1.

„Vaše soukromí je pro nás důležité. Používáme cookies za účelem zlepšení uživatelského prostředí. Zkontrolujte prosím předvolby ochrany osobních údajů. Přijmout vše/Nastavení. Podívejte se na naše zásady ochrany osobních údajů a zásady používání souborů cookie“ ( 2 ).

2.

Při návštěvě jakékoli internetové stránky se objeví zpráva podobného druhu.

3.

To je výsledkem obecného nařízení o ochraně osobních údajů (dále jen „GDPR“) ( 3 ), které se stalo hlavním nástrojem ochrany osobních údajů v Evropské unii.

4.

Uplatní se GDPR také před vnitrostátními soudy? Konkrétně řečeno, vztahuje se GDPR na povinnosti zpřístupnění údajů v občanskoprávním řízení před vnitrostátním soudem? Pokud ano, jaké povinnosti z toho pro tyto soudy vyplývají? To jsou otázky, které má Soudní dvůr v projednávané věci objasnit.

5.

Tyto otázky vyvstaly v řízení před předkládajícím soudem, Högsta domstolen (Nejvyšší soud, Švédsko). Skutkový stav této věci lze shrnout následovně. Společnost Norra Stockholm Bygg AB (dále jen „Fastec“), navrhovatelka v původním řízení, prováděla pro společnost Per Nycander AB (dále jen „Nycander“), odpůrkyni v původním řízení, výstavbu kancelářské budovy. Osoby, které na základě uvedené smlouvy prováděly práce, zaznamenávaly svou přítomnost do elektronické evidence zaměstnanců pro daňové účely. Evidenci zaměstnanců poskytla společnost Entral AB jednající jménem společnosti Fastec.

6.

Původní řízení začalo sporem o odměnu za provedenou práci. Společnost Nycander zpochybnila požadavek společnosti Fastec na zaplacení částky (ve výši něco málo přes 2000000 švédských korun (SEK), přibližně 190133 eur), přičemž tvrdila, že doba, po kterou společnost Fastec prováděla práce, byla kratší než doba, za niž společnost Fastec požaduje zaplatit.

7.

K prokázání této skutečnosti společnost Nycander požádala společnost Entral o předložení evidence zaměstnanců, kterou vedla jménem společnosti Fastec. Fastec s touto žádostí nesouhlasí a tvrdí, že by takové zpřístupnění bylo v rozporu s GDPR, jelikož požadované údaje byly shromážděny pro jiný účel a nemohou sloužit jako důkaz ve věci v původním řízení.

8.

Tingsrätt (soud prvního stupně, Švédsko) nařídil společnosti Entral předložit tuto evidenci a toto rozhodnutí bylo potvrzeno v odvolacím řízení Svea hovrätt (odvolací soud Svea, Stockholm, Švédsko).

9.

Společnost Fastec se proti rozhodnutí Svea hovrätt (odvolací soud Svea, Stockholm) odvolala k Högsta domstolen (Nejvyšší soud) a požádala uvedený soud, aby žádost společnosti Nycander o zpřístupnění údajů zamítl, nebo podpůrně aby nařídil, že má být předložena anonymizovaná verze evidence. V rámci uvedeného řízení předložil Högsta domstolen (Nejvyšší soud) Soudnímu dvoru žádost o rozhodnutí o předběžné otázce s následujícími otázkami:

10.

V průběhu řízení byla Soudnímu dvoru předložena písemná vyjádření společnosti Fastec, české, polské a švédské vlády, jakož i Evropské komise. Dne 27. června 2022 se konalo jednání, na němž společnost Nycander, polská a švédská vláda, jakož i Komise přednesly ústní argumenty.

11.

Článek 5 GDPR stanoví zásady, které musí každé zpracování osobních údajů splňovat:

„1.   Osobní údaje musí být:

2.   Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

12.

Článek 6 GDPR, nadepsaný „Zákonnost zpracování“, v odstavcích 1, 3 a 4 stanoví:

„1.   Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

[…]

[…]

[…]

3.   Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:

Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Tento právní základ může obsahovat konkrétní ustanovení pro přizpůsobení uplatňování pravidel tohoto nařízení, včetně obecných podmínek, kterými se řídí zákonnost zpracování správcem, typu osobních údajů, jež mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje poskytnout, a účelu tohoto poskytování, účelového omezení, doby uložení a jednotlivých operací zpracování a postupů zpracování, jakož i dalších opatření k zajištění zákonného a spravedlivého zpracování, jako jsou opatření pro jiné zvláštní situace, při nichž dochází ke zpracování, než stanoví kapitola IX. Právo Unie nebo členského státu musí splňovat cíl veřejného zájmu a musí být přiměřené sledovanému legitimnímu cíli.

4.   Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 23 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:

13.

Článek 23 odst. 1 GDPR dále upravuje omezení práv a povinností podle GDPR:

„1.   Právo Unie nebo členského státu, které se na správce nebo zpracovatele vztahuje, může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v článcích 12 až 22 a v článku 34, jakož i v článku 5, v rozsahu, v jakém ustanovení tohoto článku odpovídají právům a povinnostem stanoveným v článcích 12 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:

[…]

[…]“

14.

Ustanovení § 2 prvního pododstavce kapitoly 38 rättegångsbalken (občanský soudní řád; dále jen „RB“) stanoví, že každá osoba, která má u sebe písemný dokument, o němž lze předpokládat, že má důkazní hodnotu, je povinna tento dokument předložit. Druhý pododstavec téhož ustanovení stanoví výjimky z této povinnosti, které se vztahují mimo jiné na právníky, lékaře, psychology, kněze a další úředníky, kterým byly svěřeny informace v rámci výkonu jejich profese nebo obdobné činnosti. Ustanovení § 4 kapitoly 38 RB pak přiznává soudu pravomoc nařídit zpřístupnění písemného dokumentu jako důkazu.

15.

Podle předkládajícího soudu musí soud při zvažování, zda má být určité osobě uložena povinnost předložit určitý dokument, vyvážit důležitost důkazu a zájem protistrany na neposkytnutí těchto informací. Jak však předkládající soud vysvětluje, netýká se to zohlednění soukromé povahy zpřístupňovaných informací.

16.

GDPR je hlavním unijním aktem, který upravuje ochranu fyzických osob, pokud jde o zpracování jejich osobních údajů. Na rozdíl od své předchůdkyně, směrnice 95/46/ES ( 4 ), bylo GDPR přijato na základě článku 16 SFEU ( 5 ). Tento právní základ zmocnil unijního normotvůrce chránit základní právo na ochranu osobních údajů stanovené v čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen „Listina“) ( 6 ).

17.

Při zpracování osobních údajů ukládá GDPR odpovědnost za dodržování tohoto nařízení „správci údajů“ ( 7 ). Ve všech případech zpracování osobních údajů je proto důležité určit, kdo je správcem údajů.

18.

Podle čl. 4 odst. 7 GDPR je správcem údajů fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který určuje účely a prostředky zpracování osobních údajů.

19.

V projednávané věci došlo ke dvěma samostatným případům zpracování osobních údajů. První zpracování se týká elektronické evidence zaměstnanců vedené společností Entral jednající jménem společnosti Fastec, která má podle švédského práva povinnost shromažďovat údaje o odpracovaných hodinách pro daňové účely. V tomto kontextu je Fastec správcem a Entral zpracovatelem ( 8 ).

20.

Není sporu o tom, že toto první zpracování bylo v souladu s GDPR. Konkrétně čl. 6 odst. 1 písm. c) uvedeného nařízení umožňuje zpracování osobních údajů, které je nezbytné pro splnění právní povinnosti, která se na správce, v tomto případě společnost Fastec, vztahuje ( 9 ). Pokud by toto první zpracování bylo podle GDPR shledáno nezákonným, bylo by v důsledku toho nezákonné i další zpracování těchto údajů ( 10 ).

21.

V projednávané věci je však předmětem zájmu druhé (další) zpracování stejných údajů, které byly původně shromážděny pro daňové účely. Novým účelem je zpřístupnění evidence zaměstnanců společností Entral jako důkazu v občanskoprávním řízení mezi společnostmi Fastec a Nycander. Předložení takové evidence za účelem jejího použití v občanskoprávním řízení by totiž nutně znamenalo zpracování osobních údajů.

22.

Při tomto druhém zpracování se role podle GDPR oproti prvnímu zpracování mění. Nejdůležitější je, že vnitrostátní soud tím, že společnosti Entral nařídil předložení evidence zaměstnanců („příkaz ke zpřístupnění“), se stal subjektem, který určuje účely a prostředky druhého zpracování údajů ( 11 ). Uvedený soud se tedy stává správcem údajů ( 12 ).

23.

V rámci tohoto druhého zpracování by společnost Fastec mohla být považována za správce, nebo za subjekt, který plní jinou úlohu: nyní je příjemcem údajů, stejně jako společnost Nycander ( 13 ). I kdyby však společnost Fastec zůstala správcem společně s vnitrostátním soudem ( 14 ), nemělo by to vliv na povinnosti vnitrostátního soudu jako správce ( 15 ). Konečně, úloha společnosti Entral se nemění. Zůstává zpracovatelem a nadále zpracovává tytéž osobní údaje, nyní však jménem nového správce, vnitrostátního soudu.

24.

Podstatou první předběžné otázky předkládajícího soudu je, zda se vnitrostátní soud skutečně může stát správcem podle GDPR a zda v takovém případě toto nařízení klade požadavky týkající se pravomocí a povinností soudů v občanském soudním řízení ve vztahu k vnitrostátní procesní právní úpravě. Pokud se GDPR použije a správcem je vnitrostátní soud, předkládající soud se ve své druhé předběžné otázce táže, jak má takový soud rozhodnout o zpřístupnění osobních údajů, mají-li být použity jako důkaz v občanskoprávním řízení.

25.

K zodpovězení otázek předkládajícího soudu budu postupovat následovně. Nejprve vysvětlím, proč se domnívám, že se GDPR vztahuje na občanskoprávní řízení před soudy členských států, a jak to ovlivňuje stávající procesní právní úpravu členských států (část B). Následně se budu zabývat metodikou, kterou by měly vnitrostátní soudy jako správci údajů použít ke splnění požadavků GDPR (část C).

26.

Podstatou první otázky předkládajícího soudu je, zda se GDPR vztahuje na občanskoprávní řízení a jaký vliv má na příslušná procesní pravidla. Konkrétně se táže, zda se dotýká těch vnitrostátních pravidel, která upravují pravomoci a povinnosti soudů při nařizování zpřístupnění listinných důkazů. Na tuto otázku odpovím ve třech krocích.

27.

Věcná působnost GDPR je vymezena v jeho čl. 2 odst. 1 a vychází spíše z funkčního než institucionálního přístupu. Použitelnost GDPR vyvolává spíše co (zpracování osobních údajů), než kdo ( 16 ).

28.

Případy vyloučené z působnosti GDPR, vyjmenované v jeho čl. 2 odst. 2, mají rovněž funkční povahu. Vzhledem k tomu, že představují výjimku z použití GDPR, Soudní dvůr rozhodl, že musí být vykládány restriktivně ( 17 ).

29.

Činnost orgánů veřejné moci tedy není vyloučena z působnosti GDPR jako takového, nýbrž pouze ve vztahu k činnostem vyjmenovaným v čl. 2 odst. 2 GDPR ( 18 ). V tomto ohledu uvedené ustanovení nevylučuje z věcné působnosti GDPR soudní činnosti v občanskoprávních řízeních.

30.

Závěr, že se GDPR vztahuje na soudní činnost, potvrzuje bod 20 odůvodnění GDPR ( 19 ), který uvádí, že se tento akt vztahuje na činnost soudů a dalších justičních orgánů ( 20 ).

31.

Vyloučení pravomoci dozorových úřadů nad soudy, které jednají v rámci svých soudních pravomocí, uvedené v čl. 55 odst. 3 GDPR, nemá na výše uvedený závěr vliv. Podle mého názoru toto ustanovení naopak potvrzuje, že na soudy jednající v rámci svých soudních pravomocí se vztahují povinnosti podle GDPR. Uvedené ustanovení chrání jejich nezávislost a nestrannost tím, že zakazuje dozorovému úřadu dohled nad jejich operacemi zpracování.

32.

Projednávaná věc se týká zpracování osobních údajů, které spadají do věcné působnosti GDPR. Vytvoření a vedení elektronické evidence zaměstnanců se týká zpracování osobních údajů ( 21 ). Stejně tak nařízení zpřístupnění těchto osobních údajů v rámci občanskoprávního řízení je případem zpracování těchto údajů ( 22 ). Věc v původním řízení tak spadá do věcné působnosti GDPR.

33.

Co to znamená pro použití takových vnitrostátních procesních předpisů, jako je RB?

34.

Právním základem pro přijetí dotčeného příkazu ke zpřístupnění je v projednávané věci RB.

35.

GDPR totiž vyžaduje, aby právním základem zpracování údajů v takové věci, jako je projednávaná věc, bylo právo členského státu (nebo EU) ( 23 ).

36.

Dotčené údaje, které byly v projednávané věci na základě příkazu ke zpřístupnění původně shromážděny a zpracovány pro daňové účely, mají být nyní zpracovány pro důkazní účely v soudním řízení.

37.

Článek 6 odst. 4 GDPR umožňuje zpracování údajů pro jiný účel, pokud je založeno na právu členských států, které v demokratické společnosti představuje nutné opatření k zajištění cílů uvedených v čl. 23 odst. 1 GDPR. Mezi těmito cíli čl. 23 odst. 1 písm. f) uvádí „ochranu nezávislosti soudnictví a soudních řízení“.

38.

Všichni zúčastnění v rámci této žádosti o rozhodnutí o předběžné otázce se shodují v tom, že čl. 23 odst. 1 písm. f) GDPR je vhodným ustanovením k odůvodnění zpracování údajů pro jiný účel na základě RB ( 24 ).

39.

RB opravňuje vnitrostátní soudy, aby nařídily zpřístupnění dokumentů, pokud mají důkazní hodnotu v občanskoprávním řízení. Jak bylo vysvětleno, pokud dokument, který má být zpřístupněn, obsahuje osobní údaje, stává se soud, jenž takové zpřístupnění nařizuje, správcem údajů podle GDPR.

40.

Jak Komise uvedla na jednání, vnitrostátní soud je běžným správcem pouze do určité míry. Vnitrostátní soudy totiž mohou zpracovávat údaje pouze v rámci výkonu své veřejné moci.

41.

Pokud ke zpracování údajů dochází v rámci výkonu veřejné moci ( 25 ), čl. 6 odst. 3 GDPR vyžaduje, aby toto zpracování bylo založeno na právu EU nebo právu členských států.

42.

Článek 6 odst. 4 GDPR (který umožňuje zpracování pro jiné účely) a čl. 6 odst. 3 tohoto nařízení (umožňující zpracování údajů při výkonu veřejné moci) proto jako právní základ pro zpracování vyžadují vnitrostátní právo (nebo právo Unie) ( 26 ).

43.

RB, který zmocňuje soud k přijetí příkazu ke zpřístupnění, je tedy nezbytnou podmínkou zákonnosti dotčeného zpracování.

44.

Pokud existuje právní základ vyžadovaný GDPR a příkaz, který zahrnuje zpracování osobních údajů, je přijat v souladu s takovým právem členského státu, jsou splněny požadavky GDPR na zákonné zpracování?

45.

Podle mého názoru existence právního základu ve vnitrostátním právu, ačkoli je nezbytná, nepostačuje k tomu, aby příkaz ke zpřístupnění byl v souladu s GDPR.

46.

Předkládající soud vysvětlil, že podle RB se při rozhodování o zpřístupnění důkazů v zásadě nepřihlíží k soukromé povaze informací. Soudy jsou povinny zohlednit zájmy obou protistran, ale samotný zákon neuvádí, že by zájmy subjektů údajů hrály nějakou roli.

47.

Je RB neslučitelný s GDPR, když výslovně neukládá soudům, které se stanou správci údajů, aby při přijímání rozhodnutí, která se mohou dotýkat osobních údajů subjektů údajů, zohlednily zájmy subjektů údajů?

48.

Podle mého názoru tomu tak není. Je třeba vzít v úvahu, že různé vnitrostátní akty, které jsou právním základem pro zpracování údajů, nebyly přijaty speciálně při provádění GDPR, ale mají své vlastní účely. GDPR je navíc přímo použitelné v právních řádech členských států a nevyžaduje implementaci. Důležité tedy je, aby v případě, kdy se setkávají vnitrostátní procesní pravidla a GDPR, prvně uvedená pravidla poskytovala prostor pro současné uplatnění GDPR.

49.

Švédská vláda na jednání potvrdila, že RB nevyžaduje, ale ani nezakazuje, aby soudy zohledňovaly zájmy subjektů údajů. RB tedy nebrání přímému použití GDPR na soudní řízení, které se řídí uvedeným zákonem.

50.

Vnitrostátní soudy se tedy musí řídit vnitrostátní procesní právní úpravou i GDPR, přičemž v případě, kdy procesní činnost soudů zahrnuje zpracování osobních údajů, GDPR doplňuje vnitrostátní právní úpravu.

51.

Závěrem lze konstatovat, že vnitrostátní právní předpisy nemusí výslovně odkazovat na GDPR ani ukládat soudům povinnost zohlednit zájmy subjektů údajů. Stačí, že taková právní úprava umožňuje doplňkové použití GDPR. Pouze v opačném případě by byl vnitrostátní akt v rozporu s GDPR. RB však podle všeho umožňuje doplňkové použití GDPR ( 27 ).

52.

V odpovědi na první otázku předkládajícího soudu tedy docházím k závěru, že čl. 6 odst. 3 a 4 GDPR ukládá požadavky týkající povinností zpřístupnit údaje ve vztahu k vnitrostátní procesní právní úpravě, pokud zpřístupnění znamená zpracování osobních údajů. Vnitrostátní procesní právní úprava nesmí v takovém případě bránit tomu, aby byly zohledněny zájmy subjektů údajů. Tyto zájmy budou chráněny, pokud vnitrostátní soudy budou při rozhodování o zpřístupnění listinných důkazů v konkrétním případě respektovat pravidla GDPR.

53.

Jako subjekty podléhající GDPR musí vnitrostátní soudy jakožto správci údajů zohlednit zájmy subjektů údajů. Jak by měly být tyto zájmy zohledněny při přijímání konkrétního rozhodnutí o zpřístupnění? To je podstatou druhé otázky předkládajícího soudu.

54.

Zájmy subjektů údajů budou chráněny, pokud bude zpracování jejich osobních údajů v souladu s články 5 a 6 GDPR ( 28 ). Pokud budu citovat generálního advokáta P. Pikamäea, dodržování článků 5 a 6 GDPR zajišťuje ochranu práva na soukromý a rodinný život a ochranu osobních údajů, jak jsou zaručena v tomto pořadí v článcích 7 a 8 Listiny ( 29 ).

55.

Legitimní cíle zpracování jsou vyjmenovány v článku 6 GDPR ( 30 ). Jak bylo vysvětleno v předchozí části tohoto stanoviska, zpracování v projednávané věci sleduje zákonný účel, a to vzhledem k tomu, že soud vykonával svou veřejnou moc, když nařídil zpřístupnění na základě vnitrostátního práva, které slouží k zajištění řádného průběhu soudního řízení. Články 6 i 5 GDPR však vyžadují nejen legitimní cíl, ale také to, aby konkrétní zpracování bylo nezbytné k dosažení tohoto cíle.

56.

GDPR proto vyžaduje, aby soud při určování, zda je zpřístupnění osobních údajů v konkrétní situaci nezbytné pro důkazní účely v soudním řízení, provedl analýzu proporcionality ( 31 ).

57.

V tomto ohledu čl. 6 odst. 4 GDPR vyžaduje, aby vnitrostátní právo, na kterém je založeno zpracování pro jiný účel, představovalo nutné a přiměřené opatření k zajištění jednoho z cílů uvedených v čl. 23 odst. 1 GDPR, v projednávané věci ochrany nezávislosti soudců a soudních řízení. Článek 6 odst. 3 GDPR dále vyžaduje, aby zpracování při výkonu veřejné moci bylo nutné pro výkon této veřejné moci, kterým je pověřen správce.

58.

Vnitrostátní právo, které je základem pro zpracování, může in abstracto splňovat požadavky čl. 6 odst. 3 a 4 GDPR. Zákonnost každého jednotlivého zpracování (včetně konkrétního soudního příkazu ke zpřístupnění) přesto závisí na konkrétním vyvážení všech dotčených zájmů, přičemž je třeba mít na paměti legitimní cíl, pro který je zpřístupnění vůbec požadováno ( 32 ). Pouze tak může vnitrostátní soud rozhodnout, zda a v jakém rozsahu je zpřístupnění nezbytné.

59.

Je tedy zřejmé, že GDPR vyžaduje analýzu proporcionality. Může GDPR dále pomoci odpovědět na otázku, jaké konkrétní kroky musí soud při takové analýze učinit?

60.

Jak bylo vysvětleno, analýza proporcionality musí být provedena v každém jednotlivém případě s přihlédnutím ke všem dotčeným zájmům. V případech, jako je projednávaná věc, je třeba poměřit zájmy na zpřístupnění a zásah do práva na ochranu osobních údajů ( 33 ).

61.

Zájmy na zpřístupnění odrážejí právo na účinnou soudní ochranu (článek 47 Listiny). Zájmy subjektů údajů, s nimiž je prvně uvedené právo v rozporu, odrážejí právo na soukromý a rodinný život (článek 7 Listiny) a právo na ochranu osobních údajů (článek 8 Listiny). Právě tato práva je třeba vyvážit, aby bylo možné rozhodnout, zda je zpřístupnění osobních údajů nezbytné.

62.

V následující části uvedu určité návrhy týkající se konkrétních kroků, které lze od vnitrostátního soudu očekávat.

63.

Na úvod bych uvedla, že lze vždy předpokládat, že zájmem subjektů údajů, které nedaly souhlas se zpracováním, je omezit zpracování svých osobních údajů. To je tedy výchozí pozice pro vnitrostátní soud: odůvodnit, proč je třeba do tohoto zájmu zasáhnout.

64.

Podle mého názoru lze pokyny k provedení tohoto posouzení nalézt v článku 5 nařízení GDPR, který obsahuje zásady, jež musí správce údajů při zpracování osobních údajů dodržovat.

65.

V tomto ohledu má zásadní význam zásada minimalizace údajů uvedená v čl. 5 odst. 1 písm. c) GDPR. Jak uvedl Soudní dvůr ( 34 ), tento požadavek je vyjádřením proporcionality. Vyžaduje, aby osobní údaje byly přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.

66.

První otázka, kterou je třeba si položit, tedy zní, zda jsou údaje v evidenci zaměstnanců vedené společností Entral přiměřené. Tyto údaje budou pro účely, pro které mají být zpřístupněny, přiměřené, pokud skutečně ukazují pracovní dobu strávenou zaměstnanci společnosti Fastec na staveništi.

67.

Druhou otázkou, kterou je třeba si položit, je, zda jsou údaje v evidenci zaměstnanců vedené společností Entral relevantní pro účel, pro který jsou požadovány. Účelem je patrně zájem společnosti Nycander prokázat své tvrzení, že zaměstnanci společnosti Fastec odpracovali méně hodin, než je uvedeno na faktuře. Za takových okolností by evidence zaměstnanců byla relevantní, pokud by skutečně mohla takové tvrzení prokázat nebo vyvrátit. Vnitrostátní soud musí posoudit jeho relevanci s ohledem na další okolnosti případu (například tvrzení společnosti Fastec, že evidence zaměstnanců obsahuje pouze část příslušné pracovní doby, přičemž ostatní doba byla strávena mimo staveniště).

68.

Aby bylo možné odpovědět na třetí požadavek minimalizace údajů, musí vnitrostátní soud určit, zda jsou pro důkazní účely dostačující všechny údaje obsažené v evidenci, nebo pouze některé z nich. Pokud navíc existují jiné způsoby, kterými je možné prokázat tutéž skutečnost, vyžaduje minimalizace údajů, aby byly použity tyto jiné způsoby. Vnitrostátní soud by například mohl být nucen posoudit tvrzení společnosti Fastec, podle kterého skutečný počet odpracovaných hodin lze ověřit na základě dokumentů, jež jsou již součástí spisu předkládajícího soudu. Pokud vnitrostátní soud shledá toto tvrzení pravdivým, nemůže nařídit zpřístupnění osobních údajů v evidenci zaměstnanců.

69.

Vnitrostátní soud musí určit, jaké druhy osobních údajů z evidence jsou dostatečné k prokázání nebo vyvrácení příslušných skutečností. V tomto ohledu zásada minimalizace údajů vyžaduje, aby byly zpřístupněny pouze údaje nezbytně nutné pro daný účel. Proto by mohlo být potřeba, aby společnost Entral jakožto zpracovatel upravila evidenci zaměstnanců tak, aby omezila osobní údaje na nezbytné minimum a zároveň umožnila, aby mohl být učiněn závěr o skutečně odpracovaných hodinách.

70.

V tomto ohledu musí vnitrostátní soud určit, zda je nutné, aby osoby, jejichž údaje jsou v evidenci, byly identifikovatelné, aby zpřístupnění mělo důkazní hodnotu (například zda je nutné uvést jména jednotlivých pracovníků, aby je bylo možné předvolat jako svědky). V opačném případě může postačovat informace týkající se celkového počtu hodin strávených na staveništi nebo počtu osob, které tyto hodiny odpracovaly.

71.

V závislosti na odpovědích na výše uvedené otázky může soud rozhodnout, že požádá o zpřístupnění pseudonymizovaných nebo anonymizovaných údajů ( 35 ).

72.

Podle bodu 26 odůvodnění GDPR se věcná působnost GDPR vztahuje na údaje, na něž byla uplatněna pseudonymizace. Je tomu tak proto, že i na základě pseudonymu je možné zjistit totožnost osoby. Opačně je tomu u anonymizovaných údajů, které nespadají do působnosti GDPR. Způsob zpřístupnění informací, jenž nakonec nařídí vnitrostátní soud, bude mít tedy vliv i na další použitelnost GDPR ( 36 ).

73.

V konečném důsledku bude na vnitrostátním soudu, aby určil důkazní hodnotu různých verzí evidence zaměstnanců s cílem rozhodnout, jaký druh minimalizace údajů je případně nezbytný pro řádné dokončení soudního řízení, které před ním probíhá.

74.

Kromě zásady minimalizace údajů stanovené v čl. 5 odst. 1 písm. c) GDPR jsou pro vnitrostátní soud závazné i další zásady obsažené v článku 5 GDPR, které jsou relevantní pro způsob přijetí příkazu ke zpřístupnění.

75.

Například čl. 5 odst. 1 písm. a) GDPR kromě odkazu na zásadu zákonnosti (která je dále upravena v článku 6 GDPR) zmiňuje rovněž zásadu transparentnosti. Podle mého názoru tato zásada vyžaduje, aby vnitrostátní soud jasně vysvětlil své rozhodnutí nařídit zpřístupnění osobních údajů, mimo jiné tím, že uvede, jak vyvážil různé zájmy a argumenty stran týkající se zpřístupnění.

76.

Řádné odůvodnění příkazu ke zpřístupnění splňuje rovněž požadavek v čl. 5 odst. 2 GDPR, který vyžaduje, aby správce údajů byl schopen doložit dodržení souladu se zásadami uvedenými v čl. 5 odst. 1 tohoto nařízení.

77.

Způsob dodržování zásad článku 5 nařízení GDPR lze vyčíst také z bodu 31 odůvodnění nařízení GDPR. Tento bod odůvodnění uvádí, že „žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci ani vést k propojení evidencí“.

78.

Polská vláda vyjádřila obavu ohledně posouzení proporcionality ze strany vnitrostátního soudu: má-li vnitrostátní soud posoudit důkazní hodnotu evidence zaměstnanců nebo jiného důkazu v řízení, které před ním probíhá, nezapojuje se již příliš do toho, co by mělo zůstat úlohou účastníků řízení, totiž do snahy obhájit argument týkající se samotné důkazní hodnoty takového důkazu?

79.

Podle mého názoru nevede posouzení důkazní hodnoty, které zohledňuje zájmy subjektů údajů, k většímu zásahu do věci než posouzení důkazní hodnoty jakéhokoli jiného důkazu v občanskoprávním řízení ( 37 ).

80.

Míra zásahu vnitrostátního soudu bude záviset na zjevnosti důkazní hodnoty údajů, jejichž zpřístupnění je požadováno, za okolností konkrétního případu. To, do jaké míry může zpřístupnění zasáhnout do zájmů subjektů údajů, bude vždy záviset na konkrétním případu.

81.

V některých případech může jít například o citlivé údaje se zvláštním režimem ochrany podle článku 9 GDPR nebo o údaje o trestních sankcích, které se vztahují k režimu podle článku 10 tohoto nařízení. V takových případech budou mít při vyvažování nutně větší váhu zájmy subjektů údajů ( 38 ). Stejně tak se zájem na zpřístupnění může v jednotlivých případech lišit. Zatímco někdy bude zřejmé, že význam požadovaných důkazů je okrajový, v jiných případech budou mít požadované důkazy zásadní význam pro určení výsledku případu. V tomto ohledu je relevantní tvrzení Komise, podle kterého by měl mít vnitrostátní soud při takovém posouzení široký prostor pro uvážení. Přesto by nikdy neměl být zbaven povinnosti zohlednit zájmy subjektů údajů.

82.

Česká vláda vyjádřila další obavu: uložení povinnosti vnitrostátním soudům zohlednit zájmy subjektů údajů vždy, když uvedené soudy nařizují zpřístupnění listinných důkazů, by ztížilo řádný průběh soudního řízení. GDPR totiž zavádí dodatečnou povinnost ( 39 ) soudů provést přezkum proporcionality před tím, než nařídí zpřístupnění listinných důkazů obsahujících osobní údaje. Nicméně ani vyvažování zájmů není pro soudy neobvyklým intelektuálním úkolem, ani se břemeno kladené na vnitrostátní soudy neliší od břemene, které GDPR ukládá každému správci údajů.

83.

Mají-li občané Unie požívat vysoké úrovně ochrany svých osobních údajů v souladu s rozhodnutím unijního normotvůrce vyjádřeném v GDPR, nelze zohlednění zájmů subjektů údajů považovat za nadměrnou zátěž kladenou na soudy členských států.

84.

Navrhuji tedy, aby Soudní dvůr odpověděl na druhou předběžnou otázku následovně: při rozhodování o příkazu ke zpřístupnění údajů v občanskoprávním řízení, který zahrnuje zpracování osobních údajů, musí vnitrostátní soud provést analýzu proporcionality, která zohlední zájmy subjektů údajů, jejichž osobní údaje mají být zpracovány, a vyváží je se zájmem účastníků řízení na získání důkazů. Toto posouzení proporcionality se řídí zásadami stanovenými v článku 5 nařízení GDPR, včetně zásady minimalizace údajů.

85.

S ohledem na výše uvedené úvahy navrhuji, aby Soudní dvůr odpověděl na dvě předběžné otázky položené Högsta domstolen (Nejvyšší soud, Švédsko) takto: