1.

”Din integritet är viktig för oss. Vi använder cookies för att förbättra användarupplevelsen. Vänligen granska sekretessinställningarna. Acceptera alla/Inställningar. Kontrollera vår integritetspolicy och vår cookiespolicy.” ( 2 )

2.

Ett meddelande av liknande slag kommer alltid upp när man besöker en webbplats.

3.

Detta är resultatet av den allmänna dataskyddsförordningen (nedan kallad dataskyddsförordningen), ( 3 ) som har blivit det viktigaste instrumentet för skydd av personuppgifter inom Europeiska unionen.

4.

Aktualiseras dataskyddsförordningen även vid nationella domstolar? Är den mer specifikt tillämplig på editionsplikten i civilrättsliga mål vid nationella domstolar? Om så är fallet, vilka skyldigheter medför detta för dessa domstolar? Det är dessa frågor som EU-domstolen har ombetts att klargöra i detta mål.

5.

Dessa frågor har uppkommit i ett mål vid den hänskjutande domstolen, Högsta domstolen (Sverige). De faktiska omständigheterna i målet kan sammanfattas på följande sätt. Norra Stockholm Bygg AB (nedan kallat Fastec), som är klagande i det nationella målet, utförde en entreprenad för nybyggnad av ett kontorshus för Per Nycander AB (nedan kallat Nycander), som är motpart i det nationella målet. De som arbetade i entreprenaden registrerade sin närvaro i en elektronisk personalliggare för skattekontrolländamål. Personalliggaren tillhandahölls av Entral AB på uppdrag av Fastec.

6.

Bakgrunden till målet är en tvist om den ersättning som ska erläggas för utfört arbete. Nycander har bestritt Fastecs betalningskrav (som uppgår till drygt 2 miljoner kronor, vilket motsvarar ungefär 190133 euro) med hänvisning till att Fastec inte har lagt ned all den tid på arbetet som Fastec begär ersättning för.

7.

För att bevisa att så är fallet har Nycander begärt att Entral ska förete den personalliggare som Entral fört för Fastecs räkning. Fastec har motsatt sig denna begäran och hävdat att ett sådant utlämnande skulle strida mot dataskyddsförordningen, eftersom de begärda uppgifterna samlades in för ett annat ändamål och inte kan användas som bevisning i målet.

8.

Tingsrätten förelade Entral att förete personalliggaren, och efter överklagande fastställde Svea hovrätt det beslutet.

9.

Fastec har överklagat hovrättens beslut och yrkat att Högsta domstolen i första hand ska avslå Nycanders begäran om edition och i andra hand ändra hovrättens beslut på så sätt att personalliggaren ska utges i anonymiserad version så att personuppgifter inte kan utläsas. Det är mot denna bakgrund som Högsta domstolen har ställt följande tolkningsfrågor till EU-domstolen:

10.

Fastec, den tjeckiska, den polska och den svenska regeringen samt Europeiska kommissionen har under förfarandets gång inkommit med skriftliga yttranden till EU-domstolen. Nycander, den polska och den svenska regeringen samt kommissionen avgav muntliga yttranden vid förhandlingen den 27 juni 2022.

11.

I artikel 5 i dataskyddsförordningen fastställs de principer som ska följas vid all behandling av personuppgifter, och där föreskrivs följande:

”1.   Vid behandling av personuppgifter ska följande gälla:

2.   Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

12.

Artikel 6 i dataskyddsförordningen har rubriken ”Laglig behandling av personuppgifter”, och där föreskrivs följande i punkterna 1, 3 och 4:

”1.   Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

…

…

…

3.   Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

4.   Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bland annat beakta följande:

13.

I artikel 23.1 i dataskyddsförordningen regleras begränsningar av rättigheter och skyldigheter enligt dataskyddsförordningen, och där föreskrivs följande:

”1.   Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa

…

…”

14.

I 38 kap. 2 § första stycket rättegångsbalken (nedan kallad RB) anges att om någon innehar en skriftlig handling, som kan antagas äga betydelse som bevis, är han skyldig att förete den. I andra stycket i samma bestämmelse föreskrivs undantag från denna skyldighet för bland annat advokater, läkare, psykologer, präster och andra tjänstemän som har anförtrotts information i sin yrkesutövning eller motsvarande. 38 kap. 4 § RB ger därefter rätten befogenhet att förordna om att en skriftlig handling ska företes som bevis.

15.

Enligt Högsta domstolen ska rätten, då den prövar om någon ska föreläggas att förete en handling, väga bevisets betydelse mot motpartens intresse av att uppgifterna inte lämnas ut. Såsom Högsta domstolen har förklarat innebär detta emellertid inte att hänsyn ska tas till om de uppgifter som ska lämnas ut är av privat karaktär.

16.

Dataskyddsförordningen är den viktigaste unionsrättsakten som reglerar skyddet för fysiska personer med avseende på behandling av deras personuppgifter. Till skillnad från sin föregångare, direktiv 95/46/EG, ( 4 ) antogs dataskyddsförordningen med stöd av artikel 16 FEUF. ( 5 ) Denna rättsliga grund gav unionslagstiftaren befogenhet att säkerställa den grundläggande rätt till skydd av personuppgifter som föreskrivs i artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan). ( 6 )

17.

Vid behandling av personuppgifter lägger dataskyddsförordningen ansvaret för att denna rättsakt efterlevs på den ”personuppgiftsansvarige”. ( 7 ) Varje gång personuppgifter behandlas är det således viktigt att fastställa vem som är personuppgiftsansvarig.

18.

Enligt artikel 4.7 i dataskyddsförordningen avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som bestämmer ändamålen och medlen för behandlingen av personuppgifter.

19.

I det nu aktuella fallet har behandling av personuppgifter ägt rum vid två skilda tillfällen. Den första behandlingen avser den elektroniska personalliggare som Entral förde för Fastecs räkning, eftersom Fastec enligt svensk lag var skyldigt att samla in uppgifter om arbetade timmar för skattekontrolländamål. I detta sammanhang är Fastec personuppgiftsansvarig och Entral personuppgiftsbiträde. ( 8 )

20.

Det är ostridigt att denna första behandling var förenlig med dataskyddsförordningen. Artikel 6.1 c i förordningen tillåter uttryckligen behandling av personuppgifter som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, i detta fall Fastec. ( 9 ) Om denna första behandling skulle anses olaglig enligt dataskyddsförordningen, skulle naturligtvis en så kallad vidarebehandling av dessa personuppgifter för ett annat ändamål i förlängningen också vara olaglig. ( 10 )

21.

Det som är av intresse i förevarande mål är emellertid vidarebehandlingen (för ett annat ändamål) av samma personuppgifter som ursprungligen samlades in för skattekontrolländamål. Det nya ändamålet är att Entral ska förete personalliggaren som bevis i tvistemålet mellan Fastec och Nycander. Om personalliggaren företes för användning i tvistemålet innebär detta med nödvändighet behandling av personuppgifter.

22.

Vid denna vidarebehandling förändras rollerna enligt dataskyddsförordningen jämfört med den första behandlingen. Det som har störst betydelse är att det är den nationella domstolen som, genom att förelägga Entral att förete personalliggaren (nedan kallat editionsföreläggandet), bestämmer ändamålen och medlen för vidarebehandlingen av personuppgifter. ( 11 ) Denna domstol blir därmed personuppgiftsansvarig. ( 12 )

23.

Vid denna vidarebehandling kan Fastec antingen anses kvarstå som personuppgiftsansvarig eller anses ha bytt roll och nu vara mottagare av personuppgifter tillsammans med Nycander. ( 13 ) Även om Fastec skulle kvarstå som gemensamt personuppgiftsansvarig med den nationella domstolen ( 14 ) påverkar detta emellertid inte den nationella domstolens skyldigheter i egenskap av personuppgiftsansvarig. ( 15 ) Slutligen förändras inte Entrals roll. Entral förblir personuppgiftsbiträde och fortsätter att behandla samma personuppgifter, men nu för den nationella domstolens räkning, som ju är den nya personuppgiftsansvarige.

24.

Högsta domstolen har ställt den första frågan i huvudsak för att få klarhet i huruvida den nationella domstolen rent faktiskt kan bli personuppgiftsansvarig enligt dataskyddsförordningen och huruvida förordningen i så fall ställer krav på nationell processrättslig lagstiftning vad avser domstolarnas befogenheter och skyldigheter i tvistemål. Om dataskyddsförordningen är tillämplig och den nationella domstolen är personuppgiftsansvarig, önskar Högsta domstolen genom sin andra fråga få klarhet i hur en sådan domstol ska besluta i frågan om edition av en skriftlig handling med personuppgifter, när uppgifterna ska användas som bevis i ett tvistemål.

25.

För att besvara Högsta domstolens frågor kommer jag att gå tillväga på följande sätt. Jag kommer först att förklara varför jag anser att dataskyddsförordningen är tillämplig på civilrättsliga förfaranden vid medlemsstaternas domstolar och hur detta påverkar medlemsstaternas gällande processrättsliga lagstiftning (B). Därefter kommer jag att behandla vilken metod som nationella domstolar i egenskap av personuppgiftsansvariga bör tillämpa för att uppfylla kraven i dataskyddsförordningen (C).

26.

Högsta domstolens första fråga avser i huvudsak huruvida dataskyddsförordningen är tillämplig på tvistemål i domstol och vilken inverkan den har på gällande processrättsliga bestämmelser. Mer specifikt vill den ha klarhet i huruvida dataskyddsförordningen påverkar de nationella bestämmelser som reglerar domstols befogenheter och skyldigheter att meddela editionsföreläggande. Jag kommer att besvara denna fråga i tre steg.

27.

Dataskyddsförordningens materiella tillämpningsområde definieras i artikel 2.1 i förordningen, och är funktionellt snarare än institutionellt inriktat. Det är ett vad (behandling av personuppgifter) snarare än ett vem som medför att dataskyddsförordningen blir tillämplig. ( 16 )

28.

Regleringen av vilka situationer som är undantagna från dataskyddsförordningens tillämpningsområde i artikel 2.2 i dataskyddsförordningen är också den funktionellt inriktad. Eftersom de utgör undantag från dataskyddsförordningens tillämpningsområde har EU-domstolen ansett att de ska tolkas restriktivt. ( 17 )

29.

Offentliga myndigheters verksamhet är således inte som sådan undantagen från dataskyddsförordningens tillämpningsområde, utan enbart vad gäller sådan verksamhet som räknas upp i artikel 2.2 i dataskyddsförordningen. ( 18 ) I det avseendet kan det konstateras att nämnda bestämmelse inte undantar domstolarnas verksamhet i civilrättsliga mål från dataskyddsförordningens materiella tillämpningsområde.

30.

Bedömningen att dataskyddsförordningen är tillämplig på domstolarnas verksamhet vinner stöd av skäl 20 i dataskyddsförordningen, ( 19 ) där det anges att förordningen gäller för verksamhet inom domstolar och andra rättsliga myndigheter. ( 20 )

31.

Denna bedömning påverkas inte av att tillsynsmyndigheterna inte är behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet, såsom framgår av artikel 55.3 i dataskyddsförordningen. Tvärtom bekräftar den bestämmelsen, enligt min mening, att domstolar som behandlar personuppgifter i sin dömande verksamhet omfattas av de skyldigheter som föreskrivs i dataskyddsförordningen. Den skyddar rättsväsendets oberoende och opartiskhet genom att hindra tillsynsmyndigheterna från att utöva tillsyn över domstolarnas behandling av personuppgifter.

32.

Det nu aktuella målet rör behandling av personuppgifter, som faller inom dataskyddsförordningens materiella tillämpningsområde. Att upprätta och föra den elektroniska personalliggaren innebär behandling av personuppgifter. ( 21 ) På samma sätt utgör ett föreläggande om edition av sådana personuppgifter i ett tvistemål behandling av dessa uppgifter. ( 22 ) Situationen i det nationella målet faller således inom det materiella tillämpningsområdet för dataskyddsförordningen.

33.

Vad innebär detta för tillämpningen av nationella processrättsliga bestämmelser, såsom RB?

34.

Det nu aktuella editionsföreläggandet har meddelats med stöd av RB, som alltså utgör den rättsliga grunden.

35.

Dataskyddsförordningen kräver nämligen att behandling av personuppgifter som sker i fall som det nu aktuella har sin rättsliga grund i en medlemsstats (eller unionens) lagstiftning. ( 23 )

36.

De aktuella personuppgifterna samlades in och behandlades ursprungligen för skattekontrolländamål, men enligt editionsföreläggandet ska de nu behandlas för bevisändamål i ett tvistemål.

37.

Artikel 6.4 i dataskyddsförordningen tillåter behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in om behandlingen grundar sig på medlemsstaternas nationella rätt, som utgör en nödvändig åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1 i dataskyddsförordningen. Ett av dessa mål anges i artikel 23.1 f, nämligen ”skydd av rättsväsendets oberoende och rättsliga åtgärder”.

38.

Samtliga deltagare i förevarande mål om förhandsavgörande är överens om att det är korrekt att grunda sig på artikel 23.1 f i dataskyddsförordningen för att motivera en vidarebehandling av personuppgifterna för ett annat ändamål med stöd av RB. ( 24 )

39.

RB ger nationella domstolar befogenhet att meddela föreläggande om företeende av skriftliga handlingar som kan antas ha betydelse som bevis i ett tvistemål. Om en handling som ska företes innehåller personuppgifter blir, som anförts ovan, den domstol som har meddelat editionsföreläggandet personuppgiftsansvarig enligt dataskyddsförordningen.

40.

Såsom kommissionen påpekade vid den muntliga förhandlingen är den nationella domstolen endast i viss utsträckning personuppgiftsansvarig i vanlig mening. Nationella domstolar får nämligen endast behandla personuppgifter som ett led i sin myndighetsutövning.

41.

När behandlingen av personuppgifter sker inom ramen för myndighetsutövning ( 25 ) krävs det enligt artikel 6.3 i dataskyddsförordningen att behandlingen grundar sig på unionsrätten eller en medlemsstats nationella rätt.

42.

Detta innebär att både artikel 6.4 (som tillåter vidarebehandling för andra ändamål) och artikel 6.3 (som tillåter behandling av personuppgifter som ett led i myndighetsutövning) i dataskyddsförordningen förutsätter att det finns en rättslig grund för behandlingen i nationell rätt (eller unionsrätt). ( 26 )

43.

Det förhållandet att RB ger domstolen befogenhet att meddela editionsföreläggande är således ett nödvändigt villkor för att den nu aktuella behandlingen av personuppgifter ska vara laglig.

44.

Om det finns en rättslig grund enligt dataskyddsförordningen och om det beslut som innebär behandling av personuppgifter fattas i enlighet med medlemsstatens lagstiftning, innebär detta då att dataskyddsförordningens villkor för laglig behandling är uppfyllda?

45.

Visserligen måste det finnas en rättslig grund i nationell rätt, men enligt min mening räcker inte detta för att editionsföreläggandet ska vara förenligt med dataskyddsförordningen.

46.

Högsta domstolen har förklarat att enligt RB ska det vid prövningen av frågan om någon ska förpliktas att förete en handling i princip inte tas någon hänsyn till om information i handlingen är av privat natur. Domstolarna är skyldiga att ta hänsyn till båda parters intressen, men det framgår inte direkt av lagen att de registrerades intressen har betydelse.

47.

Är då RB oförenlig med dataskyddsförordningen, eftersom den inte uttryckligen ålägger domstolar som blir personuppgiftsansvariga att ta hänsyn till de registrerades intressen när de fattar beslut som kan komma att ha inverkan på deras personuppgifter?

48.

Enligt min mening är så inte fallet. Man måste beakta att olika nationella lagar och andra författningar som tjänar som rättslig grund för behandling av personuppgifter inte har antagits specifikt för att genomföra dataskyddsförordningen, utan har sina egna syften. Dessutom är dataskyddsförordningen direkt tillämplig i medlemsstaternas rättsordningar och kräver inget införlivande. Vad som är viktigt när nationella processrättsliga bestämmelser och dataskyddsförordningen ställs mot varandra är därför att de nationella bestämmelserna ger utrymme för en samtidig tillämpning av förordningen.

49.

Vid den muntliga förhandlingen bekräftade den svenska regeringen att RB inte kräver, men inte heller förbjuder, att domstolarna tar hänsyn till de registrerades intressen. Den utgör därför inte hinder för en direkt tillämpning av dataskyddsförordningen på det av RB reglerade domstolsförfarandet.

50.

Nationella domstolar omfattas därför av nationella processrättsliga bestämmelser och dataskyddsförordningen parallellt, och förordningen kompletterar nationella bestämmelser i fall där den processuella verksamheten innefattar behandling av personuppgifter.

51.

Sammanfattningsvis behöver nationell lagstiftning inte uttryckligen hänvisa till dataskyddsförordningen eller ålägga domstolarna att ta hänsyn till de registrerades intressen. Det räcker att denna lagstiftning medger kompletterande tillämpning av dataskyddsförordningen. Det är endast om en nationell lagstiftning hindrar en sådan kompletterande tillämpning som den skulle vara oförenlig med dataskyddsförordningen. Så förefaller emellertid inte vara fallet med RB. ( 27 )

52.

Mot bakgrund av det ovan anförda föreslår jag att Högsta domstolens första fråga ska besvaras på följande sätt. Artikel 6.3 och 6.4 i dataskyddsförordningen ställer krav på nationell processrättslig lagstiftning om editionsplikt i fall där edition innebär behandling av personuppgifter. Nationell processrättslig lagstiftning får i sådana fall inte hindra att hänsyn tas till de registrerades intressen. Dessa intressen säkerställs om nationella domstolar iakttar bestämmelserna i dataskyddsförordningen när de beslutar om edition av skriftliga bevis i ett enskilt fall.

53.

Nationella domstolar som i egenskap av personuppgiftsansvariga omfattas av dataskyddsförordningen måste ta hänsyn till de registrerades intressen. Hur ska dessa intressen beaktas när ett konkret beslut om edition ska fattas? Detta är kärnan i Högsta domstolens andra fråga.

54.

De registrerades intressen skyddas när behandlingen av deras personuppgifter står i överensstämmelse med artiklarna 5 och 6 i dataskyddsförordningen. ( 28 ) Enligt generaladvokaten Pikamäe säkerställs skyddet av rätten till respekt för privatlivet och familjelivet och till skydd av personuppgifter, som garanteras i artiklarna 7 respektive 8 i stadgan, genom att artiklarna 5 och 6 i dataskyddsförordningen efterlevs. ( 29 )

55.

De legitima målen med behandlingen anges i artikel 6 i dataskyddsförordningen. ( 30 ) Såsom har förklarats i det föregående avsnittet i detta förslag till avgörande har behandlingen i förevarande fall ett legitimt mål, eftersom domstolen ägnade sig åt myndighetsutövning när den meddelade ett editionsföreläggande med stöd av nationell lagstiftning som syftar till att säkerställa en ändamålsenlig handläggning. Artikel 6, liksom artikel 5, i dataskyddsförordningen kräver dock inte endast att det finns ett legitimt mål, utan även att behandlingen i det enskilda fallet är nödvändig för att uppnå detta mål.

56.

Dataskyddsförordningen kräver därför att domstolen gör en proportionalitetsbedömning när den ska avgöra huruvida det i ett konkret fall är nödvändigt att besluta om edition av skriftliga handlingar som innehåller personuppgifter. ( 31 )

57.

I detta avseende kräver artikel 6.4 i dataskyddsförordningen att den nationella lagstiftning som vidarebehandlingen för ett annat ändamål grundar sig på utgör en nödvändig och proportionerlig åtgärd för att skydda något av de mål som avses i artikel 23.1 i dataskyddsförordningen, i detta fall skyddet av rättsväsendets oberoende och rättsliga åtgärder. Enligt artikel 6.3 i dataskyddsförordningen krävs dessutom att den behandling som utförs är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning.

58.

Den nationella lagstiftning som utgör grunden för behandlingen kan på ett abstrakt plan uppfylla kraven i artikel 6.3 och 6.4 i dataskyddsförordningen. Lagligheten av varje individuell behandling (inklusive ett editionsföreläggande från domstol) är dock beroende av en konkret avvägning mellan alla berörda intressen, med beaktande av det legitima mål som utgör grunden för att edition kan begäras. ( 32 ) Endast på detta sätt kan den nationella domstolen avgöra om och i vilken utsträckning det är nödvändigt att besluta om edition.

59.

Det står således klart att dataskyddsförordningen kräver en proportionalitetsbedömning. Ger dataskyddsförordningen någon ytterligare vägledning beträffande vilka konkreta steg som domstolens proportionalitetsbedömning måste omfatta?

60.

Proportionalitetsbedömningen måste, såsom anförts ovan, göras i varje enskilt fall, med beaktande av alla berörda intressen. I fall som det nu aktuella ska de intressen som ligger till grund för editionsinstitutet vägas mot ingreppet i rätten till skydd av personuppgifter. ( 33 )

61.

De intressen som ligger till grund för editionsinstitutet är ett uttryck för rätten till ett effektivt rättsmedel (artikel 47 i stadgan). De registrerades intressen, som den rätten står i konflikt med, är ett uttryck för rätten till respekt för privatlivet och familjelivet (artikel 7 i stadgan) och rätten till skydd av personuppgifter (artikel 8 i stadgan). Det är dessa rättigheter som måste vägas mot varandra för att avgöra om är nödvändigt att besluta om edition av handlingar med personuppgifter.

62.

I det följande kommer jag att ge några förslag på vilka konkreta åtgärder som den nationella domstolen kan förväntas vidta.

63.

Till att börja med kan det alltid antas att registrerade som inte har gett sitt samtycke till behandlingen har ett intresse av att begränsa behandlingen av deras personuppgifter. Detta är således alltid utgångspunkten för den nationella domstolens bedömning: att förklara varför ingreppet i detta intresse är motiverat.

64.

Enligt min uppfattning kan vägledning till hur denna bedömning ska göras hittas i artikel 5 i dataskyddsförordningen, som innehåller de principer som den personuppgiftsansvarige måste beakta vid behandling av personuppgifter.

65.

I det avseendet är principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen av grundläggande betydelse. Kravet på uppgiftsminimering är, såsom EU-domstolen har konstaterat, ( 34 ) ett uttryck för proportionalitetsprincipen. Den kräver att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

66.

Den första fråga som ska ställas är därför om personuppgifterna i den personalliggare som innehas av Entral är adekvata. De ska anses vara adekvata för det ändamål för vilket de ska lämnas ut om de faktiskt visar det antal timmar som Fastecs anställda arbetat på byggarbetsplatsen.

67.

Den andra fråga som ska ställas är om personuppgifterna i den personalliggare som innehas av Entral är relevanta för det ändamål för vilket de begärs utlämnade. Ändamålet förefaller vara Nycanders intresse av att styrka sitt påstående om att Fastecs anställda arbetat färre antal timmar än vad som anges på fakturan. Under sådana omständigheter kan personalliggaren vara relevant om den faktiskt kan bevisa eller motbevisa ett sådant påstående. Den nationella domstolen har att bedöma dess relevans mot bakgrund av övriga omständigheter i målet (exempelvis Fastecs påstående om att personalliggaren endast innehåller en del av de relevanta arbetstimmarna, eftersom viss arbetstid har tillbringats utanför byggarbetsplatsen).

68.

Vad beträffar det tredje kravet som följer av principen om uppgiftsminimering måste den nationella domstolen avgöra huruvida alla eller endast vissa uppgifter i personalliggaren behövs för bevisändamål. Om det finns andra sätt att bevisa samma sakförhållande, kräver principen om uppgiftsminimering att de sätten ska användas. Den nationella domstolen kan till exempel behöva bedöma Fastecs påstående om att antalet faktiskt arbetade timmar kan kontrolleras med hjälp av i målet redan ingivna handlingar. Om den nationella domstolen finner att detta påstående är korrekt, får den inte meddela ett editionsföreläggande avseende personuppgifter i personalliggaren.

69.

Den nationella domstolen behöver fastställa vilka typer av personuppgifter i personalliggaren som är tillräckliga för att bevisa eller motbevisa de relevanta sakförhållandena. I detta avseende kräver principen om uppgiftsminimering att endast de personuppgifter som är strikt nödvändiga för det aktuella ändamålet ska lämnas ut. Entral, i egenskap av personuppgiftsbiträde, kan därför behöva modifiera personalliggaren på så sätt att personuppgifterna begränsas till ett nödvändigt minimum, samtidigt som det ändå är möjligt att dra en slutsats om antalet faktiskt arbetade timmar.

70.

I detta avseende måste den nationella domstolen avgöra om det är nödvändigt att personer vars uppgifter finns i personalliggaren kan identifieras för att editionen ska ha bevisvärde (om det till exempel är nödvändigt att namnge enskilda arbetstagare för att de ska kunna kallas som vittnen). I annat fall kan det räcka med att få information om det totala antalet timmar som tillbringats på byggarbetsplatsen och/eller det antal personer som arbetat dessa timmar.

71.

Beroende på svaren på ovanstående frågor kan domstolen besluta att editionsföreläggandet ska avse pseudonymiserade eller anonymiserade personuppgifter. ( 35 )

72.

Enligt skäl 26 i dataskyddsförordningen omfattas personuppgifter som har pseudonymiserats fortfarande av dataskyddsförordningens materiella tillämpningsområde. Detta eftersom det fortfarande är möjligt att spåra identiteten på en person bakom pseudonymen. Det motsatta gäller för anonym information, som inte omfattas av förordningens tillämpningsområde. Det sätt på vilket den nationella domstolen i slutändan väljer att utforma editionsföreläggandet kommer således även att påverka om dataskyddsförordningen är fortsatt tillämplig. ( 36 )

73.

I slutändan ankommer det på den nationella domstolen att fastställa bevisvärdet av olika versioner av personalliggaren för att avgöra vilken typ av uppgiftsminimering som eventuellt är nödvändig för att målet ska kunna avgöras på ett ändamålsenligt sätt.

74.

Förutom principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen finns det även andra principer i artikel 5 i dataskyddsförordningen som är bindande för den nationella domstolen och som är relevanta för hur editionsföreläggandet ska utformas.

75.

I artikel 5.1 a i dataskyddsförordningen nämns till exempel, förutom laglighetsprincipen (som utvecklas närmare i artikel 6 i förordningen), även öppenhetsprincipen. Enligt min mening kräver öppenhetsprincipen att den nationella domstolen tydligt motiverar sitt beslut att meddela editionsföreläggande avseende en skriftlig handling med personuppgifter, bland annat genom att ange hur avvägningen av parternas olika intressen och argument i fråga om editionen har gjorts.

76.

En korrekt motivering i editionsföreläggandet uppfyller också kravet i artikel 5.2 i dataskyddsförordningen att den personuppgiftsansvarige ska kunna visa att de principer som anges i artikel 5.1 i förordningen efterlevs.

77.

Hur principerna i artikel 5 i dataskyddsförordningen ska efterlevas kan också utläsas av skäl 31 i förordningen. Det kräver att ”[o]ffentliga myndigheters begäranden om att uppgifter ska lämnas ut … alltid [ska] vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman”.

78.

Den polska regeringen har beträffande den nationella domstolens proportionalitetsbedömning uttryckt följande farhåga: Blir inte den nationella domstolen alltför inblandad i det som bör förbli parternas roll, nämligen att försöka vinna en argumentation om själva bevisvärdet av personalliggaren eller annan bevisning, om den ska bedöma bevisvärdet av sådan bevisning i det mål som den har att avgöra?

79.

Jag anser inte att en bedömning av bevisvärdet som tar hänsyn till de registrerades intressen innebär ett större ingripande i processen än bedömningen av bevisvärdet av vilken annan bevisning som helst i tvistemål. ( 37 )

80.

I vilken grad den nationella domstolen ingriper i processen blir beroende av hur uppenbart bevisvärdet av de personuppgifter som är föremål för editionsyrkandet är med hänsyn till omständigheterna i det enskilda fallet. Det är alltid omständigheterna i det enskilda fallet som avgör i vilken utsträckning edition rörande en skriftlig handling med personuppgifter kan komma att utgöra ett ingrepp i de registrerades intressen.

81.

I vissa fall kan det till exempel röra sig om känsliga personuppgifter som ges ett särskilt skydd i artikel 9 i dataskyddsförordningen, eller personuppgifter som rör fällande domar i brottmål som omfattas av bestämmelserna i artikel 10 i förordningen. I sådana situationer kommer de registrerades intressen med nödvändighet att tillmätas större vikt vid avvägningen. ( 38 ) På samma sätt kan intresset av edition skilja sig åt mellan enskilda fall. Ibland är uppenbart att den begärda bevisningen är av marginell betydelse, medan den i andra situationer är av avgörande betydelse för utgången i målet. I det avseendet delar jag kommissionens synpunkt att den nationella domstolen bör ha ett brett utrymme för att göra sådana bedömningar efter eget skön. Den bör dock aldrig befrias från sin skyldighet att ta hänsyn till de registrerades intressen.

82.

Den tjeckiska regeringen har uttryckt en annan farhåga, nämligen att det skulle strida mot principen om en ändamålsenlig handläggning att ålägga nationella domstolar en skyldighet att ta hänsyn till de registrerades intressen varje gång de beslutar om edition av skriftliga bevis. Dataskyddsförordningen inför visserligen en ytterligare skyldighet ( 39 ) för domstolarna att göra en proportionalitetsbedömning innan de beslutar om edition av skriftliga handlingar med personuppgifter. Intresseavvägningar är emellertid inte någon ovanlig intellektuell övning för domstolar, och inte heller skiljer sig den börda som läggs på nationella domstolar från den börda som dataskyddsförordningen lägger på alla personuppgiftsansvariga.

83.

Om unionsmedborgarna ska kunna åtnjuta en hög skyddsnivå för sina personuppgifter, i linje med unionslagstiftarens val såsom det kommer till uttryck i dataskyddsförordningen, kan det inte betraktas som en överdriven börda för medlemsstaternas domstolar att ta hänsyn till de registrerades intressen.

84.

Jag föreslår således att EU-domstolen besvarar Högsta domstolens andra fråga på följande sätt. Vid bedömningen av frågan huruvida edition som innefattar behandling av personuppgifter ska beslutas i tvistemål ska den nationella domstolen göra en proportionalitetsbedömning som tar hänsyn till intressena hos de registrerade vars personuppgifter ska behandlas och väga dem mot parternas intresse av att föra bevisning. Denna proportionalitetsbedömning ska göras med ledning av de principer som anges i artikel 5 i dataskyddsförordningen, däribland principen om uppgiftsminimering.

85.

Mot bakgrund av vad som anförts ovan föreslår jag att EU-domstolen besvarar de två tolkningsfrågor som ställts av Högsta domstolen (Sverige) på följande sätt: