Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62021CC0268

    Opinia rzecznik generalnej T. Ćapety przedstawiona w dniu 6 października 2022 r.
    Norra Stockholm Bygg AB przeciwko Per Nycander AB.
    Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Högsta domstolen.
    Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 6 ust. 3 i 4 – Zgodność przetwarzania z prawem – Przedstawienie dokumentu zawierającego dane osobowe w ramach cywilnego postępowania sądowego – Artykuł 23 ust. 1 lit. f) i j) – Ochrona niezależności sądów i postępowania sądowego – Egzekucja roszczeń cywilnoprawnych – Wymogi, które muszą być spełnione – Uwzględnienie interesu osób, których dane dotyczą – Wyważenie przeciwstawnych interesów – Artykuł 5 – Minimalizacja danych osobowych – Karta praw podstawowych Unii Europejskiej – Artykuł 7 – Prawo do poszanowania życia prywatnego – Artykuł 8 – Prawo do ochrony danych osobowych – Artykuł 47 – Prawo do skutecznej ochrony sądowej – Zasada proporcjonalności.
    Sprawa C-268/21.

    Court reports – general

    ECLI identifier: ECLI:EU:C:2022:755

     OPINIA RZECZNIK GENERALNEJ

    TAMARY ĆAPETY

    przedstawiona w dniu 6 października 2022 r. ( 1 )

    Sprawa C‑268/21

    Norra Stockholm Bygg AB

    przeciwko

    Per Nycander AB,

    przy udziale:

    Entral AB

    [wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Högsta domstolen (sąd najwyższy, Szwecja)]

    Odesłanie prejudycjalne – Rozporządzenie (UE) 2016/679 – Ochrona danych osobowych – Przetwarzanie danych osobowych – Artykuł 6 ust. 3 i 4 – Artykuł 23 ust. 1 lit. f) – Ochrona niezależności sądów i postępowania sądowego – Złożony w postępowaniu cywilnym przez stronę pozwaną wniosek o zobowiązanie strony wnoszącej odwołanie do przekazania informacji o liczbie godzin przepracowanych przez jej pracowników

    I. Wstęp

    1.

    „Twoja prywatność jest dla nas bardzo ważna. Korzystamy z plików cookie, aby poprawić komfort korzystania z serwisu. Zapoznaj się z preferencjami dotyczącymi prywatności. Zaakceptuj wszystko / Ustawienia. Zapoznaj się z naszą polityką ochrony prywatności i polityką dotyczącą plików cookie” ( 2 ).

    2.

    Tego rodzaju komunikat jest pierwszą treścią, która wyskakuje po odwiedzeniu niemalże każdej strony internetowej.

    3.

    Jest to efektem obowiązywania ogólnego rozporządzenia o ochronie danych (zwanego dalej „RODO”) ( 3 ), które stanowi obecnie główny instrument ochrony danych osobowych w Unii Europejskiej.

    4.

    Czy RODO „wyskakuje” również w sprawach toczących się przed sądami krajowymi? Dokładniej rzecz ujmując – czy ma ono zastosowanie do obowiązków ujawniania informacji w postępowaniu cywilnym przed sądem krajowym? Jeżeli tak, to do czego zobowiązuje ono te sądy? O wyjaśnienie tych właśnie zagadnień zwrócono się do Trybunału.

    II. Okoliczności faktyczne w postępowaniu głównym i pytania prejudycjalne

    5.

    Wspomniane powyżej kwestie powstały w sprawie rozpatrywanej przez sąd odsyłający, którym jest Högsta domstolen (sąd najwyższy, Szwecja). Jej okoliczności faktyczne można pokrótce opisać w następujący sposób. Spółka Norra Stockholm Bygg AB (zwana dalej „Fastec”), będąca stroną wnoszącą odwołanie w postępowaniu głównym, wykonywała, na rzecz spółki Per Nycander AB (zwanej dalej „Nycander”), będącej stroną pozwaną w postępowaniu głównym, roboty budowlane polegające na budowie biurowca. Osoby pracujące w ramach tego kontraktu odnotowywały swoją obecność w elektronicznym rejestrze pracowników prowadzonym do celów podatkowych. Rejestr pracowników dostarczała spółka Entral AB, która działała w imieniu Fastec.

    6.

    U zarania postępowania głównego leży spór dotyczący wynagrodzenia należnego za wykonane roboty. Nycander kwestionuje wysunięte przez Fastec roszczenie o zapłatę [którego przedmiotem była kwota przewyższająca nieco 2000000 koron szwedzkich (SEK), czyli w przybliżeniu 190133 EUR] i uważa, że czas, jaki Fastec poświęciła na wykonanie robót, jest krótszy niż okres, za który domaga się ona zapłaty.

    7.

    Aby wykazać, że tak jest, Nycander złożyła wniosek o zobowiązanie Entral do przedłożenia rejestru pracowników, który Entral prowadziła w imieniu Fastec. Fastec kwestionuje ten wniosek i twierdzi, że tego rodzaju ujawnienie byłoby równoznaczne z naruszeniem RODO, ponieważ dane, o które wystąpiono, zostały zebrane w innym celu i nie mogą zostać wykorzystane jako dowód w postępowaniu głównym.

    8.

    Tingsrätt (sąd pierwszej instancji, Szwecja) zobowiązał Entral do przedłożenia rejestru, przy czym jego postanowienie zostało utrzymane w mocy w postępowaniu odwoławczym przez Svea hovrätt (sąd apelacyjny z siedzibą w Sztokholmie, Szwecja).

    9.

    Fastec zaskarżyła postanowienie Svea hovrätt (sądu apelacyjnego w Sztokholmie) do Högsta domstolen (sądu najwyższego) i zwróciła się do tego sądu o oddalenie wniosku Nycander o ujawnienie informacji lub, tytułem ewentualnym, o zmianę zaskarżonego postanowienia, tak aby zobowiązywało ono do przedstawienia zanonimizowanej wersji rejestru pracowników. To właśnie w ramach tego postępowania Högsta domstolen (sąd najwyższy) zwrócił się do Trybunału z następującymi pytaniami prejudycjalnymi:

    „1.

    Czy art. 6 ust. 3 i 4 RODO skutkują również ustanowieniem w krajowych przepisach proceduralnych wymogu w zakresie obowiązków ujawniania informacji?

    2.

    W przypadku odpowiedzi twierdzącej na pytanie pierwsze: Czy przepisy RODO oznaczają, że przy wydawaniu postanowienia dotyczącego ujawnienia informacji, które wiąże się z przetwarzaniem danych osobowych, należy uwzględnić również interesy osób, których dane dotyczą? Czy w takich okolicznościach prawo Unii ustanawia jakiekolwiek wymogi dotyczące szczegółowego sposobu wydawania takiego postanowienia?”.

    10.

    W toku postępowania uwagi na piśmie zostały przedłożone Trybunałowi przez Fastec, rządy czeski, polski i szwedzki oraz przez Komisję. W dniu 27 czerwca 2022 r. odbyła się rozprawa, na której Nycander, rządy polski i szwedzki oraz Komisja przedstawiły uwagi ustne.

    III. Ramy prawne

    A.   Prawo Unii

    11.

    Artykuł 5 RODO określa zasady, jakim musi odpowiadać każde przetwarzanie danych osobowych:

    „1.   Dane osobowe muszą być:

    a)

    przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);

    b)

    zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami (»ograniczenie celu«);

    c)

    adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (»minimalizacja danych«);

    d)

    prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (»prawidłowość«);

    e)

    przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (»ograniczenie przechowywania«);

    f)

    przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (»integralność i poufność«).

    2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

    12.

    Artykuł 6 RODO, zatytułowany „Zgodność przetwarzania z prawem”, stanowi, w ust. 1, 3 i 4:

    „1.   Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

    […]

    c)

    przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

    […]

    e)

    przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

    […]

    3.   Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:

    a)

    w prawie Unii; lub

    b)

    w prawie państwa członkowskiego, któremu podlega administrator.

    Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.

    4.   Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:

    a)

    wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;

    b)

    kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;

    c)

    charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10;

    d)

    ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;

    e)

    istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji”.

    13.

    Ponadto art. 23 ust. 1 RODO reguluje zagadnienie ograniczeń praw i obowiązków przewidzianych w RODO:

    „1.   Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

    […]

    f)

    ochronie niezależności sądów i postępowania sądowego;

    […]”.

    B.   Prawo szwedzkie

    14.

    Paragraf 2, ujęty w rozdziale 38 rättegångsbalken (kodeksu postępowania sądowego, zwanego dalej „RB”), stanowi w akapicie pierwszym, że każda osoba będąca w posiadaniu dokumentu pisemnego, który można uznać za mający wartość dowodową, jest zobowiązana do przedłożenia tego dokumentu. W akapicie drugim tego przepisu uregulowano wyjątki od tego obowiązku, które dotyczą prawników, lekarzy, psychologów, duchownych i innych urzędników, którym informacje powierzono w związku z wykonywaniem zawodu lub jego odpowiednika. W § 4 rozdziału 38 RB przewidziano następnie, że sąd jest władny zobowiązać do przedłożenia dokumentu pisemnego jako środka dowodowego.

    15.

    Zdaniem sądu odsyłającego przy ustalaniu, czy dana osoba powinna być zobowiązana do przedłożenia dokumentu, sąd musi wyważyć znaczenie dowodu względem interesu, jaki strona przeciwna ma w nieujawnieniu zawartych w nim informacji. Jak jednak wyjaśnia sąd odsyłający, przy rozważaniu tej kwestii nie bierze się pod uwagę, czy informacje zawarte w przedkładanym dokumencie mają charakter prywatny.

    IV. Analiza

    A.   Uwagi wstępne

    16.

    RODO jest głównym aktem Unii regulującym ochronę osób fizycznych w związku z przetwarzaniem ich danych osobowych. RODO, inaczej niż miało to miejsce w przypadku jego poprzedniczki, mianowicie dyrektywy 95/46/WE ( 4 ), przyjęto na podstawie art. 16 TFUE ( 5 ). Zgodnie z tą podstawą prawną prawodawca Unii ma kompetencję w zakresie ochrony podstawowego prawa do ochrony danych osobowych, zagwarantowanego w art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą praw podstawowych”) ( 6 ).

    17.

    RODO przewiduje, że w sytuacji przetwarzania danych osobowych odpowiedzialność za przestrzeganie tego aktu spoczywa na „administratorze” ( 7 ). W odniesieniu do każdego przypadku przetwarzania danych osobowych należy zatem ustalić, kto jest administratorem.

    18.

    Zgodnie z art. 4 pkt 7 RODO administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który ustala cele i sposoby przetwarzania danych osobowych.

    19.

    W niniejszej sprawie zaistniały dwa odrębne przypadki przetwarzania danych osobowych. Pierwszy z nich odnosi się do elektronicznego rejestru pracowników prowadzonego przez Entral w imieniu Fastec, na której spoczywał przewidziany w prawie szwedzkim obowiązek zbierania, do celów podatkowych, danych o liczbie przepracowanych godzin. W tym kontekście Fastec jest administratorem, a Entral – podmiotem przetwarzającym ( 8 ).

    20.

    Nie ulega wątpliwości, że to pierwsze przetwarzanie było zgodne z RODO. W szczególności jego art. 6 ust. 1 lit. c) zezwala na przetwarzanie danych osobowych, które jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, którym w rozpatrywanym przypadku jest Fastec ( 9 ). Nie ma wątpliwości, że gdyby owo pierwsze przetwarzanie zostało uznane za niezgodne z prawem w świetle RODO, to tym samym przetwarzanie danych osobowych w innym celu także byłoby niezgodne z prawem ( 10 ).

    21.

    W niniejszej sprawie istotne jest jednak drugie przetwarzanie (w innym celu) tych samych danych, które pierwotnie zebrano do celów podatkowych. Tym nowym celem jest przedstawienie przez Entral rejestru pracowników jako dowodu w postępowaniu cywilnym, którego stronami są Fastec i Nycander. Przedłożenie tego rejestru na potrzeby jego wykorzystania w postępowaniu cywilnym wiązałoby się nieodzownie z przetwarzaniem danych osobowych.

    22.

    W ramach tego drugiego przetwarzania dochodzi do zmiany określonych w RODO ról w stosunku do pierwszego przetwarzania. Co najistotniejsze, jeżeli sąd krajowy wydaje postanowienie zobowiązujące Entral do przedstawienia rejestru pracowników (zwane dalej „postanowieniem o ujawnieniu”), to jest podmiotem, który ustala cele i sposoby drugiego przetwarzania danych osobowych ( 11 ). Taki sąd staje się zatem administratorem ( 12 ).

    23.

    W kontekście tego drugiego przetwarzania można albo uznać, że Fastec nadal pozostaje administratorem, albo przyjąć, iż odgrywa ona inną rolę i jest obecnie, wespół z Nycander, odbiorcą danych ( 13 ). Niemniej jednak nawet jeżeli Fastec pozostaje administratorem wraz z sądem krajowym ( 14 ), nie wpływa to na obowiązki sądu krajowego jako administratora ( 15 ). Wreszcie rola Entral nie ulega zmianie. Pozostaje ona podmiotem przetwarzającym i w dalszym ciągu przetwarza te same dane osobowe, przy czym obecnie czyni to w imieniu nowego administratora, mianowicie sądu krajowego.

    24.

    Poprzez pytanie pierwsze sąd odsyłający zmierza w istocie do ustalenia, czy sąd krajowy rzeczywiście może stać się administratorem na gruncie RODO oraz czy, w takim przypadku, owo rozporządzenie przewiduje jakiekolwiek wymogi w odniesieniu do krajowych przepisów proceduralnych dotyczące uprawnień i obowiązków sądów w postępowaniu cywilnym. Na wypadek gdyby RODO miało zastosowanie, a sąd krajowy był administratorem, sąd odsyłający pragnie ustalić, w pytaniu drugim, jaką decyzję o ujawnieniu danych osobowych powinien podjąć sąd w sytuacji, gdy owe dane mają zostać wykorzystane jako dowód w postępowaniu cywilnym.

    25.

    Niniejsza opinia ma następującą strukturę: Najpierw wyjaśnię, dlaczego uważam, że RODO znajduje zastosowanie w postępowaniach cywilnych przed sądami państw członkowskich oraz jakie ma to przełożenie na obowiązujące przepisy proceduralne państw członkowskich (sekcja B). Następnie przejdę do metod, jakie sądy krajowe występujące w charakterze administratorów powinny stosować w celu spełnienia wymogów RODO (sekcja C).

    B.   RODO znajduje zastosowanie w postępowaniach cywilnych przed sądami krajowymi i uzupełnia przepisy proceduralne państw członkowskich

    26.

    Poprzez pytanie pierwsze sąd odsyłający zmierza w istocie do ustalenia, czy RODO znajduje zastosowanie w postępowaniach sądowych w sprawach cywilnych oraz jakie przełożenie ma ono na odnośne przepisy proceduralne. Ściślej rzecz ujmując, należy ustalić, czy ma ono wpływ na te przepisy krajowe, które regulują uprawnienia i obowiązki sądów krajowych w przypadku, gdy zobowiązują one uczestnika postępowania do przedstawienia dokumentu jako środka dowodowego. Odpowiedź na to pytanie przedstawię w trzech etapach.

    1. RODO znajduje zastosowanie do czynności sądów krajowych w postępowaniu cywilnym

    27.

    Materialny zakres stosowania RODO jest określony w jego art. 2 ust. 1, w którym to przepisie nie przyjęto podejścia instytucjonalnego, lecz funkcjonalne. Z punktu widzenia stosowania RODO istotne jest, co ma miejsce (działanie polegające na przetwarzaniu danych osobowych), a nie kto jest wykonawcą czynności ( 16 ).

    28.

    Sytuacje wyłączone z zakresu stosowania RODO, wymienione w jego art. 2 ust. 2, również są zdefiniowane w ujęciu funkcjonalnym. Z racji tego, że stanowią one wyjątek od zakresu stosowania RODO, Trybunał uznał, iż należy je interpretować w sposób zawężający ( 17 ).

    29.

    Per se działalność organów publicznych nie jest zatem wyłączona z zakresu stosowania RODO; jest tak raczej jedynie wówczas, gdy polega ona na wykonywaniu czynności wymienionych w art. 2 ust. 2 RODO ( 18 ). W tym kontekście ów artykuł nie wyłącza czynności sądowych w postępowaniach cywilnych z materialnego zakresu stosowania RODO.

    30.

    Wniosek, że RODO ma zastosowanie do czynności sądowych, potwierdza motyw 20 RODO ( 19 ), w którym wskazano, iż ów akt ma zastosowanie do działań sądów i innych organów wymiaru sprawiedliwości ( 20 ).

    31.

    Tego ustalenia nie podważa przewidziane w art. 55 ust. 3 RODO wyłączenie właściwości organów nadzorczych w odniesieniu do czynności podejmowanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości. Wręcz przeciwnie – moim zdaniem ten przepis potwierdza, że sądy, gdy sprawują wymiar sprawiedliwości, podlegają obowiązkom ustanowionym w RODO. Zapewnia ono ochronę ich niezależności i bezstronności poprzez zakazanie organowi nadzorczemu sprawowania nadzoru nad dokonywanymi przez nie operacjami przetwarzania.

    32.

    Niniejsza sprawa dotyczy przetwarzania danych osobowych, które wchodzi w materialny zakres stosowania RODO. Utworzenie i prowadzenie elektronicznego rejestru pracowników wiąże się z przetwarzaniem danych osobowych ( 21 ). Podobnie wydanie postanowienia zobowiązującego do ujawnienia takich danych osobowych w postępowaniu cywilnym stanowi przypadek przetwarzania tych danych ( 22 ). W związku z tym sytuacja rozpatrywana w postępowaniu głównym mieści się w materialnym zakresie stosowania RODO.

    33.

    Co to oznacza z punktu widzenia obowiązywania krajowych przepisów proceduralnych, takich jak RB?

    2. Prawo krajowe stanowi warunek zgodności z prawem przetwarzania danych przez sądy krajowe

    34.

    Postanowienie zobowiązujące do ujawnienia określonych informacji w postępowaniu, którego dotyczy niniejsza sprawa, zostało wydane na podstawie przepisów RB.

    35.

    RODO wymaga bowiem, aby przetwarzanie danych w sytuacji takiej jak ta analizowana w niniejszej sprawie miało podstawę prawną w przepisach prawa państwa członkowskiego (lub prawa Unii) ( 23 ).

    36.

    Przedmiotowe dane, które pierwotnie zostały zebrane i przetworzone do celów podatkowych, mają teraz, na mocy analizowanego w niniejszej sprawie postanowienia zobowiązującego do ujawnienia określonych informacji, zostać przetworzone w celach dowodowych w postępowaniu sądowym.

    37.

    Artykuł 6 ust. 4 RODO zezwala na przetwarzanie danych w innym celu, jeżeli odbywa się ono na podstawie prawa państwa członkowskiego stanowiącego w demokratycznym społeczeństwie niezbędny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 RODO. Wśród tych celów w art. 23 ust. 1 lit. f) wymieniono „[ochronę] niezależności sądów i postępowania sądowego”.

    38.

    Wszyscy uczestnicy niniejszego postępowania prejudycjalnego są zgodni, że art. 23 ust. 1 lit. f) RODO stanowi odpowiedni przepis, na którym należy się oprzeć w celu uzasadnienia przetwarzania danych w innym celu na podstawie RB ( 24 ).

    39.

    RB zezwala sądom krajowym na wydawanie postanowień zobowiązujących do ujawnienia dokumentów, jeżeli mają one wartość dowodową w postępowaniu cywilnym. Zostało już wyjaśnione, że gdy dokument, który ma zostać ujawniony, zawiera dane osobowe, to sąd wydający postanowienie zobowiązujące do jego ujawnienia, staje się administratorem w rozumieniu RODO.

    40.

    Jak na rozprawie podkreśliła Komisja, sąd krajowy tylko w pewnym stopniu przypomina zwyczajnego administratora. Sądy krajowe mogą bowiem przetwarzać dane wyłącznie w ramach sprawowania przez siebie władzy publicznej.

    41.

    Jeżeli przetwarzanie danych następuje w ramach sprawowania władzy publicznej ( 25 ), jego podstawa prawna musi być – jak wymaga tego art. 6 ust. 3 RODO – określona w prawie Unii lub w prawie państwa członkowskiego.

    42.

    W związku z tym zarówno art. 6 ust. 4 RODO (który zezwala na przetwarzanie w innym celu), jak i jego art. 6 ust. 3 (który zezwala na przetwarzanie danych w ramach sprawowania władzy publicznej) wymagają, aby podstawa prawna przetwarzania była określona w prawie krajowym (lub w prawie Unii) ( 26 ).

    43.

    Dlatego też RB, który zezwala sądowi na wydanie postanowienia o ujawnieniu, stanowi niezbędny warunek zgodności z prawem analizowanego przetwarzania.

    3. RODO uzupełnia krajowe przepisy proceduralne

    44.

    Skoro istnieje wymagana przez RODO podstawa prawna, zaś postanowienie, które pociąga za sobą przetwarzanie danych osobowych, zostaje przyjęte z poszanowaniem prawa państwa członkowskiego, to czy spełnione są określone w RODO wymogi zgodności przetwarzania z prawem?

    45.

    Moim zdaniem istnienie podstawy prawnej w prawie krajowym, choć niezbędne, nie wystarcza jednak do zapewnienia, że postanowienie zobowiązujące do przedstawienia dokumentu jest zgodne z RODO.

    46.

    Sąd odsyłający wyjaśnił, że na gruncie RB przy podejmowaniu decyzji o zobowiązaniu strony do przedstawienia dokumentu w charakterze dowodu co do zasady nie bierze się pod uwagę prywatnego charakteru informacji. Sądy muszą uwzględnić interesy dwóch przeciwnych stron, natomiast w ustawie nie ma mowy o tym, że interesy osób, których dane dotyczą, odgrywają jakąkolwiek rolę.

    47.

    Czy RB jest niezgodny z RODO, ponieważ w sposób wyraźny nie zobowiązuje sądów, wówczas, gdy stają się one administratorami, do tego, by brały pod uwagę interesy osób, których dane dotyczą, przy podejmowaniu decyzji mogących mieć wpływ na ich dane osobowe?

    48.

    Nie uważam, aby tak było. Należy pamiętać, że poszczególne akty prawa krajowego stanowiące podstawę prawną przetwarzania danych nie były uchwalane konkretnie w związku z wprowadzeniem w życie RODO, lecz realizują właściwe sobie cele. Ponadto RODO jest bezpośrednio stosowane w porządkach prawnych państw członkowskich i nie wymaga implementacji. Istotne jest zatem to, że na styku krajowych przepisów proceduralnych oraz RODO owe przepisy krajowe stwarzają ramy dla równoległego stosowania RODO.

    49.

    Rząd szwedzki potwierdził na rozprawie, że RB nie wymaga, aby sądy brały pod uwagę interesy osób, których dane dotyczą, ale też im tego nie zakazuje. Dlatego właśnie RB nie stoi na przeszkodzie bezpośredniemu stosowaniu RODO w uregulowanym w tym kodeksie postępowaniu sądowym.

    50.

    Sądy krajowe podlegają zatem równolegle krajowym przepisom proceduralnym oraz RODO, przy czym RODO uzupełnia przepisy krajowe, jeżeli czynności procesowe podejmowane przez sądy obejmują przetwarzanie danych osobowych.

    51.

    Podsumowując: ustawodawstwo krajowe nie musi zawierać wyraźnych odesłań do RODO ani też zobowiązywać sądów do uwzględnienia interesów osób, których dane dotyczą. Wystarczające jest, jeżeli takie ustawodawstwo zezwala na uzupełniające stosowanie RODO. Akt krajowy byłby sprzeczny z RODO wyłącznie wówczas, gdyby tak nie było. RB wydaje się jednak dopuszczać pośrednie stosowanie RODO ( 27 ).

    52.

    W celu udzielenia odpowiedzi na pytanie pierwsze sądu odsyłającego stwierdzam zatem, że art. 6 ust. 3 i art. 6 ust. 4 RODO skutkują ustanowieniem w krajowych przepisach proceduralnych wymogów w zakresie obowiązku ujawniania informacji, ilekroć wiąże się to z przetwarzaniem danych. W takim przypadku krajowe przepisy proceduralne nie mogą stać na przeszkodzie uwzględnieniu interesów osób, których dane dotyczą. Te interesy są chronione wówczas, gdy przy podejmowaniu w konkretnym przypadku decyzji o zobowiązaniu do przedstawienia dokumentu mającego wartość dowodową sądy krajowe przestrzegają przepisów RODO.

    C.   Spoczywające na sądzie krajowym obowiązki związane z interesami osób, których dane dotyczą

    53.

    Sądy krajowe działające w charakterze administratorów muszą, jako podmioty poddane regulacji RODO, brać pod uwagę interesy osób, których dane dotyczą. W jaki sposób należy uwzględnić te interesy przy podejmowaniu konkretnej decyzji o zobowiązaniu do ujawnienia określonych informacji? Takie jest sedno pytania drugiego przedłożonego przez sąd odsyłający.

    1. W przedmiocie proporcjonalności

    54.

    Interesy osób, których dane dotyczą, są chronione wówczas, gdy przetwarzanie ich danych osobowych odbywa się zgodnie z art. 5 i 6 RODO ( 28 ). Jak wskazuje rzecznik generalny P. Pikamäe, zgodność z art. 5 i 6 RODO pozwala zapewnić ochronę prawa do życia prywatnego i rodzinnego oraz prawa do ochrony danych osobowych, które zagwarantowano odpowiednio w art 7 i 8 Karty praw podstawowych ( 29 ).

    55.

    Zgodne z prawem cele przetwarzania wymieniono w art. 6 RODO ( 30 ). Jak wyjaśniono w poprzedniej części niniejszej opinii, przetwarzanie analizowane w rozpatrywanej sprawie służy zgodnemu z prawem celowi, gdyż wydanie przez sąd postanowienia o zobowiązaniu do ujawnienia określonych informacji na podstawie prawa krajowego mającego zagwarantować prawidłowy przebieg postępowania sądowego stanowiło przejaw sprawowania przez sąd władzy publicznej. Niemniej jednak zarówno art. 6, jak i art. 5 RODO wymagają nie tylko istnienia zgodnego z prawem celu, ale także zapewnienia, by konkretne przetwarzanie było niezbędne do jego osiągnięcia.

    56.

    Z RODO wynika zatem wymóg, aby przy ustalaniu, czy ujawnienie danych osobowych w konkretnej sytuacji jest niezbędne do celów dowodowych w postępowaniu sądowym, sąd przeprowadził badanie proporcjonalności ( 31 ).

    57.

    W tym względzie art. 6 ust. 4 RODO wymaga, aby prawo krajowe będące podstawą przetwarzania w innym celu stanowiło niezbędny i proporcjonalny środek służący zagwarantowaniu jednego z celów wymienionych w art. 23 ust. 1 RODO; w rozpatrywanej sprawie celem tym jest ochrona niezależności sądów i postępowania sądowego. Ponadto art. 6 ust. 3 RODO przewiduje, że przetwarzanie w ramach sprawowania władzy publicznej ma być niezbędne do sprawowania takiej władzy publicznej powierzonej administratorowi.

    58.

    Prawo krajowe będące podstawę przetwarzania może in abstracto spełniać wymogi przewidziane w art. 6 ust. 3 i 4 RODO. Niemniej jednak zgodność z prawem każdego indywidualnego przetwarzania (a także konkretnego postanowienia sądowego o ujawnieniu) zależy od wyważenia w danym przypadku wszystkich wchodzących w grę interesów, przy uwzględnieniu zgodnego z prawem celu, dla którego występuje się o ujawnienie ( 32 ). Tylko w ten sposób sąd krajowy może stwierdzić, czy i w jakim zakresie ujawnienie jest niezbędne.

    59.

    Jest zatem jasne, że RODO wymaga przeprowadzenia badania proporcjonalności. Czy to rozporządzenie może jeszcze służyć pomocą przy ustaleniu, jakie konkretne kroki sąd powinien podjąć w ramach takiej analizy?

    2. W przedmiocie konkretnych kroków, jakie powinien podjąć sąd krajowy

    60.

    Jak już wyjaśniono, badanie proporcjonalności należy przeprowadzić w każdym indywidualnym przypadku, z uwzględnieniem wszystkich wchodzących w grę interesów. W sytuacjach takich jak ta rozpatrywana w niniejszej sprawie trzeba wyważyć interesy przemawiające za ujawnieniem oraz ingerencję w prawo do ochrony danych osobowych ( 33 ).

    61.

    Interesy przemawiające za ujawnieniem stanowią wyraz prawa do skutecznej ochrony sądowej (art. 47 Karty praw podstawowych). Interesy osób, których dane dotyczą, z którymi to interesami owo prawo koliduje, stanowią wyraz prawa do życia prywatnego i rodzinnego (art. 7 Karty praw podstawowych) oraz prawa do ochrony danych osobowych (art. 8 Karty praw podstawowych). To właśnie te prawa należy wyważyć w celu ustalenia, czy ujawnienie danych osobowych jest niezbędne.

    62.

    Poniżej przedstawię kilka sugestii w przedmiocie konkretnych kroków, których podjęcia można oczekiwać od sądu krajowego.

    63.

    Przede wszystkim zawsze można domniemywać, że jeżeli osoby, których dane dotyczą, nie wyraziły zgody na przetwarzanie, to ich interesy odzwierciedlają wolę ograniczenia przez nie przetwarzania ich danych osobowych. Zasadniczo taki jest zatem punkt wyjścia dla sądu krajowego – należy uzasadnić, dlaczego miałoby dojść do ingerencji w ten interes.

    64.

    Moim zdaniem instrukcje dokonania tej oceny można odnaleźć w art. 5 RODO, w którym to przepisie wskazano zasady, jakich administrator musi przestrzegać przy przetwarzaniu danych osobowych.

    65.

    W tym względzie kardynalne znaczenie ma zapisana w art. 5 ust. 1 lit. c) RODO zasada minimalizacji danych. Jak podkreśla Trybunał ( 34 ), wymóg ten wyraża zasadę proporcjonalności. Zgodnie z nim dane osobowe mają być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

    66.

    Pierwsze pytanie, jakie należy zadać, brzmi zatem następująco: Czy dane znajdujące się w prowadzonym przez Entral rejestrze pracowników są adekwatne? Będą one adekwatne do celu, w jakim mają zostać ujawnione, jeżeli rzeczywiście zawierają informacje o liczbie godzin przepracowanych przez pracowników Fastec na terenie budowy.

    67.

    Z kolei drugie pytanie jest następujące: Czy dane znajdujące się w prowadzonym przez Entral rejestrze pracowników są stosowne do celu, w którym żąda się ich ujawnienia? Tym celem wydaje się być interes, jaki Nycander ma w dowiedzeniu, że pracownicy Fastec przepracowali mniejszą liczbę godzin niż wykazana na fakturze. W takich okolicznościach rejestr pracowników okaże się stosowny, jeżeli na jego podstawie rzeczywiście można dowieść prawdziwości tego twierdzenia albo je obalić. Sąd krajowy musi ocenić jego stosowność w świetle innych okoliczności faktycznych sprawy (na przykład twierdzenia Fastec, że w rejestrze pracowników ujęto tylko niektóre odpowiednie godziny pracy, gdyż pozostała ich część została przepracowana poza terenem budowy).

    68.

    Aby spełnić trzeci wymóg związany z minimalizacją danych, sąd krajowy powinien zbadać, czy do osiągnięcia celów dowodowych potrzebne są wszystkie dane zawarte w rejestrze, czy też może w tym względzie wystarczające są tylko niektóre z nich. Ponadto jeśli można na inne sposoby wykazać tę samą okoliczność faktyczną, zasada minimalizacji danych wymaga, aby posłużono się właśnie tymi sposobami. Przykładowo sąd krajowy może stanąć przed koniecznością oceny twierdzenia Fastec, że faktyczny czas pracy można zweryfikować przez odniesienie do dokumentów, które stanowią już część akt sprawy przed sądem odsyłającym. Jeżeli zostanie ono uznane za prawdziwe, sąd krajowy nie może wydać postanowienia zobowiązującego do ujawnienia danych osobowych zawartych w rejestrze pracowników.

    69.

    Sąd krajowy musi ustalić, jakiego rodzaju dane osobowe znajdujące się w rejestrze pracowników wystarczają do udowodnienia lub zanegowania zaistnienia istotnych okoliczności faktycznych. W tym względzie zasada minimalizacji danych wymaga, aby ujawniane były jedynie te dane, które są bezwzględnie niezbędne w danym wypadku. Może więc pojawić się potrzeba, aby Entral, jako podmiot przetwarzający, zmodyfikowała w pewien sposób rejestr pracowników, co pozwoli ograniczyć do niezbędnego minimum dane osobowe, a jednocześnie umożliwi sformułowanie wniosku na temat liczby faktycznie przepracowanych godzin.

    70.

    W tym względzie sąd krajowy musi ustalić, czy dla zapewnienia wartości dowodowej ujawnianych informacji jest konieczne, aby osoby, których dane znajdują się w rejestrze, dało się zidentyfikować (na przykład jeżeli niezbędne jest podanie imion i nazwisk poszczególnych pracowników w celu wezwania ich do stawiennictwa w charakterze świadków). W przeciwnym wypadku wystarczające może być uzyskanie informacji na temat całkowitej liczby godzin przepracowanych na terenie budowy lub liczby osób, które w tych godzinach wykonywały pracę.

    71.

    W zależności od odpowiedzi, jakie zostaną udzielone na powyższe pytania, sąd może wystąpić o ujawnienie danych w wersji spseudonimizowanej lub zanonimizowanej ( 35 ).

    72.

    Zgodnie z motywem 26 RODO spseudonimizowane dane pozostają objęte materialnym zakresem stosowania tego rozporządzenia. Jest tak dlatego, że nie znika możliwość ustalenia tożsamości osoby kryjącej się za pseudonimem. Inaczej jest w przypadku danych w wersji zanonimizowanej, które nie wchodzą w zakres stosowania RODO. W związku z tym wybrana ostatecznie przez sąd krajowy forma, w jakiej należy ujawnić dane, będzie też miała wpływ na kwestię dalszego stosowania RODO ( 36 ).

    73.

    Wreszcie to sąd krajowy będzie musiał określić wartość dowodową poszczególnych wersji rejestru pracowników, tak aby zdecydować, jakiego rodzaju minimalizacja danych jest konieczna (o ile w ogóle zachodzi potrzeba minimalizacji danych) do prawidłowego zakończenia toczącego się przed nim postępowania sądowego.

    74.

    Oprócz wyrażonej w art. 5 ust. 1 lit. c) RODO zasady minimalizacji danych sąd krajowy pozostaje związany także innymi zasadami wymienionymi w art. 5 RODO, które mają znaczenie w z punktu widzenia metodyki wydawania postanowienia o zobowiązaniu do ujawnienia określonych informacji.

    75.

    Na przykład w art. 5 ust. 1 lit. a) RODO jest mowa nie tylko o zasadzie zgodności z prawem (która została rozwinięta w art. 6 tego rozporządzenia), lecz również o zasadzie przejrzystości. Uważam, że z tej zasady wypływa spoczywający na sądzie krajowym wymóg jasnego uzasadnienia postanowienia o ujawnieniu danych osobowych, w szczególności poprzez wskazanie, w jaki sposób wyważył on poszczególne interesy i argumenty stron dotyczące ujawnienia.

    76.

    Odpowiednie uzasadnienie postanowienia o zobowiązaniu do ujawnienia określonych informacji pozwala też spełnić zawarty w art. 5 ust. 2 RODO wymóg, aby administrator był w stanie wykazać przestrzeganie zasad wymienionych w art. 5 ust. 1 tego rozporządzenia.

    77.

    Wskazówek na temat tego, jak zapewnić przestrzeganie zasad ustanowionych w art. 5 RODO, dostarcza również lektura jego motywu 31. Zgodnie z nim „[ż]ądanie ujawnienia danych osobowych, z którym występują […] organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych”.

    78.

    Rząd polski wyraził pewną wątpliwość co do oceny proporcjonalności dokonywanej przez sąd krajowy: Skoro sąd krajowy ma ocenić wartość dowodową rejestru pracowników lub innego środka dowodowego w toczącym się przed nim postępowaniu, to czy aby nie włącza się zbytnio w to, co powinno pozostać domeną stron, mianowicie w wymianę argumentów w celu wygrania sporu tyczącego się właśnie wartości dowodowej takiego środka dowodowego?

    79.

    Moim zdaniem ocena wartości dowodowej, w ramach której uwzględnia się interesy osób, których dane dotyczą, nie skutkuje większą ingerencją w sprawę aniżeli ocena wartości dowodowej jakiegokolwiek innego środka dowodowego w postępowaniu cywilnym ( 37 ).

    80.

    Stopień ingerencji sądu krajowego będzie zależał od tego, jak bardzo oczywista jest wartość dowodowa środka dowodowego, o którego ujawnienie wniesiono w okolicznościach danej sprawy. Kwestia tego, w jakim zakresie ujawnienie może ingerować w interesy osób, których dane dotyczą, będzie zawsze powiązana ze specyfiką konkretnego przypadku.

    81.

    Na przykład niektóre sprawy mogą dotyczyć danych wrażliwych, które są szczególnie chronione na podstawie art. 9 RODO, lub też danych na temat sankcji karnych, objętych systemem ustanowionym w art. 10 tego rozporządzenia. W takich sytuacjach interesy osób, których dane dotyczą, z konieczności nabiorą przy wyważaniu większej wagi ( 38 ). Podobnie interes przemawiający za ujawnieniem może być różny w zależności od przypadku. Niekiedy będzie jasne, że dowody, o które wystąpiono, mają marginalne znaczenie, podczas gdy w pewnych sytuacjach będą one kluczowe dla rozstrzygnięcia sprawy. W tym względzie należy zgodzić się z Komisją, że przy dokonywaniu tego rodzaju ustaleń sądowi krajowemu powinien przysługiwać szeroki zakres uznania. Nigdy nie powinien on jednak być zwolniony z obowiązku uwzględnienia interesów osób, których dane dotyczą.

    82.

    Inną wątpliwość wyraził rząd czeski, który podniósł, że nałożenie na sądy krajowe obowiązku uwzględnienia interesów osób, których dane dotyczą, za każdym razem, gdy wydają one postanowienie o ujawnieniu dowodów z dokumentów, stanowiłoby przeszkodę dla prawidłowego przebiegu postępowań sądowych. RODO rzeczywiście wprowadza dodatkowy obowiązek ( 39 ) przeprowadzenia przez sądy kontroli proporcjonalności przed wydaniem postanowienia zobowiązującego do ujawnienia dowodów z dokumentów zawierających dane osobowe. Jednak ani równoważenie interesów nie stanowi z punktu widzenia sądów jakiegoś niezwykłego zadania intelektualnego, ani też nie jest tak, że obciążenie nałożone na sądy krajowe różni się od tego, które RODO nakłada na każdego administratora danych.

    83.

    Jeżeli obywatele Unii mają korzystać z wysokiego stopnia ochrony danych osobowych, zgodnie z dokonanym przez prawodawcę Unii wyborem, który został wyrażony w RODO, uwzględnienie interesów osób, których dane dotyczą, nie może być postrzegane w kategoriach nadmiernego obciążenia nałożonego na sądy państw członkowskich.

    84.

    W związku z tym proponuję Trybunałowi, aby na pytanie drugie sądu odsyłającego odpowiedział następująco: przy podejmowaniu w postępowaniu cywilnym decyzji w sprawie wydania postanowienia o ujawnieniu określonych informacji do celów dowodowych, które pociąga za sobą przetwarzanie danych osobowych, sąd krajowy powinien przeprowadzić badanie proporcjonalności z uwzględnieniem interesów osób, których dane dotyczą i których dane osobowe mają zostać przetworzone, oraz wyważyć je względem interesu, jaki strony postępowania mają w uzyskaniu dowodów. Przy dokonywaniu tej oceny proporcjonalności należy kierować się zasadami określonymi w art. 5 RODO, w tym zasadą minimalizacji danych.

    V. Wnioski

    85.

    W świetle powyższych rozważań proponuję Trybunałowi, by na dwa pytania prejudycjalne przedstawione przez Högsta domstolen (sąd najwyższy, Szwecja) odpowiedział następująco:

    1)

    Artykuł 6 ust. 3 i 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) skutkuje ustanowieniem w krajowych przepisach proceduralnych wymogów w zakresie obowiązków ujawniania informacji, ilekroć ujawnienie wiąże się z przetwarzaniem danych. W takim przypadku krajowe przepisy proceduralne muszą zezwalać na uwzględnienie interesów osób, których dane dotyczą. Te interesy są chronione wówczas, gdy sądy krajowe przestrzegają przepisów rozporządzenia 2016/679 przy podejmowaniu w konkretnym przypadku decyzji o ujawnieniu dowodów z dokumentów.

    2)

    Przy podejmowaniu w postępowaniu cywilnym decyzji w sprawie wydania postanowienia o ujawnieniu określonych informacji do celów dowodowych, które pociąga za sobą przetwarzanie danych osobowych, sąd krajowy powinien przeprowadzić badanie proporcjonalności z uwzględnieniem interesów osób, których dane dotyczą i których dane osobowe mają zostać przetworzone, oraz wyważyć je względem interesu, jaki strony postępowania mają w uzyskaniu dowodów. Przy dokonywaniu tej oceny proporcjonalności należy kierować się zasadami określonymi w art. 5 rozporządzenia 2016/679, w tym zasadą minimalizacji danych.


    ( 1 ) Język oryginału: angielski.

    ( 2 ) Ta konkretna wiadomość jest wyświetlana na stronie https://eulawlive.com/

    ( 3 ) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowania: Dz.U. 2018, L 127, s. 2; Dz.U. 2021, L 74, s. 35).

    ( 4 ) Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31). Dyrektywa 95/46 została przyjęta na podstawie prawnej dotyczącej rynku wewnętrznego. Aby się zapoznać ze wstępną analizą zmian wprowadzonych RODO, zob. B. Van Alsenoy, Liability under EU Data Protection Law. From Directive 95/46 to the General Data Protection Regulation, Journal of Intellectual Property, Information Technology and Electronic Commerce Law, Vol. 7, 2016, s. 271–288.

    ( 5 ) Orzecznictwo dotyczące dyrektywy 95/46 jest jednak istotne dla zrozumienia RODO, niezależnie od odmiennych podstaw prawnych obu tych aktów. Zobacz podobnie wyrok z dnia 17 czerwca 2021 r., M.I.C.M. (C‑597/19, EU:C:2021:492, pkt 107). W związku z tym w razie potrzeby będę się powoływała na orzecznictwo Trybunału dotyczące dyrektywy 95/46. Będę również przywoływała, w zakresie, w jakim przewiduje ono analogiczne rozwiązania w odniesieniu do ograniczeń prawa do ochrony danych, orzecznictwo Trybunału dotyczące dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37). Trybunał uznał, że wykładnia ograniczeń praw wynikających z dyrektywy 2002/58 ma zastosowanie mutatis mutandis przy wykładni RODO. Zobacz podobnie wyrok z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 209211).

    ( 6 ) Zobacz motyw 1 RODO.

    ( 7 ) Zobacz art. 5 ust. 2 RODO.

    ( 8 ) Artykuł 4 pkt 8 RODO definiuje podmiot przetwarzający jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”.

    ( 9 ) W myśl art. 6 ust. 3 RODO jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego ciążącego na administratorze, to jego podstawa prawna musi być określona w prawie Unii lub w prawie państwa członkowskiego, które to prawo ma służyć realizacji celu leżącego w interesie publicznym i być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu. W wyroku z dnia 16 stycznia 2019 r., Deutsche Post (C‑496/17, EU:C:2019:26, pkt 6063) przestrzeganie krajowych przepisów podatkowych zostało uznane za prawnie uzasadniony cel.

    ( 10 ) Zobacz analogicznie wyrok z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej) (C‑746/18, EU:C:2021:152, pkt 44).

    ( 11 ) Ustalanie celów i sposobów przetwarzania danych osobowych to kluczowe czynności, które decydują o tym, kogo należy uznać za administratora. Zobacz wyrok z dnia 10 lipca 2018 r., Jehovan todistajat (C‑25/17, EU:C:2018:551, pkt 68). Zobacz także L.A. Bygrave, L. Tossoni, Article 4(7). Controller, w: C. Kuner, L.A. Bygrave, C. Docksey, L. Drechsler (eds), The EU General Data Protection Regulation (GDPR): A Commentary, Oxford, OUP, 2021, s. 150.

    ( 12 ) Na rozprawie rządy polski i szwedzki oraz Komisja przyznały, że tę rolę odgrywa obecnie sąd krajowy. Nycander utrzymywała, że Fastec pozostaje jedynym administratorem w kontekście drugiego przetwarzania, podczas gdy sąd krajowy odgrywa rolę pośrednika. Należy zauważyć, że RODO w ogóle nie posługuje się pojęciem „pośrednika”.

    ( 13 ) W art. 4 pkt 9 RODO odbiorców zdefiniowano jako osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, którym ujawnia się dane osobowe, niezależnie od tego, czy są one stroną trzecią. Zarówno Fastec, jak i Nycander, jako strony postępowania cywilnego, staną się odbiorcami danych przetwarzanych na podstawie wydanego przez sąd postanowienia o ujawnieniu. Na rozprawie Komisja utrzymywała, że Fastec pozostaje administratorem, natomiast nie staje się odbiorcą.

    ( 14 ) Artykuł 26 ust. 1 RODO ma następujące brzmienie: „Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą”. Zobacz także wyrok z dnia 29 lipca 2019 r., Fashion ID (C‑40/17, EU:C:2019:629, pkt 67).

    ( 15 ) Trybunał wyjaśnił, że pojęcie administratora należy definiować szeroko oraz że na różnych etapach przetwarzania mogą być zaangażowane różne podmioty. Wyrok z dnia 29 lipca 2019 r., Fashion ID (C‑40/17, EU:C:2019:629, pkt 70).

    ( 16 ) Ten drugi aspekt ma znaczenie jedynie w wyjątkowych przypadkach. Na przykład zgodnie z art. 2 ust. 3 RODO ten akt prawny nie ma zastosowania do instytucji, organów i jednostek organizacyjnych Unii. Wskazane podmioty podlegają jednak regulacji rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. 2001, L 8, s. 1).

    ( 17 ) Wyrok z dnia 9 lipca 2020 r., Land Hessen (C‑272/19, EU:C:2020:535, pkt 68).

    ( 18 ) Artykuł 2 ust. 2 RODO ma następujące brzmienie: „Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych: a) w ramach działalności nieobjętej zakresem prawa Unii; b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE; c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze; d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom”.

    ( 19 ) Motyw 20 RODO brzmi następująco: „Niniejsze rozporządzenie ma zastosowanie między innymi do działań sądów i innych organów wymiaru sprawiedliwości, niemniej prawo Unii lub prawo państwa członkowskiego może doprecyzować operacje i procedury przetwarzania danych osobowych przez sądy i inne organy wymiaru sprawiedliwości. Właściwość organów nadzorczych nie powinna dotyczyć przetwarzania danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości – tak by chronić niezawisłość sprawowania wymiaru sprawiedliwości. Powinna istnieć możliwość powierzenia nadzoru nad takimi operacjami przetwarzania danych specjalnym organom w systemie wymiaru sprawiedliwości państwa członkowskiego, organy te powinny w szczególności zapewnić przestrzeganie przepisów niniejszego rozporządzenia, zwiększać w wymiarze sprawiedliwości wiedzę o jego obowiązkach wynikających z niniejszego rozporządzenia oraz rozpatrywać skargi związane z takim operacjami przetwarzania danych”.

    ( 20 ) Zobacz podobnie wyrok z dnia 24 marca 2022 r., Autoriteit Persoonsgegevens (C‑245/20, EU:C:2022:216, pkt 25, 26).

    ( 21 ) W wyroku z dnia 30 maja 2013 r., Worten (C‑342/12, EU:C:2013:355, pkt 19) Trybunał potwierdził, że danymi osobowymi są między innymi ewidencje czasu pracy pracowników.

    ( 22 ) W opinii rzecznika generalnego M. Camposa Sáncheza-Bordony w sprawie Inspektor v Inspektorata kym Wisszija sydeben sywet (Cele przetwarzania danych osobowych – Postępowanie przygotowawcze) (C‑180/21, EU:C:2022:406, pkt 82, 83) uznano, że przekazanie dokumentów do sądu w postępowaniu cywilnym stanowi przetwarzanie danych. Według stanu na dzień przedstawienia niniejszej opinii sprawa ta nadal pozostaje w toku przed Trybunałem.

    ( 23 ) W kontekście dyrektywy 2002/58 Trybunał uznał, że nie wyklucza ona możliwości, by państwa członkowskie ustanowiły obowiązek ujawnienia danych osobowych w postępowaniu cywilnym. Zobacz podobnie wyrok z dnia 29 stycznia 2008 r., Promusicae (C‑275/06, EU:C:2008:54, pkt 53). Uważam, że tak samo jest w przypadku RODO.

    ( 24 ) Komisja zaproponowała ponadto, że w niniejszej sprawie uzasadnieniem przetwarzania danych w innym celu może być też art. 23 ust. 1 lit. i) RODO, który mówi o „ochronie osoby, której dane dotyczą, lub praw i wolności innych osób”. Rząd polski wskazał na art. 23 ust. 1 lit. j) RODO, w którym jest mowa o „egzekucji roszczeń cywilnoprawnych”.

    ( 25 ) Przetwarzanie dokonywane w ramach sprawowania władzy publicznej jest możliwe na podstawie art. 6 ust. 1 lit. e) RODO.

    ( 26 ) Przetwarzanie może się także odbywać na podstawie zgody osoby, której dane dotyczą. Sytuacja taka nie zachodzi jednak w niniejszej sprawie.

    ( 27 ) Ze względu na podział kompetencji pomiędzy Trybunałem i sądami państw członkowskich w postępowaniu prejudycjalnym to do sądu krajowego należy rozstrzygnięcie, czy tak jest w istocie.

    ( 28 ) Wyroki: z dnia 16 stycznia 2019 r., Deutsche Post (C‑496/17, EU:C:2019:26, pkt 57); z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 208). Trybunał doszedł wcześniej do tego samego wniosku w odniesieniu do dyrektywy 95/46. Zobacz na przykład wyroki: z dnia 20 maja 2003 r., Österreichischer Rundfunk i in. (C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, pkt 65); z dnia 13 maja 2014 r., Google Spain i Google (C‑131/12, EU:C:2014:317, pkt 71).

    ( 29 ) Opinia rzecznika generalnego P. Pikamäe w sprawie Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2021:991, pkt 36).

    ( 30 ) Trybunał stwierdził, że zawarty w art. 6 RODO wykaz przypadków, w których przetwarzanie danych jest zgodne z prawem, jest wyczerpujący i zamknięty. Zobacz wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne) (C‑439/19, EU:C:2021:504, pkt 99). W kontekście dyrektywy 95/46 Trybunał przyjął to samo podejście w odniesieniu do legalności przetwarzania w wyrokach: z dnia 4 maja 2017 r., Rīgas satiksme (C‑13/16, EU:C:2017:336, pkt 25); z dnia 11 grudnia 2019 r., Asociaţia de Proprietari bloc M5A‑ScaraA (C‑708/18, EU:C:2019:1064, pkt 37, 38).

    ( 31 ) Zobacz także motyw 39 RODO, który przewiduje, że: „[…] [d]ane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane […]. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami”.

    ( 32 ) Trybunał wyjaśnił, że to wyważenie dotyczy konkretnych okoliczności danej sprawy. Zobacz podobnie wyrok z dnia 4 maja 2017 r., Rīgas satiksme (C‑13/16, EU:C:2017:336, pkt 31). Zobacz także wyrok z dnia 19 grudnia 2020 r., Asociaţia de Proprietari bloc M5A‑ScaraA (C‑708/18, EU:C:2020:104, pkt 32).

    ( 33 ) Zobacz analogicznie wyrok z dnia 9 listopada 2010 r., Volker und Markus Schecke i Eifert (C‑92/09 i C‑93/09, EU:C:2010:662, pkt 77).

    ( 34 ) Wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne) (C‑439/19, EU:C:2021:504, pkt 98).

    ( 35 ) Fastec w istocie zwraca się do sądu odsyłającego o oddalenie złożonego przez Nycander wniosku o przedstawienie rejestru pracowników lub, tytułem ewentualnym, o zobowiązanie do przedstawienia rejestru pracowników w wersji zanonimizowanej. Komisja przywołała zasadę minimalizacji danych i odwołała się do art. 25 ust. 1 RODO, aby zaproponować alternatywne rozwiązanie, polegające na przedstawieniu spseudonimizowanej wersji rejestru pracowników.

    ( 36 ) Na przykład w razie anonimizacji rejestru administrator jest zwolniony z obowiązku poinformowania o przetwarzaniu osób, których dane dotyczą, co normalnie byłoby wymagane na podstawie art. 14 RODO.

    ( 37 ) Jak wyjaśnił sąd odsyłający, na gruncie RB na sądach spoczywa już obowiązek wyważenia znaczenia dowodu względem interesu, jaki strona przeciwna ma w nieujawnianiu informacji.

    ( 38 ) W kontekście dyrektywy 2002/58 Trybunał konsekwentnie wskazuje, że im większy jest stopień ingerencji w prawo do ochrony danych, tym większe znaczenie musi mieć przemawiający za ujawnieniem interes ogólny. Wyroki: z dnia 21 grudnia 2016 r., Tele2 Sverige i Watson i in. (C‑203/15 i C‑698/15, EU:C:2016:970, pkt 115); z dnia 2 października 2018 r., Ministerio Fiscal (C‑207/16, EU:C:2018:788, pkt 55); z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 131); z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej) (C‑746/18, EU:C:2021:152, pkt 32).

    ( 39 ) W tych porządkach prawnych, w których przepisy proceduralne nie wymagały dotychczas takiej kontroli.

    Top