, čl. 6 odst. 1, jakož i čl. 9 odst. 1 a 2 tohoto nařízení, v tomto ohledu vnitrostátnímu soudu ve výkonu úplného soudního přezkumu.

61

S ohledem na odpověď na druhou otázku není namístě odpovídat na třetí otázku.

62

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (osmý senát) rozhodl takto: