1.

„Vaše súkromie je pre náš dôležité. Na zlepšenie našich služieb používame súbory cookie. Skontrolujte si, prosím, preferencie ochrany súkromia. Prijať všetky/Nastavenia. Prečítajte si naše zásady ochrany osobných údajov a zásady používania súborov cookie.“ ( 2 )

2.

Podobná správa sa objaví pri návšteve každej internetovej stránky.

3.

Ide o výsledok všeobecného nariadenia o ochrane údajov (ďalej len „GDPR“) ( 3 ), ktoré sa stalo hlavným nástrojom na ochranu osobných údajov v Európskej únii.

4.

Objavuje sa GDPR tiež na vnútroštátnych súdoch? Konkrétne, vzťahuje sa na povinnosti poskytnúť informácie v občianskoprávnom konaní na vnútroštátnom súde? Ak áno, aké povinnosti zakladá pre tieto súdy? To sú otázky, ktoré má Súdny dvor objasniť v prejednávanej veci.

5.

Uvedené otázky vznikli v rámci sporu prejednávaného na vnútroštátnom súde, Högsta domstolen (Najvyšší súd, Švédsko). Skutkové okolnosti sporu možno zhrnúť takto: Norra Stockholm Bygg AB (ďalej len „Fastec“), navrhovateľka v konaní o kasačnom opravnom prostriedku, realizovala výstavbu administratívnej budovy pre spoločnosť Per Nycander AB (ďalej len „Nycander“), odporkyňu v konaní o kasačnom opravnom prostriedku. Zamestnanci, ktorí sa podieľali na realizácii diela podľa tejto zmluvy, zaznamenávali svoju prítomnosť v elektronickej evidencii zamestnancov na daňové účely. Vedenie evidencie zamestnancov zabezpečovala spoločnosť Entral AB a túto činnosť vykonávala v mene spoločnosti Fastec.

6.

Konanie vo veci samej sa začalo sporom o zaplatenie dlžnej odmeny za vykonané práce. Nycander spochybnila žiadosť spoločnosti Fastec o platbu [vo výške o niečo viac ako 2000000 švédskych korún (SEK), približne 190133 eur] s tvrdením, že čas, ktorý Fastec strávila realizáciou diela, bol kratší ako obdobie, za ktoré si Fastec nárokuje platbu.

7.

S cieľom preukázať pravdivosť svojho tvrdenia Nycander navrhla, aby Entral predložila evidenciu zamestnancov, ktorú viedla v mene spoločnosti Fastec. Fastec sa bráni proti tomuto návrhu, pričom tvrdí, že takéto poskytnutie informácií by bolo v rozpore s GDPR, keďže požadované údaje boli získavané na iný účel a nemôžu byť použité ako dôkaz v konaní vo veci samej.

8.

Tingsrätt (súd prvej inštancie, Švédsko) nariadil spoločnosti Entral predložiť predmetnú evidenciu a Svea hovrätt (Odvolací súd pre región Svea, Švédsko) potvrdil toto rozhodnutie v odvolacom konaní.

9.

Fastec podala proti rozhodnutiu Svea hovrätt (Odvolací súd pre región Svea) kasačný opravný prostriedok na Högsta domstolen (Najvyšší súd) a navrhla, aby tento súd zamietol návrh spoločnosti Nycander na poskytnutie informácií, alebo subsidiárne nariadil predloženie anonymizovanej verzie evidencie zamestnancov. V tomto kontexte Högsta domstolen (Najvyšší súd) predložil Súdnemu dvoru návrh na začatie prejudiciálneho konania s týmito otázkami:

10.

V priebehu konania predložili Súdnemu dvoru písomné pripomienky Fastec, česká, poľská a švédska vláda, ako aj Európska komisia. Dňa 27. júna 2022 sa konalo pojednávanie, na ktorom boli vypočuté prednesy spoločnosti Nycander, poľskej a švédskej vlády, ako aj Európskej komisie.

11.

Článok 5 GDPR stanovuje zásady, ktoré musí spĺňať každé spracúvanie osobných údajov:

„1.   Osobné údaje musia byť:

2.   Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“

12.

Článok 6 GDPR, nazvaný „Zákonnosť spracúvania“, v odsekoch 1, 3 a 4 stanovuje:

„1.   Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

…

…

…

3.   Základ pre spracúvanie uvedené v odseku 1 písm. c) a e) musí byť stanovený:

Účel spracúvania sa stanoví v tomto právnom základe, alebo pokiaľ ide o spracúvanie uvedené v odseku 1 písm. e), spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Uvedený právny základ môže obsahovať osobitné ustanovenia na prispôsobenie uplatňovania pravidiel tohto nariadenia, vrátane: všeobecných podmienok vzťahujúcich sa na zákonnosť spracúvania prevádzkovateľom; typov spracúvaných údajov; dotknutých osôb; subjektov, ktorým sa môžu osobné údaje poskytnúť, a účely, na ktoré ich možno poskytnúť; obmedzenia účelu; doby uchovávania; a spracovateľských operácií a postupov vrátane opatrení na zabezpečenie zákonného a spravodlivého spracúvania, ako napríklad tie na iné osobitné situácie spracúvania, ako sú stanovené v kapitole IX. Právo Únie alebo právo členského štátu musí spĺňať cieľ verejného záujmu a byť primerané sledovanému oprávnenému cieľu.

4.   Ak spracúvanie na iné účely ako na účely, na ktoré boli osobné údaje získavané, nie je založené na súhlase dotknutej osoby alebo na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti na ochranu cieľov uvedených v článku 23 ods. 1, prevádzkovateľ na zistenie toho, či je spracúvanie na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného zohľadní:

13.

Okrem toho článok 23 ods. 1 GDPR upravuje obmedzenia práv a povinností vyplývajúcich z GDPR:

„1.   V práve Únie alebo práve členského štátu, ktorému prevádzkovateľ alebo sprostredkovateľ podliehajú, sa prostredníctvom legislatívneho opatrenia môže obmedziť rozsah povinností a práv ustanovených v článkoch 12 až 22 a v článku 34, ako aj v článku 5, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam ustanoveným v článkoch 12 až 22, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť:

…

…“

14.

§ 2 prvý odsek kapitoly 38 rättegångsbalken (Súdny poriadok, ďalej len „RB“) stanovuje, že každý, kto disponuje písomným dokumentom, o ktorom možno predpokladať, že má dôkaznú hodnotu, je povinný takýto dokument predložiť. Druhý odsek toho istého ustanovenia stanovuje výnimky z takejto povinnosti, vrátane právnikov, lekárov, psychológov, kňazov a iných úradníkov, ktorým boli informácie zverené pri výkone ich povolania alebo rovnocennej činnosti. § 4 kapitoly 38 RB následne priznáva súdu právomoc nariadiť predloženie písomného dokumentu ako dôkazu.

15.

Podľa vnútroštátneho súdu pri posudzovaní, či má byť osobe uložená povinnosť predložiť dokument, musí súd zvážiť relevantnosť dôkazu a záujem protistrany na nesprístupnení týchto informácií. Ako však vysvetľuje vnútroštátny súd, v rámci tohto posúdenia sa neprihliada na súkromnú povahu poskytnutých informácií.

16.

GDPR je hlavným aktom Únie upravujúcim ochranu fyzických osôb pri spracúvaní ich osobných údajov. Na rozdiel od smernice 95/46/ES ( 4 ), ktorá mu predchádzala, bolo GDPR prijaté na základe článku 16 ZFEÚ. ( 5 ) Tento právny základ oprávňuje normotvorcu Únie chrániť základné právo na ochranu osobných údajov zakotvené v článku 8 ods. 1 Charty základných práv Európskej únie (ďalej len „Charta“). ( 6 )

17.

GDPR ukladá zodpovednosť za súlad s týmto aktom pri spracúvaní osobných údajov „prevádzkovateľovi“. ( 7 ) V každom jednom prípade spracúvania osobných údajov je preto dôležité zistiť, kto je prevádzkovateľom.

18.

V súlade s článkom 4 bodom 7 GDPR je prevádzkovateľom fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý určí účely a prostriedky spracúvania osobných údajov.

19.

V prejednávanej veci dochádza k dvom samostatným spracúvaniam osobných údajov. Prvé spracúvanie súvisí s elektronickou evidenciou zamestnancov, ktorú viedla spoločnosť Entral v mene spoločnosti Fastec, pričom Fastec mala podľa švédskeho práva povinnosť získavať údaje o odpracovaných hodinách na daňové účely. V tomto kontexte Fastec je prevádzkovateľom a Entral je sprostredkovateľom. ( 8 )

20.

Je nesporné, že toto prvé spracúvanie bolo v súlade s GDPR. Konkrétne článok 6 ods. 1 písm. c) tohto nariadenia umožňuje spracúvanie osobných údajov, ktoré je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa, v tomto prípade spoločnosti Fastec. ( 9 ) Samozrejme, ak by sa toto prvé spracúvanie malo považovať za nezákonné vzhľadom na GDPR, spracúvanie takýchto údajov na iný účel by bolo tiež nezákonné. ( 10 )

21.

V prejednávanej veci je však v centre záujmu druhé spracúvanie (na iný účel) tých istých údajov pôvodne získavaných na daňové účely. Novým účelom je poskytnutie evidencie zamestnancov spoločnosťou Entral ako dôkazu v občianskom súdnom konaní medzi spoločnosťami Fastec a Nycander. Predloženie tejto evidencie na účely jej použitia v občianskom súdnom konaní by totiž nevyhnutne zahŕňalo spracúvanie osobných údajov.

22.

V rámci tohto druhého spracúvania sa funkcie podľa GDPR v porovnaní s prvým spracúvaním menia. Čo je najdôležitejšie, vnútroštátny súd tým, že vydá príkaz, aby Entral predložila evidenciu zamestnancov (ďalej len „príkaz na poskytnutie informácií“), je subjektom, ktorý určuje účely a prostriedky druhého spracúvania údajov. ( 11 ) Tento súd sa teda stáva prevádzkovateľom. ( 12 )

23.

V rámci tohto druhého spracúvania by sa Fastec mohla považovať za subjekt, ktorý zostáva prevádzkovateľom, alebo ktorého funkcia sa zmenila a teraz je spolu so spoločnosťou Nycander príjemcom údajov. ( 13 ) Aj keby však Fastec zostala prevádzkovateľom spolu s vnútroštátnym súdom, ( 14 ) nemalo by to vplyv na povinnosti vnútroštátneho súdu ako prevádzkovateľa. ( 15 ) Napokon funkcia spoločnosti Entral sa nemení. Zostáva sprostredkovateľom a naďalej spracúva tie isté osobné údaje, teraz však v mene nového prevádzkovateľa, ktorým je vnútroštátny súd.

24.

Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa vnútroštátny súd skutočne môže stať prevádzkovateľom podľa GDPR a či v takom prípade toto nariadenie stanovuje požiadavky, ktoré sa vzťahujú na vnútroštátne procesné právne predpisy týkajúce sa právomocí a povinností súdov v občianskom súdnom konaní. V prípade, že sa GDPR uplatní a vnútroštátny súd je prevádzkovateľom, vnútroštátny súd sa svojou druhou otázkou pýta, ako by mal takýto súd rozhodnúť o poskytnutí osobných údajov, keď majú byť použité ako dôkaz v občianskom súdnom konaní.

25.

Na účely poskytnutia odpovede na otázky vnútroštátneho súdu budem postupovať takto. Najprv vysvetlím, prečo sa domnievam, že GDPR sa uplatní na občianske súdne konania na súdoch členských štátov, a aký to má vplyv na existujúce procesné právne predpisy členských štátov (časť B). Potom sa budem zaoberať metodikou, ktorú by vnútroštátne súdy ako prevádzkovatelia mali uplatňovať na účely splnenia požiadaviek GDPR (časť C).

26.

Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa GDPR uplatňuje na občianske súdne konania a aký má vplyv na príslušné procesné pravidlá. Presnejšie sa pýta, či má vplyv na tie vnútroštátne pravidlá, ktoré upravujú právomoci a povinnosti súdov pri nariaďovaní predloženia listinných dôkazov. Na túto otázku odpoviem v troch krokoch.

27.

Vecná pôsobnosť GDPR je vymedzená v článku 2 ods. 1 tohto nariadenia a vychádza skôr z funkčného než inštitucionálneho prístupu. Uplatnenie GDPR je založené skôr na predmete (činnosť spracúvania osobných údajov) než na subjekte. ( 16 )

28.

Situácie vylúčené z pôsobnosti GDPR, vymenované v jeho článku 2 ods. 2, majú rovnako funkčnú povahu. Súdny dvor konštatoval, že vzhľadom na to, že predstavujú výnimku z uplatňovania GDPR, majú sa vykladať reštriktívne. ( 17 )

29.

Činnosť orgánov verejnej moci teda nie je vylúčená z pôsobnosti GDPR ako takého, ale len vo vzťahu k činnostiam vymenovaným v článku 2 ods. 2 GDPR. ( 18 ) V tejto súvislosti toto ustanovenie nevylučuje súdnu činnosť v občianskych súdnych konaniach z vecnej pôsobnosti GDPR.

30.

Záver, že GDPR sa uplatňuje na súdnu činnosť, potvrdzuje odôvodnenie 20 GDPR, ( 19 ) v ktorom sa uvádza, že tento akt sa vzťahuje na činnosti súdov a iných justičných orgánov. ( 20 )

31.

Vylúčenie právomoci dozorných orgánov vo vzťahu k súdom, keď vykonávajú svoju súdnu právomoc, stanovené v článku 55 ods. 3 GDPR, nemá vplyv na predchádzajúci záver. Práve naopak, toto ustanovenie podľa môjho názoru potvrdzuje, že súdy pri výkone svojej súdnej právomoci podliehajú povinnostiam uloženým v GDPR. Toto nariadenie zabezpečuje ich nezávislosť a nestrannosť tým, že zakazuje dohľad dozorného orgánu nad ich spracovateľskými operáciami.

32.

Prejednávaná vec sa týka spracúvania osobných údajov, ktoré patrí do vecnej pôsobnosti GDPR. Vytvorenie a vedenie elektronickej evidencie zamestnancov sa týka spracúvania osobných údajov. ( 21 ) Rovnako tak aj v prípade nariadenia poskytnutia takýchto osobných údajov v rámci občianskeho súdneho konania ide o spracúvanie týchto údajov. ( 22 ) Situácia vo veci samej teda patrí do vecnej pôsobnosti GDPR.

33.

Čo to znamená pre uplatňovanie vnútroštátnych procesných pravidiel, ako napríklad RB?

34.

Právnym základom prijatia sporného príkazu na poskytnutie informácií v prejednávanej veci je RB.

35.

GDPR totiž vyžaduje, aby právnym základom spracúvania údajov v situácii, o akú ide v prejednávanej veci, bolo právo členského štátu (alebo Únie). ( 23 )

36.

Dotknuté údaje, pôvodne získavané a spracúvané na daňové účely, majú byť teraz na základe príkazu na poskytnutie informácií v prejednávanej veci spracúvané na účel dokazovania v súdnom konaní.

37.

Článok 6 ods. 4 GDPR umožňuje zmenu účelu spracúvania údajov, ak sa zakladá na práve členského štátu, ktoré predstavuje potrebné opatrenie v demokratickej spoločnosti na ochranu cieľov uvedených v článku 23 ods. 1 GDPR. V rámci týchto cieľov článok 23 ods. 1 písm. f) uvádza „ochranu nezávislosti súdnictva a súdnych konaní“.

38.

Všetci účastníci tohto prejudiciálneho konania sa zhodujú na tom, že článok 23 ods. 1 písm. f) GDPR je vhodným ustanovením, o ktoré sa možno opierať na účely odôvodnenia zmeny účelu spracúvania údajov na základe RB. ( 24 )

39.

RB oprávňuje vnútroštátne súdy nariadiť predloženie dokumentov, ak majú dôkaznú hodnotu v občianskom súdnom konaní. Ako bolo vysvetlené, ak dokument, ktorý sa má predložiť, obsahuje osobné údaje, súd, ktorý nariadi takéto predloženie, sa stáva prevádzkovateľom podľa GDPR.

40.

Ako zdôraznila Komisia na pojednávaní, vnútroštátny súd je bežným prevádzkovateľom len do určitej miery. Konkrétne, vnútroštátne súdy môžu spracúvať údaje len pri výkone svojej verejnej moci.

41.

Ak sa spracúvanie údajov uskutočňuje v rámci výkonu verejnej moci ( 25 ), článok 6 ods. 3 GDPR vyžaduje, aby sa zakladalo na práve Únie alebo na práve členského štátu.

42.

Tak článok 6 ods. 4 GDPR (umožňujúci spracúvanie údajov na iný účel), ako aj článok 6 ods. 3 GDPR (umožňujúci spracúvanie údajov pri výkone verejnej moci) teda vyžadujú existenciu vnútroštátneho práva (alebo práva Únie) ako právneho základu spracúvania údajov. ( 26 )

43.

RB, ktorý oprávňuje súd vydať príkaz na poskytnutie informácií, je teda nevyhnutnou podmienkou zákonnosti predmetného spracúvania.

44.

Ak existuje právny základ vyžadovaný GDPR a príkaz, ktorý zahŕňa spracúvanie osobných údajov, je prijatý v súlade s takýmto právom členského štátu, sú splnené požiadavky GDPR týkajúce sa zákonnosti spracúvania?

45.

Podľa môjho názoru existencia právneho základu vo vnútroštátnom práve, hoci je nevyhnutná, nepostačuje na to, aby bol príkaz na poskytnutie informácií v súlade s GDPR.

46.

Vnútroštátny súd vysvetlil, že podľa RB sa pri rozhodovaní o predložení dôkazov v zásade neprihliada na súkromnú povahu informácií. Súd je povinný zohľadniť záujmy oboch protistrán, samotný zákon však neuvádza, že by záujmy dotknutých osôb zohrávali nejakú úlohu.

47.

Je RB nezlučiteľný s GDPR v rozsahu, v akom výslovne neukladá súdom v prípade, keď sa stanú prevádzkovateľmi, povinnosť zohľadniť záujmy dotknutých osôb pri prijímaní rozhodnutí, ktorými môžu byť dotknuté ich osobné údaje?

48.

Podľa môjho názoru to tak nie je. Je potrebné vziať do úvahy, že rôzne vnútroštátne akty, ktoré slúžia ako právne základy pre spracúvanie údajov, neboli prijaté špecificky v rámci vykonania GDPR, ale majú svoje vlastné účely. Okrem toho GDPR je priamo uplatniteľné v právnych poriadkoch členských štátov a nevyžaduje si vykonanie. Dôležité preto je, aby v prípade stretu vnútroštátnych procesných pravidiel a GDPR tieto pravidlá poskytovali priestor na súčasné uplatňovanie tohto nariadenia.

49.

Švédska vláda na pojednávaní potvrdila, že RB nevyžaduje, ale ani nezakazuje, aby súdy zohľadňovali záujmy dotknutých osôb. Nebráni teda priamemu uplatňovaniu GDPR na súdne konanie upravené týmto súdnym poriadkom.

50.

Vnútroštátne súdy teda súbežne podliehajú vnútroštátnym procesným pravidlám a GDPR, pričom GDPR dopĺňa vnútroštátne pravidlá, ak procesná činnosť súdov zahŕňa spracúvanie osobných údajov.

51.

Na záver možno konštatovať, že vnútroštátne právne predpisy nemusia výslovne odkazovať na GDPR ani ukladať súdom povinnosť zohľadňovať záujmy dotknutých osôb. Stačí, aby takéto predpisy umožňovali doplnkové uplatňovanie GDPR. Vnútroštátny akt by bol v rozpore s GDPR len v prípade, že by to tak nebolo. Zdá sa však, že RB umožňuje doplnkové uplatňovanie GDPR. ( 27 )

52.

Na účely odpovede na prvú otázku vnútroštátneho som teda dospela k záveru, že článok 6 ods. 3 a 4 GDPR stanovuje požiadavky, ktoré sa vzťahujú na vnútroštátne procesné právne predpisy týkajúce sa povinnosti poskytnúť informácie, vždy, keď toto poskytnutie zahŕňa spracúvanie osobných údajov. Vnútroštátne procesné právne predpisy musia v takomto prípade umožniť zohľadnenie záujmov dotknutých osôb. Tieto záujmy budú chránené, ak vnútroštátne súdy budú pri rozhodovaní o predložení listinných dôkazov v jednotlivých prípadoch dodržiavať pravidlá GDPR.

53.

Vnútroštátne súdy ako subjekty, na ktoré sa uplatní GDPR, musia ako prevádzkovatelia zohľadňovať záujmy dotknutých osôb. Ako sa majú tieto záujmy zohľadniť pri prijímaní konkrétneho rozhodnutia týkajúceho sa poskytnutia informácií? To je podstata druhej otázky vnútroštátneho súdu.

54.

Záujmy dotknutých osôb sú chránené, ak je spracúvanie ich osobných údajov v súlade s článkami 5 a 6 GDPR. ( 28 ) Ako uviedol generálny advokát Pikamäe, dodržiavanie článkov 5 a 6 GDPR zabezpečuje ochranu práva na súkromný a rodinný život a ochranu osobných údajov, ako sú zaručené článkami 7 a 8 Charty. ( 29 )

55.

Legitímne ciele spracúvania sú vymenované v článku 6 GDPR. ( 30 ) Ako bolo vysvetlené v predchádzajúcej časti týchto návrhov, spracúvanie v prejednávanej veci sleduje zákonný účel, keďže súd vykonal svoju verejnú moc, keď nariadil poskytnutie informácií na základe vnútroštátneho práva, ktoré slúži na zabezpečenie riadneho priebehu konania. Tak článok 6, ako aj článok 5 GDPR však vyžadujú nielen legitímny cieľ, ale aj nevyhnutnosť konkrétneho spracúvania pre dosiahnutie tohto cieľa.

56.

GDPR teda vyžaduje, aby súd pri rozhodovaní o tom, či je poskytnutie osobných údajov v konkrétnej situácii nevyhnutné na účely dokazovania v súdnom konaní, vykonal analýzu proporcionality. ( 31 )

57.

V tejto súvislosti článok 6 ods. 4 GDPR vyžaduje, aby vnútroštátne právo, na ktorom je spracúvanie na iný účel založené, bolo potrebným a primeraným opatrením na ochranu jedného z cieľov uvedených v článku 23 ods. 1 GDPR, ktorým je v prejednávanej veci ochrana nezávislosti súdnictva a súdnych konaní. Okrem toho článok 6 ods. 3 GDPR vyžaduje, aby spracúvanie pri výkone verejnej moci bolo nevyhnutné na výkon takejto verejnej moci zverenej prevádzkovateľovi.

58.

Vnútroštátne právo, ktoré tvorí základ spracúvania, môže in abstracto spĺňať požiadavky článku 6 ods. 3 a 4 GDPR. Zákonnosť každého jednotlivého spracúvania (vrátane osobitného súdneho príkazu na poskytnutie informácií) však závisí od konkrétneho zváženia všetkých dotknutých záujmov, pričom sa zohľadňuje legitímny cieľ, na ktorý sa poskytnutie informácií požaduje. ( 32 ) Len týmto spôsobom môže vnútroštátny súd rozhodnúť, či a v akom rozsahu je poskytnutie informácií nevyhnutné.

59.

Je teda zrejmé, že GDPR vyžaduje analýzu proporcionality. Je GDPR nápomocné aj pri zodpovedaní otázky, aké konkrétne kroky musí súd vykonať v rámci takejto analýzy?

60.

Ako bolo vysvetlené, analýza proporcionality sa musí vykonať v každom jednotlivom prípade s prihliadnutím na všetky dotknuté záujmy. V situáciách, o akú ide v prejednávanej veci, je potrebné zvážiť na jednej strane záujmy, ktoré odôvodňujú poskytnutie informácií, a na druhej strane zásah do práva na ochranu osobných údajov. ( 33 )

61.

Záujmy, ktoré odôvodňujú poskytnutie informácií, sú vyjadrením práva na účinnú súdnu ochranu (článok 47 Charty). Záujmy dotknutých osôb, s ktorými je toto právo v rozpore, sú vyjadrením práva na súkromný a rodinný život (článok 7 Charty) a práva na ochranu osobných údajov (článok 8 Charty). Práve tieto práva je potrebné zvážiť, aby bolo možné rozhodnúť, či je poskytnutie osobných údajov nevyhnutné.

62.

V nasledujúcich úvahách uvediem určité návrhy týkajúce sa konkrétnych krokov, ktorých vykonanie možno očakávať od vnútroštátneho súdu.

63.

Na úvod treba uviesť, že vždy možno predpokladať, že dotknuté osoby, ktoré nevyjadrili súhlas so spracúvaním, majú záujem na obmedzení spracúvania svojich osobných údajov. To je teda základná východisková pozícia pre vnútroštátny súd: odôvodniť, prečo by sa malo do tohto záujmu zasiahnuť.

64.

Domnievam sa, že pokyny na vykonanie tohto posúdenia je možné nájsť v článku 5 GDPR, ktorý obsahuje zásady, ktoré musí prevádzkovateľ pri spracúvaní osobných údajov dodržiavať.

65.

V tejto súvislosti má kľúčový význam zásada minimalizácie údajov upravená v článku 5 ods. 1 písm. c) GDPR. Ako uviedol Súdny dvor ( 34 ), táto požiadavka je vyjadrením proporcionality. Vyžaduje, aby osobné údaje boli primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.

66.

Prvou otázkou, ktorú si treba položiť, preto je, či sú údaje v evidencii zamestnancov vedenej spoločnosťou Entral primerané. Tieto údaje budú primerané na účel, na ktorý sa majú poskytnúť, ak skutočne preukazujú počet hodín odpracovaných zamestnancami spoločnosti Fastec na stavenisku.

67.

Druhou otázkou je, či sú údaje v evidencii vedenej spoločnosťou Entral relevantné na účel, na ktorý sa požadujú. Účelom je zrejme záujem spoločnosti Nycander preukázať svoje tvrdenie, že pracovníci spoločnosti Fastec odpracovali menší počet hodín, než aký je uvedený na faktúre. Za týchto okolností je evidencia zamestnancov relevantná, ak skutočne môže preukázať alebo vyvrátiť takéto tvrdenie. Vnútroštátny súd musí posúdiť jej relevantnosť s ohľadom na ostatné skutkové okolnosti veci (napríklad na tvrdenie spoločnosti Fastec, že evidencia obsahuje len časť relevantných pracovných hodín, pričom ostatné boli strávené mimo staveniska).

68.

S cieľom splniť tretiu požiadavku minimalizácie údajov vnútroštátny súd musí určiť, či sú na účely dokazovania postačujúce všetky alebo len niektoré údaje obsiahnuté v evidencii. Okrem toho, ak existujú iné spôsoby preukázania tej istej skutočnosti, minimalizácia údajov vyžaduje použitie týchto iných spôsobov. Vnútroštátny súd môže napríklad čeliť potrebe posúdiť tvrdenie spoločnosti Fastec, že skutočný počet odpracovaných hodín možno overiť na základe dokumentov, ktoré sú už súčasťou spisu vo veci vedenej na vnútroštátnom súde. Ak vnútroštátny súd konštatuje, že toto tvrdenie je pravdivé, nemôže nariadiť poskytnutie osobných údajov z evidencie zamestnancov.

69.

Vnútroštátny súd musí určiť, ktoré typy osobných údajov z evidencie sú dostatočné na preukázanie alebo vyvrátenie relevantných skutočností. V tejto súvislosti zásada minimalizácie údajov vyžaduje, aby sa poskytovali len nevyhnutne potrebné údaje na predmetné účely. Mohlo by byť preto potrebné, aby Entral ako sprostredkovateľ upravila evidenciu zamestnancov tak, aby obmedzila osobné údaje na nevyhnutné minimum a zároveň umožnila vyvodiť záver o skutočne odpracovaných hodinách.

70.

Vnútroštátny súd musí v tejto súvislosti určiť, či je na účely dôkaznej hodnoty poskytnutia údajov nevyhnutné, aby osoby, ktorých údaje sú zapísané do evidencie, boli identifikovateľné (napríklad, či je potrebné uviesť mená jednotlivých pracovníkov na účely ich predvolania ako svedkov). V opačnom prípade môžu postačovať informácie týkajúce sa celkového počtu hodín strávených na stavenisku a/alebo počtu osôb, ktoré tieto hodiny odpracovali.

71.

V závislosti od odpovedí na predchádzajúce otázky môže súd rozhodnúť o žiadosti o poskytnutie pseudonymizovaných alebo anonymizovaných údajov. ( 35 )

72.

Podľa odôvodnenia 26 GDPR údaje, ktoré boli pseudonymizované, patria do vecnej pôsobnosti GDPR. Je to tak preto, lebo je naďalej možné zistiť totožnosť osoby, ktorá sa skrýva za pseudonymom. Opak platí v prípade anonymizovaných údajov, ktoré nepatria do pôsobnosti tohto nariadenia. Spôsob poskytnutia informácií, ktorý v konečnom dôsledku nariadi vnútroštátny súd, bude mať teda vplyv aj na ďalšiu uplatniteľnosť GDPR. ( 36 )

73.

V konečnom dôsledku bude úlohou vnútroštátneho súdu, aby určil dôkaznú hodnotu jednotlivých verzií evidencie zamestnancov s cieľom rozhodnúť, aký druh minimalizácie údajov je prípadne potrebný na riadne ukončenie súdneho sporu, ktorý prejednáva.

74.

Pre vnútroštátny súd sú okrem zásady minimalizácie údajov uvedenej v článku 5 ods. 1 písm. c) GDPR záväzné aj ďalšie zásady uvedené v článku 5 GDPR, ktoré sú relevantné pre spôsob prijatia príkazu na poskytnutie informácií.

75.

Napríklad v článku 5 ods. 1 písm. a) GDPR sa popri odkaze na zásadu zákonnosti (podrobnejšie opísanú v článku 6 tohto nariadenia) uvádza aj zásada transparentnosti. Podľa môjho názoru táto zásada vyžaduje, aby vnútroštátny súd jasne vysvetlil svoje rozhodnutie nariadiť poskytnutie osobných údajov, okrem iného tým, že uvedie, ako zvážil jednotlivé záujmy a tvrdenia účastníkov konania týkajúce sa poskytnutia informácií.

76.

Riadne odôvodnenie príkazu na poskytnutie informácií spĺňa tiež požiadavku článku 5 ods. 2 GDPR, ktorý vyžaduje, aby bol prevádzkovateľ schopný preukázať súlad so zásadami uvedenými v článku 5 ods. 1 tohto nariadenia.

77.

Spôsob dosiahnutia súladu so zásadami uvedenými v článku 5 GDPR možno vyčítať aj z odôvodnenia 31 GDPR. Podľa tohto odôvodnenia „žiadosti o poskytnutie by mali orgány verejnej moci zasielať vždy písomne, spolu so zdôvodnením, príležitostne a nemali by sa týkať celého informačného systému ani viesť ku prepojeniu informačných systémov“.

78.

Poľská vláda vyjadrila obavu týkajúcu sa posúdenia proporcionality vnútroštátnym súdom: ak má vnútroštátny súd posúdiť dôkaznú hodnotu evidencie zamestnancov alebo iného dôkazu v spore, ktorý prejednáva, neangažuje sa už príliš v tom, čo by malo zostať úlohou účastníkov konania, teda v úsilí presadiť svoj názor na samotnú dôkaznú hodnoty takéhoto dôkazu?

79.

Domnievam sa, že posúdenie dôkaznej hodnoty, v ktorom sa zohľadňujú záujmy dotknutých osôb, nevedie k väčšiemu zasahovaniu do veci ako posúdenie dôkaznej hodnoty akéhokoľvek iného dôkazu v občianskom súdnom konaní. ( 37 )

80.

Miera zásahu vnútroštátneho súdu bude závisieť od zjavnosti dôkaznej hodnoty údajov, ktorých poskytnutie sa požaduje za okolností jednotlivého prípadu. Miera možného zásahu do záujmov dotknutých osôb bude vždy závisieť od konkrétneho prípadu.

81.

V niektorých prípadoch môže ísť napríklad o citlivé údaje, na ktoré sa vzťahuje osobitný režim ochrany podľa článku 9 GDPR, alebo o údaje o trestných sankciách, na ktoré sa vzťahuje režim článku 10 GDPR. V takýchto situáciách budú mať záujmy dotknutých osôb nevyhnutne väčšiu váhu pri zvažovaní. ( 38 ) Podobne tak aj záujem na poskytnutí informácií sa môže v jednotlivých prípadoch líšiť. Zatiaľ čo niekedy bude jasné, že relevantnosť požadovaných dôkazov je okrajová, v iných situáciách bude mať zásadný význam pre rozhodnutie sporu. V tejto súvislosti je užitočná pripomienka Komisie, že vnútroštátny súd by mal pri takomto posúdení disponovať širokou mierou voľnej úvahy. Nikdy by však nemal byť zbavený povinnosti zohľadniť záujmy dotknutých osôb.

82.

Česká vláda vyjadrila inú obavu: uloženie povinnosti zohľadniť záujmy dotknutých osôb vnútroštátnym súdom vždy, keď nariaďujú predloženie listinných dôkazov, by bránilo riadnemu priebehu súdnych konaní. GDPR totiž zavádza dodatočnú povinnosť ( 39 ) súdov vykonať preskúmanie proporcionality predtým, ako nariadia predloženie listinných dôkazov obsahujúcich osobné údaje. Zváženie záujmov však nie je ani neobvyklým posúdením, ktoré majú súdy vykonať, ani záťažou kladenou na vnútroštátne súdy, ktorá by sa líšila od záťaže, ktorú GDPR kladie na každého prevádzkovateľa.

83.

Ak má byť občanom Únie poskytovaná vysoká úroveň ochrany osobných údajov v súlade s rozhodnutím normotvorcu Únie, ako je vyjadrené v GDPR, zohľadnenie záujmov dotknutých osôb nemožno považovať za neprimeranú záťaž kladenú na vnútroštátne súdy členských štátov.

84.

Preto navrhujem, aby Súdny dvor odpovedal na druhú otázku vnútroštátneho súdu tak, že vnútroštátny súd musí pri rozhodovaní o príkaze na poskytnutie informácií v občianskom súdnom konaní, ktoré zahŕňa spracúvanie osobných údajov, vykonať analýzu proporcionality, ktorá zohľadňuje záujmy dotknutých osôb, ktorých osobné údaje sa majú spracúvať, a zvážiť tieto záujmy vo vzťahu k záujmu účastníkov konania na získaní dôkazov. Toto posúdenie proporcionality sa riadi zásadami stanovenými v článku 5 GDPR vrátane zásady minimalizácie údajov.

85.

Vzhľadom na všetky predchádzajúce úvahy navrhujem, aby Súdny dvor odpovedal na dve prejudiciálne otázky, ktoré mu položil Högsta domstolen (Najvyšší súd, Švédsko), takto: