1.

„Az Ön adatainak védelme fontos számunkra. A felhasználói élmény javítása érdekében sütiket használunk. Kérjük, tekintse át az adatvédelmi preferenciákat. Összes elfogadása / Beállítások. Nézze meg az adatvédelmi tájékoztatónkat és cookie‑szabályzatunkat.” ( 2 )

2.

Bármely weboldal meglátogatása esetén ehhez hasonló jellegű üzenet jelenik meg.

3.

Ez az általános adatvédelmi rendelet (a továbbiakban: GDPR) ( 3 ) eredménye, amely a személyes adatok védelmének fő eszközévé vált az Európai Unióban.

4.

Megjelenik vajon GDPR-üzenet a nemzeti bíróságok előtti eljárásban is? Konkrétabban: vonatkozik‑e a nemzeti bíróság előtt folyó polgári eljárásban fennálló nyilatkozattételi kötelezettségekre? Ha igen, ez milyen kötelezettségekkel jár az említett bíróságok számára? A Bíróságnak ezeket a kérdéseket kell tisztáznia a jelen ügyben.

5.

Ezek a kérdések a Högsta domstolen (legfelsőbb bíróság, Svédország) mint kérdést előterjesztő bíróság előtt folyamatban lévő ügyben vetődtek fel. Az ügy tényállása a következőképpen foglalható össze. A Norra Stockholm Bygg AB (a továbbiakban: Fastec), az alapeljárás fellebbezője egy irodaépületet épített a Per Nycander AB (a továbbiakban: Nycander), az alapeljárásban részt vevő ellenérdekű fél számára. Az e szerződés alapján munkát végző munkavállalók adózási célból az elektronikus személyzeti nyilvántartásban rögzítették jelenlétüket. A személyzeti nyilvántartást a Fastec megbízásából az Entral AB szolgáltatta.

6.

Az alapeljárás az elvégzett munkáért járó díjazással kapcsolatos jogvitából eredt. A Nycander vitatta a Fastec (2000000 svéd koronát [SEK], hozzávetőleg 190133 eurót) alig meghaladó összegre vonatkozó) fizetési kérelmét, mivel úgy vélte, hogy a Fastec által munkára fordított idő rövidebb volt annál az időszaknál, mint amelyre vonatkozóan a Fastec kifizetést követel.

7.

A Nycander ennek bizonyítása céljából kérte, hogy az Entral mutassa be az általa a Fastec nevében vezetett személyzeti nyilvántartást. A Fastec vitatja ezt a kérelmet, arra hivatkozva, hogy a szóban forgó adatok közlése sértené a GDPR‑t, mivel a kért adatokat más célból gyűjtötték, és azok nem használhatók fel bizonyítékként az alapeljárásban.

8.

A Tingsrätt (körzeti bíróság, Svédország) kötelezte az Entral‑t a nyilvántartás bemutatására, és ezt a határozatot a Svea hovrätt (stockholmi fellebbviteli bíróság, Svédország) másodfokon helybenhagyta.

9.

A Fastec fellebbezést nyújtott be a Svea hovrätt (stockholmi fellebbviteli bíróság) határozatával szemben a Högsta domstolennál (legfelsőbb bíróság), és azt kérte e bíróságtól, hogy utasítsa el a Nycander közlés iránti kérelmét, vagy másodlagosan az Entralt a személyzeti nyilvántartás anonimizált változatának benyújtására kötelezze. Ezen eljárás keretében a Högsta domstolen (legfelsőbb bíróság) előzetes döntéshozatal iránti kérelmet nyújtott be a Bírósághoz, amelyben az alábbi kérdések szerepeltek:

10.

Az eljárás során a Fastec, a cseh, a lengyel és a svéd kormány, valamint az Európai Bizottság írásbeli észrevételeket nyújtott be a Bírósághoz. 2022. június 27‑én tárgyalásra került sor, amelyen a Nycander, a lengyel és a svéd kormány, valamint a Bizottság szóbeli észrevételt terjesztett elő.

11.

A GDPR 5. cikke meghatározza azokat az elveket, amelyeknek a személyes adatok kezelésének minden esetben meg kell felelnie:

„(1)   A személyes adatok:

(2)   Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

12.

A GDPR „Az adatkezelés jogszerűsége” címet viselő 6. cikkének (1), (3) és (4) bekezdése a következőképpen rendelkezik:

„(1)   A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

[…]

[…]

[…]

(3)   Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:

Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.

(4)   Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető‑e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

13.

A GDPR 23. cikkének (1) bekezdése ezenfelül szabályozza a GDPR‑on alapuló jogok és kötelezettségek korlátozását:

„(1)   Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

[…]

[…]”

14.

A rättegångsbalken (a bírósági eljárásról szóló törvénykönyv; a továbbiakban: RB) 38. fejezete 2. §‑ának első bekezdése értelmében az, aki olyan irattal rendelkezik, amely úgy tekinthető, hogy bizonyító erővel bír, köteles bemutatni ezt az iratot. E rendelkezés második bekezdése e kötelezettség alóli kivételeket határoz meg többek között az ügyvédekre, orvosokra, pszichológusokra, papokra és egyéb olyan tisztviselőkre vonatkozóan, akikre szakmai vagy ezzel egyenértékű tevékenységük gyakorlása során bízták ezeket az információkat. Az RB 38. fejezetének 4 §‑a értelmében a bíróság kötelezhet írásbeli dokumentumok bizonyítékként történő közlésére.

15.

A kérdést előterjesztő bíróság álláspontja szerint annak eldöntése során, hogy valamely személy köteles‑e valamely irat bemutatására, a bíróságnak mérlegelnie kell a bizonyíték relevanciáját és az ellenérdekű fél azon érdekét, hogy ne adják ki ezeket az információkat. Ahogyan azonban a kérdést előterjesztő bíróság kifejti, ez nem foglalja magában a közölt információ magánjellegének figyelembevételét.

16.

A GDPR a természetes személyek részére a személyes adataik kezelése vonatkozásában biztosított védelmet szabályozó legfőbb uniós jogi aktus. A GDPR‑t előzményével, a 95/46/EK irányelvvel ( 4 ) ellentétben az EUMSZ 16. cikk alapján fogadták el. ( 5 ) E jogalap felhatalmazta az uniós jogalkotót a személyes adatok védelméhez való alapvető jog biztosítására, amiről az Európai Unió Alapjogi Chartája (a továbbiakban: Charta) 8. cikkének (1) bekezdése rendelkezik. ( 6 )

17.

Személyes adatok kezelése esetén a GDPR az „adatkezelőt” teszi felelőssé az e jogi aktusnak való megfelelésért. ( 7 ) A személyesadat‑kezelés minden egyes pillanatában fontos tehát meghatározni, hogy ki az adatkezelő.

18.

A GDPR 4. cikkének 7. pontja szerint az adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit meghatározza.

19.

A jelen ügyben két önálló személyesadat‑kezelés történt. Az első adatkezelés az Entral által a Fastec nevében vezetett elektronikus személyzeti nyilvántartást érinti, mivel a svéd jog értelmében a Fastec köteles adózási célra adatokat gyűjteni a ledolgozott munkaórákra vonatkozóan. Ezen összefüggésben a Fastec az adatkezelő, az Entral pedig az adatfeldolgozó. ( 8 )

20.

Nem vitatott, hogy ez az első adatkezelés a GDPR‑nak megfelelően történt. A GDPR 6. cikke (1) bekezdésének c) pontja konkrétan lehetővé teszi a személyes adatok kezelését, ha az az adatkezelőre – a jelen ügyben a Fastecre – vonatkozó jogi kötelezettség teljesítéséhez szükséges. ( 9 ) Természetesen, ha ez az első adatkezelés a GDPR alapján jogellenesnek minősülne, akkor az ilyen adatok eltérő célból történő kezelése is jogellenes lenne. ( 10 )

21.

A jelen ügyben azonban – az eredetileg adózási célból gyűjtött – ugyanazon adatok második (eltérő célból történő) kezelése az érdekes. Az új cél a személyzeti nyilvántartásnak az Entral általi, bizonyítékként történő közlése a Fastec és a Nycander között folyamatban lévő polgári eljárásban. E nyilvántartás polgári eljárásban való felhasználás céljából történő bemutatása szükségszerűen személyes adatok kezelését vonná maga után.

22.

E második adatkezelés során a GDPR szerinti szerepek megváltoznak az első adatkezeléshez képest. Legfőképpen a nemzeti bíróság – azáltal, hogy az Entralt végzésben (a továbbiakban: közlést elrendelő végzés) kötelezte a személyzeti nyilvántartás bemutatására – a második adatkezelés céljait és eszközeit meghatározó szervnek minősül. ( 11 ) Ez a bíróság válik tehát az adatkezelővé. ( 12 )

23.

Tekinthető úgy, hogy e második adatkezelés során továbbra is a Fastec az adatkezelő, vagy pedig úgy, hogy megváltozott a szerepe, most már a Nycanderrel együtt az adatok címzettjének minősül. ( 13 ) Azonban még ha a Fastec a nemzeti bírósággal továbbra is közösen kezeli az adatokat, ( 14 ) ez nem befolyásolja a nemzeti bíróságot adatkezelőként terhelő kötelezettségeket. ( 15 ) Végezetül, az Entral szerepe nem változik. Továbbra is adatfeldolgozónak minősül, és továbbra is ugyanazokat a személyes adatokat dolgozza fel, de most már az új adatkezelő, vagyis a nemzeti bíróság nevében.

24.

Az előterjesztő bíróság az első kérdésével lényegében arra kíván választ kapni, hogy a nemzeti bíróság ténylegesen adatkezelővé válhat‑e a GDPR alapján, és hogy ebben az esetben e rendelet előír‑e követelményeket a bíróságok polgári eljárásokban fennálló hatásköreivel és kötelezettségeivel kapcsolatos nemzeti eljárásjogi jogszabályokra vonatkozóan. Ha a GDPR alkalmazandó, és a nemzeti bíróság az adatkezelő, a kérdést előterjesztő bíróság a második kérdésével arra vár választ, hogy hogyan kell döntenie e bíróságnak a személyes adatok közléséről, ha azokat polgári eljárásban bizonyítékként kell felhasználni.

25.

A kérdést előterjesztő bíróság kérdéseinek megválaszolása érdekében a következőképpen járok el. Először kifejtem, hogy miért tartom a GDPR‑t a tagállami bíróságok előtt folyamatban lévő polgári eljárásokra alkalmazandónak, és hogy ez hogyan befolyásolja a tagállamok hatályos eljárási jogszabályait (B). Ezt követően azzal foglalkozom, hogy a nemzeti bíróságoknak mint adatkezelőknek milyen módszert kell alkalmazniuk annak érdekében, hogy megfeleljenek a GDPR‑ban meghatározott követelményeknek (C).

26.

A kérdést előterjesztő bíróság első kérdése lényegében arra irányul, hogy a GDPR alkalmazandó‑e a polgári bírósági eljárásokra, és milyen hatást gyakorol a releváns eljárási szabályokra. Konkrétabban kétségbe vonja, hogy érinti‑e a GDPR azokat a nemzeti szabályokat, amelyek a bíróságok okirati bizonyíték közlésére kötelezés tekintetében fennálló hatásköreit és kötelezettségeit szabályozzák. Ezt a kérdést három lépésben fogom megválaszolni.

27.

A GDPR tárgyi hatályát a rendelet 2. cikkének (1) bekezdése határozza meg, és az inkább funkcionális, mint intézményi megközelítést alkalmaz. A GDPR alkalmazhatóságát nem a ki, hanem a mi (a személyesadat‑kezelési tevékenység) váltja ki. ( 16 )

28.

A GDPR hatálya alól kizárt, a rendelet 2. cikkének (2) bekezdésében felsorolt helyzetek szintén funkcionális jellegűek. Tekintettel arra, hogy ezek a GDPR alkalmazása alóli kivételeknek minősülnek, a Bíróság úgy ítélte meg, hogy azokat megszorítóan kell értelmezni. ( 17 )

29.

A hatóságok tevékenysége ezért nem önmagában, hanem kizárólag a GDPR 2. cikkének (2) bekezdésében felsorolt tevékenységekkel kapcsolatban kerül ki a GDPR hatálya alól. ( 18 ) E tekintetben a szóban forgó rendelkezés nem zárja ki a polgári eljárásokban végzett bírósági tevékenységet a GDPR tárgyi hatálya alól.

30.

Azt a következtetést, hogy a GDPR az igazságügyi tevékenységekre is alkalmazandó, alátámasztja a GDPR (20) preambulumbekezdése, ( 19 ) amely úgy szól, hogy e jogi aktust a bíróságok és más igazságügyi hatóságok tevékenységeire is alkalmazni kell. ( 20 )

31.

Ezt nem érinti az, hogy a GDPR 55. cikkének (3) bekezdése szerint a felügyeleti hatóságok nem rendelkeznek hatáskörrel a bíróságok igazságügyi feladataik ellátása során történő felügyeletére. Álláspontom szerint viszont ez a rendelkezés megerősíti, hogy az igazságügyi feladataik ellátása során eljáró bíróságokra vonatkoznak a GDPR által előírt kötelezettségek. Azzal biztosítja függetlenségüket és pártatlanságukat, hogy megtiltja az adatkezelési műveletek felügyeleti szervek általi felügyeletét.

32.

A jelen ügyben a GDPR tárgyi hatálya alá tartozó személyesadat‑kezelésről van szó. Az elektronikus személyzeti nyilvántartás létrehozása és vezetése személyes adatok kezelésére vonatkozik. ( 21 ) Ehhez hasonlóan az ilyen személyes adatok polgári eljárás keretében történő közlésére való kötelezés is ezen adatok kezelésének egyik esete. ( 22 ) Így az alapügyben szereplő helyzet a GDPR tárgyi hatálya alá tartozik.

33.

Mit jelent ez a nemzeti eljárási szabályok, köztük az RB alkalmazására nézve?

34.

A jelen ügyben szóban forgó, közlést elrendelő végzés elfogadásának jogalapja az RB.

35.

A GDPR értelmében ugyanis a jelen ügyhöz hasonló helyzetben az adatkezelés jogalapja a tagállami (vagy uniós) jog. ( 23 )

36.

Az eredetileg adózási célból gyűjtött és kezelt adatokat a jelen ügyben meghozott, közlést elrendelő végzés alapján most bírósági eljárásban történő bizonyítás céljából kell kezelni.

37.

A GDPR 6. cikkének (4) bekezdése lehetővé teszi az adatkezelés céljának megváltoztatását, ha az a tagállami jogon alapul, ami szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez. E célok között a 23. cikk (1) bekezdésének f) pontjában szerepel „a bírói függetlenség és a bírósági eljárások védelme”.

38.

Az előzetes döntéshozatali eljárás valamennyi résztvevője egyetért abban, hogy a GDPR 23. cikke (1) bekezdésének f) pontja az a rendelkezés, amely az RB alapján történő adatkezelés céljának megváltoztatását megfelelően alátámasztja. ( 24 )

39.

Az RB felhatalmazza a nemzeti bíróságokat arra, hogy elrendeljék okiratok közlését, amennyiben a polgári eljárásban bizonyító erővel rendelkeznek. Amint azt kifejtettem, ha a közlendő okirat személyes adatokat tartalmaz, a GDPR alapján a közlést elrendelő bíróság adatkezelővé válik.

40.

Ahogyan arra a Bizottság a tárgyaláson rámutatott, a nemzeti bíróság csak bizonyos mértékig minősül rendes adatkezelőnek. A nemzeti bíróságok ugyanis kizárólag közhatalmi feladataik ellátása során kezelhetnek adatokat.

41.

Ha az adatkezelés közhatalmi feladatok ellátása során történik, ( 25 ) a GDPR 6. cikkének (3) bekezdése értelmében annak uniós vagy tagállami jogon kell alapulnia.

42.

Az adatkezelésnek tehát a GDPR (adatkezelés céljának megváltoztatását lehetővé tevő) 6. cikkének (4) bekezdése és (a közhatalmi feladatok ellátása során történő adatkezelést lehetővé tevő) 6. cikkének (3) bekezdése szerint is nemzeti (vagy uniós) jogon kell alapulnia. ( 26 )

43.

A bíróságot a közlés elrendelésére felhatalmazó RB tehát a szóban forgó adatkezelés jogszerűségének szükséges feltétele.

44.

Ha a GDPR által megkövetelt jogalap fennáll, és a személyes adatok kezelését eredményező végzést az ilyen tagállami joggal összhangban fogadták el, teljesülnek‑e a GDPR által a jogszerű adatkezelésre vonatkozóan előírt követelmények?

45.

Álláspontom szerint a nemzeti jogi jogalap megléte szükséges, de nem elegendő ahhoz, hogy a közlést elrendelő végzés összhangban legyen a GDPR‑ral.

46.

A kérdést előterjesztő bíróság kifejtette, hogy az RB alapján a bizonyítékok közlésére vonatkozó döntések meghozatala során főszabály szerint nem veszik figyelembe az információk magánjellegét. A bíróságok kötelesek figyelembe venni a két szemben álló fél érdekeit, de maga a törvény nem említi, hogy az érintettek érdeke bármilyen szerepet játszana.

47.

Összeegyeztethetetlen‑e a RB a GDPR‑ral azért, mert nem kötelezi kifejezetten a bíróságokat arra, hogy amikor adatkezelővé válnak, vegyék figyelembe az érintettek érdekeit az olyan határozatok meghozatala során, amelyek érinthetik a személyes adataikat?

48.

Álláspontom szerint a jelen ügyben nem ez a helyzet. Figyelembe veendő, hogy az adatkezelés jogalapjául szolgáló különböző nemzeti jogi aktusokat nem kifejezetten a GDPR végrehajtása céljából fogadták el; azok saját céllal rendelkeznek. Ezen túlmenően a GDPR közvetlenül alkalmazandó a tagállamok jogrendjében, és nem igényel végrehajtást. Ami tehát fontos, hogy a nemzeti eljárási szabályok és a GDPR találkozása esetén az előbbinek teret kell adnia az utóbbi azzal egyidejű alkalmazásának.

49.

A svéd kormány a tárgyaláson megerősítette, hogy az RB nem írja elő, de nem is tiltja, hogy a bíróságok figyelembe vegyék az érintettek érdekeit. Az tehát nem zárja ki a GDPR‑nak az e törvénykönyvben szabályozott bírósági eljárásra történő közvetlen alkalmazását.

50.

A nemzeti bíróságokra tehát párhuzamosan vonatkoznak a nemzeti eljárási szabályok és a GDPR, ez utóbbi pedig kiegészíti a nemzeti szabályokat, amennyiben a bíróságok eljárási tevékenysége személyes adatok kezelésével jár.

51.

Összefoglalva, a nemzeti jogszabályoknak nem kell kifejezetten hivatkozniuk a GDPR‑ra vagy a bíróságokat az érintettek érdekeinek figyelembevételére kötelezniük. Elegendő, ha e jogszabályok lehetővé teszik a GDPR kiegészítő alkalmazását. A nemzeti jogi aktus kizárólag ennek hiányában lenne ellentétes a GDPR‑ral. Úgy tűnik azonban, hogy az RB lehetővé teszi a GDPR kiegészítő alkalmazását. ( 27 )

52.

A kérdést előterjesztő bíróság első kérdésére válaszolva tehát arra a következtetésre jutottam, hogy a GDPR 6. cikkének (3) és (4) bekezdése a közlési kötelezettségekkel kapcsolatos követelményeket ír elő a nemzeti eljárási jogszabályokkal szemben, amennyiben azok személyes adatok kezelését eredményezik. Ilyen esetben a nemzeti eljárási jogszabályok nem akadályozhatják meg az érintettek érdekeinek figyelembevételét. Ezek az érdekek akkor biztosítottak, ha a nemzeti bíróságok az egyedi ügyben az okirati bizonyítékok közléséről való döntéshozatal során tiszteletben tartják a GDPR szabályait.

53.

A nemzeti bíróságoknak mint adatkezelőknek – mivel a GDPR hatálya alá tartoznak – figyelembe kell venniük az érintettek érdekeit. Hogyan kell figyelembe venni ezeket az érdekeket a közlésre vonatkozó konkrét határozat elfogadásánál? Ez a lényege a kérdést előterjesztő bíróság második kérdésének.

54.

Az érintettek érdekei védelmet élveznek, ha személyes adataik kezelése megfelel a GDPR 5. és 6. cikkének. ( 28 ) Pikamäe főtanácsnokot idézve, a GDPR 5. és 6. cikkének tiszteletben tartása biztosítja a magán‑ és családi élethez való jog és a személyes adatok védelmét, amelyet a Charta 7., illetve 8. cikke garantál. ( 29 )

55.

Az adatkezelés jogszerű céljait a GDPR 6. cikke sorolja fel. ( 30 ) Ahogyan azt a jelen indítvány előző szakaszában kifejtettem, a szóban forgó ügyben az adatkezelés jogszerű célt szolgál, mivel a bíróság a közlésnek a bírósági eljárás szabályos lefolytatását szolgáló nemzeti jog alapján történő elrendelése során közhatalmi feladatait látta el. Ugyanakkor a GDPR 5. és 6. cikke nem pusztán jogszerű cél fennállását követeli meg, hanem azt is, hogy a konkrét adatkezelés e cél eléréséhez szükséges legyen.

56.

A GDPR értelmében tehát a bíróságnak arányossági elemzést kell végeznie annak megállapítása során, hogy bírósági eljárásban történő bizonyítás céljából egy adott helyzetben szükséges‑e a személyes adatok közlése. ( 31 )

57.

A GDPR 6. cikkének (4) bekezdése e tekintetben előírja, hogy a megváltozott célú adatkezelés alapjául szolgáló nemzeti jognak szükséges és arányos intézkedésnek kell minősülnie a GDPR 23. cikkének (1) bekezdésében felsorolt célok valamelyikének, a jelen ügyben a bírói függetlenség és a bírósági eljárások védelmének biztosításához. Ezenfelül a GDPR 6. cikkének (3) bekezdése előírja, hogy a közhatalmi feladatok ellátása során végzett adatkezelésnek szükségesnek kell lennie az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásához.

58.

Az adatkezelés alapját képező nemzeti jog elvont értelemben megfelelhet a GDPR 6. cikkének (3) és (4) bekezdésében foglalt követelményeknek. Az egyes egyedi adatkezelések (köztük a közlést elrendelő végzés) jogszerűsége továbbra is az összes érintett érdek konkrét mérlegelésétől függ, szem előtt tartva azt a jogszerű célt, amelynek érdekében a közlést kérték. ( 32 ) A nemzeti bíróság csak így tudja eldönteni, hogy szükséges‑e a közlés, és ha igen, milyen mértékben.

59.

Következésképpen egyértelmű, hogy a GDPR arányossági elemzést ír elő. Segít‑e a GDPR további választ adni arra, hogy milyen konkrét lépéseket kell tennie a bíróságnak az ilyen elemzés során?

60.

Az arányossági elemzést – amint azt kifejtettem – az összes érintett érdeket figyelembe véve, minden egyes esetben el kell végezni. A jelen ügyhöz hasonló helyzetekben a közlés mögött meghúzódó érdekeket kell mérlegelni a személyes adatok védelméhez való jogba történő beavatkozással szemben. ( 33 )

61.

A közlés mögött meghúzódó érdekek a hatékony bírói jogvédelemhez való jogot tükrözik (a Charta 47. cikke). Az érintettek érdekei, amelyekkel az előbbi jog ütközik, a magán‑ és családi élethez való jogot (a Charta 7. cikke) és a személyes adatok védelméhez való jogot (a Charta 8. cikke) tükrözik. Ezeket a jogokat kell mérlegelni annak eldöntéséhez, hogy szükséges‑e a személyes adatok közlése.

62.

Az alábbiakban néhány javaslatot teszek a nemzeti bíróságtól elvárható konkrét lépésekre vonatkozóan.

63.

Először is, minden esetben vélelmezhető, hogy az adatkezeléshez hozzájárulást nem adó érintettek érdeke a személyes adataik kezelésének korlátozása. A nemzeti bíróság számára tehát ez az alapértelmezett kiindulási helyzet: indokolnia kell, hogy miért kell beavatkozni a szóban forgó érdekbe.

64.

Álláspontom szerint, az ezen értékelés elvégzésére vonatkozó utasításokat tartalmaz a GDPR 5. cikke, amely tartalmazza azokat az elveket, amelyeket az adatkezelőnek a személyes adatok kezelése során tiszteletben kell tartania.

65.

E tekintetben az adattakarékosságnak a GDPR 5. cikke (1) bekezdésének c) pontjában szereplő elve kiemelkedő jelentőséggel bír. A Bíróság szerint ( 34 ) ez a követelmény az arányosság kifejeződésének minősül. Annak értelmében a személyes adatoknak az adatkezelés céljai szempontjából megfelelőek és relevánsak kell lenniük, és a szükségesre kell korlátozódniuk.

66.

Az első kérdés tehát az, hogy az Entral által vezetett személyzeti nyilvántartás adatai megfelelőek‑e. Akkor fognak megfelelni a közlésük céljának, ha valóban azt mutatják, hogy a Fastec alkalmazottai hány munkaórát töltöttek az építési területen.

67.

A második kérdés az, hogy az Entral által vezetett személyzeti nyilvántartás adatai relevánsak‑e a kérés célja szempontjából. Úgy tűnik, a cél a Nycander ahhoz fűződő érdeke, hogy bizonyítsa azon érvét, miszerint a Fastec munkavállalói kevesebb órát dolgoztak, mint amennyi a számlán szerepel. Ilyen körülmények között a személyzeti nyilvántartás akkor releváns, ha valóban képes bizonyítani vagy cáfolni ezt az állítást. A nemzeti bíróságnak az ügy egyéb tényállási elemeinek tükrében (például a Fastec azon állítása alapján, hogy a személyzeti nyilvántartás a releváns munkaóráknak csak egy részét tartalmazza, mivel a többi munkaórát az építési területen kívül töltötték) kell értékelnie ennek relevanciáját.

68.

A nemzeti bíróságnak az adattakarékosságra vonatkozó harmadik követelmény teljesítése érdekében meg kell határoznia, hogy csak a nyilvántartásban szereplő valamennyi adat, vagy néhány adat is elegendő‑e a bizonyításhoz. Ezen túlmenően, ha egy adott tény bizonyítására más módok is léteznek, az adattakarékosság értelmében ezeket az egyéb módokat kell alkalmazni. A nemzeti bíróságnak például adott esetben értékelnie kell a Fastec azon állítását, hogy a ténylegesen ledolgozott munkaórák olyan dokumentumok alapján is ellenőrizhetők, amelyek már szerepelnek a kérdést előterjesztő bíróság előtt lévő ügy iratanyagában. Ha a nemzeti bíróság ezt az állítást igaznak találja, nem rendelheti el a személyzeti nyilvántartásban szereplő személyes adatok közlését.

69.

A nemzeti bíróságnak kell megállapítania, hogy a nyilvántartásból származó személyes adatok mely típusai elegendőek a releváns tények bizonyításához vagy cáfolatához. Az adattakarékosság elve e tekintetben megköveteli, hogy csak a feltétlenül szükséges adatokat közöljék. Ennélfogva szükséges lehet, hogy az Entral mint adatfeldolgozó oly módon módosítsa a személyzeti nyilvántartást, hogy a személyes adatokat a szóban forgó cél eléréséhez szükséges minimumra korlátozza, ugyanakkor lehetővé tegye a tényleges munkaórákra vonatkozó következtetés levonását.

70.

A nemzeti bíróságnak e tekintetben meg kell határoznia, hogy a közlés bizonyító erejéhez szükséges‑e, hogy azok a személyek, akiknek adatai a nyilvántartásban szerepelnek, azonosíthatók legyenek (például, hogy szükséges‑e az egyes munkavállalók megnevezése ahhoz, hogy tanúként idézzék őket). Egyébként elegendő lehet az építési területen töltött összes órára és/vagy az e munkaórákat ledolgozó személyek számára vonatkozó információ.

71.

A bíróság az előző kérdésekre adott válaszoktól függően dönthet úgy, hogy álnevesített vagy anonimizált adatok közlését kéri. ( 35 )

72.

A GDPR (26) preambulumbekezdése szerint az álnevesített adatok továbbra is a GDPR tárgyi hatálya alá tartoznak. Ennek oka, hogy az álnév mögötti személy kiléte továbbra is visszakövethető. Ennek ellenkezője igaz az anonimizált adatokra, amelyek nem tartoznak a GDPR hatálya alá. A nemzeti bíróság által végül elrendelt közlés módja tehát kihatással lesz a GDPR további alkalmazhatóságára is. ( 36 )

73.

Végső soron a nemzeti bíróság feladata lesz meghatározni a személyzeti nyilvántartás különböző változatainak bizonyító erejét annak eldöntése érdekében, hogy milyen típusú adattakarékosság szükséges – ha egyáltalán szükséges – az előtte folyamatban lévő bírósági eljárás megfelelő lefolytatásához.

74.

Az adattakarékosságnak a GDPR 5. cikke (1) bekezdésének c) pontjában szereplő elvén kívül a GDPR 5. cikkében szereplő egyéb elvek is kötelezik a nemzeti bíróságot, és azok a közlést elrendelő végzés elfogadásának módszere szempontjából is relevánsak.

75.

Például a GDPR 5. cikke (1) bekezdésének a) pontja a jogszerűség elvére való hivatkozás mellett (amelyet a 6. cikk részletez) az átláthatóság elvét is említi. Álláspontom szerint ezen elv értelmében a nemzeti bíróság köteles világosan kifejteni a személyes adatok közlését elrendelő határozatának indokait, többek között annak ismertetésével, hogy hogyan mérlegelte a felek különböző érdekeit és a közléshez kapcsolódó különböző érveit.

76.

A közlést elrendelő végzés megfelelő indoklása megfelel a GDPR 5. cikkének (2) bekezdésében foglalt követelménynek is, amelynek értelmében az adatkezelőnek bizonyítani kell tudni az 5. cikk (1) bekezdésében meghatározott elveknek való megfelelést.

77.

A GDPR 5. cikkében szereplő elveknek való megfelelés módja a GDPR (31) preambulumbekezdéséből is kiolvasható. Annak értelmében „[a] közhatalmi szervek nyilvánosságra hozatal iránti kérelmeit eseti alapon, írásban, indokolással ellátva kell benyújtani, és azok nem vonatkozhatnak teljes nyilvántartási rendszerekre, illetve nem eredményezhetik nyilvántartási rendszerek összekapcsolását.”

78.

A lengyel kormány a nemzeti bíróság által végzett arányossági értékeléssel kapcsolatos aggályt vetett fel: ha a nemzeti bíróságnak az előtte folyamatban lévő eljárásban értékelnie kell a személyzeti nyilvántartás vagy más bizonyíték bizonyító erejét, nem avatkozik‑e máris túlságosan bele abba, ami a felek feladata kellene, hogy maradjon, jelesül, hogy megpróbálja megnyerni magáról az ilyen bizonyítékok bizonyító erejéről szóló vitát?

79.

Álláspontom szerint a bizonyító erőnek az érintettek érdekeit figyelembe vevő értékelése nem eredményez nagyobb beavatkozást az ügybe, mint a polgári eljárásban bármely más bizonyíték bizonyító erejének értékelése. ( 37 )

80.

A nemzeti bíróság beavatkozásának mértéke attól függ, hogy az egyedi ügy körülményei között mennyire nyilvánvaló annak az adatnak a bizonyító ereje, amelynek közlését kérik. Mindig az egyedi ügytől függ, hogy a közlés milyen mértékben sértheti az érintettek érdekeit.

81.

Egyes esetekben például a GDPR 9. cikke szerinti különleges védelmi rendszer alá tartozó különleges adatokról vagy a 10. cikk szerinti szabályozás hatálya alá tartozó, büntetőjogi szankciókkal kapcsolatos adatokról lehet szó. Az érintettek érdekei ilyen helyzetekben szükségszerűen nagyobb súlyt kapnak a mérlegelés során. ( 38 ) A közléshez fűződő érdek az egyes ügyekben is eltérő lehet. Míg időnként egyértelmű, hogy a kért bizonyíték elhanyagolható relevanciával bír, más helyzetekben központi jelentőségű az ügy kimenetelének meghatározása szempontjából. E tekintetben kap értelmet a Bizottság azon álláspontja, hogy a nemzeti bíróságnak széles mérlegelési mozgástérrel kell rendelkeznie az ilyen értékelés elvégzése során. Mégsem szabad soha felmenteni az érintettek érdekeinek figyelembevételére vonatkozó kötelezettség alól.

82.

A cseh kormány egy másik aggálynak is hangot adott: akadályozná a bírósági eljárások szabályos lefolytatását annak előírása, hogy a nemzeti bíróságok az okirati bizonyítékok közlésének minden egyes elrendelése esetén vegyék figyelembe az érintettek érdekeit. A GDPR ugyanis a bíróságokat arra is kötelezi, ( 39 ) hogy a személyes adatokat tartalmazó okirati bizonyítékok közlésének elrendelése előtt elvégezzék az arányossági vizsgálatot. Az érdekek mérlegelése azonban nem szokatlan szellemi feladat a bíróságok számára, és a nemzeti bíróságokra rótt teher sem különbözik a GDPR által bármely adatkezelőre rótt tehertől.

83.

Ha az uniós polgárokat – az uniós jogalkotónak a GDPR‑ban kifejezett döntésével összhangban – megilleti a személyes adataik magas szintű védelme, az érintettek érdekeinek figyelembevétele nem tekinthető a tagállamok bíróságaira rótt túlzott tehernek.

84.

Ennélfogva azt javaslom, hogy a Bíróság a kérdést előterjesztő bíróság második kérdését a következőképpen válaszolja meg: a nemzeti bíróságnak a személyes adatok kezelésével járó polgári eljárásokban a közlést elrendelő végzés meghozatala során arányossági elemzést kell végeznie, amelynek keretében figyelembe veszi azon érintettek érdekeit, akik személyes adatait kezelik, és azokat mérlegelnie kell az eljárásban részt vevő felek bizonyítékok megszerzéséhez fűződő érdekeivel szemben. Erre az arányossági értékelésre a GDPR 5. cikkében meghatározott elvek, köztük az adattakarékosság elve az irányadó.

85.

A fenti megfontolások tükrében javaslom, hogy a Bíróság a Högsta domstolen (legfelsőbb bíróság, Svédország) által előzetes döntéshozatalra előterjesztett két kérdést a következőképpen válaszolja meg: