62021CJ0268

TEISINGUMO TEISMO (trečioji kolegija) SPRENDIMAS

2023 m. kovo 2 d. ( *1 )

„Prašymas priimti prejudicinį sprendimą – Asmens duomenų apsauga – Reglamentas (ES) 2016/679 – 6 straipsnio 3 ir 4 dalys – Tvarkymo teisėtumas – Dokumento, kuriame yra asmens duomenų, pateikimas civiliniame teismo procese – 23 straipsnio 1 dalies f ir j punktai – Teismų nepriklausomumo ir teismo proceso apsauga – Civilinių ieškinių vykdymo užtikrinimas – Reikalavimai, kurių turi būti laikomasi – Atsižvelgimas į duomenų subjektų interesus – Priešingų interesų palyginimas – 5 straipsnis – Asmens duomenų kiekio mažinimas – Europos Sąjungos pagrindinių teisių chartija – 7 straipsnis – Teisė į privatų gyvenimą – 8 straipsnis – Teisė į asmens duomenų apsaugą – 47 straipsnis – Teisė į veiksmingą teisminę gynybą – Proporcingumo principas“

Byloje C‑268/21

dėl Högsta domstolen (Aukščiausiasis Teismas, Švedija) 2021 m. balandžio 15 d. nutartimi, kurią Teisingumo Teismas gavo 2021 m. balandžio 23 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje

Norra Stockholm Bygg AB

prieš

Per Nycander AB,

dalyvaujant

Entral AB,

TEISINGUMO TEISMAS (trečioji kolegija),

kurį sudaro kolegijos pirmininkė K. Jürimäe, teisėjai M. L. Arastey Sahún, N. Piçarra, N. Jääskinen (pranešėjas) ir M. Gavalec,

generalinė advokatė T. Ćapeta,

posėdžio sekretorė C. Strömholm, administratorė,

atsižvelgęs į rašytinę proceso dalį ir įvykus 2022 m. birželio 27 d. posėdžiui,

išnagrinėjęs pastabas, pateiktas:

–	Norra Stockholm Bygg AB, atstovaujamos advokater H. Täng Nilsson ir E. Wassén,

–	Per Nycander AB, atstovaujamos advokater P. Degerfeldt ir V. Hermansson,

–	Švedijos vyriausybės, atstovaujamos C. Meyer-Seitz, H. Shev ir O. Simonsson,

–	Čekijos vyriausybės, atstovaujamos O. Serdula, M. Smolek ir J. Vláčil,

–	Lenkijos vyriausybės, atstovaujamos B. Majczyna ir J. Sawicka,

–	Europos Komisijos, atstovaujamos A. Bouchagiar, M. Gustafsson ir H. Kranenborg,

susipažinęs su 2022 m. spalio 6 d. posėdyje pateikta generalinės advokatės išvada,

priima šį

Sprendimą

Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1; klaidų ištaisymai OL L 127, 2018, p. 2, ir OL L 74, 2021, p. 35, toliau – BDAR) 6 straipsnio 3 ir 4 dalių išaiškinimo.

Šis prašymas pateiktas nagrinėjant Norra Stockholm Bygg AB (toliau – Fastec) ir Per Nycander AB (toliau – Nycander) ginčą dėl prašymo perduoti elektroninį Fastec darbuotojų, atlikusių darbus Nycander, darbo laiko apskaitos žurnalą, siekiant nustatyti darbų, už kuriuos turi sumokėti Nycander, apimtį.

Teisinis pagrindas

Sąjungos teisė

BDAR 1, 2, 4, 20, 26, 45 ir 50 konstatuojamosios dalys suformuluotos taip:

„(1)

fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje ir Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą;

(2)

fizinių asmenų apsaugos tvarkant jų asmens duomenis principais ir taisyklėmis turėtų būti paisoma fizinių asmenų pagrindinių teisių ir laisvių, visų pirma jų teisės į asmens duomenų apsaugą, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą. Šiuo reglamentu siekiama padėti užbaigti kurti laisvės, saugumo ir teisingumo erdvę ir ekonominę sąjungą, skatinti ekonominę ir socialinę pažangą, stiprinti valstybių narių ekonomiką ir siekti jų ekonomikos konvergencijos vidaus rinkoje ir fizinių asmenų gerovės;

<…>

(4)	asmens duomenys turėtų būti tvarkomi taip, kad tai pasitarnautų žmonijai. Teisė į asmens duomenų apsaugą nėra absoliuti; ji turi būti vertinama atsižvelgiant į jos visuomeninę paskirtį ir derėti su kitomis pagrindinėmis teisėmis, remiantis proporcingumo principu. <…>

<…>

(20)	nors šis reglamentas, inter alia, taikomas ir teismų bei kitų teisminių institucijų veiklai, Sąjungos ar valstybės narės teisėje galėtų būti nurodytos duomenų tvarkymo operacijos ir duomenų tvarkymo procedūros tvarkant asmens duomenis teismuose bei kitose teisminėse institucijose. <…>

<…>

(26)

duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Asmens duomenys, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui pasinaudojus papildoma informacija, turėtų būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta. <…> Todėl duomenų apsaugos principai neturėtų būti taikomi anonimiškai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta. <…>

<…>

(45)

kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, duomenų tvarkymo pagrindas turėtų būti įtvirtintas Sąjungos arba valstybės narės teisėje. <…> Kelioms duomenų tvarkymo operacijoms gali užtekti vieno teisės akto, kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas. Be to, Sąjungos ar valstybės narės teisėje turėtų būti nustatytas asmens duomenų tvarkymo tikslas. <…>

<…>

(50)

asmens duomenų tvarkymas kitais tikslais nei tais, kuriais iš pradžių buvo rinkti asmens duomenys, turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas suderinamas su tikslais, kuriais iš pradžių buvo rinkti asmens duomenys. Tokiu atveju nereikalaujama atskiro teisinio pagrindo, užtenka to pagrindo, kuriuo remiantis leidžiama rinkti asmens duomenis. Jeigu duomenų tvarkytojui tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, Sąjungos arba valstybės narės teisėje galima apibrėžti ir sukonkretinti užduotis ir tikslus, kuriais tolesnis duomenų tvarkymas turėtų būti laikomas suderinamu ir teisėtu. <…> Sąjungos ar valstybės narės teisėje numatytas asmens duomenų tvarkymo teisinis pagrindas taip pat gali būti tolesnio duomenų tvarkymo teisinis pagrindas. <…>

Jei duomenų subjektas yra davęs sutikimą arba duomenų tvarkymas yra grindžiamas Sąjungos arba valstybės narės teise, o tai demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant apsaugoti visų pirma svarbius bendro viešojo intereso tikslus, asmens duomenų valdytojui turėtų būti leidžiama toliau tvarkyti duomenis neatsižvelgiant į tikslų suderinamumą. Bet kuriuo atveju turėtų būti užtikrinta, kad būtų taikomi šiame reglamente nustatyti principai, visų pirma, kad duomenų subjektas būtų informuotas apie tuos kitus tikslus ir apie savo teises, įskaitant teisę nesutikti. <…>“

Šio reglamento 2 straipsnyje „Materialinė taikymo sritis“ nustatyta:

„1. Šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.

2. Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:

a)	duomenys tvarkomi vykdant veiklą, kuriai Sąjungos teisė netaikoma;

b)	duomenis tvarko valstybės narės, vykdydamos veiklą, kuriai taikomas ES sutarties V antraštinės dalies 2 skyrius;

c)	duomenis tvarko fizinis asmuo, užsiimdamas išimtinai asmenine ar namų ūkio veikla;

d)	duomenis tvarko kompetentingos valdžios institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn už jas, baudžiamųjų sankcijų vykdymo, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, tikslais.

3. Sąjungos institucijų, įstaigų, tarnybų ir agentūrų atliekamam asmens duomenų tvarkymui taikomas [2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001, p. 1; 2004 m. specialusis leidimas lietuvių k., 13 sk., 26 t., p. 102)]. Reglamentas [Nr. 45/2001] ir kiti Sąjungos teisės aktai, taikytini tokiam asmens duomenų tvarkymui, pagal 98 straipsnį pritaikomi pagal šio reglamento principus ir taisykles.“

Minėto reglamento 4 straipsnyje numatyta:

„Šiame reglamente:

<…>

duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

<…>

pseudonimų suteikimas – asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti;

<…>“

To paties reglamento 5 straipsnio „Su asmens duomenų tvarkymu susiję principai“ 1 dalyje nustatyta:

„Asmens duomenys turi būti:

a)	duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

b)	renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu <…> (tikslo apribojimo principas);

c)	adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

d)	tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

<…>“

BDAR 6 straipsnyje „Tvarkymo teisėtumas“ numatyta:

„1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

a)	duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

<…>

c)	tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

<…>

e)	tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

<…>

3. 1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas:

a)	Sąjungos teisėje; arba

b)	duomenų valdytojui taikomoje valstybės narės teisėje.

Duomenų tvarkymo tikslas nustatomas tame teisiniame pagrinde arba, 1 dalies e punkte nurodyto duomenų tvarkymo atveju, yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. <…> Sąjungos arba valstybės narės teisė atitinka viešojo intereso tikslą ir yra proporcinga teisėtam tikslui, kurio siekiama.

4. Kai duomenų tvarkymas kitu tikslu nei tas dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos ar valstybės narės teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 23 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:

a)	visas sąsajas tarp tikslų, kuriais asmens duomenys buvo surinkti, ir numatomo tolesnio duomenų tvarkymo tikslų;

<…>“

Šio reglamento 23 straipsnyje „Apribojimai“ nustatyta:

„1. Sąjungos ar valstybės narės teise [teisės], kuri taikoma duomenų valdytojui arba duomenų tvarkytojui, teisėkūros priemone gali būti apribotos 12–22 straipsniuose ir 34 straipsnyje, taip pat 5 straipsnyje tiek, kiek jo nuostatos atitinka 12–22 straipsniuose numatytas teises ir prievoles, nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:

<…>

f)	teismų nepriklausomumo ir teismo proceso apsaugą;

<…>

j)	civilinių ieškinių vykdymo užtikrinimą.

<…>“

Švedijos teisė

9	Dokumentinius įrodymus reglamentuoja rättegångsbalken (Teismo proceso kodeksas, toliau – RB) 38 skyriaus nuostatos.

10	Pagal 38 skyriaus 2 straipsnio pirmą pastraipą kiekvienas asmuo, turintis rašytinį dokumentą, kuris gali būti laikomas turinčiu įrodomąją galią, privalo pateikti šį dokumentą.

Šios pareigos pateikti įrodymus išimtys numatytos, be kita ko, minėto straipsnio antroje pastraipoje. Tam tikrų funkcijų vykdymas atleidžia nuo minėtos pareigos, jei galima daryti prielaidą, kad dokumento turėtojas negali būti išklausytas kaip liudytojas dėl jo turinio. Ši išimtis taikoma advokatams, gydytojams, psichologams, kunigams ir bet kokiems kitiems asmenims, kuriems informacija buvo perduota konfidencialiai, jiems atliekant savo funkcijas ar panašiomis aplinkybėmis. Taigi šios pareigos apimtis atitinka pareigą liudyti teisme.

12	Jeigu asmuo privalo pateikti rašytinį dokumentą kaip įrodymą, teismas pagal 38 skyriaus 4 straipsnį gali įpareigoti tokį asmenį pateikti dokumentą.

Mokestinių procedūrų įstatymas

Pagal skatteförfarandelagen (2011:1244) (Mokestinių procedūrų įstatymas (2011:1244)) 39 skyriaus 11a–11c straipsnius tam tikrais atvejais bet kuris asmuo, kuris vykdo statybų veiklą, privalo pildyti elektroninį darbo laiko apskaitos žurnalą. Tokiame žurnale nurodomi ekonominėje veikloje dalyvaujančių asmenų identifikavimo duomenys. Ši pareiga tenka darbų vykdytojui, kuris vis dėlto gali perleisti ją nepriklausomam ūkio subjektui. Minėto įstatymo 39 skyriaus 12 straipsnyje numatyta, kad darbo laiko apskaitos žurnalas turi būti pateiktas Švedijos mokesčių administratoriui.

Duomenys, kurie turi būti įtraukti į darbo laiko apskaitos žurnalą, nurodyti skatteförfarandeförordningen (2011:1261) (Mokestinių procedūrų reglamentas (2011:1261)) 9 skyriaus 5 straipsnyje. Jame, be kita ko, pateikiami asmenų, dalyvaujančių vykdant ekonominę veiklą, vardai ir pavardės bei asmens tapatybės numeriai, taip pat šių asmenų darbo pradžios ir pabaigos data.

Pagrindinė byla ir prejudiciniai klausimai

15	Fastec pastatė Nycander biurų pastatą. Atitinkamoje statybvietėje dirbę asmenys savo buvimą registravo elektroniniame darbo laiko apskaitos žurnale. Šį darbo laiko apskaitos žurnalą teikė bendrovė Entral AB, veikianti Fastec vardu.

Fastec pareiškė ieškinį tingsrätt (Pirmosios instancijos teismas, Švedija) dėl sumokėjimo už atliktus darbus. Tuo ieškiniu Fastec reikalavo, kad Nycander sumokėtų sumą, kuri, kaip teigia Fastec, atitinka Nycander nesumokėtą likutį. Ši bendrovė nesutiko su Fastec prašymu ir, be kita ko, nurodė, kad Fastec darbuotojų išdirbtas valandų skaičius yra mažesnis nei nurodytas tame ieškinyje.

Bylą nagrinėjant tame teisme Nycander prašė įpareigoti Entral pateikti laikotarpio nuo 2016 m. rugpjūčio 1 d. iki 2017 m. lapkričio 30 d.Fastec darbo laiko apskaitos žurnalą, visų pirma tokį, koks jis yra, arba, alternatyviai, su įslaptintais asmens tapatybės numeriais. Grįsdama šį prašymą Nycander nurodė, kad Entral turi šį darbo laiko apskaitos žurnalą ir kad šis žurnalas gali būti svarbus įrodymas priimant sprendimą dėl Fastec ieškinio, nes minėtame darbo laiko apsakaitos žurnale užfiksuoti duomenys leistų įrodyti Fastec darbuotojų išdirbtas valandas.

Fastec nesutiko su šiuo prašymu ir visų pirma teigė, kad jis prieštarauja BDAR 5 straipsnio 1 dalies b punktui. Fastec darbo laiko apskaitos žurnale esą yra asmens duomenų, surinktų tam, kad Švedijos mokesčių administratorius galėtų kontroliuoti šios bendrovės veiklą, todėl šių duomenų atskleidimas teisme neatitiktų šio tikslo.

Tingsrätt (pirmosios instancijos teismas) įpareigojo Entral pateikti Fastec darbo laiko apsakitos žurnalą, koks jis yra, su jame esančiais duomenimis apie darbuotojus, nagrinėjamu laikotarpiu dalyvavusius vykdant pagrindinėje byloje nagrinėjamas statybas. Svea hovrätt (Stokholmo apeliacinis teismas, Švedija) patvirtino tingsrätt (pirmosios instancijos teismas) sprendimą.

20	Fastec apskundė Svea hovrätt (Stokholmo apeliacinis teismas) sprendimą Högsta domstolen (Aukščiausiasis Teismas, Švedija), prašymą priimti prejudicinį sprendimą pateikusiam teismui, ir paprašė atmesti šio sprendimo 17 punkte nurodytą Nycander prašymą.

21	Prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar pagrindinėje byloje reikia taikyti BDAR nuostatas ir kaip tai reikėtų daryti.

Dėl pareigos pateikti dokumentus tas teismas pažymi, kad iš jo paties jurisprudencijos, susijusios su reikšmingų RB nuostatų aiškinimu, matyti, jog reikia palyginti aptariamų įrodymų svarbą ir kitos šalies interesą neatskleisti šių įrodymų. Jis patikslina, kad atliekant šį palyginimą iš principo neatsižvelgiama į atitinkamame dokumente esančios informacijos privatų pobūdį ar į kitų asmenų interesą susipažinti su šio dokumento turiniu, išskyrus tai, kas gali kilti iš teisės aktuose konkrečiai numatytų išimčių.

23	Minėtas teismas teigia, kad RB nustatytos pareigos pateikti dokumentą tikslas, be kita ko, yra suteikti galimybę kiekvienam, kuriam reikia dokumento kaip įrodymo, su juo susipažinti. Galiausiai reikia užtikrinti, kad asmenys galėtų naudotis savo teisėmis, kai turi „teisėtą interesą į įrodymą“.

Šiomis aplinkybėmis Högsta domstolen (Aukščiausiasis Teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

„1.	Ar [BDAR] 6 straipsnio 3 ir 4 dalių nuostatos taikomos taip pat ir nacionalinėms procesinėms taisyklėms dėl įpareigojimo atskleisti dokumentus?

Jeigu į pirmąjį klausimą būtų atsakyta teigiamai, ar [BDAR] reiškia, kad vertinant, ar reikia įpareigoti pateikti dokumentą, kuriame yra asmens duomenų, būtina atsižvelgti ir į duomenų subjektų interesus? Ar esant tokioms aplinkybėms Sąjungos teisėje nustatyti kokie nors reikalavimai dėl to, kaip konkrečiai reikėtų atlikti tokį vertinimą?“

Dėl prejudicinių klausimų

Dėl pirmojo klausimo

Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 6 straipsnio 3 ir 4 dalys turi būti aiškinamos taip, kad vykstant civiliniam teismo procesui šios nuostatos taikomos kaip įrodymą pateikiant darbo laiko apskaitos žurnalą, kuriame yra trečiųjų asmenų asmens duomenų, surinktų iš esmės siekiant atlikti mokesčių kontrolę.

Siekiant atsakyti į šį klausimą, reikia pažymėti, pirma, kad BDAR 2 straipsnio 1 dalyje numatyta, jog šis reglamentas taikomas „asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis“, neatsižvelgiant į tai, kas yra atitinkamų duomenų tvarkymo autorius. Darytina išvada, kad, išskyrus BDAR 2 straipsnio 2 ir 3 dalyse nurodytus atvejus, jis taikomas tiek privačių asmenų, tiek viešosios valdžios institucijų atliekamoms duomenų tvarkymo operacijoms, įskaitant, kaip nurodyta jo 20 konstatuojamojoje dalyje, teismines institucijas, kaip antai teismus (2022 m. kovo 24 d. Sprendimo Autoriteit persoonsgegevens, C‑245/20, EU:C:2022:216, 25 punktas).

Antra, pagal šio reglamento 4 straipsnio 2 punktą sąvoka asmens „duomenų tvarkymas“ apima, be kita ko, bet kokią automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekamą operaciją, kaip antai rinkimą, įrašymą, naudojimą, atskleidimą persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis.

Iš to išplaukia, kad ne tik elektroninio darbo laiko apskaitos žurnalo sukūrimas ir tvarkymas (pagal analogiją žr. 2013 m. gegužės 30 d. Sprendimo Worten, C‑342/12, EU:C:2013:355, 19 punktą), bet ir skaitmeninio ar fizinio dokumento, kuriame yra tokie asmens duomenys, pateikimas kaip įrodymo, kai teismas įpareigoja jį pateikti vykstant teismo procesui (šiuo klausimu žr. 2022 m. gruodžio 8 d. Sprendimo Inspektor v Inspektorata kam Visshia sadeben savet (Asmens duomenų tvarkymo tikslai – ikiteisminis tyrimas), C‑180/21, EU:C:2022:967, 72 punktą), yra asmens duomenų tvarkymas, patenkantis į materialinę BDAR taikymo sritį.

29	Trečia, reikia pažymėti, kad bet koks asmens duomenų tvarkymas, įskaitant viešosios valdžios institucijų, kaip antai teismų, atliekamą duomenų tvarkymą, turi atitikti BDAR 6 straipsnyje nustatytas teisėtumo sąlygas.

30	Šiuo klausimu reikia pažymėti, pirma, kad pagal BDAR 6 straipsnio 1 dalies e punktą asmens duomenų tvarkymas yra teisėtas, jeigu to reikia siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.

Pagal BDAR 6 straipsnio 3 dalį, siejamą su jo 45 konstatuojamąja dalimi, šio reglamento 6 straipsnio 1 dalies e punkte nurodyto duomenų tvarkymo pagrindas apibrėžtas Sąjungos arba duomenų valdytojui taikomos valstybės narės teisėje. Be to, Sąjungos arba valstybės narės teisė turi atitikti viešojo intereso tikslą ir būti proporcinga teisėtam tikslui, kurio siekiama.

Taigi pagal bendrai taikomas BDAR 6 straipsnio 1 dalies e punkto ir šio reglamento 6 straipsnio 3 dalies nuostatas reikalaujama, kad egzistuotų teisinis pagrindas, visų pirma nacionalinėje teisėje, kuris būtų pagrindas duomenų valdytojams tvarkyti asmens duomenis, kai šie veikia vykdydami užduotį, atliekamą viešojo intereso labui, arba vykdydami viešąją valdžią, pavyzdžiui, teismams vykdant teismines funkcijas.

Antra, kai asmens duomenys tvarkomi kitu tikslu nei tas, dėl kurio šie duomenys buvo surinkti, iš BDAR 6 straipsnio 4 dalies, siejamos su šio reglamento 50 konstatuojamąja dalimi, matyti, kad toks tvarkymas leidžiamas su sąlyga, kad jis pagrįstas, be kita ko, valstybės narės teise ir yra demokratinėje visuomenėje būtina ir proporcinga priemonė, siekiant vieno iš BDAR 23 straipsnio 1 dalyje nurodytų tikslų. Kaip nurodyta šioje konstatuojamojoje dalyje, siekiant apsaugoti šiuos svarbius bendrojo intereso tikslus, duomenų valdytojui leidžiama vėliau tvarkyti asmens duomenis, neatsižvelgiant į tai, ar toks tvarkymas suderinamas su tikslais, dėl kurių asmens duomenys buvo iš pradžių surinkti.

Šiuo atveju asmens duomenų tvarkymo teisinis pagrindas yra atitinkamos RB 38 skyriaus nuostatos, kuriose numatyta pareiga pateikti dokumentą kaip įrodymą ir galimybė nacionaliniams teismams nurodyti pateikti tokį dokumentą. Nors šios nuostatos iš esmės yra pakankamas teisinis pagrindas leisti tvarkyti duomenis, iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, kad šis teisinis pagrindas skiriasi nuo numatytojo Mokestinių procedūrų įstatyme, kuriuo remiantis buvo sudarytas pagrindinėje byloje nagrinėjamas darbo laiko apskaitos žurnalas mokesčių kontrolės tikslais. Be to, šiose RB nuostatose numatyta pareiga pateikti dokumentą, prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, siekiama suteikti galimybę bet kuriam asmeniui, kuriam reikia dokumento kaip įrodymo, su juo susipažinti. Galiausiai, to teismo teigimu, reikia užtikrinti, kad asmenys galėtų naudotis savo teisėmis, kai turi „teisėtą interesą į įrodymą“.

Prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, iš parengiamųjų darbų, kuriais remiantis priimtas Mokestinių procedūrų įstatymas, matyti, kad darbo laiko apskaitos žurnale nurodytais asmens duomenimis siekiama leisti kompetentingo Švedijos mokesčių administratoriaus pareigūnams atliekant patikrinimus vietoje nustatyti atitiktis. Pagrindinis tikslas yra sumažinti nedeklaruoto darbo atvejus ir pagerinti konkurencijos sąlygas. Asmens duomenų tvarkymas pateisinamas būtinybe įvykdyti duomenų valdytojui nustatytą teisinę pareigą, t. y. tvarkyti darbo laiko apskaitos žurnalą.

Taigi reikia konstatuoti, kad šių duomenų tvarkymas vykstant teismo procesui, kaip antai nagrinėjamam pagrindinėje byloje, yra tvarkymo operacija, atliekama kitu tikslu nei tas, dėl kurio duomenys buvo surinkti, t. y. mokesčių kontrolės tikslu, ir toks duomenų tvarkymas nėra pagrįstas duomenų subjektų sutikimu, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies a punktą.

Šiomis aplinkybėmis asmens duomenų tvarkymas kitu tikslu nei tas, dėl kurio šie duomenys buvo surinkti, turi būti ne tik grindžiamas nacionaline teise, kaip antai RB 38 skyriaus nuostatomis, bet ir būti demokratinėje visuomenėje būtina ir proporcinga priemonė, kaip tai suprantama pagal BDAR 6 straipsnio 4 dalį, ir užtikrinti vieną iš BDAR 23 straipsnio 1 dalyje nurodytų tikslų.

Remiantis šio reglamento 23 straipsnio 1 dalies f punktu, tarp šių tikslų yra „teismų nepriklausomumo ir teismo proceso apsauga“, o šis tikslas, kaip savo rašytinėse pastabose pažymėjo Europos Komisija, turi būti suprantamas kaip susijęs su teisingumo vykdymo apsauga nuo vidaus ar išorės kišimosi ir geru teisingumo vykdymu. Be to, pagal šio straipsnio 1 dalies j punktą civilinių ieškinių vykdymo užtikrinimas taip pat yra tikslas, galintis pateisinti asmens duomenų tvarkymą kitu tikslu nei tas, dėl kurio jie buvo surinkti. Taigi neatmestina galimybė, kad trečiųjų asmenų asmens duomenų tvarkymas vykstant civiliniam procesui gali būti grindžiamas tokiais tikslais.

Vis dėlto prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar atitinkamos RB 38 skirsnio nuostatos, pirma, atitinka šiuos tikslus ir, antra, yra būtinos ir proporcingos šiems tikslams, net jeigu jos gali apimti asmens duomenų tvarkymo atvejus, kurie gali būti laikomi teisėtais pagal BDAR 6 straipsnio 3 ir 4 dalių, siejamų su jo 23 straipsnio 1 dalies f punktu, nuostatas.

40	Šiuo klausimu nesvarbu, ar asmens duomenų tvarkymas grindžiamas nacionalinės teisės materialinėmis, ar procesinėmis nuostatomis, nes šio reglamento 6 straipsnio 3 dalies b punkte ir 4 dalyje nedaroma skirtumo tarp šių dviejų rūšių nuostatų.

Atsižvelgiant į visa tai, kas išdėstyta, į pirmąjį klausimą reikia atsakyti, kad BDAR 6 straipsnio 3 ir 4 dalys turi būti aiškinamos taip: vykstant civiliniam procesui šios nuostatos taikomos kaip įrodymą pateikiant darbo laiko apskaitos žurnalą, kuriame yra trečiųjų asmenų asmens duomenų, surinktų iš esmės siekiant atlikti mokesčių kontrolę.

Dėl antrojo klausimo

Antruoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 5 ir 6 straipsniai turi būti aiškinami taip, kad vykstant civiliniam procesui nacionalinis teismas vertindamas, ar reikia nurodyti pateikti dokumentą, kuriame yra asmens duomenų, turi paisyti duomenų subjektų interesų. Jeigu atsakymas būtų teigiamas, tas teismas taip pat klausia, ar Sąjungos teisėje, visų pirma BDAR, nustatyti specialūs tokio vertinimo tvarkos reikalavimai.

Pirmiausia reikia pabrėžti, kad bet koks asmens duomenų tvarkymas, išskyrus 23 straipsnyje numatytas išimtis, turi atitikti asmens duomenų tvarkymo principus ir duomenų subjekto teises, įtvirtintas atitinkamai šio reglamento II ir III skyriuose. Konkrečiai kalbant, bet koks asmens duomenų tvarkymas turi, pirma, atitikti minėto reglamento 5 straipsnyje nurodytus principus ir, antra, tenkinti jo 6 straipsnyje numatytas teisėtumo sąlygas (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 208 punktą ir jame nurodytą jurisprudenciją).

Nagrinėjamu atveju prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad pagal atitinkamas RB 38 skirsnio nuostatas, vertinant, ar turi būti nurodyta pateikti dokumentą su asmens duomenimis, aiškiai nereikalaujama atsižvelgti į asmenų, kurių asmens duomenys nagrinėjami, interesus. Remiantis nacionaline jurisprudencija, pagal šias nuostatas reikalaujama tik palyginti įrodymų reikšmingumą su kitos šalies interesu neatskleisti nagrinėjamos informacijos.

Kaip konstatuota šio sprendimo 39 punkte, kadangi šiose nacionalinės teisės nuostatose kalbama apie dokumento pateikimą kaip įrodymo, jos gali atskleisti asmens duomenų tvarkymo operacijas, laikomas teisėtomis pagal BDAR 6 straipsnio 3 ir 4 dalis, siejamas su šio reglamento 23 straipsnio 1 dalies f ir j punktais. Taip yra, nes, pirma, minėtomis nuostatomis siekiama užtikrinti tinkamą teismo proceso eigą, užtikrinant, kad teisės subjektas galėtų pasinaudoti savo teisėmis, kai egzistuoja „teisėtas interesas į įrodymą“, ir, antra, jos yra būtinos ir proporcingos šiam tikslui.

Iš BDAR 6 straipsnio 4 dalies matyti, kad toks asmens duomenų tvarkymas yra teisėtas su sąlyga, kad tai yra būtina ir proporcinga priemonė demokratinėje visuomenėje, kad būtų pasiekti BDAR 23 straipsnyje nurodyti tikslai, kurių jais siekiama. Taigi siekdamas patikrinti, ar tenkinami šie reikalavimai, nacionalinis teismas, vertindamas galimybę įpareigoti pateikti dokumentą, kuriame yra trečiųjų asmenų asmens duomenų, turi atsižvelgti į esamus priešingus interesus.

47	Šiuo klausimu svarbu pažymėti, kad vertinimo, kurį turi atlikti nacionalinis teismas, rezultatas gali skirtis priklausomai nuo kiekvienos bylos aplinkybių ir nagrinėjamo proceso pobūdžio.

Kalbant apie interesus, susijusius su civiliniu teisminiu procesu, nacionalinis teismas turi, kaip matyti, be kita ko, iš BDAR 1 ir 2 konstatuojamųjų dalių, užtikrinti fizinių asmenų apsaugą tvarkant asmens duomenis, o tai yra pagrindinė teisė, įtvirtinta Chartijos 8 straipsnio 1 dalyje ir SESV 16 straipsnyje. Tas teismas taip pat turi užtikrinti Chartijos 7 straipsnyje įtvirtintą teisę į privatų gyvenimą, glaudžiai susijusią su teise į asmens duomenų apsaugą.

Vis dėlto, kaip nurodyta BDAR 4 konstatuojamojoje dalyje, teisė į asmens duomenų apsaugą nėra absoliuti, ji turi būti vertinama atsižvelgiant į jos visuomeninę paskirtį ir, remiantis proporcingumo principu, derėti su kitomis pagrindinėmis teisėmis, kaip antai Chartijos 47 straipsnyje užtikrinama teise į veiksmingą teisminę gynybą.

50	Dokumento, kuriame yra trečiųjų asmenų asmens duomenų, pateikimas civiliniame teismo procese padeda, kaip iš esmės pažymėjo generalinė advokatė išvados 61 punkte, užtikrinti šią teisę į veiksmingą teisminę gynybą.

Kadangi Chartijos 47 straipsnio antra pastraipa atitinka 1950 m. lapkričio 4 d. Romoje pasirašytos Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 6 straipsnio 1 dalį, pagal Chartijos 52 straipsnio 3 dalį jos esmė ir taikymo sritis yra tokia, kaip nustatyta minėtos konvencijos 6 straipsnio 1 dalyje.

Remiantis suformuota Europos Žmogaus Teisių Teismo jurisprudencija, atsižvelgiant į tai, kad teisė į teisingą bylos nagrinėjimą demokratinėje visuomenėje užima svarbią vietą, labai svarbu, kad teisės subjektas turėtų galimybę veiksmingai ginti savo reikalavimus teisme ir kad būtų užtikrintas jo ir kitos bylos šalies procesinis lygiateisiškumas (šiuo klausimu žr. 2022 m. birželio 24 d. EŽTT sprendimo Zayidov prieš Azerbaidžianą (Nr. 2), CE:ECHR:2022:0324JUD000538610, 87 punktą ir jame nurodytą jurisprudenciją). Iš to, be kita ko, matyti, kad teisės subjektas turi galėti pasinaudoti rungimosi principu grindžiamu procesu ir įvairiais jo etapais pateikti argumentus, kurie, kaip jis mano, yra reikšmingi jo reikalavimų gynybai (1999 m. sausio 21 d. EŽTT sprendimo García Ruiz prieš Ispaniją, CE:ECHR:1999:0121JUD003054496, 29 punktas).

Taigi, siekiant užtikrinti, kad teisės subjektai galėtų pasinaudoti teise į veiksmingą teisminę gynybą, visų pirma teise į teisingą bylos nagrinėjimą, kaip tai suprantama pagal Chartijos 47 straipsnio antrą pastraipą, reikia konstatuoti, kad civilinio teismo proceso šalys turi turėti galimybę susipažinti su įrodymais, kurie yra būtini siekiant pakankamai įrodyti jų priekaištų pagrįstumą, o tai galbūt gali apimti šalių ar trečiųjų asmenų asmens duomenis.

Vis dėlto, kaip nurodyta šio sprendimo 46 punkte, į esamus interesus atsižvelgiama nagrinėjant priemonės būtinumą ir proporcingumą, tai numatyta BDAR 6 straipsnio 3 ir 4 dalyse ir sąlygoja asmens duomenų tvarkymo teisėtumą. Taigi šiuo klausimu taip pat reikia atsižvelgti į minėto reglamento 5 straipsnio 1 dalį, visų pirma į šios nuostatos c punkte įtvirtintą „duomenų kiekio mažinimo“ principą, kuris išreiškia proporcingumo principą. Remiantis duomenų kiekio mažinimo principu, asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kokių reikia siekiant tikslų, dėl kurių jie tvarkomi (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 98 punktą ir jame nurodytą jurisprudenciją).

Taigi nacionalinis teismas turi nustatyti, ar asmens duomenų atskleidimas yra tinkamas ir reikšmingas, siekiant užtikrinti taikytinomis nacionalinės teisės nuostatomis siekiamą tikslą, ir ar šio tikslo negalima pasiekti pasitelkiant mažiau ribojančias, kiek tai susiję su didelio skaičiaus trečiųjų asmenų asmens duomenų apsauga, įrodinėjimo priemones, pavyzdžiui, atrinktų liudytojų apklausą.

Jeigu dokumento, kuriame yra asmens duomenų, pateikimas yra pateisinamas, iš minėto principo taip pat matyti, kad kai tik dalis šių duomenų yra būtini kaip įrodymai, nacionalinis teismas turi imtis papildomų duomenų apsaugos priemonių, kaip antai BDAR 4 straipsnio 5 punkte apibrėžto pseudonimų davimo duomenų subjektų vardams ir pavardėms ar bet kurios kitos priemonės, skirtos tam, kad būtų sumažintas teisės į duomenų apsaugą suvaržymas. Tokios priemonės, be kita ko, gali apimti galimybės visuomenei susipažinti su bylos medžiaga apribojimą arba šalims, kurioms buvo perduoti dokumentai su asmens duomenimis, skirtą įpareigojimą nesinaudoti šiais duomenimis kitais nei įrodymų rinkimo tikslais, vykstant teismo procesui.

Šiuo klausimu reikia pažymėti, kad iš BDAR 4 straipsnio 5 punkto, siejamo su šio reglamento 26 konstatuojamąja dalimi, matyti, kad asmens duomenys, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui pasinaudojus papildoma informacija, turėtų būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta ir kuriai taikomi duomenų apsaugos principai. Tačiau iš šios konstatuojamosios dalies matyti, kad šie principai netaikomi „anonimiškai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta“.

Darytina išvada, kad nacionalinis teismas gali manyti, jog šalių ar trečiųjų asmenų asmens duomenys jam turi būti atskleisti, kad, žinant visas bylos aplinkybes ir laikantis proporcingumo principo, būtų galima palyginti esamus interesus. Šis vertinimas prireikus gali lemti tai, kad toks teismas leistų visiškai ar iš dalies atskleisti kitai šaliai jam perduotus asmens duomenis, jeigu mano, kad toks atskleidimas neviršija to, kas būtina siekiant užtikrinti veiksmingą naudojimąsi iš Chartijos 47 straipsnio kylančiomis teisės subjektų teisėmis.

Atsižvelgiant į visa tai, kas išdėstyta, į antrąjį klausimą reikia atsakyti, kad BDAR 5 ir 6 straipsniai turi būti aiškinami taip: vertindamas, ar reikia nurodyti pateikti dokumentą, kuriame yra asmens duomenų, nacionalinis teismas turi paisyti duomenų subjektų interesų ir juos pasverti, atsižvelgdamas į kiekvieno atvejo aplinkybes bei nagrinėjamo proceso rūšį, ir tinkamai atsižvelgti į iš proporcingumo principo kylančius reikalavimus, būtent į reikalavimus, kylančius iš šio reglamento 5 straipsnio 1 dalies c punkte numatyto duomenų kiekio mažinimo principo.

Dėl bylinėjimosi išlaidų

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (trečioji kolegija) nusprendžia:

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 6 straipsnio 3 ir 4 dalys

turi būti aiškinamos taip:

vykstant civiliniam procesui šios nuostatos taikomos kaip įrodymą pateikiant darbo laiko apskaitos žurnalą, kuriame yra trečiųjų asmenų asmens duomenų, surinktų iš esmės siekiant atlikti mokesčių kontrolę.

Reglamento 2016/679 5 ir 6 straipsniai

turi būti aiškinami taip:

vertindamas, ar reikia nurodyti pateikti dokumentą, kuriame yra asmens duomenų, nacionalinis teismas turi paisyti duomenų subjektų interesų ir juos pasverti, atsižvelgdamas į kiekvieno atvejo aplinkybes bei nagrinėjamo proceso rūšį, ir tinkamai atsižvelgti į iš proporcingumo principo kylančius reikalavimus, būtent į reikalavimus, kylančius iš šio reglamento 5 straipsnio 1 dalies c punkte numatyto duomenų kiekio mažinimo principo.

Parašai.

( *1 ) Proceso kalba: švedų.