EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62020CC0245

Stanovisko generálního advokáta M. Bobka přednesené dne 6. října 2021.



Digital reports (Court Reports - general - 'Information on unpublished decisions' section)

ECLI identifier: ECLI:EU:C:2021:822

 STANOVISKO GENERÁLNÍHO ADVOKÁTA

MICHALA BOBKA

přednesené dne 6. října 2021 ( 1 )

Věc C‑245/20

X,

Z

proti

Autoriteit Persoonsgegevens

[žádost o rozhodnutí o předběžné otázce podaná Rechtbank Midden-Nederland (Soud prvního stupně pro Midden-Nederland, Nizozemsko)]

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Příslušnost dozorového úřadu – Operace zpracování prováděné soudy při výkonu jejich soudních pravomocí – Zpřístupnění procesních písemností novináři“

I. Úvod

1.

„Veřejnost je samotnou duší spravedlnosti. Je to největší impuls k úsilí a nejjistější ze všech strážců proti nevhodnému chování. […] jen díky veřejnosti se justice stává matkou bezpečnosti. Díky veřejnosti se z chrámu spravedlnosti stává škola prvního řádu, v níž jsou prosazovány nejdůležitější části morálky […]“ ( 2 ).

2.

I když byla tato slova Jeremyho Benthama napsána na počátku 19. století ( 3 ), neztratila nic ze své síly. Kontext byl tehdy samozřejmě velice odlišný. Otevřenou justici a její veřejnost bylo třeba ospravedlnit nejen s ohledem na některé osvícené panovníky (častěji nepříliš osvícené absolutistické panovníky), ale také, nebo spíše zejména, ve vztahu k některým zvláštním, stále však přetrvávajícím, středověkým představám o povaze práva a soudním řízení ( 4 ).

3.

Ve věci v původním řízení neexistuje výslovná informace o tom, že by se z chrámů soudnictví stávaly školy. V Nizozemsku však vedla zásada veřejnosti justice patrně k tomu, že tisk má v době konání soudního jednání přístup k určitým procesním písemnostem týkajícím se věcí, které má soud daný den projednávat. Cílem tohoto přístupu je pomoci novinářům lépe informovat o projednávaném případu ( 5 ).

4.

Žalobci v projednávané věci jsou fyzické osoby, které s uvedenou politikou nesouhlasí. Tvrdí, že nedali souhlas k tomu, aby vybrané procesní písemnosti týkající se jejich věci, kterou projednává Raad van State (Státní rada, Nizozemsko), byly zpřístupněny novináři. Žalobci tvrdili, že před vnitrostátním dozorovým úřadem došlo k porušení některých práv a povinností vyplývajících z nařízení (EU) 2016/679 (dále jen „GDPR“) ( 6 ). Žalovaný dozorový úřad však měl za to, že nebyl příslušný k posouzení uvedené stížnosti. Podle jeho názoru bylo dotčené zpracování provedeno v rámci „soudní pravomoci“ vnitrostátních soudů na základě čl. 55 odst. 3 GDPR.

5.

V tomto kontextu se Rechtbank Midden-Nederland (Soud prvního stupně pro Midden-Nederland, Nizozemsko) táže především na to, zda zpřístupnění určitých procesních písemností tisku za účelem lepšího informování veřejnosti o věci, kterou soud veřejně projednává, představuje činnost „soudů jednajících v rámci svých soudních pravomocí“ ve smyslu čl. 55 odst. 3 GDPR.

II. Právní rámec

A.   Unijní právo

6.

Bod 20 odůvodnění GDPR uvádí:

„Toto nařízení se mimo jiné vztahuje na činnost soudů a dalších justičních orgánů, a proto by právo Unie nebo členského státu mohlo stanovit operace a postupy zpracování v souvislosti se zpracováním osobních údajů soudy a dalšími justičními orgány. Pravomoc dozorových úřadů by neměla zahrnovat zpracování osobních údajů, pokud soudy jednají v rámci svých soudních pravomocí, aby byla zajištěna nezávislost soudnictví při plnění soudních funkcí, včetně rozhodování. Dozor nad takovými operacemi zpracování by mělo být možné svěřit zvláštním subjektům v rámci justičního systému členského státu, které by zejména měly zajistit soulad s pravidly tohoto nařízení, posilovat povědomí členů justičních orgánů o jejich povinnostech podle tohoto nařízení a zabývat se stížnostmi souvisejícími s takovými operacemi zpracování.“

7.

Článek 2 odst. 1 téhož nařízení stanoví:

„Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.“

8.

Pojem „zpracování“ je definován v čl. 4 odst. 2 GDPR následovně:

„jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení“.

9.

Článek 6 téhož nařízení, nadepsaný „Zákonnost zpracování“, zní v příslušné části takto:

„1.   Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

[…]

e)

zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;

f)

zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.

2.   Členské státy mohou zachovat nebo zavést konkrétnější ustanovení, aby přizpůsobily používání pravidel tohoto nařízení ohledně zpracování ke splnění odst. 1 písm. c) a e) tím, že přesněji určí konkrétní požadavky na zpracování a jiná opatření k zajištění zákonného a spravedlivého zpracování, a to i u jiných zvláštních situací, při nichž dochází ke zpracování, jak stanoví kapitola IX.

3.   Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:

a)

právem Unie nebo

b)

právem členského státu, které se na správce vztahuje.“

10.

Článek 51 odst. 1 GDPR stanoví:

„Každý členský stát stanoví, že jeden nebo více nezávislých orgánů veřejné moci jsou pověřeny monitorováním uplatňování tohoto nařízení s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů uvnitř Unie (dále jen ‚dozorový úřad‘).“

11.

Podle čl. 55 odst. 3 uvedeného nařízení však platí, že „dozorové úřady nejsou příslušné k dozoru nad operacemi zpracování, které provádějí soudy jednající v rámci svých soudních pravomocí“.

B.   Vnitrostátní právo

12.

Uitvoeringswet AVG ze dne 16. května 2016 (dále jen „UAVG“) provádí GDPR do nizozemského práva. Jeho článek 6 ukládá žalovanému povinnost monitorovat dodržování GDPR v Nizozemsku. UAVG nepřebírá výjimku stanovenou v čl. 55 odst. 3 GDPR.

13.

Dne 31. května 2018 předseda Afdeling bestuursrechtspraak van de Raad van State (oddělení správního soudnictví Státní rady, Nizozemsko), soudní orgány Centrale Raad van Beroep (odvolací soud ve věcech sociálního zabezpečení a veřejné služby, Nizozemsko) a College van Beroep voor het bedrijfsleven (odvolací soud pro správní spory v hospodářské oblasti, Nizozemsko) přijaly nařízení o zpracování osobních údajů před správními soudy. Toto nařízení zřídilo AVG-commissie bestuursrechtelijke colleges (orgán správních soudů pro GDPR, dále jen „orgán pro GDPR“). Tento orgán je odpovědný za poskytování poradenství Raad van State (Státní rada), soudním orgánům Centrale Raad van Beroep (odvolací soud ve věcech sociálního zabezpečení a veřejné služby) a College van Beroep voor het bedrijfsleven (odvolací soud pro správní spory v hospodářské oblasti) při vyřizování stížností týkajících se dodržování práv zaručených GDPR.

III. Skutkový stav, vnitrostátní řízení a předběžné otázky

14.

Dne 30. října 2018 projednala Raad van State (Státní rada) správní spor mezi Z (dále jen „občan Z“) a starostou Utrechtu (Nizozemsko) (dále jen „starosta M“). Pro účely tohoto sporu vystupoval pan X (dále jen „právník X“) jako zástupce občana Z (společně dále jen „žalobci“) ( 7 ).

15.

Po tomto jednání byl občan Z v přítomnosti právníka X osloven osobou, která se představila jako novinář (dále jen „novinář J“). Tento novinář měl k dispozici několik procesních písemností ze spisu. Novinář J na dotaz týkající se těchto písemností uvedl, že mu byly poskytnuty na základě práva na přístup do spisu, které Raad van State (Státní rada) přiznává novinářům.

16.

Téhož dne se právník X dopisem obrátil na předsedu Afdeling bestuursrechtspraak van de Raad van State (oddělení správního soudnictví Státní rady) (dále jen „předseda P“), aby potvrdil, zda byl spis zpřístupněn k nahlédnutí, a pokud ano, tak kým, a zda byly kopie pořízeny s vědomím nebo souhlasem pracovníků Raad van State (Státní rada).

17.

Dopisem ze dne 21. listopadu 2018 předseda P odpověděl, že Raad van State (Státní rada) občas informace o jednáních novinářům poskytuje. Činí tak zejména tím, že novinářům, kteří se v té době nacházejí v budově, aby informovali o určitém jednání, poskytuje tyto informace k nahlédnutí. Jedná se zejména o kopii žaloby, resp. odvolání a vyjádření k žalobě, resp. k odvolání, a pokud se jedná o odvolací řízení, rozhodnutí Rechtbank (soud prvního stupně, Nizozemsko). Tyto kopie jsou zpřístupněny pouze v den konání jednání, a tedy informace nejsou ani předem zasílány sdělovacím prostředkům, ani jim nejsou předem sdělovány. Příslušné písemnosti nesmějí opustit budovu konkrétního soudu, ani si je nelze vzít s sebou domů. Po skončení jednacího dne jsou dané kopie zničeny pracovníky oddělení pro komunikaci Raad van State (Státní rada).

18.

Občan Z a právník X požádali Autoriteit Persoonsgegevens (úřad pro ochranu osobních údajů, Nizozemsko), aby zakročil formou donucovacího opatření. Tento úřad rozhodl, že je nepříslušný, a uvedené žádosti postoupil orgánu pro GDPR.

19.

Předkládající soud vysvětluje, že politika zpřístupňování písemností novinářům přijatá Raad van State (Státní rada) vede k tomu, že přístup k některým osobním údajům účastníků soudního řízení a jejich případných zástupců mohou získat třetí osoby, které nejsou účastníky řízení. Tyto procesní písemnosti mohou obsahovat osobní údaje pocházející například z hlavičkového papíru zástupců účastníků, které mohou vést k určení totožnosti. Mohou rovněž obsahovat jeden nebo více druhů (zvláštních) osobních údajů žalobce nebo jiných osob, jako jsou informace o trestních záznamech, informace o podnikání nebo údaje o zdravotním stavu.

20.

Zpřístupnění dotčených procesních písemností v projednávané věci znamenalo, že novinář J získal přístup k žalobě, žalobní odpovědi a rozhodnutí soudu nižšího stupně. Měl tak přístup k některým osobním údajům žalobců v původním řízení, zejména ke jménu a adrese právníka X a „identifikačnímu číslu občana pro styk se státní správou“ občana Z.

21.

Předkládající soud má za to, že takový přístup k procesním písemnostem a (dočasné) poskytnutí jejich kopií představuje „zpracování“ osobních údajů ve smyslu čl. 4 odst. 2 GDPR. Uvádí, že k takovému zpracování došlo bez souhlasu žalobců. Nicméně za účelem určení, zda Autoriteit Persoonsgegevens (úřad pro ochranu osobních údajů) skutečně mohl dospět k závěru, že nebyl příslušný přezkoumat rozhodnutí Raad van State (Státní rada) o poskytnutí přístupu k dotčeným procesním písemnostem, musí předkládající soud vyložit pojem „soudy jednající v rámci svých soudních pravomocí“ uvedený v čl. 55 odst. 3 GDPR.

22.

Vzhledem k pochybnostem ohledně toho, zda Raad van State (Státní rada) jednala v rámci své „soudní pravomoci“ ve smyslu čl. 55 odst. 3 GDPR, když zpřístupnila písemnosti ze spisu týkajícího se sporu mezi občanem Z a starostou M novináři J, aby uvedený novinář mohl o jednání v uvedené věci lépe informovat, se Rechtbank Midden-Nederland (Soud prvního stupně pro Midden-Nederland, Nizozemsko) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

„1)

Musí být čl. 55 odst. 3 [GDPR] vykládán v tom smyslu, že výrazem ‚operac[e] zpracování, které provádějí soudy jednající v rámci svých soudních pravomocí‘, lze rozumět umožnění nahlížet do procesních písemností, které obsahují osobní údaje, justičními orgány, přičemž k tomuto nahlížení dochází prostřednictvím poskytnutí kopií těchto procesních písemností novinářům, jak je popsáno v předkládacím rozhodnutí?

1a)

Je pro odpověď na tuto otázku relevantní, zda je výkonem dozoru nad tímto způsobem zpracování údajů ze strany vnitrostátního dozorového úřadu ovlivňováno nezávislé rozhodování soudů v jednotlivých věcech?

1b)

Je pro odpověď na tuto otázku relevantní, že způsob a cíl uvedeného zpracování údajů podle daného justičního orgánu spočívá v tom, že se novinářům poskytnou informace a tím se jim umožní lépe informovat o veřejném jednání konaném v rámci soudního řízení, což má sloužit naplňování zásady veřejnosti a transparentnosti soudního řízení?

1c)

Je pro odpověď na tuto otázku relevantní, zda se uvedené zpracování údajů zakládá na výslovném vnitrostátním právním základě?“

23.

Písemná vyjádření předložili občan Z, Autoriteit Persoonsgegevens (úřad pro ochranu osobních údajů), španělská, nizozemská, polská a finská vláda, jakož i Evropská komise. Autoriteit persoonsgevens (úřad pro ochranu osobních údajů), španělská a nizozemská vláda, jakož i Komise rovněž přednesly ústní vyjádření na jednání konaném dne 14. července 2021.

IV. Analýza

24.

Toto stanovisko je strukturováno následovně. Začnu několika stručnými poznámkami k přípustnosti (část A). Poté se zaměřím na čl. 55 odst. 3 GDPR a na hmotněprávní a institucionální prvky tohoto ustanovení (část B). Následně své úvahy použiji na projednávanou věc (část C). Na konci uvedu několik poznámek k ústřední otázce, o níž tato věc je, a zároveň není: použití GDPR na vnitrostátní soudy (část D).

A.   K přípustnosti

25.

Občan Z tvrdí, že položené otázky jsou hypotetické, a tudíž nepřípustné. Požadoval přijetí donucovacího opatření nejen z důvodu politiky zpřístupňování, která byla údajně neslučitelná s GDPR, ale i z důvodu včasného neoznámení úniku informací (tedy zpřístupnění osobních údajů novináři bez souhlasu). Kromě toho obsahuje předkládací rozhodnutí faktické vady, jelikož dotčené procesní písemnosti nebyly zpřístupněny Raad van State (Státní rada), ale zaměstnanci jejího oddělení pro komunikaci. Vzhledem k tomu, že předkládací rozhodnutí nebylo vydáno soudem ve smyslu čl. 55 odst. 3 GDPR, měl tedy dozor nad zpracováním údajů uvedeným oddělením vykonávat Autoriteit Persoonsgegevens (úřad pro ochranu osobních údajů).

26.

Mám za to, že tyto návrhy je třeba zamítnout.

27.

Na otázky týkající se výkladu unijního práva položené vnitrostátním soudem se obecně vztahuje domněnka relevance ( 8 ). Odmítnutí rozhodnout o předběžné otázce položené vnitrostátním soudem ze strany Soudního dvora je možné pouze tehdy, je-li zjevné, že žádaný výklad unijního práva nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, jestliže se jedná o hypotetický problém, nebo také jestliže Soudní dvůr nedisponuje skutkovými nebo právními poznatky nezbytnými pro užitečnou odpověď na otázky, které jsou mu položeny ( 9 ). Jestliže se tedy položené otázky týkají výkladu unijního práva, je Soudní dvůr v zásadě povinen rozhodnout ( 10 ).

28.

O posledně uvedený případ se zjevně jedná ve sporu v původním řízení. Předkládající soud má použít GDPR, a zejména jeho čl. 55 odst. 3, aby určil, v jakém rozsahu byl Autoriteit Persososegevens (úřad pro ochranu osobních údajů) příslušný vykonávat dozor nad zpracováním (pokud k němu docházelo) osobních údajů Raad van State (Státní rada). Vzhledem k tomu, že předkládající soud žádá o pomoc při výkladu tohoto ustanovení, je oprávněn položit Soudnímu dvoru předběžnou otázku.

29.

Kromě toho je pouze na vnitrostátním soudu, aby vymezil skutkový rámec sporu, na základě něhož žádá Soudní dvůr o odpověď ( 11 ). I v případě, kdy žádost o rozhodnutí o předběžné otázce trpí určitými skutkovými nedostatky, Soudnímu dvoru nepřísluší zpochybňovat úplnost předkládacího rozhodnutí, ani zaujmout stanovisko k určitému výkladu vnitrostátního práva nebo praxi.

30.

V každém případě otázka, kdo zpřístupnil co a na čí pokyn, představuje věcnou otázku, která může být pro předkládající soud relevantní při použití GDPR a pokynů Soudního dvora. Tato otázka se však netýká přípustnosti věci.

31.

Projednávaná věc je tedy zjevně přípustná.

B.   Článek 55 odst. 3 GDPR

32.

Je zřejmé, že GDPR se má používat na soudy členských států. Toto nařízení se totiž vztahuje na jakoukoliv operaci nebo soubor operací s osobními údaji. Neexistuje žádná institucionální výjimka pro soudy nebo jakékoliv jiné konkrétní státní orgány ( 12 ). GDPR se z hlediska své struktury nezabývá orgány ( 13 ). Vztahuje se na veškeré činnosti týkající se zpracování osobních údajů, bez ohledu na jejich povahu. Konečně bod 20 odůvodnění GDPR tuto právní úpravu potvrzuje, když výslovně uvádí, že se toto nařízení „mimo jiné vztahuje na činnost soudů a dalších justičních orgánů“.

33.

Nezávislá na otázce věcné použitelnosti pravidel stanovených GDPR, ale neoddělitelně spjatá je otázka kontroly dodržování těchto pravidel. Je pravda, že otázku „kdo má vykonávat dozor“ lze do určité míry oddělit od otázky „co má být dozorováno“. Stále přitom existuje nezbytná spojitost. Pokud by některá pravidla nebyla vůbec věcně použitelná, nebo by z nich existovaly široké výjimky, nebylo by příliš potřeba se otázkami dozoru zabývat. Nebylo by totiž co dozorovat.

34.

Otázka příslušnosti v oblasti dozoru je upravena v článku 55 GDPR. Toto ustanovení otevírá oddíl 2 („Příslušnost, úkoly a pravomoci“) kapitoly VI („Nezávislé dozorové úřady“) GDPR. V této souvislosti vyplývají z článku 55 GDPR tři druhy příslušnosti.

35.

Zaprvé, čl. 55 odst. 1 GDPR vyžaduje, aby členské státy určily dozorové úřady k zajištění souladu s GDPR a dodržování povinností jednotlivých zúčastněných stran ( 14 ). Každý dozorový úřad je na území svého členského státu příslušný k výkonu pravomocí, které mu byly svěřeny GDPR.

36.

Zadruhé, čl. 55 odst. 2 téhož nařízení stanoví, že pokud zpracování provádějí orgány veřejné moci nebo soukromé subjekty jednající na základě čl. 6 odst. 1 písm. c) nebo e), je příslušným dozorový úřad dotčeného členského státu. Toto ustanovení jako takové stanoví výjimku z čl. 56 odst. 1, který v případě přeshraničního zpracování svěřuje příslušnost vedoucímu dozorovému úřadu.

37.

Zatřetí, čl. 55 odst. 3 GDPR zavádí v tomto kontextu další specifický druh operace zpracování, a sice zpracování, které provádějí soudy jednající v rámci svých soudních pravomocí. K těmto činnostem nejsou příslušné „běžné“ dozorové úřady podle čl. 55 odst. 1 GDPR. Bod 20 odůvodnění GDPR naopak vysvětluje, že „dozor nad takovými operacemi zpracování by mělo být možné svěřit zvláštním subjektům v rámci justičního systému členského státu“.

38.

Z takové právní úpravy vyvozuji dva důsledky.

39.

Články 55 a 56 GDPR se jednak týkají hlavně určení příslušnosti. V tomto kontextu by bylo možné tvrdit, že čl. 55 odst. 1 GDPR musí být považován za „pravidlo“, zatímco všechna další ustanovení, včetně čl. 55 odst. 3 GDPR, by mohla být považována za „výjimky“. Soudní dvůr však tuto logiku nedávno odmítl ( 15 ). Z mého pohledu z dobrého důvodu: články 55 a 56 GDPR se týkají určení příslušnosti na základě územních a typových prvků, jakož i podle subjektů. Pro tuto úpravu by jistě nebylo správné, pokud by poněkud nekompromisní logika výrazu „všechny výjimky musí být vykládány restriktivně“, převzatého z kontextu čl. 2 odst. 2 GDPR, byla použita na poměrně důmyslnou úpravu určení příslušnosti.

40.

Zadruhé, použitelnost čl. 55 odst. 3 GDPR podléhá dvěma podmínkám. Musí existovat „operace zpracování“ ve smyslu GDPR (1). Tuto operaci zpracování musí provádět „soudy jednající v rámci svých soudních pravomocí“ (2). Teprve poté lze určit, jaký orgán má provádět dozor nad souladem uvedené činnosti s GDPR. Nyní se budu zabývat těmito dvěma podmínkami.

1. Věcný prvek: „operace zpracování“?

a) Stávající právní úprava

41.

Působnost GDPR je vymezena široce. Podle čl. 2 odst. 1 GDPR se toto nařízení vztahuje na „zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny“.

42.

Článek 4 odst. 2 dodává, že „zpracováním“ je „jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů“, a jako příklad uvádí „zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění“. Tento pojem byl vyložen tak, že zohledňuje celý řetězec operací s osobními údaji ( 16 ).

43.

Článek 4 odst. 6 GDPR definuje „evidenci“ jako „jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska“. S ohledem na toto široké znění Soudní dvůr rozhodl, že neexistují požadavky týkající se prostředků nebo struktury „evidence“, jestliže jsou osobní údaje uspořádány tak, aby byly snadno dohledatelné ( 17 ).

44.

Všechny tyto skutečnosti společně znamenají, že ke zpracování osobních údajů ve smyslu GDPR dochází, pokud existují (i) osobní údaje, které (ii) jsou zpracovávány (iii) automatizovaně, nebo pokud jsou součástí evidence. Co bylo tedy dotčenou operací zpracování v projednávané věci?

45.

Ze spisu vyplývá, že občan Z má problém s tím, že novináři J byly fyzicky předloženy tři procesní písemnosti, aby tento novinář mohl lépe informovat o jednání mezi občanem Z a starostou M. Raad van State (Státní rada), která vystupovala jako správce, tímto způsobem zpřístupnila osobní údaje obsažené v (přinejmenším některých) písemnostech, a to bez souhlasu subjektu údajů, což představuje (pravděpodobně protiprávní) operaci zpracování ve smyslu čl. 4 odst. 2 GDPR.

46.

Nezdá se, že by existovaly neshody ohledně skutečnosti, že dotčené procesní písemnosti obsahovaly určité osobní údaje ve smyslu čl. 4 odst. 1 GDPR. Takové informace, jako jsou jméno a adresa právníka X, jakož i „identifikační číslo pro styk se státní správou“ občana Z, jsou zjevně údaje „o identifikované nebo identifikovatelné osobě“ ( 18 ).

47.

Nezdá se ani, že by zúčastněné strany zpochybňovaly existenci „operace zpracování“ ve smyslu čl. 4 odst. 2 GDPR. Je to však něco, o čemž mohou vzniknout určité pochybnosti. Co přesně bylo konkrétní operací zpracování ( 19 ), která vedla k použití GDPR?

48.

Nejpatrnější volbou v tomto ohledu je „zpřístupnění přenosem“ ( 20 ) dotčených písemností třetí osobě ze strany zaměstnanců Raad van State (Státní rada). Judikatura tuto tezi podporuje, jelikož Soudní dvůr měl za to, že sdělování ( 21 ) nebo plošné zpřístupnění ( 22 ) osobních údajů představuje „zpracování“ ve smyslu čl. 4 odst. 2 GDPR.

49.

Podle čl. 2 odst. 1 GDPR však musí k této činnosti docházet alespoň částečně automatizovaně. Ve spisu není obsaženo nic ohledně toho, zda k uvedené činnosti docházelo automatizovaně. Je pravda, že v dnešní společnosti dochází v určitém okamžiku alespoň k nějaké automatizaci. Navíc vzhledem k tomu, že je třeba vzít do úvahy celý řetězec operací zpracování ( 23 ), tak pokud určitá osoba v určitém okamžiku před zpřístupněním dotčených procesních písemností tyto procesní písemnosti buďto skenovala, kopírovala, tiskla, posílala emailem nebo jiným způsobem je získala z databáze, došlo k takovému zpracování alespoň zčásti automatizovaně ve smyslu čl. 2 odst. 1 GDPR.

50.

Podpůrně a v každém případě, předmětné osobní údaje byly zjevně vyňaty ze samotného spisu za účelem jejich zpřístupnění novináři J. To logicky znamená, že Raad van State (Státní rada) takový spis vytvoří na základě určitých identifikačních údajů (číslo jednací, datum sporu nebo jména účastníků řízení). Takový spis představuje, někdo by dokonce řekl, že již z podstaty věci, „evidenci“ ve smyslu čl. 4 odst. 6 GDPR, jelikož tvoří strukturovaný soubor (osobních) údajů přístupných podle zvláštních kritérií ( 24 ).

51.

I kdybychom tedy ponechali stranou část definice čl. 2 odst. 1 GDPR týkající se „automatizace“, je stále poměrně jasné, že tři písemnosti, které byly vyňaty ze spisu vnitrostátního soudu a zkopírovány, jsou součástí evidence, jinými slovy tedy samotného spisu.

52.

Konečně není v projednávané věci možné uplatnit žádnou z výjimek stanovených v čl. 2 odst. 2 GDPR, které je třeba vykládat restriktivně ( 25 ). Zpřístupnění dotčených písemností totiž nespadá „mimo oblast působnosti unijního práva“, přinejmenším nikoliv v tom smyslu, jak je toto spojení vykládáno Soudním dvorem v tomto specifickém kontextu. Bylo by totiž možné mít za to, že zpřístupnění procesních písemností v rámci řízení před vnitrostátními soudy nespadá do působnosti unijního práva, zejména ne v klasickém slova smyslu úpravy jakýmkoli aktem unijního práva. Nicméně v nedávném rozsudku Soudního dvora Latvijas Republikas Saeima (Trestné body) byla výjimka podle čl. 2 odst. 2 písm. a) GDPR vykládána tak, že se vztahuje pouze na základní funkce členských států, pokud lze tyto funkce zařadit do téže kategorie jako národní bezpečnost ( 26 ). Pokud bylo totiž shledáno, že zajištění bezpečnosti silničního provozu nesplňuje požadavky bodu 16 odůvodnění GDPR ( 27 ), je nepravděpodobné, že veřejnost justice je splňovat bude.

53.

Kromě toho nic nenasvědčuje tomu, že by se zpřístupnění v projednávané věci týkalo vyšetřování trestných činů nebo výkonu trestů (i kdyby z jakéhokoliv důvodu existovala potřeba tak za daných okolností učinit) ( 28 ). Použitelnost čl. 2 odst. 2 písm. d) GDPR je tedy rovněž vyloučena.

54.

Závěrem je třeba uvést, že na základě širokého znění a výkladu čl. 2 odst. 1 a čl. 4 odst. 2 a 6 GDPR, jakož i mimořádně úzké oblasti působnosti výjimek stanovených v čl. 2 odst. 2 GDPR se jeví, že zpřístupnění procesních písemností v projednávané věci spadá do věcné působnosti GDPR, buď jako zcela nebo částečně automatizované zpracování osobních údajů, nebo jako zpracování takových údajů, které jsou součástí evidence.

b) Je stávající právní úprava správná?

55.

Poskytnutí tří procesních písemností novináři, aby mohl lépe porozumět ústnímu řízení, o němž bude informovat veřejnost, je zpracováním osobních údajů podle GDPR. Tento závěr je odpovědí na problém a stejně tak formulací problému. Lidé jsou společenskými tvory. Při většině našich interakcí jsou sdíleny určité informace, nejčastěji s jinými lidmi. Má se na prakticky každou výměnu takových informací vztahovat GDPR?

56.

Pokud půjdu večer do hospody a mezi čtyřmi svými přáteli, kteří se mnou sedí u stolu na veřejnosti [a tedy pravděpodobně nepůjde o výjimku podle čl. 2 odst. 2 písm. c) GDPR týkající se výlučně osobních či domácích činností ( 29 )], uvedu poměrně nelichotivou poznámku o svém sousedovi, která obsahuje jeho osobní údaje, jež jsem právě obdržel emailem (a tedy automatizovaně nebo jako součást evidence), stane se ze mě správce těchto údajů a budou se na mě od této chvíle vztahovat veškeré (poměrně značné) povinnosti vyplývající z GDPR? Vzhledem k tomu, že můj soused nikdy neudělil souhlas s tímto zpracováním (zpřístupnění přenosem) a že tlachání nebude pravděpodobně nikdy zařazeno mezi oprávněné důvody uvedené v článku 6 GDPR ( 30 ), musel jsem tímto zpřístupněním porušit řadu ustanovení GDPR, včetně většiny práv subjektu údajů uvedených v kapitole III.

57.

Když takovýmto vskutku bizarním otázkám generálního advokáta čelila na jednání Komise, trvala na tom, že působnost GDPR má určité hranice. Nicméně nebyla schopna vysvětlit, kde přesně se tyto hranice nacházejí. Připustila totiž, že k použití uvedeného nařízení, a tedy ke vzniku práv a povinností, které z něj vyplývají, může dojít i náhodným „zpracováním“ osobních údajů ( 31 ).

58.

To je přesně otázka, která z projednávané věci opět vyplývá: mělo by být GDPR bez věcného omezení? Mají se na každou lidskou interakci, při níž dochází ke zpřístupňování osobních údajů jiných osob, nezávisle na způsobu jejich zpřístupnění, vztahovat poměrně přísná pravidla GDPR?

59.

V této nové době nekonečné snahy o zvýšení automatizace se zdá, že téměř všechny aspekty jakékoli činnosti mohou být dříve nebo později spojeny se strojem, který je stále více schopen sám zpracovávat údaje. Využívání takových údajů bude většinou vedlejší nebo „minimální“, takže v mnoha případech nebude docházet k žádnému „skutečnému“ zpracování. Zdá se však, že ani povaha operace (pouhé předání oproti skutečné práci s údaji), způsob potenciálního zpřístupnění (písemně, ručně nebo elektronicky oproti ústně), ani množství osobních údajů (neexistence pravidla de minimis, neexistence rozdílu ve zpřístupnění individualizovaných údajů týkajících se konkrétní osoby oproti práci se soubory údajů) se pro použitelnost GDPR nejeví jako relevantní.

60.

Jistě nejsem první, kdo je zmaten šíří toho, co zjevně představuje „operace zpracování“ pro účely GDPR, nebo dříve směrnice 95/46/ES ( 32 ). Ve svém stanovisku ve věci Komise v. Bavarian Lager se generální advokátka E. Sharpston pokusila naznačit, že by měla být zavedena určitá minimální hranice, která by byla rozhodnou událostí pro existenci operace zpracování ( 33 ).

61.

Opatrnější přístup k pojmům „osobní údaje“ a „zpracování“ rovněž dříve navrhovala pracovní skupina pro ochranu osobních údajů zřízená podle článku 29 ( 34 ). Uvedla, že „pouhá skutečnost, že danou situaci lze považovat za situaci zahrnující zpracování osobních údajů‘ ve smyslu této definice, nestačí sama o sobě k určení toho, že se na ni mají vztahovat pravidla [směrnice 95/46], zejména její článek 3“ ( 35 ). Rovněž uvedla, že „působnost pravidel pro ochranu údajů by neměla být přehnaná“. Dokonce poměrně chytře předpokládala, že „mechanické používání každého ustanovení směrnice“ by mohlo mít „nadměrně zatěžující nebo možná dokonce absurdní důsledky“ ( 36 ).

62.

Co by pak mělo být možná přinejmenším vyžadováno, je změna, nakládání nebo jakékoliv jiné zpracování ve smyslu „přidané hodnoty“ k dotčeným osobním údajům nebo jejich „spravedlivé užití“. Podpůrně nebo ve spojení s tím je třeba více zdůraznit pojem „automatizace“, který vylučuje všechny jiné druhy zpřístupnění, k nimž došlo jinak než automatizovaně, ať již ústně nebo pouhým nahlédnutím do písemnosti. Přidání takového nebo jakéhokoli jiného obdobného prahového testu by tak mohlo pravidla týkající se ochrany osobních údajů znovu zaměřit na činnosti, na něž se měla primárně vztahovat ( 37 ), a nikoliv na nahodilá nebo minimální použití osobních údajů, na něž se jinak budou vztahovat práva a povinnosti vyplývající z GDPR.

63.

Ať je tomu jakkoli, jsem si vědom toho, že Soudní dvůr, zasedající ve velkém senátu, již nedávno takový test odmítl ve věci Komise v Bavarian Lager ( 38 ). Obdobně Soudní dvůr od té doby pokračuje v poměrně dosti širokém výkladu působnosti směrnice 95/46 a GDPR ( 39 ).

64.

Z tohoto důvodu tedy musím dospět k závěru, že i v projednávané věci došlo ke zpracování osobních údajů ve smyslu čl. 2 odst. 1 GDPR, a tedy rovněž ve smyslu čl. 55 odst. 3 uvedeného nařízení.

65.

Předpokládám však, že buď Soudní dvůr, nebo unijní normotvůrce budou jednoho dne muset působnost GDPR přehodnotit. Současný přístup postupně činí z GDPR v podstatě jeden z nejvíce ignorovaných právních rámců v unijním právu. Tento stav není nutně záměrný. Je spíše přirozeným vedlejším produktem přesahu uplatňování GDPR, což následně vede k tomu, že řada jednotlivců žije ve sladké nevědomosti ohledně toho, že se na jejich činnosti rovněž vztahuje GDPR. I když je jistě možné, že taková ochrana osobních údajů může ještě „sloužit lidem“ ( 40 ), pevně věřím, že nedodržování v důsledku nepřiměřenosti ve skutečnosti neslouží ani nepřispívá k autoritě nebo legitimitě jakéhokoliv právního předpisu, včetně GDPR.

2. Institucionální prvek: „soudy jednající v rámci svých soudních pravomocí“?

66.

Poté, co jsem dospěl k závěru, že jde o „operaci zpracování“ ve smyslu čl. 55 odst. 3 GDPR, je potřeba přezkoumat druhý, spíše institucionální prvek obsažený v uvedeném ustanovení. Jak má být vykládán pojem „soudy jednající v rámci svých soudních pravomocí“?

67.

Toto ustanovení se snaží rozlišovat mezi činnostmi, které by měly být považovány za vykonávané v rámci „soudní pravomoci“, a činnostmi, které do této kategorie nespadají, jako jsou pravděpodobně úkoly správní povahy. Podobné rozlišování lze najít i v jiných právních předpisech, především v souvislosti s přístupem k dokumentům a zásadou transparentnosti uvedenými v čl. 15 odst. 3 čtvrtém pododstavci SFEU ( 41 ). Při bližším zkoumání se však čl. 55 odst. 3 GDPR jeví jako zvláštní samostatné ustanovení.

68.

Komise tvrdí, že pojem „jednající v rámci svých soudních pravomocí“ by se měl řídit ryze funkčním přístupem a měl by být vykládán restriktivně. Má za to, že je třeba zvláště zohlednit bod 20 odůvodnění GDPR a cíl spočívající v zajištění nezávislosti soudnictví. Z tohoto hlediska musí být pod pojem „soudní pravomoc“ zahrnuty pouze ty činnosti, které přímo souvisí nebo mohou souviset se soudním „rozhodováním“, takže pouze tyto činnosti nebudou spadat do pravomoci příslušných dozorových úřadů.

69.

Všichni ostatní účastníci tohoto řízení zastávají opačný názor. V podstatě tvrdí, že použití výrazu „včetně“ v bodě 20 odůvodnění GDPR naznačuje, že unijní normotvůrce nechtěl, aby byl pojem „jednající v rámci soudních pravomocí“ vykládán restriktivně, a že cíl spočívající v zajištění nezávislosti soudnictví musí být vykládán široce.

70.

Do značné míry souhlasím s posledně uvedeným názorem.

71.

Článek 55 odst. 3 GDPR vymezuje dozorovou pravomoc příslušného dozorového úřadu. Nejedná se, jak Komise správně uvedla na jednání, o výjimku ze všeobecné povinnosti dozoru. Jakmile totiž operace zpracování spadá do věcné působnosti GDPR, vztahuje se na ni rovněž povinnost dozoru ze strany nezávislého orgánu podle čl. 8 odst. 3 Listiny základních práv Evropské unie (dále jen „Listina“), a obecněji čl. 16 odst. 2 SFEU. Tento dozor vykonává jiný subjekt než dozorový úřad určený podle čl. 51 odst. 1 GDPR.

72.

K tomu, aby byl dozor svěřen jinému subjektu než obecnému dozorovému úřadu podle čl. 55 odst. 1 GDPR, vyžaduje čl. 55 odst. 3 GDPR, kromě existence operace zpracování, zaprvé existenci určitého druhu orgánu („soudů“) a zadruhé konkrétní činnost vykonávanou těmito soudy („jednání v rámci soudních pravomocí“). Je tedy nutné provést test zohledňující obě uvedené vlastnosti.

73.

Pokud jde o první vlastnost, je jasné, že, mimo nutně autonomní oblast článku 267 SFEU, pojem „soud“ zahrnuje subjekt, který je součástí soudního systému členského státu a je jako takový uznaný ( 42 ). Jak jsem dříve uvedl a jak uvedla nizozemská vláda na jednání, pro tyto druhy subjektů je „soudní“ povaha jejich činnosti pravidlem, zatímco výkon jakékoliv „správní“ činnosti musí být považován za výjimku, jelikož správní činnosti jsou vedlejší nebo pomocné ve vztahu k jejich hlavní činnosti, kterou je činnost soudní ( 43 ). Jinými slovy, pokud je dotyčný orgán soudním systémem členských států označen za „soud“, bude automaticky předpokládáno, že jedná v rámci „soudní pravomoci“, ledaže by v konkrétním případě byl prokázán opak ( 44 ).

74.

Pokud jde o druhou uvedenou vlastnost, je funkčním korektivem tohoto institucionálního určení posouzení druhu a povahy dané činnosti ( 45 ). Autoriteit Persoonsgegevens (úřad pro ochranu osobních údajů), španělská a nizozemská vláda správně odkazují na bod 20 odůvodnění GDPR, aby zdůraznily, že ve zvláštním případě čl. 55 odst. 3 GDPR musí být uvedený korektiv vykládán široce.

75.

Úvodem bych však chtěl zdůraznit, že definice uvedená v čl. 55 odst. 3 GDPR správně obsahuje dva prvky: institucionální prvek a funkční korektiv (nebo přizpůsobení). Je tomu tak proto, že chce logicky zachytit určité funkce (soudní) určitých orgánů (soudů). Tato definice není a nemůže být čistě funkční. Pokud by tomu tak bylo, a pokud by měl mít pojem „jednající v rámci svých soudních pravomocí“ přednost před pojmem „soudy“, mohly by pak ostatní subjekty a orgány členských států vykonávající v jednotlivých případech určitou soudní funkci tvrdit, že mají být považovány za orgány, na něž se nevztahuje dohled dozorových úřadů podle čl. 55 odst. 1. Článek 55 odst. 3 GDPR je však omezen na soudy jednající v rámci svých soudních pravomocí. Nevztahuje se na subjekty jednající v rámci svých soudních pravomocí.

76.

Proč by ve druhém kroku měl být pojem „jednající v rámci svých soudních pravomocí“ vykládán široce v tom smyslu, že by měl hraniční případy spíše zahrnovat, než aby je vylučoval?

77.

Zaprvé na rozdíl od Komise nesouhlasím s myšlenkou, že by vztah mezi čl. 55 odst. 1 a 3 GDPR měl být omezen na zjednodušující logiku „pravidla a výjimky“. Jak již bylo uvedeno výše ( 46 ), články 55 a 56 GDPR zavádějí diferencovaný systém dozoru ve vztahu k určitým územím, určitým druhům zpracování a určitým aktérům.

78.

Zadruhé lze připomenout, že druhá věta bodu 20 odůvodnění GDPR uvádí, že „pravomoc dozorových úřadů by neměla zahrnovat zpracování osobních údajů, pokud soudy jednají v rámci svých soudních pravomocí, aby byla zajištěna nezávislost soudnictví při plnění soudních funkcí, včetně rozhodování“ ( 47 ).

79.

V tomto kontextu odkazy na „aby byla“ a „včetně“ naznačují, že pojem „jednající v rámci svých soudních pravomocí“ je třeba vykládat široce.

80.

Zaprvé výraz „aby byla“ uvedený v této větě je vysvětlením účelu, a nikoli vysvětlením omezení. Abstraktně stanoví, že cílem rozdělení příslušností obsaženého v čl. 55 odst. 3 GDPR je ochrana nezávislosti soudnictví. Na rozdíl od toho, co uvedla Komise na jednání, totiž výraz „aby byla“ neznamená, že každá operace zpracování musí přispívat k zajištění nezávislosti soudnictví. Zjednodušeně řečeno, bod 20 odůvodnění nestanoví, že k tomu, aby bylo každé zpracování prováděné soudem vyloučeno z dohledu dozorového úřadu podle čl. 55 odst. 1, musí individuálně a konkrétně zajišťovat nezávislost soudnictví. Pouze uvádí, že na systémové úrovni byl zaveden zvláštní systém dozoru, aby byla zajištěna nezávislost soudnictví. To jsou podle mého názoru velmi odlišné druhy spojení „aby byla“.

81.

Zadruhé nutnost širokého výkladu pojmu „soudní pravomoc“ je rovněž potvrzena přidáním slova „včetně“ před slovo „rozhodování“ v druhé větě bodu 20 odůvodnění GDPR. Takto vytvořené spojení totiž rovněž naznačuje, že pojem „soudní pravomoc“ musí být vykládán šířeji než jako pouhá individuální rozhodnutí týkající se konkrétního případu. Opět tedy není třeba zajistit, aby každé jednotlivé zpracování muselo zřetelně a jasně splňovat úkol zajištění nezávislosti soudnictví. Naopak lze mít za to, že soud jedná v rámci „soudní pravomoci“, i když vykonává činnosti související s obecným fungováním soudnictví nebo s celkovou organizací a správou soudního řízení, ať už se jedná například o shromažďování a ukládání spisů, přidělování věcí soudcům, spojování věcí, prodlužování lhůt, provádění a organizace jednání, zveřejňování a šíření svých rozhodnutí v zájmu široké veřejnosti (určitě v případě vyšších soudů), nebo dokonce odborné vzdělávání soudců.

82.

Zatřetí lze tentýž závěr vyvodit i ze stanoveného cíle spočívajícího v zajištění „nezávislosti soudnictví při plnění soudních funkcí“. Soudní dvůr ve své judikatuře, zejména v té novější, vykládá pojem „nezávislost soudnictví“ široce tak, že se vztahuje na možnost soudců vykonávat svou funkci nezávisle na jakémkoliv (přímém či nepřímém, skutečném nebo potenciálním) tlaku ( 48 ).

83.

Neshledávám žádný důvod, proč by tentýž výklad neměl být použit jako výchozí bod pro pochopení pojmu „nezávislost soudnictví“ i pro účely GDPR. V tomto ohledu však restriktivní výklad bodu 20 odůvodnění a čl. 55 odst. 3 GDPR jistě není odůvodněný, ledaže by někdo chtěl pověřit příslušný dozorový úřad, aby individuálně posoudil, zda by jeho dohled v konkrétním případě mohl tuto nezávislost narušit.

84.

V tomto kontextu považuji za obtížné přijmout argumenty a chápání pojmu „nezávislost soudnictví“, které uvádí Komise. Komise na jednání trvala na tom, že k uplatnění čl. 55 odst. 3 GDPR je třeba, aby existovala přímá souvislost mezi zpracováním dotčených osobních údajů a konkrétním probíhajícím soudním řízením. Pokud by tomu tak bylo, pak nerozumím tomu, co přesně by pojem nezávislost soudnictví, kterého se jasně dovolává unijní normotvůrce, mohl do této rovnice vnést za účelem vymezení působnosti soudní činnosti.

85.

Pokud má mít pojem nezávislost soudnictví v tomto kontextu nějaký význam, je to především v ochraně soudní funkce před nepřímými pokyny, tlaky nebo vlivy. Pokud novější judikatura Soudního dvora o něčem svědčí, pak je to o tom, že nepřímé hrozby nezávislosti soudnictví jsou v praxi častější než přímé hrozby. Významným příkladem této kategorie z nedávné doby je systém kárných řízení proti soudcům ( 49 ). Striktně vzato nejsou taková řízení (nebo možnost jejich použití) přímo spojena s individuálním rozhodováním soudů. Málokdo by však popřel jejich význam, pokud jde o prostředí, v němž jsou taková rozhodnutí vydávána, a spadají jednoznačně pod pojem nezávislost soudnictví.

86.

Ze všech těchto důvodů nemohu přijmout přístup Komise k pojmu „jednání v rámci soudních pravomocí“ podle čl. 55 odst. 3 GDPR. V podstatě by to znamenalo umožnit správní dozor podle čl. 55 odst. 1 GDPR ve všech případech, ledaže existuje přímá souvislost, pravděpodobně i určitý zjevný dopad, na soudní rozhodování. Podle mého názoru tento přístup nezohledňuje, jaký by měl být cíl zajištění nezávislosti soudnictví. Soudní nezávislost není (jen) o pozdějším zjišťování toho, že k něčemu už došlo. Je především o zavedení dostatečných ex ante záruk, aby k určitým věcem nemohlo dojít.

87.

Totéž platí pro argument, podle něhož přirozeně nelze předpokládat, že i kdyby dozorovým úřadům podle čl. 55 odst. 1 bylo dovoleno přezkoumávat veškerou soudní činnost, pravděpodobně by chtěly předem ovlivňovat soudní řízení. S tím se ztotožňuji. Pokud má být však cílem zajištění soudní nezávislosti, je to opět zcela irelevantní. Výklad a institucionální struktura nemohou v takových případech vycházet z faktické logiky (už k tomu došlo?), ale z logiky preventivní (ujistit se, že takové věci nemohou nastat, nezávisle na konkrétním chování dotčených subjektů) ( 50 ).

88.

A konečně začtvrté tento legislativně stanovený účel čl. 55 odst. 3 GDPR podle mého názoru rovněž odpovídá na to, jak řešit hraniční případy či šedou zónu mezi jasně soudními případy a zjevně jinými případy, pravděpodobně správními.

89.

V praxi přirozeně existuje řada hraničních činností vykonávaných soudy, které se nemusí přímo týkat soudního rozhodnutí v dané věci, ale které mohou mít přímý či nepřímý vliv na soudní řízení. Příkladem může být přidělování věcí předsedou soudu, přirozeně za podmínky, že právní řád mu v tomto ohledu ponechává určitou diskreci. Pokud bychom přijali restriktivní výklad toho, co je považováno za vykonávané v rámci „soudní pravomoci“, pak je málo pravděpodobné, že by se na tuto činnost vztahoval čl. 55 odst. 3 GDPR. Dozorový úřad by tak byl příslušný k provádění dozoru nad zpracováním osobních údajů, k němuž v rámci této činnosti dochází. Takové rozhodnutí přitom nemá ani správní povahu. Málokdo by totiž nesouhlasil s tím, že přidělení věci soudci zpravodaji je ze své podstaty úkolem soudní povahy, přičemž pokud by do něho bylo zasaženo, mohlo by to mít významný dopad na nezávislost soudnictví.

90.

Dalšími činnostmi spadajícími do téže kategorie jsou například vzhled, zasedací pořádek nebo správa soudních síní při soudním zasedání; používání bezpečnostních opatření pro návštěvníky, účastníky řízení a jejich zástupce; videozáznam nebo případně sdílení videa (videostreaming) z jednání; vyhrazený přístup na jednání pro novináře; nebo dokonce informace o řízeních a rozhodnutích uvedené na internetových stránkách soudu. Žádná z těchto (čistě ilustrativních) činností totiž není ani ryze soudní v tom smyslu, že přímo souvisí s výsledkem jednotlivého případu, ani pouze správní. V řadě takových případů mohou mít za určitých okolností dopad na nezávislost soudu. Bylo by tedy vhodné, kdyby nad nimi vykonával dozor ohledně možného dodržování povinností vyplývajících z GDPR tentýž úřad, který rovněž může vystupovat jako žalovaný před těmito soudy ve věcech, které byly zahájeny proti rozhodnutím přijatým uvedeným úřadem?

91.

Na opačném konci spektra se nachází ryze správní úkoly, jako je údržba soudních budov, uzavírání smluv na stravovací služby, nebo běžná správa dodávek a údržba soudu a pracoviště. Je pravda, že i v rámci této kategorie mohou existovat hraniční případy. Příkladem může být vyplácení platů soudcům ( 51 ). Pokud se tyto činnosti týkají pouze mechanického zpracování fixních výplatních pásek, pak jsou ryze správní povahy. Dozor nad těmito činnostmi tak může příslušet dozorovému úřadu určenému na základě čl. 51 odst. 1 GDPR. Jakmile je však k této činnosti přidán prvek diskrece, jako je rozhodování o druhu náhrady za placenou dovolenou, vánočním příspěvku nebo příspěvku na zařízení, které může určitý soudce obdržet, může taková činnost rychle pozbýt své čistě správní povahy ( 52 ).

92.

Bylo by totiž neslučitelné s logikou bodu 20 odůvodnění GDPR, pokud by tyto činnosti byly pouze na základě své obecné kvalifikace kontrolovány dozorovým úřadem podle čl. 51 odst. 1, a nikoli „interním“ úřadem určeným konkrétně pro činnosti, které mohou mít dopad na nezávislost soudnictví. V tomto případě jde o otázku konzistentnosti: není možné oddělit konkrétní politické rozhodnutí přijaté v rámci soudní pravomoci od jeho provádění, pokud by přezkum výsledného prováděcího rozhodnutí pracovníky obecné správy vedl ke stejnému problému narušení nezávislosti soudnictví. I provádění politického rozhodnutí přijatého v rámci soudní pravomoci musí být jako takové vyňato z dohledu příslušného (správního) dozorového úřadu.

93.

Závěrem a s ohledem na záměr normotvůrce vyjádřený v bodě 20 odůvodnění GDPR nemůže být přístup ke klasifikaci činností vykonávaných v rámci „soudní pravomoci“ takový, že se zaměřuje na konkrétní jednotlivé případy a soustředí se na potenciální zásah ohledně toho, co je za okolností jednotlivého případu „soudní“. Takový přístup by z povahy věci byl skutkový a podmíněný, někdy širší a někdy užší. Přístup k výkladu tohoto pojmu tedy musí být strukturální (tj. postup podle druhu činnosti) a ze své povahy preventivní. Pokud existují pochybnosti o povaze určitého druhu činnosti, nebo existuje-li pouhé riziko, že by dohled nad takovou činností mohl mít dopad na nezávislost soudnictví, pak by z výše uvedených důvodů měly být hraniční případy činností vykonávaných soudy s ohledem na zásadu nezávislosti soudnictví (strukturálně) vyloučeny z příslušnosti dozorových úřadů podle čl. 55 odst. 1.

94.

Po odpovědi ohledně definice soudů jednajících v rámci soudních pravomocí se nakonec z důvodu úplnosti vyjádřím ke třem dalším argumentům, které byly v rámci tohoto řízení vzneseny jednotlivými zúčastněnými.

95.

Zaprvé mám za to, že důraz na historii vzniku bodu 20 odůvodnění GDPR má omezené praktické využití. Předkládající soud vysvětluje, že z přípravných dokumentů k GDPR vyplývá, že původní verze bodu 20 odůvodnění GDPR se podobala bodu 80 odůvodnění směrnice (EU) 2016/680 ( 53 ). Posledně uvedená směrnice omezuje pojem „jednání v rámci svých justičních pravomocí“ na „justiční činnosti v soudních řízeních a [nevztahuje se] na jiné činnosti, do kterých mohou být soudci v souladu s právem členského státu zapojeni“. V konečném znění bodu 20 odůvodnění GDPR však takové omezení pravomoci nakonec nebylo ponecháno. Pokud se z této skutečnosti dá něco vyvodit, pak je to spíše kontrast, a nikoliv analogie. Unijní normotvůrce se totiž od tohoto předchozího znění jasně odchýlil, pravděpodobně aby se zbavil restriktivního výkladu rozlišujícího mezi různými druhy „soudních činností“.

96.

Zadruhé pro účely projednávané věci jednoduše nelze převzít logiku, na níž jsou založeny rozdíly v rámci právních předpisů a judikatury v oblasti přístupu k dokumentům. Účel podtrhující rozdělení obsažené v čl. 15 odst. 3 čtvrtém pododstavci SFEU (ochrana integrity soudního řízení a probíhajících soudních řízení) se liší od domněle stejného rozdělení uvedeného v čl. 55 odst. 3 GDPR (ochrana nezávislosti soudnictví).

97.

Pokud jde konkrétně o rozsudky Švédsko a další v. API a Komise ( 54 ) a Breyer v. Komise ( 55 ), jichž se Komise snažila pro účely projednávané věci dovolávat, uvedené rozsudky se týkají ochrany „soudního řízení“, která je jednou z výjimek uvedených v článku 4 nařízení (ES) č. 1049/2001 ( 56 ). Jak jsem vysvětlil ve svém stanovisku ve věci Friends of the Irish Environment, tato výjimka klade důraz na celkovou dobu trvání jednotlivého sporu a nikoliv na stálou činnost soudnictví ( 57 ). Na činnosti podle čl. 4 odst. 2 nařízení č. 1049/2001 tak nahlíží zejména z pohledu času. Tato časová výjimka z logiky zpřístupnění je však zcela cizí čl. 55 odst. 3 GDPR, který se týká stálého rozdělení příslušnosti z hlediska dozoru. Jak rovněž v této souvislosti výstižně poznamenala generální advokátka E. Sharpston ve věci Flachglas Torgau, taková opravdová soudní činnost „nemá ani začátek, ani konec“ ( 58 ).

98.

Konečně zatřetí se chci zabývat tím, z jakého důvodu nespadá vyvažování práva na ochranu údajů a některých dalších základních práv (jak vyžaduje článek 85 GDPR), jak navrhla španělská vláda, do oblasti posouzení podle čl. 55 odst. 3 uvedeného nařízení. Pro určení příslušnosti v oblasti dozoru není totiž objektivní posouzení toho, zda je určitá činnost prováděna v rámci „soudní pravomoci“, závislé na vyvažování základních práv. Naproti tomu podle čl. 55 odst. 3 GDPR musí být provedeno „druhové posouzení“, které je, jak jsem vysvětlil v předcházejících částech, spojeno s obecnou činností soudnictví a politickými rozhodnutími, která se jej týkají.

99.

V žádném případě netvrdím, že vyvažování není nezbytné k posouzení toho, zda je zpřístupnění písemností v souladu s právem na ochranu osobních údajů. Samozřejmě je, ale až později při posuzování, zda dotčené zpřístupnění (prováděné v rámci „soudní pravomoci“) bylo přiměřené cíli, kterého chtělo dosáhnout, a tudíž v souladu s hmotněprávními ustanoveními GDPR ( 59 ).

100.

V souhrnu navrhuji, aby k pojmu „jednající v rámci svých soudních pravomocí“ ve smyslu čl. 55 odst. 3 GDPR bylo přistupováno z institucionálního hlediska („je to soud?“), které může být následně korigováno funkčním posouzením dotčeného druhu činnosti („jaký konkrétní druh činnosti soud vykonává?“). S ohledem na cíl stanovený v bodě 20 odůvodnění GDPR by při posledně uvedeném posouzení činnosti měl být uplatňován široký výklad pojmu „soudní pravomoc“, který jde nad rámec pouhého soudního rozhodování v jednotlivém případě. Musí rovněž zahrnovat veškeré činnosti, které mohou mít nepřímý dopad na nezávislost soudnictví. Soudy by proto měly být standardně považovány za soudy jednající v rámci „soudní pravomoci“, ledaže by bylo v souvislosti s určitým druhem činnosti prokázáno, že má pouze správní povahu.

C.   Projednávaná věc

101.

Poté, co jsem navrhl obecný test, který podle mého názoru vyplývá z čl. 55 odst. 3 GDPR, se nyní budu zabývat otázkami položenými předkládajícím soudem.

102.

Připomínám, že podstatou otázky č. 1 je, zda vnitrostátní soudy jednají „v rámci svých soudních pravomocí“ ve smyslu čl. 55 odst. 3 GDPR, když zpřístupňují určité procesní písemnosti novináři k tomu, aby tento novinář mohl lépe informovat o určitém jednání. Ostatní otázky vycházejí z odpovědi, kterou Soudní dvůr poskytne na první předběžnou otázku, a žádají o objasnění toho, zda má na posouzení podle otázky č. 1 vliv zaprvé případný zásah vnitrostátního dozorového úřadu do soudní nezávislosti v konkrétní věci (otázka č. 1a); zadruhé způsob a cíl zpracování údajů, tedy to, že se novináři poskytnou informace, v důsledku čehož bude moci lépe informovat o veřejném soudním jednání (otázka č. 1b); nebo zatřetí, zda je takové zpřístupnění písemností založeno na právním základě (otázka č. 1c).

103.

Pokud jde nejprve o otázku č. 1, jak jsem vysvětlil v předchozí části tohoto stanoviska, je třeba dát pojmu „soudy jednající v rámci svých soudních pravomocí“ ve smyslu čl. 55 odst. 3 GDPR institucionální výklad, který následně může být korigován širokým „korektivem druhu činnosti“.

104.

V projednávané věci je institucionální určení jasné. Raad van State (Státní rada) je totiž v Nizozemsku vyšším soudem ve správních záležitostech. Stejně tak, pokud jde o otázku, zda dotčená činnost spadá do kategorie zpracování prováděného v rámci „soudních pravomocí“, panuje mezi zúčastněnými obecná shoda, že zpřístupnění procesních písemností novináři k tomu, aby tento novinář mohl lépe informovat o jednání, spadá pod soudní činnost, na níž se vztahuje čl. 55 odst. 3 GDPR.

105.

Souhlasím. Politika zpřístupňování vybraných procesních písemností tisku, o níž se jedná v projednávané věci, za účelem zajištění větší transparentnosti a srozumitelnosti činnosti soudů, se týká samotné podstaty práva na spravedlivý proces ( 60 ) a zjevně se týká jednání v rámci „soudní pravomoci“. Uvedené zpřístupňování je totiž součástí širší úlohy moderního soudnictví spočívající v informování veřejnosti ohledně toho, jak bylo v jejím jméně dosaženo spravedlnosti ( 61 ).

106.

Na rozdíl od toho, co tvrdí občan Z, není na základě uvedených důvodů podstatné, že dotčené písemnosti poskytlo oddělení pro komunikaci Raad van State (Státní rada), které, jak to chápu, je tvořeno personálem soudu, a nikoliv soudci. Kromě toho, že z důvodu institucionální nezávislosti soudů tento subjekt sám rozhoduje o vnitřním rozdělování úkolů, předkládající soud vysvětluje, že k dotčenému zpřístupnění došlo pod dohledem předsedy P, což na jednání potvrdila nizozemská vláda.

107.

I kdyby však dotčené rozhodnutí o zpřístupnění nebylo přijato oddělením vnitrostátního soudu, ale externím orgánem pod obecným dohledem vnitrostátního soudu, výsledek by byl stejný. Je tomu tak proto, že pokud se na uvedený druh činnosti vztahuje, není určení toho, kdo tuto činnost podle vnitrostátního práva vykonává, podstatné. Rozmanitost struktur na vnitrostátní úrovni nemůže vést k jinému výsledku v případě, kdy určitá činnost slouží jen jako korektiv prostého institucionálního určení ( 62 ). V opačném případě by takový dozorový úřad, jako je Autoriteit Persoonsgegevens (úřad pro ochranu osobních údajů), vykonával kontrolu nad politikou v oblasti tisku Raad van State (Státní rada), která by mu nepřímo umožnila přezkoumat rozhodnutí ve věci samé přijaté tímto soudem v konkrétní věci, pokud jde o veřejnost soudnictví.

108.

Tím se dostávám k otázce č. 1a. V ní si předkládající soud klade otázku, zda musí v každém konkrétním případě určit, zda má dozor vliv na nezávislost soudnictví.

109.

Odpověď zní „ne“. Jak jsem vysvětlil výše ( 63 ), odkaz na „soudní pravomoc“ uvedený v bodě 20 odůvodnění GDPR nelze chápat tak, že vyžaduje, aby v každém jednotlivém případě bylo přezkoumáno, zda existuje hrozba pro nezávislost soudnictví. Představuje spíše obecnou formulaci účelu ustanovení čl. 55 odst. 3 GDPR, které má institucionální povahu. Toto uvedení účelu vede k tomu, že jsou do působnosti čl. 55 odst. 3 GDPR spíše preventivně zahrnuty všechny druhy soudních činností, jejichž přezkum, pokud jde o jejich soulad s GDPR, může mít i nepřímý dopad na soudní nezávislost.

110.

Z praktičtějšího hlediska lze dodat, že kromě argumentů strukturální a ústavní povahy je takové řešení rovněž jediným rozumným a praktickým. Navrhoval by snad někdo vážně, aby vnitrostátní dozorový úřad podle čl. 55 odst. 1 GDPR musel, ve vztahu k rozhodování o své příslušnosti se vůbec určitou věcí zabývat, provádět úplné individuální posouzení každého druhu operace zpracování? Měly by takové orgány skutečně provádět nezáviděníhodný úkol spočívající v každém konkrétním případě v určování, u kterých operací by zpracování mohlo ovlivnit nezávislost dotčeného vnitrostátního soudu, a u kterých nikoliv, a rovnou podle toho filtrovat, co mohou kontrolovat?

111.

To má spojitost s odpovědí na otázku č. 1b. Přesná povaha a účel konkrétní operace zpracování totiž nejsou rozhodující pro odpověď na strukturální otázku, kdy soud jedná v rámci „soudní pravomoci“. Je pravda, že otevřené soudnictví a jeho správa jsou obzvláště důležité pro úkoly moderního soudnictví v demokratické společnosti. Tyto úvahy však nehrají roli při posuzování podle čl. 55 odst. 3 GDPR, pokud je dotčené zpracování inherentní širšímu pojetí pojmu „soudní pravomoc“. Jakýkoliv jiný závěr by totiž vedl ke skrytému obnovení restriktivního výkladu čl. 55 odst. 3 GDPR navrženého Komisí.

112.

Mimochodem právě tento bod velmi přesně zdůrazňuje, proč se zajištění nezávislosti soudnictví může týkat pouze obecného a strukturálního cíle, který vedl k zavedení čl. 55 odst. 3 GDPR, a nikoli podmínky, kterou je třeba v každém jednotlivém případě splnit ( 64 ). Pokud by tomu bylo jinak, bylo by spíše zjevné, že „zájmy veřejnosti a transparentnosti soudního řízení“, které jako relevantní účel pro dané zpracování údajů v projednávané věci uvedl předkládající soud, se liší od „zajištění nezávislosti soudnictví“.

113.

V takovém případě by tedy byly možné pouze dvě argumentační cesty. Na jedné straně by bylo třeba dospět k závěru, že cíl otevřenosti soudnictví je odlišný od cíle nezávislosti soudnictví. Pak by zpřístupnění novinářům nespadalo do působnosti čl. 55 odst. 3 GDPR, k čemuž se všichni zúčastnění, včetně Komise, vyjádřili tak, že tomu tak být nemůže. Zadruhé by pak bylo třeba nafouknout (už tak nepříliš úzký) pojem „nezávislost soudnictví“, aby zahrnoval rovněž otevřenost a transparentnost soudnictví, případně jakoukoli jinou hodnotu, což by vedlo k tomu, že by se ze všeho, co se v oblasti soudnictví objevuje, stal zájem nebo hodnota, která je inherentní nezávislosti soudnictví. To by pak vedlo k tomu, že by celá tato struktura byla postavena na hlavu. Nezávislost soudnictví není sama o sobě cílem. Nejedná se o vnitřní hodnotu. Jedná se o přechodnou hodnotu, prostředek k dosažení cíle prostřednictvím nezávislých soudců: spravedlivé a nestranné řešení sporů.

114.

To neznamená, že zjišťování povahy a účelu operace zpracování nemůže být nikdy užitečné. Samozřejmě, že může. Avšak nikoli ve fázi rozhodování o působnosti čl. 55 odst. 3 GDPR, ale ve fázi rozhodování o oprávněnosti zpracování podle čl. 6 odst. 1 GDPR nebo jakýchkoliv jiných hmotněprávních ustanovení tohoto nařízení. Mohlo by být totiž poměrně důležité posoudit, proč k určité operaci zpracování došlo při určování, zda byla uvedená činnost „nezbytná pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce“, ve smyslu čl. 6 odst. 1 písm. e) GDPR. Stejně tak budou povaha a účel zpracování přirozeně částí posouzení dodržování zásad uvedených v článku 5 GDPR.

115.

Zde se přidává otázka č. 1c a pokračuje stejnou diskuzí. Zjišťování nezbytnosti právního základu ve vnitrostátním právu, jakož i druh nezbytného právního základu se opět týká samotné podstaty zpracování a otázky jeho zákonnosti. Jedná se o otázku, kterou je třeba posoudit z hlediska článku 6 GDPR. I když spis obecně uvádí, že UAVG „provádí“ GDPR, neobsahuje nic ohledně toho, jak byl při zpracování dotčeném v projednávané věci zohledněn článek 6 GDPR. Otázka zákonnosti zpracování není ani přímo vznesena předkládajícím soudem.

116.

Obecně mohu pouze odkázat na zjištění, ke kterým jsem nedávno v této otázce došel v mém stanovisku ve věci Valsts ieņēmumu dienests ( 65 ). Jakýkoliv vnitrostátní právní základ vytvořený na základě článku 6 GDPR se totiž musí týkat pouze toho, co je ze své podstaty obecným a průběžným zpřístupňováním písemností tisku. Pokud takový obecný právní základ existuje, nevidím v požadavku na konkrétní rozhodnutí pro každou operaci zpracování ani účel, ani přiměřenost ( 66 ).

D.   Coda: GDPR a soudní funkce

117.

Projednávaná věc je jako cibule. Má několik vrstev. Pokud zůstaneme u vnější vrstvy otázek položených předkládajícím soudem a vezmeme je a odpovíme na ně doslovně, pak se lze – a učinit tak může i Soudní dvůr – zastavit již v této fázi. Odpověď na klíčový problém, se kterým se předkládající soud potýká v rámci první předběžné otázky týkající se čl. 55 odst. 3 GDPR, by byla poskytnuta.

118.

Domnívám se, že by bylo možné a v rámci projednávané věci zcela odůvodněné u této vnější vrstvy zůstat. Pokud o to nebylo výslovně požádáno, cibule se loupat nebude.

119.

Zároveň však nelze zakrýt skutečnost, že pokud jde o skutečný obsah položených otázek, předkládající soud postupně sklouzává, zejména svými otázkami č. 1b a 1c, od otázky příslušnosti podle čl. 55 odst. 3 GDPR k meritornímu posouzení věci případně s ohledem na článek 6 GDPR. Je pravda, že tyto posuny lze přičíst novosti otázky položené předkládajícím soudem a nepříliš jasným obrysům výkladu čl. 55 odst. 3 GDPR. Poskytnutím tohoto výkladu se všechny tyto otázky stávají jasnými a uvedené úvahy zbytečnými.

120.

Vše uvedené může ovšem ve skutečnosti naznačovat něco jiného: konkrétně to, že je poměrně obtížné jasně oddělit otázku příslušnosti podle čl. 55 odst. 3 GDPR od věcných úvah a především od působnosti celého tohoto nástroje jako celku. Pokud by totiž GDPR nebylo vůbec použitelné na určité druhy činností, jaký by pak mělo význam uvažovat nad tím, kdo má nad nimi vykonávat dozor ( 67 )? Totéž platí pro případ, kdy by členský stát zákonem zbavil soudy povinností vyplývajících z GDPR: neexistence hmotněprávních povinností by znamenala, že především není co dozorovat.

121.

Zároveň, pokud jde ve větší míře o institucionální a procesní část projednávané věci, vyjádřil občan Z ve svém písemném vyjádření pochybnosti o slučitelnosti čl. 55 odst. 3 GDPR s čl. 8 odst. 3 a článkem 47 Listiny. Má za to, že čl. 55 odst. 3 GDPR je neplatný v rozsahu, v němž vylučuje příslušnost (obecně příslušného) dozorového úřadu uvedeného v čl. 55 odst. 1, aniž by současně v souladu se zněním čl. 8 odst. 3 Listiny a čl. 16 odst. 2 SFEU ukládal členským státům povinnost zřídit další nezávislý orgán. Tato mezera v právní úpravě rovněž nutně vede k porušení článku 47 Listiny a případně i čl. 19 odst. 1 SEU. Tím je občan Z podle svých slov zbaven veškeré účinné právní ochrany před nezávislým soudem.

122.

Vzhledem ke všem těmto bodům však s ohledem na skutečnost, že žádná z těchto otázek nebyla předkládajícím soudem výslovně vznesena, ale i s ohledem na působnost, kontext a argumenty diskutované v rámci tohoto řízení mám za to, že bude nejlepší tyto otázky ponechat na jinou věc za předpokladu, že by taková potřeba vznikla.

123.

Na závěr tedy pouze uvedu několik poznámek k právní úpravě GDPR týkající se soudní funkce soudů. Pokusil jsem se pochopit legislativní úvahy stojící za podobou hmotněprávních ustanovení, výjimek a dozoru nad dodržováním GDPR. Nerozumím však tomu, čeho přesně mělo být dosaženo tím, že se na soudní činnost soudů budou vztahovat povinnosti vyplývající z GDPR. To platí jak ve vztahu ke skutečné povaze této činnosti (1), tak ve vztahu k otázce, kdo by měl být pověřen dohledem nad dodržováním GDPR ze strany soudů (2).

1. Podstata: vše je legální

124.

Co GDPR v případě použití na soudy změní ve způsobu výkonu soudní funkce? S ohledem na zdánlivě neomezenou působnost GDPR se může zdát překvapující, že povinnosti vyplývající pro tuto funkci se jeví jako překvapivě malé. Hmotněprávní ustanovení GDPR buď již stanoví, že jakékoli běžné zpracování pro soudní účely je přípustné; odkazují na doplňkové (a případně omezující) právní předpisy členských států; nebo alespoň umožňují velkorysé vyvažování s ohledem na některá základní práva a zásady demokratické společnosti, které ještě znovu umožní odchýlit se od soudní funkce.

125.

V tomto ohledu je příkladem čl. 6 odst. 1 písm. e) GDPR. Podle tohoto ustanovení je legální jakékoliv zpracování „nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce“. Podobná (byť výslovnější) výjimka vyplývá z čl. 9 odst. 2 písm. f) téhož nařízení pro zpracování zvláštních kategorií osobních údajů. V případě použití některého z těchto ustanovení není nutný souhlas subjektu údajů, přičemž členské státy podrobněji upřesní podmínky zpracování v takové situaci ( 68 ). Jinými slovy a s výhradou zásad týkajících se zpracování údajů, které jsou stanoveny v článku 5 GDPR ( 69 ), GDPR samo poskytuje právní základ pro to, aby každé zpracování osobních údajů prováděné vnitrostátními soudy, které je nezbytné pro plnění jejich úředních povinností, bylo považováno za oprávněné.

126.

Kromě toho jsou členské státy na základě čl. 23 odst. 1 písm. f) GDPR rovněž oprávněny omezit rozsah práv a povinností uvedených v článcích 12 až 22 a 34 GDPR, jakož i v některých případech v článku 5 uvedeného nařízení, za účelem ochrany „nezávislosti soudnictví a soudních řízení“. Na jednání Komise vysvětlila, že čl. 23 odst. 1 písm. f) GDPR musí být chápán v tom smyslu, že funguje podobným způsobem jako čl. 52 odst. 1 Listiny a nelze jej považovat za další ustanovení, které omezuje příslušnost dozorového úřadu.

127.

V tomto bodě souhlasím s Komisí: čl. 23 odst. 1 písm. f) GDPR nemá přímou souvislost s čl. 55 odst. 3 GDPR ( 70 ). Umožňuje však členským státům stanovit úplnou výjimku ze všech práv subjektů údajů podle kapitoly III GDPR, jedná-li se o něco, co se rovněž jeví jako určitý druh soudní činnosti („nezávislost soudnictví a soudních řízení“).

128.

Konečně to vše je možné, aniž by (doposud) došlo k poměřování s jinými základními právy nebo zájmy, než je ochrana údajů, jež by souviselo s posouzením zákonnosti individuálních operací zpracování (a minimalizací – požadavku přiměřenosti, který je v ní obsažen). Vzhledem k požadavkům transparentnosti a otevřenosti soudnictví se mohou vztahovat na veškeré obvyklé používání osobních údajů pro účely soudního rozhodování.

129.

Výsledek vypadá kontraproduktivně: unijní právo totiž podrobuje justiční činnost všezahrnujícímu rámci ochrany údajů, který musí být dodržen, a zároveň dává řadu hmotněprávních možností, jak se odchýlit. „Odebráním příslušnosti“ článkem 55 odst. 3 GDPR se právo ve skutečnosti vrací na začátek k zachování „modus operandi“ vnitrostátních soudů před zavedením uvedených pravidel. To vyvolává otázku: proč byl potřeba takový nepřehledný systém pravidel, když tato pravidla ve skutečnosti na vnitrostátní úrovni téměř nic nezměnila?

130.

To neznamená, že takový výsledek nemá být vítaný. Zcela souhlasím s tím, že tomu nemůže být jinak. Nikoliv jen z důvodu, aby se zohlednily různé soudní a ústavní tradice členských států, pokud jde o veřejnost soudnictví ( 71 ). Především je to vlastní samotné soudní funkci. Souzení představuje individualizovaný detail, který je zveřejněn. Chtěl bych zdůraznit obě části tohoto tvrzení.

131.

Na jedné straně jsou základem soudní legitimity skutkové okolnosti a podrobnosti konkrétní věci. Soudce řeší konkrétní věc. Jeho práce nespočívá ve vypracovávání abstraktních, obecných a anonymních pravidel, která nejsou spojena s konkrétními skutkovými okolnostmi a případy. To je práce pro zákonodárce. Čím více se totiž soudní rozhodnutí vzdaluje od skutkového rámce veřejného soudního řízení nebo jej skrývá, nebo pokud je o něm později velmi omezeně informováno, tím častěji se stává nesrozumitelným a méně legitimním soudním rozhodnutím ( 72 ).

132.

Naproti tomu již od dob Římské říše, ale pravděpodobně ještě dříve, musel žalobce, pokud se s žádostí o přiznání nároku a jeho výkon obrátil na společenství nebo později na stát, vystoupit na veřejném místě a věc nechat projednat tam. V klasickém období starého Říma mohl žalobce proti žalovanému dokonce použít násilí, pokud se žalovaný nechtěl dostavit na veřejné místo (severovýchodní část Forum Romanum nazývaná comitium) před soudce (který seděl na pojízdném křesle na tribuně, která se nacházela nad veřejností – tedy opravdu tribunál), když byl předvolán k soudu (in ius vocatione) ( 73 ).

133.

Je pravda, že později existovaly jiné vize o řádném výkonu spravedlnosti a veřejnosti soudnictví. Asi nejlépe jsou zachyceny v citátu soudce pařížského parlamentu, který v roce 1336 psal pokyny svým mladším kolegům a vysvětloval jim, proč by nikdy neměli zveřejňovat zjištěné okolnosti ani důvody pro své rozhodnutí: „Protože není dobré, aby někdo mohl posoudit obsah rozhodnutí nebo říct, že ‚je nebo není to podobné‘; žvanilové by měli zůstat ve tmě se zavřenými ústy, aby ostatním nevznikla škoda. […] Protože by nikdo neměl znát tajemství nejvyššího soudu, nad nímž stojí už jen Bůh […]“ ( 74 ).

134.

Když se vrátíme k úvodnímu citátu Jeremyho Benthama, v moderní době se znovu věří tomu, že i žvanilové by měli mít možnost poznat a pochopit spravedlnost. Je pravda, že s příchodem moderních technologií musí být řada otázek neustále přehodnocována tak, aby žvanilové nemohli ostatním působit škodu.

135.

Jakákoliv taková změna, zejména ta, která se dotýká veřejnosti a transparentnosti výkonu spravedlnosti, však musí být omezena na to, co je naprosto nezbytné, aniž by převrhla základy celé struktury ( 75 ). Souzení je a zůstává individualizovaným rozhodováním, které vyžaduje určitou míru osobních údajů a informací, k němuž musí docházet, každopádně z hlediska svého výsledku, na veřejnosti.

136.

Abych tyto úvahy uzavřel konkrétním případem, který jsem již zmínil výše v tomto stanovisku ( 76 ): domnívám se, že GDPR neobsahuje žádné právo na „anonymní proces“. S ohledem na vše, co bylo uvedeno výše, se zdá být bizarní a nebezpečné domnívat se, že by žalobci vstupující na veřejné shromaždiště za účelem vyřešení svého sporu, kde soudci hovoří jménem lidu a jednají pod dohledem svých spoluobčanů, měli mít obecné právo na utajení svých údajů a anonymizaci své věci, včetně ze strany samotného soudu, který ve věci rozhoduje, aniž by pro tuto anonymitu existoval jakýkoli zvláštní a důležitý důvod ( 77 ).

137.

Veřejnost soudnictví samozřejmě není absolutní. Existují řádně odůvodněné a nezbytné výjimky ( 78 ). V tomto ohledu je třeba mít na paměti jednu věc: co je pravidlo a co výjimka. Veřejnost a otevřenost musí zůstat pravidlem, z něhož jsou samozřejmě možné, a někdy nezbytné, výjimky. Pokud však nemá být GDPR chápáno tak, že opětovně zavádí osvědčené postupy pařížského parlamentu ze 14. století nebo jiných prvků francouzského Ancien Régime či Hvězdné komory (Star Chamber) ( 79 ), je dosti obtížné vysvětlit, proč musí být tento vztah ve jménu ochrany osobních údajů napříště obrácený: utajení a anonymita by se měly stát pravidlem, přičemž veřejnost by se případně občas mohla stát vítanou výjimkou.

138.

Závěrem a obecně je třeba se znovu zamyslet, pokud jde o celkovou právní úpravu použití GDPR na soudní činnosti soudů, proč by byl systém koncipován (nejprve) tak, že se vztahuje na všechno, a poté (později) by vedl k vyloučení účinků tohoto širokého rozsahu z hlediska individuálních hmotněprávních ustanovení, nebo případně zcela na základě čl. 23 odst. 1 písm. f) GDPR. Neměly by pak být vnitrostátní soudy při „jednání v rámci svých soudních pravomocí“ jednoduše úplně vyloučeny z působnosti GDPR?

2. Orgány a řízení: quis custodiet ipsos custodes?

139.

S hmotněprávní vrstvou se pojí vrstva institucionální. Tato otázka doplňuje již poměrně složité meritorní „proč“ o otázku „jak“. Jak mají být v praxi soudy jednající v rámci své soudní pravomoci kontrolovány z hlediska dodržování GDPR a kdo přesně je má kontrolovat? Pokud mají totiž vnitrostátní soudy používat GDPR a příslušné dozorové úřady nemají provádět dozor „v rámci své soudní pravomoci“ podle čl. 55 odst. 3 GDPR, kdo má prosazovat základní právo na ochranu osobních údajů osoby, zaručené článkem 8 odst. 1 a 3 Listiny?

140.

Zde podle mého názoru vztah mezi čl. 55 odst. 3 a bodem 20 odůvodnění GDPR působí určité problémy.

141.

Všichni zúčastnění vysvětlují, že čl. 55 odst. 3 GDPR musí být vykládán ve světle bodu 20 odůvodnění GDPR. Tento bod odůvodnění uvádí, že pokud vnitrostátní dozorové úřady kontrolují a vymáhají GDPR, tyto činnosti by nicméně neměly zasahovat do zásady nezávislosti soudnictví vykonávat dozor nad operacemi zpracování „soudy jednajícími v rámci svých soudních pravomocí“. Třetí věta bodu 20 odůvodnění GDPR dále uvádí, že „dozor nad takovými operacemi zpracování by mělo být možné svěřit zvláštním subjektům v rámci justičního systému členského státu“.

142.

Je však přístup uvedený v bodě 20 odůvodnění slučitelný s kritériem „nezávislosti“ podle čl. 8 odst. 3 Listiny? Jak totiž může „soud vykonávající dohled“ takto zřízený členskými státy v rámci jejich vnitrostátních soudních struktur k zajištění dodržování GDPR jednat jako třetí osoba nezávislá na těch soudech, které údajně porušily GDPR? Nevyvolává to problém týkající se článku 47 Listiny?

143.

Zvažování vhodné institucionální a procesní struktury pro tento druh situací se rychle mění v déja-vu připomínající diskuse vyvolané rozsudkem Köbler ( 80 ). Kdo má rozhodovat o odpovědnosti státu za porušení unijního práva soudem? Jiné „běžné“ soudy v rámci soudního systému s nebezpečím, že jednoho dne bude o své vlastní odpovědnosti rozhodovat nejvyšší soud? Nebo speciálně zřízený supersoud? Co když to pokazí i tento supersoud? V tomto ohledu klade bod 20 odůvodnění GDPR znovu do popředí hlavní problém, který členské státy kritizovaly ve věci Köbler: tedy ohrožení „skutečné“ soudní nezávislosti vymahatelným vnějším právem na přezkum soudních jednání či opomenutí proti pravidlům o ochraně údajů ( 81 ).

144.

Nicméně na rozdíl od rozsudku Köbler, kde mám za to, že někteří rozumně uvažující byli schopni pochopit zásadu, že členské státy by měly být povinny nahradit škodu způsobenou soudy posledního stupně, které vydaly rozhodnutí porušující unijní právo ( 82 ), není vůbec jasné, z jakého důvodu by taková „skutečná“ nezávislost měla být obětována na oltář kontroly dodržování nástroje sekundárního práva, jako je GDPR, které již stanoví další způsoby vymáhání. Jistě nelze popřít, že tento nástroj má pevné základy v primárním právu v článku 8 Listiny a článku 16 SFEU. Jde spíše o to, že prostředek nápravy a náhrada škody vůči soudům jakožto správcům existují samostatně, a to na základě článků 79 a 82 GDPR a nezávisle na jeho čl. 55 odst. 3.

145.

Zároveň by bylo možné najít řešení, pokud bychom třetí větu bodu 20 odůvodnění GDPR nebrali tak doslovně. Koneckonců jde pouze o bod odůvodnění, a nikoliv o samostatné, a tedy závazné právní ustanovení ( 83 ). Pokud bychom zvolili tento přístup uplatňovaný některými členskými státy, bylo by na hmotněprávní ustanovení GDPR nahlíženo tak, že přiznávají práva, kterých by se bylo možné dovolávat před vnitrostátními soudy v rámci běžných soudních řízení existujících v tomto členském státě ( 84 ).

146.

Pokud by toto skutečně byla zvolená institucionální a procesní cesta, bylo by možné zamezit problému, který umožňuje „závislému třetímu subjektu“ kontrolovat činnosti soudní moci i nutnosti zřídit supersoud za účelem kontroly jiných soudů. Vzhledem k tomu by takový přístup pravděpodobně nesplňoval požadavek čl. 8 odst. 3 Listiny, který vyžaduje existenci „nezávislého“ orgánu, který bude vykonávat dozor nad dodržováním práva na ochranu osobních údajů ( 85 ).

147.

Z tohoto pohledu se zdá, že řešení „vnitřního soudu“ je jedinou schůdnou cestou k výše uvedenému problému začlenění nadstavby GDPR do poměrně specifického světa vnitrostátního soudnictví ( 86 ).

148.

I kdybychom předpokládali, že jedinou cestou slučitelnou s Listinou by bylo zavést takový orgán „vnitřního dozoru“, tak to, co má přesně tento orgán kontrolovat, je stále poměrně nejasné.

149.

Zaprvé, jak bylo vysvětleno v předchozí části tohoto stanoviska, GDPR předpokládá, že soudní operace zpracování jsou legální a umožňují, kromě této obecné domněnky, omezit určitá práva a povinnosti, jakož i základní zásady týkající se zpracování osobních údajů vnitrostátními právními předpisy.

150.

Zadruhé ve většině, ne-li ve všech členských státech, upravují vnitrostátní procesní předpisy platné pro soudní řízení mnohem podrobněji zpracování osobních údajů ve všech fázích soudního řízení: zejména, co musí a může konkrétní dokument obsahovat; kdo má k čemu přístup, jaká informace a za jakých podmínek může být odstraněna/opravena, jaká se použijí omezení týkající se mlčenlivosti, jaké informace a údaje by soudní rozhodnutí mělo obsahovat atd. ( 87 ).

151.

Zatřetí porušení těchto pravidel vnitrostátními soudci již podléhá alespoň dvěma druhům kontroly a případných sankcí. Jednak jde o sankce proti samotnému rozhodnutí, které vedou k jeho případnému zrušení. A dále jde o osobní odpovědnost soudců v disciplinárních řízeních.

152.

S ohledem na takové legislativní prostředí si lze představit, že by GDPR obsahovalo ustanovení upravující jeho interakci s jinými právními rámci. Co je „lex specialis“ a jak by měly různé institucionální a procesní rámce působit vedle sebe? Jak mají být řešeny případné normativní konflikty? GDPR bohužel nestanoví žádná pravidla týkající se takového konfliktu, a vyvolává tak samostatnou otázku, zda GDPR musí být skutečně chápáno jako nadřazené vnitrostátním procesním pravidlům, nebo je třeba jej vykládat tak, že je doplňuje.

153.

Pokud by tomu tak bylo, znamená to, že by subjekty údajů mohly například žádat vnitrostátní soudy o „nápravu“ svých podání po uplynutí vnitrostátních procesních lhůt (podle článku 16 GDPR) ( 88 )? Co v případě, že účastník soudního řízení v důsledku nepříznivého rozhodnutí ve věci dosáhl svého „práva být zapomenut“ (podle článku 17 GDPR) a odstranění rozsudku nebo záznamu z jednání ze souhrnných soudních záznamů po vydání tohoto rozsudku ( 89 )?

154.

Ve světle těchto složitostí možná není zcela překvapivé, že některé členské státy narazily při vytváření vhodných institucionálních struktur na základě čl. 55 odst. 3 GDPR na pochopitelné obtíže, které jsou však v souladu s čl. 8 odst. 3 Listiny ( 90 ).

155.

Spojení obou těchto prvků, kterými se zabývala tato část, tedy prvků věcných a prvků institucionálních a procesních, zanechává rozpaky již uvedené na začátku části D. Proč by vzhledem k přetrvávání těchto systémových problémů měly být v první řadě vytvořeny polovičaté, avšak velmi radikální superorgány? K vymáhání, pokud jde o soudní činnost, téměř neexistujících hmotných práv? Stojí to vše skutečně za námahu?

V. Závěry

156.

Navrhuji, aby Soudní dvůr na předběžné otázky položené Rechtbank Midden Nederland (Soud prvního stupně pro Midden-Nederland, Nizozemsko) odpověděl následovně:

„Otázka č. 1

Článek 55 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) musí být vykládán v tom smyslu, že zveřejňování procesních písemností novináři za účelem lepšího informování veřejnosti o jednání provádějí soudy ‚jednající v rámci svých soudních pravomocí‘.

Otázka č. 1a

Článek 55 odst. 3 nařízení 2016/679 neukládá povinnost určit, zda operace zpracování vnitrostátními soudy ‚jednajícími v rámci svých soudních pravomocí‘ má v každém konkrétním případě vliv na nezávislé soudní rozhodování.

Otázka č. 1b

Určení způsobu a cíle určité operace zpracování nepatří mezi kritéria, která mají být podle čl. 55 odst. 3 nařízení 2016/679 zohledněna pro určení, zda vnitrostátní soudy jednaly ‚v rámci svých soudních pravomocí‘.

Otázka č. 1c

Pro účely určení, zda vnitrostátní soudy provedly operace zpracování ‚v rámci svých soudních pravomocí‘ ve smyslu čl. 55 odst. 3 nařízení (EU) 2016/679, není relevantní, zda tyto soudy jednaly na základě výslovného vnitrostátního právního základu.“


( 1 ) – Původní jazyk: angličtina.

( 2 ) – Burton, J. H. (ed.), Benthamiana: or select extracts from the works of Jeremy Bentham, Lea & Blanchard, Philadelphia, 1844, s. 139.

( 3 ) – Citovaný text byl původně zveřejněn v Bentham J., Draught of a New Plan for the organisation of the Judicial Establishment in France: proposed as a Succedaneum to the Draught presented, for the same purpose, by the Committee of Constitution, to the National Assembly, 21. prosince 1789, Londýn, 1790.

( 4 ) – Pro příklad, v praxi pařížského parlamentu ve 14. století musely skutkové okolnosti a důvody rozhodnutí zůstat v tajnosti. Byly považovány za součást porady soudců, která musela zůstat důvěrnou. Viz Dawson, J. P., The Oracles of the Law, The University of Michigan Law School, 1968, s. 286 až 289. Podrobně viz rovněž Sauvel, T., „Histoire du jugement motivé“, 61(5) Revue du droit public, 1955.

( 5 ) – Viz jako podkladové informace nizozemské pokyny týkající se poskytování informací soudy sdělovacím prostředkům z roku 2013, dostupné na: https://www.rechtspraak.nl/SiteCollectionDocuments/Press-Guidelines.pdf, článek 2.3 a vysvětlivky na s. 6 a 7.

( 6 ) – Nařízení Evropského parlamentu a Rady ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1).

( 7 ) – Jména hlavních účastníků řízení byla mírně pozměněna tak, aby se čtenář lépe orientoval v labyrintu všeobecné anonymizace uplatňované Soudním dvorem od roku 2018 (viz tisková zpráva Soudního dvora Evropské unie ze dne 29. června 2018, „Od 1. července 2018 budou žádosti o rozhodnutí o předběžných otázkách týkající se fyzických osob anonymní“ https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180096en.pdf). Pokud má totiž budoucí soudní próza Soudního dvora vypadat jako Kafkův román, tak proč pak také nepřevzít některé Kafkovy pozitivní literární prvky?

( 8 ) – Rozsudek ze dne 10. prosince 2018, Wightman a další (C‑621/18EU:C:2018:999, bod 27).

( 9 ) – Rozsudek ze dne 18. května 2021, Asociaţia „Forumul Judecătorilor din România“ a další (C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 a C‑397/19EU:C:2021:393, bod 116, jakož i citovaná judikatura).

( 10 ) – Rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems (C‑311/18EU:C:2020:559, bod 73 a citovaná judikatura).

( 11 ) – Viz například rozsudky ze dne 18. července 2007, Lucchini (C‑119/05EU:C:2007:434, bod 43); ze dne 26. května 2011, Stichting Natuur en Milieu a další (C‑165/09 až C‑167/09EU:C:2011:348, bod 47); a ze dne 26. dubna 2017, Farkas (C‑564/15EU:C:2017:302, bod 37).

( 12 ) – Viz čl. 2 odst. 1 a čl. 4 odst. 2 GDPR.

( 13 ) – Na rozdíl v tomto ohledu například od čl. 2 odst. 2 směrnice Evropského parlamentu a Rady 2003/4/ES ze dne 28. ledna 2003 o přístupu veřejnosti k informacím o životním prostředí a o zrušení směrnice Rady 90/313/EHS (Úř. věst. 2003, L 41, s. 26; Zvl. vyd. 15/07, s. 375).

( 14 ) – V tomto smyslu viz rozsudek ze dne 15. června 2021, Facebook Ireland a další (C‑645/19EU:C:2021:483, bod 47 a citovaná judikatura).

( 15 ) – Ke vztahu mezi čl. 55 odst. 1 a čl. 56 odst. 1 viz rozsudek ze dne 15. června 2021, Facebook Ireland a další (C‑645/19EU:C:2021:483, body 4750).

( 16 ) – Viz například rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body) (C‑439/19EU:C:2021:504, body 71727677), podle něhož se v případě zpřístupnění některých osobních údajů veřejnosti i v případě zpřístupnění databáze s osobními údaji veřejnosti jedná o „operaci zpracování“ podle čl. 2 odst. 1 GDPR; jakož i rozsudek ze dne 17. června 2021, M. I. C. M. (C‑597/19EU:C:2021:492, body 97123), který posuzoval dva různé druhy zpracování osobních údajů dvěma různými společnostmi, a to „první“ a „následné“. V tomto smyslu viz rovněž rozsudek ze dne 16. ledna 2019, Deutsche Post (C‑496/17EU:C:2019:26, body 6069), ve věci několika zpracování různými orgány týkajících se daňových údajů fyzických osob.

( 17 ) – Rozsudek ze dne 10. července 2018, Jehovan todistajat (C‑25/17EU:C:2018:551, bod 62).

( 18 ) – Viz čl. 4 odst. 1 GDPR. K širokému výkladu pojmu osobní údaje viz například rozsudek ze dne 20. prosince 2017, Nowak (C‑434/16EU:C:2017:994, bod 62).

( 19 ) – To by totiž měl být výchozí bod pro posouzení jakýchkoliv práv a povinností účastníků vyplývajících z GDPR. Viz rozsudek ze dne 29. července 2019, Fashion ID (C‑40/17EU:C:2019:629, body 7274), jakož i mé stanovisko ve věci Valsts ieņēmumu dienests (Zpracování osobních údajů pro daňové účely) (C‑175/20, EU:C:2021:XXX, bod 42).

( 20 ) – Jak stanoví samotný čl. 4 odst. 2 GDPR.

( 21 ) – Viz například rozsudky ze dne 29. června 2010, Komise v. Bavarian Lager (C‑28/08 PEU:C:2010:378, bod 69), a ze dne 19. dubna 2012, Bonnier Audio a další (C‑461/10EU:C:2012:219, bod 52).

( 22 ) – Viz například rozsudky ze dne 29. ledna 2008, Promusicae (C‑275/06EU:C:2008:54, bod 45), a ze dne 6. října 2020, Privacy International (C‑623/17EU:C:2020:790, bod 41), v kontextu směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Úř. věst. 2002, L 201, s. 37; Zvl. vyd. 13/29, s. 514). Viz rovněž rozsudek ze dne 6. října 2015, Schrems (C‑362/14EU:C:2015:650, bod 45), v kontextu předávání údajů do třetí země.

( 23 ) – Viz výše, bod 42 tohoto stanoviska. Nicméně viz rovněž bod 47 a potřebu, aby bylo z hlediska konkrétní operace zpracování jasné, jaká práva a povinnosti z ní vyplývají.

( 24 ) – Viz rozsudek ze dne 10. července 2018, Jehovan todistajat (C‑25/17EU:C:2018:551, bod 57). Nicméně viz stanovisko generální advokátky E. Sharpston ve věci Komise v. Bavarian Lager (C‑28/08 PEU:C:2009:624, body 142150).

( 25 ) – Viz například rozsudek ze dne 9. července 2020, Land Hessen (C‑272/19EU:C:2020:535, bod 68).

( 26 ) – Rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body) (C‑439/19EU:C:2021:504, bod 66 a citovaná judikatura).

( 27 ) – Uvedený bod odůvodnění, který je mnohem užší než čl. 2 odst. 2 písm. a) GDPR, je navíc vykládán velice restriktivně – viz rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body) (C‑439/19EU:C:2021:504, body 6668).

( 28 ) – Viz body 16 a 19 odůvodnění GDPR.

( 29 ) – Kterou je navíc také třeba vykládat striktně a musí být tedy omezena na čistě (ve smyslu výlučně) osobní a domácí činnosti – viz například rozsudek ze dne 11. prosince 2014, Ryneš (C‑212/13EU:C:2014:2428, bod 30).

( 30 ) – Jistě se mohu zkoušet dovolávat čl. 6 odst. 1 písm. c) (tlachání v hospodě je právní povinností, která se na mě vztahuje z důvodu společenské zvyklosti) nebo čl. 6 odst. 1 písm. d) (životně důležitý zájem mých přátel, jinými slovy jiných fyzických osob na tom, aby si v hospodě bylo o čem povídat, což vyžaduje předání informací). Mám však pocit, že by takovéto inovativní důvody neudělaly na vnitrostátní úřad pro ochranu osobních údajů dojem.

( 31 ) – Což mohlo být jedním z důvodů, proč odvolací soud (Anglie a Walesu, Spojené království) z důvodů „rozumu i spravedlnosti“ rozhodl, že anonymizace osobních údajů sama o sobě nepředstavuje „zpracování“ ve smyslu zákona o ochraně údajů z roku 1998 (UK Data Protection Act 1998). Viz rozsudek ze dne 21. prosince 1999, Regina v. Department of Health, Ex Parte Source Informatics Ltd [1999] EWCA Civ 3011 bod [45].

( 32 ) – Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355).

( 33 ) – Stanovisko generální advokátky E. Sharpston ze dne 15. října 2009ve věci Komise v. Bavarian Lager (C‑28/08 PEU:C:2009:624, body 135146).

( 34 ) – Poradní orgán zřízený na základě článku 29 směrnice 95/46, nyní nahrazený Evropským sborem pro ochranu osobních údajů zřízeným v souladu s článkem 68 GDPR (dále jen „pracovní skupina pro ochranu osobních údajů zřízená podle článku 29“).

( 35 ) – Viz pracovní skupina pro ochranu osobních údajů zřízená podle článku 29, stanovisko č. 4/2007 k pojmu osobní údaje (01248/07/EN WP 136, 20. června 2007, s. 4 a 5).

( 36 ) – Tamtéž, s. 5.

( 37 ) – Historicky zpracování osobních údajů nikomu nevadilo, a to až do doby vytvoření prvních evidencí a databází obsahujících velké soubory údajů, což umožnilo vytvoření nových poznatků a údajů prostřednictvím automatizovaného sběru údajů nebo snadného přístupu k těmto údajům. Neměla by tato historická zkušenost a potřeba být rovněž vodítkem pro současný výklad právních předpisů, které byly vytvořeny za tímto zvláštním účelem?

( 38 ) – Rozsudek ze dne 29. června 2010, Komise v. Bavarian Lager (C‑28/08 PEU:C:2010:378, body 7071).

( 39 ) – Viz také podrobněji mé stanovisko ve věci Valsts ieņēmumu dienests (Zpracování osobních údajů pro daňové účely) (C‑175/20, EU:C:2021:XXX, body 35 až 41).

( 40 ) – Bod 4 odůvodnění GDPR.

( 41 ) – Pro přehled různých jiných právních oblastí vykazujících takové rozdělení, viz má stanoviska ve věcech Friends of the Irish Environment (C‑470/19EU:C:2020:986, body 71758182) a Komise v. Breyer (C‑213/15 PEU:C:2016:994, body 5264).

( 42 ) – Viz mé stanovisko ve věci Pula Parking (C‑551/15EU:C:2016:825, body 8586).

( 43 ) – Viz mé stanovisko ve věci Friends of the Irish Environment (C‑470/19EU:C:2020:986, bod 87).

( 44 ) – Například pro takovou situaci rozsudek ze dne 16. prosince 2008, Cartesio (C‑210/06EU:C:2008:723, bod 57 a citovaná judikatura).

( 45 ) – Viz mé stanovisko ve věci Friends of the Irish Environment (C‑470/19EU:C:2020:986, bod 71).

( 46 ) – Viz výše bod 39 tohoto stanoviska.

( 47 ) – Kurzivou zvýraznil autor stanoviska.

( 48 ) – Viz rozsudky ze dne 27. února 2018, Associação Sindical dos Juízes Portugueses (C‑64/16EU:C:2018:117, bod 44); ze dne 25. července 2018, Minister for Justice and Equality (Nedostatky soudního systému) (C‑216/18 PPUEU:C:2018:586, bod 38); ze dne 24. června 2019, Komise v. Polsko (Nezávislost Nejvyššího soudu) (C‑619/18EU:C:2019:531, bod 72); ze dne 2. března 2021, A. B. a další (Jmenování soudců Nejvyššího soudu – Žaloby) (C‑824/18EU:C:2021:153, zejména body 117 až 119); a ze dne 18. května 2021, Asociaţia “Forumul Judecătorilor din România” a další (C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 a C‑397/19EU:C:2021:393, bod 188).

( 49 ) – Naposledy rozsudek ze dne 15. července 2021, Komise v. Polsko (Kárný režim soudců) (C‑791/19EU:C:2021:596), a usnesení ze dne 14. července 2021, Komise v. Polsko (C‑204/21 REU:C:2021:593).

( 50 ) – Přirozeně za předpokladu, že List federalistů č. 51 („Kdyby byli lidé anděly, nepotřebovali by vládu. Pokud by andělé měli vládnout lidem, nebylo by potřeba ani vnější, ani vnitřní kontroly vlády“) bude možné použít i v rámci GDPR.

( 51 ) – Ve svém centrálním rejstříku záznamů o zpracování (dostupném na: https://curia.europa.eu/jcms/jcms/p1_3301336/en/), zřízeném na základě čl. 31 odst. 5 nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. 2018, L 295, s. 39), sám Soudní dvůr uvádí operace zpracování týkající se vyplácení platů jako „správní činnost“. Viz https://curia.europa.eu/jcms/upload/docs/application/pdf/2021-01/paie.pdf.

( 52 ) – A může tedy jít o další možný prvek nepřímého tlaku – není náhodou, že v řadě právních systémů jsou platy soudců striktně stanoveny zákonem, což tedy záměrně vylučuje jakékoliv nebezpečí vlivu, který by v tomto ohledu mohl být vyvíjen.

( 53 ) – Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. 2016, L 119, s. 89).

( 54 ) – Rozsudek ze dne 21. září 2010, Švédsko a další v. API a Komise (C‑514/07 P, C‑528/07 P a C‑532/07 PEU:C:2010:541).

( 55 ) – Rozsudek ze dne 18. července 2017, Komise v. Breyer (C‑213/15 PEU:C:2017:563).

( 56 ) – Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. 2001, L 145, s. 43; Zvl. vyd. 01/03, s. 331).

( 57 ) – Viz mé stanovisko ve věci Friends of the Irish Environment (C‑470/19EU:C:2020:986, body 9092).

( 58 ) – Stanovisko generální advokátky E. Sharpston ve věci Flachglas Torgau (C‑204/09EU:C:2011:413, bod 73).

( 59 ) – V tomto ohledu viz použití tohoto posouzení v rozsudku ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body) (C‑439/19EU:C:2021:504, body 104116).

( 60 ) – V tomto smyslu, pokud jde o čl. 6 odst. 1 Evropské úmluvy o lidských právech (EÚLP), viz rozsudky ESLP ze dne 8. prosince 1983, Axen v. Německo (CE:ECHR:1983:1208JUD000827378, bod 32); ze dne 22. února 1984, Sutter v. Švýcarsko (CE:ECHR:1984:0222JUD000820978, bod 26); ze dne 14. listopadu 2000, Riepan v. Rakousko (CE:ECHR:2000:1114JUD003511597, bod 27); ze dne 12. července 2001, Malhous v. Česká republika (CE:ECHR:2001:0712JUD003307196, bod 62); a ze dne 28. října 2010, Krestovskij v. Rusko (CE:ECHR:2010:1028JUD001404003, bod 24).

( 61 ) – V tomto ohledu viz rozsudek ESLP ze dne 26. dubna 1979, Sunday Times v. Spojené království (CE:ECHR:1979:0426JUD000653874, bod 67).

( 62 ) – Viz v tomto ohledu např. situaci, kdy by oddělení pro komunikaci nebylo součástí soudu, ale bylo by vytvořeno jako samostatný orgán, jak tomu bylo v případě archivační činnosti v rozsudku ze dne 15. dubna 2021, Friends of the Irish Environment (C‑470/19EU:C:2021:271, bod 43). Pro další posouzení viz mé stanovisko ve věci Friends of the Irish Environment (C‑470/19EU:C:2020:986, bod 107).

( 63 ) – Body 76 až 86 tohoto stanoviska.

( 64 ) – Jak již bylo uvedeno obecně v bodech 84 až 86 tohoto stanoviska.

( 65 ) – Viz mé stanovisko ve věci Valsts ieņēmumu dienests (Zpracování osobních údajů pro daňové účely) (C‑175/20, ECLI:C:2021:690).

( 66 ) – Tamtéž, body 83 až 85.

( 67 ) – Z tohoto důvodu musí toto stanovisko logicky začínat (bod 32 tohoto stanoviska) obecným konstatováním, že GDPR se v zásadě vztahuje na soudy.

( 68 ) – Viz body 40 a 52 odůvodnění, čl. 6 odst. 2 a 3, jakož i čl. 9 odst. 2 a 3 GDPR.

( 69 ) – Rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body) (C‑439/19EU:C:2021:504, bod 96 a citovaná judikatura).

( 70 ) – Pokud jde o normativní dosah obou těchto ustanovení. Jak již bylo uvedeno v bodě 120 tohoto stanoviska, v praxi existuje jen velmi malý rozdíl mezi omezením dozoru úpravou příslušnosti (na základě čl. 55 odst. 3 GDPR) a omezením dozoru hmotněprávním omezením ve vztahu k některým činnostem [na základě čl. 23 odst. 1 písm. f) GDPR].

( 71 ) – Není tajemstvím, že jednotlivé členské státy kladou odlišný důraz, nebo přinejmenším mají konkurující vize, pokud jde o soudní transparentnost. Viz například, pokud jde o videozáznamy a zvukové záznamy soudních řízení, Hess, B. a Koprivica Harvey, A., „Open Justice in Modern Societies: What Role for Courts?“ in Hess, B. a Koprivica Harvey, A. Open Justice: The Role of Courts in a Democratic Society, Nomos, 2019, s. 30 až 35. Pokud jde o rozmanité tradice (které většinou vznikly před GDPR) týkající se anonymizace účastníků soudního řízení pro účely pozdějšího zveřejnění rozsudku, viz generální ředitelství pro knihovnu, výzkum a dokumentace, výzkumná poznámka „Anonymity of the parties on the publication of court decisions“ (březen 2017, změněné v lednu 2019), dostupné na: https://curia.europa.eu/jcms/upload/docs/application/pdf/2021-02/ndr_2017-002_neutralisee-en.pdf, s. 9 a 10).

( 72 ) – Mimochodem v některých právních systémech v minulosti docházelo k tomu, že nejvyšší soudy činily radikální normativní prohlášení, která neměla s jednotlivými věcmi nic do činění. V některých systémech k tomu dochází i v dnešní době. Bývá to však silně zpochybňováno z hlediska dělby moci a soudní legitimity. V tomto smyslu viz Kühn, Z., „The Authoritarian Legal Culture at Work: The Passivity of Parties and the Interpretational Statements of Supreme Courts“, Croatian Yearbook of European Law and Policy, sv. 2, 2008, s. 19.

( 73 ) – Bartošek, M., Dějiny římského práva, Academia, Praha, 1995, s. 81 nebo Sommer, O., Učebnice soukromého římského práva. I. díl, Všehrd, Praha, 1946, s. 121 a 122. Viz rovněž Harries, J., Law and Empire in Late Antiquity, Cambridge University Press, 1999, s. 101, 104 a 105.

( 74 ) – Dawson, JP., The Oracles of the Law, The University of Michigan Law School, 1968, s. 288 a 289.

( 75 ) – Viz v tomto ohledu například McLachlin, B., „Courts, Transparency and Public Confidence – to the Better Administration of Justice“, Deakin Law Review, sv. 8 (1), 2003, s. 3 a 4. Viz rovněž Bingham, T., The Rule of Law, Penguin, 2010, s. 8.

( 76 ) – Viz výše poznámka pod čarou 7 tohoto stanoviska.

( 77 ) – K problému nadměrné anonymizace soudních rozhodnutí viz Wiwinius, J. C., „Public hearings in judicial proceedings“ in Hess, B. a Koprivica Harvey, A., Open Justice: The Role of Courts in a Democratic Society, Nomos, 2019, s. 98 a 101.

( 78 ) – Například ochrana zranitelných osob, dětí, obětí násilí, obchodního tajemství, státního tajemství apod. Nicméně ve všech těchto případech, které jsou dobře známy všem vnitrostátním právním řádům, se již objevují zvláštní řízení zavedená v příslušných vnitrostátních procesních pravidlech, která umožňují vyloučení veřejnosti z některých nebo všech fází soudního řízení a vydání rozsudku, včetně úplné anonymity, s přihlédnutím ke specifickým potřebám každého jednotlivého případu.

( 79 ) – Viz Krynen, J., L'État de justice France, XIIIe–XXe siècle: L’idéologie de la magistrature ancienne, Gallimard, 2009, s. 79 a násl. a Van Caenegem, R. C., Judges, Legislators and Professors: Chapters in European Legal History, Cambridge University Press, 1987, s. 159.

( 80 ) – Rozsudek ze dne 30. září 2003, Köbler (C‑224/01EU:C:2003:513).

( 81 ) – Tamtéž, bod 42.

( 82 ) – Tamtéž, bod 59. Alespoň ti z takových právních systémů, které v minulosti v zásadě přijaly odpovědnost státu za justiční omyly. Pokud jde o ostatní, soudní odpovědnost za rozhodnutí soudů posledního stupně může být stále považována za, jak uvádí název jednoho vynikajícího článku, myšlení nemyslitelného – viz Toner, H., „Thinking the Unthinkable? State Liability for Judicial Acts after Factortame (III)“, Yearbook of European Law, sv. 17, 1997. s. 165.

( 83 ) – Což Soudní dvůr v zásadě opakuje – viz například rozsudek ze dne 12. července 2005, Alliance for Natural Health a další (C‑154/04 a C‑155/04EU:C:2005:449, body 9192); ze dne 21. prosince 2011, Ziolkowski a Szeja (C‑424/10 a C‑425/10EU:C:2011:866, body 4243); nebo ze dne 25. července 2018, Confédération paysanne a další (C‑528/16EU:C:2018:583, body 444651). Je nicméně třeba připustit, že výkladová praxe, jak to ostatně ukazuje již poslední citované rozhodnutí, je ve skutečnosti poněkud rozmanitější.

( 84 ) – Konkrétně by tak na stížnost proti zpracování údajů soudem nižšího stupně bylo ze strany odvolacího soudu nahlíženo stejně jako na každou jinou stížnost proti procesnímu postupu soudu nižšího stupně apod.

( 85 ) – Judikatura týkající se „nezávislosti“ podle čl. 28 odst. 1 GDPR je nyní rovněž v souladu s obecným pojetím „nezávislosti“ v unijním právu. Srovnej rozsudek ze dne 16. října 2012, Komise v. Rakousko (C‑614/10EU:C:2012:631, body 4144), a judikaturu citovanou v poznámce pod čarou 48 tohoto stanoviska.

( 86 ) – Čímž záměrně není opuštěn nekonečný problém ohledně toho, zda by kontrolu tohoto soudu musel provádět „supervnitřní soud“, který by byl následně kontrolován „supersupervnitřním soudem“ atd. Pro řešení přijaté samotným Soudním dvorem viz rozhodnutí Soudního dvora ze dne 1. října 2019, kterým se zavádí vnitřní mechanismus dozoru v oblasti zpracování osobních údajů v rámci soudních pravomocí Soudního dvora (Úř. věst. 2019, C 383, s. 2).

( 87 ) – Viz, co se týče právní úpravy v Anglii a Walesu, ve Francii, Německu, Itálii, Polsku a Švédsku, Ředitelství pro výzkum a dokumentaci, výzkumná poznámka, „Methods of management of confidential data in the context of national judicial proceedings“ (říjen 2018), dostupné: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-11/ndr_2018-007_neutralisee-en.pdf, s. 2.

( 88 ) – Viz rozsudek ze dne 20. prosince 2017, Nowak (C‑434/16EU:C:2017:994).

( 89 ) – Při vší úctě k rozsudku ze dne 13. května 2014, Google Spain a Google (C‑131/12EU:C:2014:317), internet pravděpodobně nezapomene, pokud mu to bude přikázáno rozhodnutím. Pozdější judikatura, především část týkající se územního rozsahu a výkonu „práva být zapomenut“, tedy stále více připomíná boj s větrnými mlýny.

( 90 ) – Viz generální ředitelství pro výzkum a dokumentaci, výzkumné poznámky, „Supervision of courts’ compliance with personal data protection rules when acting in their judicial capacity“ (červenec 2018), dostupné: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-11/ndr_2018-004_synthese-neutralisee-en.pdf, s. 3.

Top