1.

„Twoja prywatność jest dla nas bardzo ważna. Korzystamy z plików cookie, aby poprawić komfort korzystania z serwisu. Zapoznaj się z preferencjami dotyczącymi prywatności. Zaakceptuj wszystko / Ustawienia. Zapoznaj się z naszą polityką ochrony prywatności i polityką dotyczącą plików cookie” ( 2 ).

2.

Tego rodzaju komunikat jest pierwszą treścią, która wyskakuje po odwiedzeniu niemalże każdej strony internetowej.

3.

Jest to efektem obowiązywania ogólnego rozporządzenia o ochronie danych (zwanego dalej „RODO”) ( 3 ), które stanowi obecnie główny instrument ochrony danych osobowych w Unii Europejskiej.

4.

Czy RODO „wyskakuje” również w sprawach toczących się przed sądami krajowymi? Dokładniej rzecz ujmując – czy ma ono zastosowanie do obowiązków ujawniania informacji w postępowaniu cywilnym przed sądem krajowym? Jeżeli tak, to do czego zobowiązuje ono te sądy? O wyjaśnienie tych właśnie zagadnień zwrócono się do Trybunału.

5.

Wspomniane powyżej kwestie powstały w sprawie rozpatrywanej przez sąd odsyłający, którym jest Högsta domstolen (sąd najwyższy, Szwecja). Jej okoliczności faktyczne można pokrótce opisać w następujący sposób. Spółka Norra Stockholm Bygg AB (zwana dalej „Fastec”), będąca stroną wnoszącą odwołanie w postępowaniu głównym, wykonywała, na rzecz spółki Per Nycander AB (zwanej dalej „Nycander”), będącej stroną pozwaną w postępowaniu głównym, roboty budowlane polegające na budowie biurowca. Osoby pracujące w ramach tego kontraktu odnotowywały swoją obecność w elektronicznym rejestrze pracowników prowadzonym do celów podatkowych. Rejestr pracowników dostarczała spółka Entral AB, która działała w imieniu Fastec.

6.

U zarania postępowania głównego leży spór dotyczący wynagrodzenia należnego za wykonane roboty. Nycander kwestionuje wysunięte przez Fastec roszczenie o zapłatę [którego przedmiotem była kwota przewyższająca nieco 2000000 koron szwedzkich (SEK), czyli w przybliżeniu 190133 EUR] i uważa, że czas, jaki Fastec poświęciła na wykonanie robót, jest krótszy niż okres, za który domaga się ona zapłaty.

7.

Aby wykazać, że tak jest, Nycander złożyła wniosek o zobowiązanie Entral do przedłożenia rejestru pracowników, który Entral prowadziła w imieniu Fastec. Fastec kwestionuje ten wniosek i twierdzi, że tego rodzaju ujawnienie byłoby równoznaczne z naruszeniem RODO, ponieważ dane, o które wystąpiono, zostały zebrane w innym celu i nie mogą zostać wykorzystane jako dowód w postępowaniu głównym.

8.

Tingsrätt (sąd pierwszej instancji, Szwecja) zobowiązał Entral do przedłożenia rejestru, przy czym jego postanowienie zostało utrzymane w mocy w postępowaniu odwoławczym przez Svea hovrätt (sąd apelacyjny z siedzibą w Sztokholmie, Szwecja).

9.

Fastec zaskarżyła postanowienie Svea hovrätt (sądu apelacyjnego w Sztokholmie) do Högsta domstolen (sądu najwyższego) i zwróciła się do tego sądu o oddalenie wniosku Nycander o ujawnienie informacji lub, tytułem ewentualnym, o zmianę zaskarżonego postanowienia, tak aby zobowiązywało ono do przedstawienia zanonimizowanej wersji rejestru pracowników. To właśnie w ramach tego postępowania Högsta domstolen (sąd najwyższy) zwrócił się do Trybunału z następującymi pytaniami prejudycjalnymi:

10.

W toku postępowania uwagi na piśmie zostały przedłożone Trybunałowi przez Fastec, rządy czeski, polski i szwedzki oraz przez Komisję. W dniu 27 czerwca 2022 r. odbyła się rozprawa, na której Nycander, rządy polski i szwedzki oraz Komisja przedstawiły uwagi ustne.

11.

Artykuł 5 RODO określa zasady, jakim musi odpowiadać każde przetwarzanie danych osobowych:

„1.   Dane osobowe muszą być:

2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

12.

Artykuł 6 RODO, zatytułowany „Zgodność przetwarzania z prawem”, stanowi, w ust. 1, 3 i 4:

„1.   Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

[…]

[…]

[…]

3.   Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:

Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.

4.   Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:

13.

Ponadto art. 23 ust. 1 RODO reguluje zagadnienie ograniczeń praw i obowiązków przewidzianych w RODO:

„1.   Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

[…]

[…]”.

14.

Paragraf 2, ujęty w rozdziale 38 rättegångsbalken (kodeksu postępowania sądowego, zwanego dalej „RB”), stanowi w akapicie pierwszym, że każda osoba będąca w posiadaniu dokumentu pisemnego, który można uznać za mający wartość dowodową, jest zobowiązana do przedłożenia tego dokumentu. W akapicie drugim tego przepisu uregulowano wyjątki od tego obowiązku, które dotyczą prawników, lekarzy, psychologów, duchownych i innych urzędników, którym informacje powierzono w związku z wykonywaniem zawodu lub jego odpowiednika. W § 4 rozdziału 38 RB przewidziano następnie, że sąd jest władny zobowiązać do przedłożenia dokumentu pisemnego jako środka dowodowego.

15.

Zdaniem sądu odsyłającego przy ustalaniu, czy dana osoba powinna być zobowiązana do przedłożenia dokumentu, sąd musi wyważyć znaczenie dowodu względem interesu, jaki strona przeciwna ma w nieujawnieniu zawartych w nim informacji. Jak jednak wyjaśnia sąd odsyłający, przy rozważaniu tej kwestii nie bierze się pod uwagę, czy informacje zawarte w przedkładanym dokumencie mają charakter prywatny.

16.

RODO jest głównym aktem Unii regulującym ochronę osób fizycznych w związku z przetwarzaniem ich danych osobowych. RODO, inaczej niż miało to miejsce w przypadku jego poprzedniczki, mianowicie dyrektywy 95/46/WE ( 4 ), przyjęto na podstawie art. 16 TFUE ( 5 ). Zgodnie z tą podstawą prawną prawodawca Unii ma kompetencję w zakresie ochrony podstawowego prawa do ochrony danych osobowych, zagwarantowanego w art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą praw podstawowych”) ( 6 ).

17.

RODO przewiduje, że w sytuacji przetwarzania danych osobowych odpowiedzialność za przestrzeganie tego aktu spoczywa na „administratorze” ( 7 ). W odniesieniu do każdego przypadku przetwarzania danych osobowych należy zatem ustalić, kto jest administratorem.

18.

Zgodnie z art. 4 pkt 7 RODO administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który ustala cele i sposoby przetwarzania danych osobowych.

19.

W niniejszej sprawie zaistniały dwa odrębne przypadki przetwarzania danych osobowych. Pierwszy z nich odnosi się do elektronicznego rejestru pracowników prowadzonego przez Entral w imieniu Fastec, na której spoczywał przewidziany w prawie szwedzkim obowiązek zbierania, do celów podatkowych, danych o liczbie przepracowanych godzin. W tym kontekście Fastec jest administratorem, a Entral – podmiotem przetwarzającym ( 8 ).

20.

Nie ulega wątpliwości, że to pierwsze przetwarzanie było zgodne z RODO. W szczególności jego art. 6 ust. 1 lit. c) zezwala na przetwarzanie danych osobowych, które jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, którym w rozpatrywanym przypadku jest Fastec ( 9 ). Nie ma wątpliwości, że gdyby owo pierwsze przetwarzanie zostało uznane za niezgodne z prawem w świetle RODO, to tym samym przetwarzanie danych osobowych w innym celu także byłoby niezgodne z prawem ( 10 ).

21.

W niniejszej sprawie istotne jest jednak drugie przetwarzanie (w innym celu) tych samych danych, które pierwotnie zebrano do celów podatkowych. Tym nowym celem jest przedstawienie przez Entral rejestru pracowników jako dowodu w postępowaniu cywilnym, którego stronami są Fastec i Nycander. Przedłożenie tego rejestru na potrzeby jego wykorzystania w postępowaniu cywilnym wiązałoby się nieodzownie z przetwarzaniem danych osobowych.

22.

W ramach tego drugiego przetwarzania dochodzi do zmiany określonych w RODO ról w stosunku do pierwszego przetwarzania. Co najistotniejsze, jeżeli sąd krajowy wydaje postanowienie zobowiązujące Entral do przedstawienia rejestru pracowników (zwane dalej „postanowieniem o ujawnieniu”), to jest podmiotem, który ustala cele i sposoby drugiego przetwarzania danych osobowych ( 11 ). Taki sąd staje się zatem administratorem ( 12 ).

23.

W kontekście tego drugiego przetwarzania można albo uznać, że Fastec nadal pozostaje administratorem, albo przyjąć, iż odgrywa ona inną rolę i jest obecnie, wespół z Nycander, odbiorcą danych ( 13 ). Niemniej jednak nawet jeżeli Fastec pozostaje administratorem wraz z sądem krajowym ( 14 ), nie wpływa to na obowiązki sądu krajowego jako administratora ( 15 ). Wreszcie rola Entral nie ulega zmianie. Pozostaje ona podmiotem przetwarzającym i w dalszym ciągu przetwarza te same dane osobowe, przy czym obecnie czyni to w imieniu nowego administratora, mianowicie sądu krajowego.

24.

Poprzez pytanie pierwsze sąd odsyłający zmierza w istocie do ustalenia, czy sąd krajowy rzeczywiście może stać się administratorem na gruncie RODO oraz czy, w takim przypadku, owo rozporządzenie przewiduje jakiekolwiek wymogi w odniesieniu do krajowych przepisów proceduralnych dotyczące uprawnień i obowiązków sądów w postępowaniu cywilnym. Na wypadek gdyby RODO miało zastosowanie, a sąd krajowy był administratorem, sąd odsyłający pragnie ustalić, w pytaniu drugim, jaką decyzję o ujawnieniu danych osobowych powinien podjąć sąd w sytuacji, gdy owe dane mają zostać wykorzystane jako dowód w postępowaniu cywilnym.

25.

Niniejsza opinia ma następującą strukturę: Najpierw wyjaśnię, dlaczego uważam, że RODO znajduje zastosowanie w postępowaniach cywilnych przed sądami państw członkowskich oraz jakie ma to przełożenie na obowiązujące przepisy proceduralne państw członkowskich (sekcja B). Następnie przejdę do metod, jakie sądy krajowe występujące w charakterze administratorów powinny stosować w celu spełnienia wymogów RODO (sekcja C).

26.

Poprzez pytanie pierwsze sąd odsyłający zmierza w istocie do ustalenia, czy RODO znajduje zastosowanie w postępowaniach sądowych w sprawach cywilnych oraz jakie przełożenie ma ono na odnośne przepisy proceduralne. Ściślej rzecz ujmując, należy ustalić, czy ma ono wpływ na te przepisy krajowe, które regulują uprawnienia i obowiązki sądów krajowych w przypadku, gdy zobowiązują one uczestnika postępowania do przedstawienia dokumentu jako środka dowodowego. Odpowiedź na to pytanie przedstawię w trzech etapach.

27.

Materialny zakres stosowania RODO jest określony w jego art. 2 ust. 1, w którym to przepisie nie przyjęto podejścia instytucjonalnego, lecz funkcjonalne. Z punktu widzenia stosowania RODO istotne jest, co ma miejsce (działanie polegające na przetwarzaniu danych osobowych), a nie kto jest wykonawcą czynności ( 16 ).

28.

Sytuacje wyłączone z zakresu stosowania RODO, wymienione w jego art. 2 ust. 2, również są zdefiniowane w ujęciu funkcjonalnym. Z racji tego, że stanowią one wyjątek od zakresu stosowania RODO, Trybunał uznał, iż należy je interpretować w sposób zawężający ( 17 ).

29.

Per se działalność organów publicznych nie jest zatem wyłączona z zakresu stosowania RODO; jest tak raczej jedynie wówczas, gdy polega ona na wykonywaniu czynności wymienionych w art. 2 ust. 2 RODO ( 18 ). W tym kontekście ów artykuł nie wyłącza czynności sądowych w postępowaniach cywilnych z materialnego zakresu stosowania RODO.

30.

Wniosek, że RODO ma zastosowanie do czynności sądowych, potwierdza motyw 20 RODO ( 19 ), w którym wskazano, iż ów akt ma zastosowanie do działań sądów i innych organów wymiaru sprawiedliwości ( 20 ).

31.

Tego ustalenia nie podważa przewidziane w art. 55 ust. 3 RODO wyłączenie właściwości organów nadzorczych w odniesieniu do czynności podejmowanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości. Wręcz przeciwnie – moim zdaniem ten przepis potwierdza, że sądy, gdy sprawują wymiar sprawiedliwości, podlegają obowiązkom ustanowionym w RODO. Zapewnia ono ochronę ich niezależności i bezstronności poprzez zakazanie organowi nadzorczemu sprawowania nadzoru nad dokonywanymi przez nie operacjami przetwarzania.

32.

Niniejsza sprawa dotyczy przetwarzania danych osobowych, które wchodzi w materialny zakres stosowania RODO. Utworzenie i prowadzenie elektronicznego rejestru pracowników wiąże się z przetwarzaniem danych osobowych ( 21 ). Podobnie wydanie postanowienia zobowiązującego do ujawnienia takich danych osobowych w postępowaniu cywilnym stanowi przypadek przetwarzania tych danych ( 22 ). W związku z tym sytuacja rozpatrywana w postępowaniu głównym mieści się w materialnym zakresie stosowania RODO.

33.

Co to oznacza z punktu widzenia obowiązywania krajowych przepisów proceduralnych, takich jak RB?

34.

Postanowienie zobowiązujące do ujawnienia określonych informacji w postępowaniu, którego dotyczy niniejsza sprawa, zostało wydane na podstawie przepisów RB.

35.

RODO wymaga bowiem, aby przetwarzanie danych w sytuacji takiej jak ta analizowana w niniejszej sprawie miało podstawę prawną w przepisach prawa państwa członkowskiego (lub prawa Unii) ( 23 ).

36.

Przedmiotowe dane, które pierwotnie zostały zebrane i przetworzone do celów podatkowych, mają teraz, na mocy analizowanego w niniejszej sprawie postanowienia zobowiązującego do ujawnienia określonych informacji, zostać przetworzone w celach dowodowych w postępowaniu sądowym.

37.

Artykuł 6 ust. 4 RODO zezwala na przetwarzanie danych w innym celu, jeżeli odbywa się ono na podstawie prawa państwa członkowskiego stanowiącego w demokratycznym społeczeństwie niezbędny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 RODO. Wśród tych celów w art. 23 ust. 1 lit. f) wymieniono „[ochronę] niezależności sądów i postępowania sądowego”.

38.

Wszyscy uczestnicy niniejszego postępowania prejudycjalnego są zgodni, że art. 23 ust. 1 lit. f) RODO stanowi odpowiedni przepis, na którym należy się oprzeć w celu uzasadnienia przetwarzania danych w innym celu na podstawie RB ( 24 ).

39.

RB zezwala sądom krajowym na wydawanie postanowień zobowiązujących do ujawnienia dokumentów, jeżeli mają one wartość dowodową w postępowaniu cywilnym. Zostało już wyjaśnione, że gdy dokument, który ma zostać ujawniony, zawiera dane osobowe, to sąd wydający postanowienie zobowiązujące do jego ujawnienia, staje się administratorem w rozumieniu RODO.

40.

Jak na rozprawie podkreśliła Komisja, sąd krajowy tylko w pewnym stopniu przypomina zwyczajnego administratora. Sądy krajowe mogą bowiem przetwarzać dane wyłącznie w ramach sprawowania przez siebie władzy publicznej.

41.

Jeżeli przetwarzanie danych następuje w ramach sprawowania władzy publicznej ( 25 ), jego podstawa prawna musi być – jak wymaga tego art. 6 ust. 3 RODO – określona w prawie Unii lub w prawie państwa członkowskiego.

42.

W związku z tym zarówno art. 6 ust. 4 RODO (który zezwala na przetwarzanie w innym celu), jak i jego art. 6 ust. 3 (który zezwala na przetwarzanie danych w ramach sprawowania władzy publicznej) wymagają, aby podstawa prawna przetwarzania była określona w prawie krajowym (lub w prawie Unii) ( 26 ).

43.

Dlatego też RB, który zezwala sądowi na wydanie postanowienia o ujawnieniu, stanowi niezbędny warunek zgodności z prawem analizowanego przetwarzania.

44.

Skoro istnieje wymagana przez RODO podstawa prawna, zaś postanowienie, które pociąga za sobą przetwarzanie danych osobowych, zostaje przyjęte z poszanowaniem prawa państwa członkowskiego, to czy spełnione są określone w RODO wymogi zgodności przetwarzania z prawem?

45.

Moim zdaniem istnienie podstawy prawnej w prawie krajowym, choć niezbędne, nie wystarcza jednak do zapewnienia, że postanowienie zobowiązujące do przedstawienia dokumentu jest zgodne z RODO.

46.

Sąd odsyłający wyjaśnił, że na gruncie RB przy podejmowaniu decyzji o zobowiązaniu strony do przedstawienia dokumentu w charakterze dowodu co do zasady nie bierze się pod uwagę prywatnego charakteru informacji. Sądy muszą uwzględnić interesy dwóch przeciwnych stron, natomiast w ustawie nie ma mowy o tym, że interesy osób, których dane dotyczą, odgrywają jakąkolwiek rolę.

47.

Czy RB jest niezgodny z RODO, ponieważ w sposób wyraźny nie zobowiązuje sądów, wówczas, gdy stają się one administratorami, do tego, by brały pod uwagę interesy osób, których dane dotyczą, przy podejmowaniu decyzji mogących mieć wpływ na ich dane osobowe?

48.

Nie uważam, aby tak było. Należy pamiętać, że poszczególne akty prawa krajowego stanowiące podstawę prawną przetwarzania danych nie były uchwalane konkretnie w związku z wprowadzeniem w życie RODO, lecz realizują właściwe sobie cele. Ponadto RODO jest bezpośrednio stosowane w porządkach prawnych państw członkowskich i nie wymaga implementacji. Istotne jest zatem to, że na styku krajowych przepisów proceduralnych oraz RODO owe przepisy krajowe stwarzają ramy dla równoległego stosowania RODO.

49.

Rząd szwedzki potwierdził na rozprawie, że RB nie wymaga, aby sądy brały pod uwagę interesy osób, których dane dotyczą, ale też im tego nie zakazuje. Dlatego właśnie RB nie stoi na przeszkodzie bezpośredniemu stosowaniu RODO w uregulowanym w tym kodeksie postępowaniu sądowym.

50.

Sądy krajowe podlegają zatem równolegle krajowym przepisom proceduralnym oraz RODO, przy czym RODO uzupełnia przepisy krajowe, jeżeli czynności procesowe podejmowane przez sądy obejmują przetwarzanie danych osobowych.

51.

Podsumowując: ustawodawstwo krajowe nie musi zawierać wyraźnych odesłań do RODO ani też zobowiązywać sądów do uwzględnienia interesów osób, których dane dotyczą. Wystarczające jest, jeżeli takie ustawodawstwo zezwala na uzupełniające stosowanie RODO. Akt krajowy byłby sprzeczny z RODO wyłącznie wówczas, gdyby tak nie było. RB wydaje się jednak dopuszczać pośrednie stosowanie RODO ( 27 ).

52.

W celu udzielenia odpowiedzi na pytanie pierwsze sądu odsyłającego stwierdzam zatem, że art. 6 ust. 3 i art. 6 ust. 4 RODO skutkują ustanowieniem w krajowych przepisach proceduralnych wymogów w zakresie obowiązku ujawniania informacji, ilekroć wiąże się to z przetwarzaniem danych. W takim przypadku krajowe przepisy proceduralne nie mogą stać na przeszkodzie uwzględnieniu interesów osób, których dane dotyczą. Te interesy są chronione wówczas, gdy przy podejmowaniu w konkretnym przypadku decyzji o zobowiązaniu do przedstawienia dokumentu mającego wartość dowodową sądy krajowe przestrzegają przepisów RODO.

53.

Sądy krajowe działające w charakterze administratorów muszą, jako podmioty poddane regulacji RODO, brać pod uwagę interesy osób, których dane dotyczą. W jaki sposób należy uwzględnić te interesy przy podejmowaniu konkretnej decyzji o zobowiązaniu do ujawnienia określonych informacji? Takie jest sedno pytania drugiego przedłożonego przez sąd odsyłający.

54.

Interesy osób, których dane dotyczą, są chronione wówczas, gdy przetwarzanie ich danych osobowych odbywa się zgodnie z art. 5 i 6 RODO ( 28 ). Jak wskazuje rzecznik generalny P. Pikamäe, zgodność z art. 5 i 6 RODO pozwala zapewnić ochronę prawa do życia prywatnego i rodzinnego oraz prawa do ochrony danych osobowych, które zagwarantowano odpowiednio w art 7 i 8 Karty praw podstawowych ( 29 ).

55.

Zgodne z prawem cele przetwarzania wymieniono w art. 6 RODO ( 30 ). Jak wyjaśniono w poprzedniej części niniejszej opinii, przetwarzanie analizowane w rozpatrywanej sprawie służy zgodnemu z prawem celowi, gdyż wydanie przez sąd postanowienia o zobowiązaniu do ujawnienia określonych informacji na podstawie prawa krajowego mającego zagwarantować prawidłowy przebieg postępowania sądowego stanowiło przejaw sprawowania przez sąd władzy publicznej. Niemniej jednak zarówno art. 6, jak i art. 5 RODO wymagają nie tylko istnienia zgodnego z prawem celu, ale także zapewnienia, by konkretne przetwarzanie było niezbędne do jego osiągnięcia.

56.

Z RODO wynika zatem wymóg, aby przy ustalaniu, czy ujawnienie danych osobowych w konkretnej sytuacji jest niezbędne do celów dowodowych w postępowaniu sądowym, sąd przeprowadził badanie proporcjonalności ( 31 ).

57.

W tym względzie art. 6 ust. 4 RODO wymaga, aby prawo krajowe będące podstawą przetwarzania w innym celu stanowiło niezbędny i proporcjonalny środek służący zagwarantowaniu jednego z celów wymienionych w art. 23 ust. 1 RODO; w rozpatrywanej sprawie celem tym jest ochrona niezależności sądów i postępowania sądowego. Ponadto art. 6 ust. 3 RODO przewiduje, że przetwarzanie w ramach sprawowania władzy publicznej ma być niezbędne do sprawowania takiej władzy publicznej powierzonej administratorowi.

58.

Prawo krajowe będące podstawę przetwarzania może in abstracto spełniać wymogi przewidziane w art. 6 ust. 3 i 4 RODO. Niemniej jednak zgodność z prawem każdego indywidualnego przetwarzania (a także konkretnego postanowienia sądowego o ujawnieniu) zależy od wyważenia w danym przypadku wszystkich wchodzących w grę interesów, przy uwzględnieniu zgodnego z prawem celu, dla którego występuje się o ujawnienie ( 32 ). Tylko w ten sposób sąd krajowy może stwierdzić, czy i w jakim zakresie ujawnienie jest niezbędne.

59.

Jest zatem jasne, że RODO wymaga przeprowadzenia badania proporcjonalności. Czy to rozporządzenie może jeszcze służyć pomocą przy ustaleniu, jakie konkretne kroki sąd powinien podjąć w ramach takiej analizy?

60.

Jak już wyjaśniono, badanie proporcjonalności należy przeprowadzić w każdym indywidualnym przypadku, z uwzględnieniem wszystkich wchodzących w grę interesów. W sytuacjach takich jak ta rozpatrywana w niniejszej sprawie trzeba wyważyć interesy przemawiające za ujawnieniem oraz ingerencję w prawo do ochrony danych osobowych ( 33 ).

61.

Interesy przemawiające za ujawnieniem stanowią wyraz prawa do skutecznej ochrony sądowej (art. 47 Karty praw podstawowych). Interesy osób, których dane dotyczą, z którymi to interesami owo prawo koliduje, stanowią wyraz prawa do życia prywatnego i rodzinnego (art. 7 Karty praw podstawowych) oraz prawa do ochrony danych osobowych (art. 8 Karty praw podstawowych). To właśnie te prawa należy wyważyć w celu ustalenia, czy ujawnienie danych osobowych jest niezbędne.

62.

Poniżej przedstawię kilka sugestii w przedmiocie konkretnych kroków, których podjęcia można oczekiwać od sądu krajowego.

63.

Przede wszystkim zawsze można domniemywać, że jeżeli osoby, których dane dotyczą, nie wyraziły zgody na przetwarzanie, to ich interesy odzwierciedlają wolę ograniczenia przez nie przetwarzania ich danych osobowych. Zasadniczo taki jest zatem punkt wyjścia dla sądu krajowego – należy uzasadnić, dlaczego miałoby dojść do ingerencji w ten interes.

64.

Moim zdaniem instrukcje dokonania tej oceny można odnaleźć w art. 5 RODO, w którym to przepisie wskazano zasady, jakich administrator musi przestrzegać przy przetwarzaniu danych osobowych.

65.

W tym względzie kardynalne znaczenie ma zapisana w art. 5 ust. 1 lit. c) RODO zasada minimalizacji danych. Jak podkreśla Trybunał ( 34 ), wymóg ten wyraża zasadę proporcjonalności. Zgodnie z nim dane osobowe mają być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

66.

Pierwsze pytanie, jakie należy zadać, brzmi zatem następująco: Czy dane znajdujące się w prowadzonym przez Entral rejestrze pracowników są adekwatne? Będą one adekwatne do celu, w jakim mają zostać ujawnione, jeżeli rzeczywiście zawierają informacje o liczbie godzin przepracowanych przez pracowników Fastec na terenie budowy.

67.

Z kolei drugie pytanie jest następujące: Czy dane znajdujące się w prowadzonym przez Entral rejestrze pracowników są stosowne do celu, w którym żąda się ich ujawnienia? Tym celem wydaje się być interes, jaki Nycander ma w dowiedzeniu, że pracownicy Fastec przepracowali mniejszą liczbę godzin niż wykazana na fakturze. W takich okolicznościach rejestr pracowników okaże się stosowny, jeżeli na jego podstawie rzeczywiście można dowieść prawdziwości tego twierdzenia albo je obalić. Sąd krajowy musi ocenić jego stosowność w świetle innych okoliczności faktycznych sprawy (na przykład twierdzenia Fastec, że w rejestrze pracowników ujęto tylko niektóre odpowiednie godziny pracy, gdyż pozostała ich część została przepracowana poza terenem budowy).

68.

Aby spełnić trzeci wymóg związany z minimalizacją danych, sąd krajowy powinien zbadać, czy do osiągnięcia celów dowodowych potrzebne są wszystkie dane zawarte w rejestrze, czy też może w tym względzie wystarczające są tylko niektóre z nich. Ponadto jeśli można na inne sposoby wykazać tę samą okoliczność faktyczną, zasada minimalizacji danych wymaga, aby posłużono się właśnie tymi sposobami. Przykładowo sąd krajowy może stanąć przed koniecznością oceny twierdzenia Fastec, że faktyczny czas pracy można zweryfikować przez odniesienie do dokumentów, które stanowią już część akt sprawy przed sądem odsyłającym. Jeżeli zostanie ono uznane za prawdziwe, sąd krajowy nie może wydać postanowienia zobowiązującego do ujawnienia danych osobowych zawartych w rejestrze pracowników.

69.

Sąd krajowy musi ustalić, jakiego rodzaju dane osobowe znajdujące się w rejestrze pracowników wystarczają do udowodnienia lub zanegowania zaistnienia istotnych okoliczności faktycznych. W tym względzie zasada minimalizacji danych wymaga, aby ujawniane były jedynie te dane, które są bezwzględnie niezbędne w danym wypadku. Może więc pojawić się potrzeba, aby Entral, jako podmiot przetwarzający, zmodyfikowała w pewien sposób rejestr pracowników, co pozwoli ograniczyć do niezbędnego minimum dane osobowe, a jednocześnie umożliwi sformułowanie wniosku na temat liczby faktycznie przepracowanych godzin.

70.

W tym względzie sąd krajowy musi ustalić, czy dla zapewnienia wartości dowodowej ujawnianych informacji jest konieczne, aby osoby, których dane znajdują się w rejestrze, dało się zidentyfikować (na przykład jeżeli niezbędne jest podanie imion i nazwisk poszczególnych pracowników w celu wezwania ich do stawiennictwa w charakterze świadków). W przeciwnym wypadku wystarczające może być uzyskanie informacji na temat całkowitej liczby godzin przepracowanych na terenie budowy lub liczby osób, które w tych godzinach wykonywały pracę.

71.

W zależności od odpowiedzi, jakie zostaną udzielone na powyższe pytania, sąd może wystąpić o ujawnienie danych w wersji spseudonimizowanej lub zanonimizowanej ( 35 ).

72.

Zgodnie z motywem 26 RODO spseudonimizowane dane pozostają objęte materialnym zakresem stosowania tego rozporządzenia. Jest tak dlatego, że nie znika możliwość ustalenia tożsamości osoby kryjącej się za pseudonimem. Inaczej jest w przypadku danych w wersji zanonimizowanej, które nie wchodzą w zakres stosowania RODO. W związku z tym wybrana ostatecznie przez sąd krajowy forma, w jakiej należy ujawnić dane, będzie też miała wpływ na kwestię dalszego stosowania RODO ( 36 ).

73.

Wreszcie to sąd krajowy będzie musiał określić wartość dowodową poszczególnych wersji rejestru pracowników, tak aby zdecydować, jakiego rodzaju minimalizacja danych jest konieczna (o ile w ogóle zachodzi potrzeba minimalizacji danych) do prawidłowego zakończenia toczącego się przed nim postępowania sądowego.

74.

Oprócz wyrażonej w art. 5 ust. 1 lit. c) RODO zasady minimalizacji danych sąd krajowy pozostaje związany także innymi zasadami wymienionymi w art. 5 RODO, które mają znaczenie w z punktu widzenia metodyki wydawania postanowienia o zobowiązaniu do ujawnienia określonych informacji.

75.

Na przykład w art. 5 ust. 1 lit. a) RODO jest mowa nie tylko o zasadzie zgodności z prawem (która została rozwinięta w art. 6 tego rozporządzenia), lecz również o zasadzie przejrzystości. Uważam, że z tej zasady wypływa spoczywający na sądzie krajowym wymóg jasnego uzasadnienia postanowienia o ujawnieniu danych osobowych, w szczególności poprzez wskazanie, w jaki sposób wyważył on poszczególne interesy i argumenty stron dotyczące ujawnienia.

76.

Odpowiednie uzasadnienie postanowienia o zobowiązaniu do ujawnienia określonych informacji pozwala też spełnić zawarty w art. 5 ust. 2 RODO wymóg, aby administrator był w stanie wykazać przestrzeganie zasad wymienionych w art. 5 ust. 1 tego rozporządzenia.

77.

Wskazówek na temat tego, jak zapewnić przestrzeganie zasad ustanowionych w art. 5 RODO, dostarcza również lektura jego motywu 31. Zgodnie z nim „[ż]ądanie ujawnienia danych osobowych, z którym występują […] organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych”.

78.

Rząd polski wyraził pewną wątpliwość co do oceny proporcjonalności dokonywanej przez sąd krajowy: Skoro sąd krajowy ma ocenić wartość dowodową rejestru pracowników lub innego środka dowodowego w toczącym się przed nim postępowaniu, to czy aby nie włącza się zbytnio w to, co powinno pozostać domeną stron, mianowicie w wymianę argumentów w celu wygrania sporu tyczącego się właśnie wartości dowodowej takiego środka dowodowego?

79.

Moim zdaniem ocena wartości dowodowej, w ramach której uwzględnia się interesy osób, których dane dotyczą, nie skutkuje większą ingerencją w sprawę aniżeli ocena wartości dowodowej jakiegokolwiek innego środka dowodowego w postępowaniu cywilnym ( 37 ).

80.

Stopień ingerencji sądu krajowego będzie zależał od tego, jak bardzo oczywista jest wartość dowodowa środka dowodowego, o którego ujawnienie wniesiono w okolicznościach danej sprawy. Kwestia tego, w jakim zakresie ujawnienie może ingerować w interesy osób, których dane dotyczą, będzie zawsze powiązana ze specyfiką konkretnego przypadku.

81.

Na przykład niektóre sprawy mogą dotyczyć danych wrażliwych, które są szczególnie chronione na podstawie art. 9 RODO, lub też danych na temat sankcji karnych, objętych systemem ustanowionym w art. 10 tego rozporządzenia. W takich sytuacjach interesy osób, których dane dotyczą, z konieczności nabiorą przy wyważaniu większej wagi ( 38 ). Podobnie interes przemawiający za ujawnieniem może być różny w zależności od przypadku. Niekiedy będzie jasne, że dowody, o które wystąpiono, mają marginalne znaczenie, podczas gdy w pewnych sytuacjach będą one kluczowe dla rozstrzygnięcia sprawy. W tym względzie należy zgodzić się z Komisją, że przy dokonywaniu tego rodzaju ustaleń sądowi krajowemu powinien przysługiwać szeroki zakres uznania. Nigdy nie powinien on jednak być zwolniony z obowiązku uwzględnienia interesów osób, których dane dotyczą.

82.

Inną wątpliwość wyraził rząd czeski, który podniósł, że nałożenie na sądy krajowe obowiązku uwzględnienia interesów osób, których dane dotyczą, za każdym razem, gdy wydają one postanowienie o ujawnieniu dowodów z dokumentów, stanowiłoby przeszkodę dla prawidłowego przebiegu postępowań sądowych. RODO rzeczywiście wprowadza dodatkowy obowiązek ( 39 ) przeprowadzenia przez sądy kontroli proporcjonalności przed wydaniem postanowienia zobowiązującego do ujawnienia dowodów z dokumentów zawierających dane osobowe. Jednak ani równoważenie interesów nie stanowi z punktu widzenia sądów jakiegoś niezwykłego zadania intelektualnego, ani też nie jest tak, że obciążenie nałożone na sądy krajowe różni się od tego, które RODO nakłada na każdego administratora danych.

83.

Jeżeli obywatele Unii mają korzystać z wysokiego stopnia ochrony danych osobowych, zgodnie z dokonanym przez prawodawcę Unii wyborem, który został wyrażony w RODO, uwzględnienie interesów osób, których dane dotyczą, nie może być postrzegane w kategoriach nadmiernego obciążenia nałożonego na sądy państw członkowskich.

84.

W związku z tym proponuję Trybunałowi, aby na pytanie drugie sądu odsyłającego odpowiedział następująco: przy podejmowaniu w postępowaniu cywilnym decyzji w sprawie wydania postanowienia o ujawnieniu określonych informacji do celów dowodowych, które pociąga za sobą przetwarzanie danych osobowych, sąd krajowy powinien przeprowadzić badanie proporcjonalności z uwzględnieniem interesów osób, których dane dotyczą i których dane osobowe mają zostać przetworzone, oraz wyważyć je względem interesu, jaki strony postępowania mają w uzyskaniu dowodów. Przy dokonywaniu tej oceny proporcjonalności należy kierować się zasadami określonymi w art. 5 RODO, w tym zasadą minimalizacji danych.

85.

W świetle powyższych rozważań proponuję Trybunałowi, by na dwa pytania prejudycjalne przedstawione przez Högsta domstolen (sąd najwyższy, Szwecja) odpowiedział następująco: