ROZSUDOK SÚDNEHO DVORA (prvá komora)
z 30. marca 2023 (*)
„Návrh na začatie prejudiciálneho konania – Ochrana osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 88 ods. 1 a 2 – Spracúvanie údajov v súvislosti so zamestnaním – Regionálny školský systém – Výučba prostredníctvom videokonferencie z dôvodu pandémie COVID‑19 – Uskutočňovanie bez výslovného súhlasu učiteľov“
Vo veci C‑34/21,
ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden, Nemecko) z 20. decembra 2020 a doručený Súdnemu dvoru 20. januára 2021, ktorý súvisí s konaním:
Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium
proti
Minister des Hessischen Kultusministeriums,
SÚDNY DVOR (prvá komora),
v zložení: predseda prvej komory A. Arabadžiev, predseda Súdneho dvora K. Lenaerts, podpredseda Súdneho dvora L. Bay Larsen, vykonávajúci funkciu sudcov prvej komory, sudcovia A. Kumin a I. Ziemele (spravodajkyňa),
generálny advokát: M. Campos Sánchez‑Bordona,
tajomník: S. Beer, referentka,
so zreteľom na písomnú časť konania a po pojednávaní z 30. júna 2022,
so zreteľom na pripomienky, ktoré predložili:
– Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium, v zastúpení: J. Kolter, Rechtsanwalt,
– Minister des Hessischen Kultusministeriums, v zastúpení: C. Meinert,
– nemecká vláda, v zastúpení: J. Möller a D. Klebs, splnomocnení zástupcovia,
– rakúska vláda, v zastúpení: G. Kunnert a J. Schmoll, splnomocnení zástupcovia,
– rumunská vláda, v zastúpení: E. Gane a A. Wellman, splnomocnené zástupkyne,
– Európska komisia, v zastúpení: F. Erlbacher, H. Kranenborg a D. Nardi, splnomocnení zástupcovia,
po vypočutí návrhov generálneho advokáta na pojednávaní 22. septembra 2022,
vyhlásil tento
Rozsudok
1 Návrh na začatie prejudiciálneho konania sa týka výkladu článku 88 ods. 1 a 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“).
2 Tento návrh bol podaný v rámci sporu medzi Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium (Hlavný výbor pedagogických zamestnancov pri Ministerstve školstva a kultúry spolkovej krajiny Hesensko, Nemecko) a Minister des Hessischen Kultusministeriums (minister školstva a kultúry spolkovej krajiny Hesensko, Nemecko), ktorý sa týka zákonnosti systému vysielania vyučovacích hodín v priamom prenose prostredníctvom videokonferencie, zavedeného na školách v spolkovej krajine Hesensko (Nemecko) bez toho, aby sa upravil predchádzajúci súhlas dotknutých učiteľov.
Právny rámec
Právo Únie
Smernica 95/46/ES
3 Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355) bola s účinnosťou od 25. mája 2018 zrušená na základe GDPR. Článok 3 tejto smernice, nazvaný „Rozsah“, znel:
„1. Táto smernica sa uplatňuje na spracovanie osobných údajov vcelku alebo čiastočných údajov, automatickými prostriedkami, a na spracovanie osobných údajov inými, ako automatickými prostriedkami, ktoré tvoria časť registračného systému alebo určených pre to, aby tvorili časť registračného systému.
2. Táto smernica sa neuplatňuje na spracovanie osobných údajov:
– v priebehu činností, ktoré sú mimo rozsahu zákona [mimo pôsobnosti práva – neoficiálny preklad] spoločenstva, ako sú tie, ktoré sú uvedené v hlave V a VI Zmluvy [o EÚ v jej znení platnom pred nadobudnutím účinnosti Lisabonskej zmluvy] a v žiadnom prípade sa neuplatňujú na operácie spracovania týkajúce sa verejnej bezpečnosti, obrany, bezpečnosti štátu (vrátane hospodárskej prosperity štátu, keď sa operácia spracovania týka záležitostí bezpečnosti štátu) a činností štátu v oblastiach trestného zákona [trestného práva – neoficiálny preklad],
…“
GDPR
4 Odôvodnenia 8 až 10, 13, 16, 45 a 155 GDPR znejú:
„(8) Ak sa v tomto nariadení stanovuje, že právo členského štátu má spresniť alebo obmedziť jeho pravidlá, členské štáty môžu, pokiaľ je to nevyhnutné pre súdržnosť a dosiahnutie lepšej zrozumiteľnosti vnútroštátnych predpisov pre osoby, na ktoré sa vzťahujú, začleniť prvky tohto nariadenia do svojho vnútroštátneho práva.
(9) Ciele a zásady smernice [95/46] zostávajú platné, nepodarilo sa však zabrániť rozdielom pri vykonávaní ochrany údajov v [Európskej ú]nii, právnej neistote ani rozšírenému vnímaniu verejnosti, že v súvislosti s ochranou fyzických osôb existujú značné riziká, a to najmä v online prostredí. Rozdiely, ktoré existujú v členských štátoch, pokiaľ ide o úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní osobných údajov, najmä práva na ochranu osobných údajov, môžu brániť voľnému toku osobných údajov v Únii. Uvedené rozdiely preto môžu predstavovať prekážku pri vykonávaní hospodárskych činností na úrovni Únie, narúšať hospodársku súťaž a brániť orgánom v plnení úloh, ktoré majú vykonávať na základe práva Únie. Takýto rozdiel v úrovni ochrany je spôsobený existenciou rozdielov vo vykonávaní a uplatňovaní smernice [95/46].
(10) S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci Únie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch. Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by sa malo zabezpečiť v rámci celej Únie. Pokiaľ ide o spracúvanie osobných údajov na účely dodržania zákonnej povinnosti, plnenia úloh realizovaných vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, členské štáty by mali mať možnosť zachovať alebo zaviesť vnútroštátne predpisy, ktorými by sa spresnilo uplatňovanie pravidiel stanovených v tomto nariadení. Spolu so všeobecnými a horizontálnymi právnymi predpismi o ochrane údajov, ktorými sa vykonáva smernica [95/46], prijali členské štáty viaceré sektorové právne predpisy v oblastiach, v ktorých sú potrebné špecifickejšie normy. Týmto nariadením sa tiež členským štátom dáva priestor na spresnenie svojich pravidiel vrátane pravidiel spracúvania osobitných kategórií osobných údajov (ďalej len ‚citlivé údaje‘). V danom rozsahu toto nariadenie nevylučuje právo členského štátu, ktorým sa vymedzujú okolnosti špecifických spracovateľských situácií vrátane presnejšieho stanovenia podmienok, za ktorých je spracúvanie osobných údajov v súlade so zákonom.
…
(13) S cieľom zaručiť konzistentnú úroveň ochrany fyzických osôb v celej Únii a zabrániť rozdielom, ktoré sú prekážkou voľného pohybu osobných údajov v rámci vnútorného trhu, je potrebné prijať nariadenie, ktorým sa poskytne právna istota a transparentnosť pre hospodárske subjekty…, a ktorým sa fyzickým osobám vo všetkých členských štátoch poskytne rovnaká úroveň právne vymožiteľných práv, ktorým sa prevádzkovateľom a sprostredkovateľom uložia povinnosti a zodpovednosti, ktorým sa zabezpečí konzistentné monitorovanie spracúvania osobných údajov a ktorým sa stanovia rovnocenné sankcie vo všetkých členských štátoch, ako aj účinná spolupráca dozorných orgánov rozličných členských štátov. Riadne fungovanie vnútorného trhu si vyžaduje, aby voľný pohyb osobných údajov v rámci Únie nebol obmedzený ani zakázaný z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov. …
…
(16) Toto nariadenie sa nevzťahuje na otázky ochrany základných práv a slobôd ani na voľný tok osobných údajov týkajúcich sa činností, ktoré nepatria do pôsobnosti práva Únie, ako sú činnosti týkajúce sa národnej bezpečnosti. Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov členskými štátmi pri vykonávaní činností v súvislosti so spoločnou zahraničnou a bezpečnostnou politikou Únie.
…
(45) Ak sa spracúvanie vykonáva v súlade so zákonnými povinnosťami, ktoré má prevádzkovateľ, alebo ak je spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo z úradnej moci, základ pre spracúvanie by mal existovať v práve Únie alebo v práve členského štátu. Týmto nariadením sa nevyžaduje, aby pre každé jednotlivé spracúvanie existoval osobitný právny predpis. Za dostatočný možno považovať právny predpis, ktorý je základom pre viaceré spracovateľské operácie založené na zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa, alebo ak je spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci. Na základe práva Únie alebo práva členského štátu by sa tiež malo rozhodovať o účele spracúvania. Okrem toho by toto právo mohlo spresniť všeobecné podmienky tohto nariadenia, ktoré sa týkajú zákonnosti spracúvania osobných údajov, stanoviť špecifikácie na určenie prevádzkovateľa, typu osobných údajov, ktoré podliehajú spracúvaniu, príslušných dotknutých osôb, subjektov, ktorým môžu byť osobné údaje poskytnuté, obmedzenia účelu, doby uchovávania a iných opatrení s cieľom zabezpečiť zákonné a spravodlivé spracúvanie. …
…
(155) V práve členského štátu alebo v kolektívnych zmluvách vrátane podnikových kolektívnych zmlúv sa môžu stanoviť konkrétne pravidlá upravujúce spracúvanie osobných údajov zamestnancov v súvislosti so zamestnaním, najmä podmienky, za ktorých sa môžu na základe súhlasu zamestnanca spracúvať osobné údaje v súvislosti so zamestnaním, na účely prijatia do zamestnania, plnenia pracovnej zmluvy vrátane plnenia povinností vyplývajúcich z právnych predpisov alebo kolektívnych zmlúv, na účely riadenia, plánovania a organizácie práce, rovnosti a rozmanitosti na pracovisku, ochrany zdravia a bezpečnosti pri práci, ako aj na účely uplatňovania a využívania práv a výhod súvisiacich so zamestnaním na individuálnom alebo kolektívnom základe, a na účely ukončenia pracovného pomeru.“
5 Článok 1 GDPR, nazvaný „Predmet úpravy a ciele“, stanovuje:
„1. Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.
2. Týmto nariadením sa chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov.
3. Voľný pohyb osobných údajov v rámci Únie sa nesmie obmedziť ani zakázať z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov.“
6 V článku 2 tohto nariadenia, nazvanom „Vecná pôsobnosť“, sa v odsekoch 1 a 2 uvádza:
„1. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.
2. Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov:
a) v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie;
b) členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2 hlavy V [Zmluvy o EÚ];
c) fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti;
d) príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania.“
7 Článok 4 uvedeného nariadenia, nazvaný „Vymedzenie pojmov“, znie:
„Na účely tohto nariadenia:
1. ‚osobné údaje‘ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len ‚dotknutá osoba‘); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;
2. ‚spracúvanie‘ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;
…“
8 Článok 5 GDPR, nazvaný „Zásady spracúvania osobných údajov“, stanovuje:
„1. Osobné údaje musia byť:
a) spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe (‚zákonnosť, spravodlivosť a transparentnosť‘);
b) získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi; ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely sa v súlade s článkom 89 ods. 1 nepovažuje za nezlučiteľné s pôvodnými účelmi (‚obmedzenie účelu‘);
c) primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú (‚minimalizácia údajov‘);
d) správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia (‚správnosť‘);
e) uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s článkom 89 ods. 1 za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto nariadením na ochranu práv a slobôd dotknutých osôb (‚minimalizácia uchovávania‘);
f) spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení (‚integrita a dôvernosť‘).
2. Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“
9 Článok 6 tohto nariadenia, nazvaný „Zákonnosť spracúvania“, v odsekoch 1 až 3 stanovuje:
„1. Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:
a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;
b) spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;
c) spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;
…
e) spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
f) spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.
Písmeno f) prvého pododseku sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh.
2. Členské štáty môžu zachovať alebo zaviesť špecifickejšie ustanovenia s cieľom prispôsobiť uplatňovanie pravidiel tohto nariadenia s ohľadom na spracúvanie v súlade s odsekom 1 písm. c) a e), a to presnejším stanovením osobitných požiadaviek na spracúvanie a stanovením ďalších opatrení, ktorými sa zaistí zákonné a spravodlivé spracúvanie, vrátane požiadaviek na iné osobitné situácie spracúvania stanovené v kapitole IX.
3. Základ pre spracúvanie uvedené v odseku 1 písm. c) a e) musí byť stanovený:
a) v práve Únie alebo
b) v práve členského štátu vzťahujúcom sa na prevádzkovateľa.
Účel spracúvania sa stanoví v tomto právnom základe, alebo pokiaľ ide o spracúvanie uvedené v odseku 1 písm. e), spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Uvedený právny základ môže obsahovať osobitné ustanovenia na prispôsobenie uplatňovania pravidiel tohto nariadenia, vrátane: všeobecných podmienok vzťahujúcich sa na zákonnosť spracúvania prevádzkovateľom; typov spracúvaných údajov; dotknutých osôb; subjektov, ktorým sa môžu osobné údaje poskytnúť, a účel[ov], na ktoré ich možno poskytnúť; obmedzenia účelu; doby uchovávania; a spracovateľských operácií a postupov vrátane opatrení na zabezpečenie zákonného a spravodlivého spracúvania, ako napríklad tie na iné osobitné situácie spracúvania, ako sú stanovené v kapitole IX. Právo Únie alebo právo členského štátu musí spĺňať cieľ verejného záujmu a byť primerané sledovanému oprávnenému cieľu.“
10 V článku 88 GDPR, ktorý sa nachádza v jeho kapitole IX, nazvanej „Ustanovenia o osobitných situáciách spracúvania“ a ktorý sa týka „spracúvani[a] v súvislosti so zamestnaním“, sa uvádza:
„1. Členské štáty môžu prostredníctvom právnych predpisov alebo kolektívnych dohôd stanoviť konkrétnejšie pravidlá na zabezpečenie ochrany práv a slobôd pri spracúvaní osobných údajov zamestnancov v súvislosti so zamestnaním, najmä na účely prijatia do zamestnania, plnenia pracovnej zmluvy vrátane plnenia povinností vyplývajúcich z právnych predpisov alebo kolektívnych zmlúv, ďalej na účely riadenia, plánovania a organizácie práce, rovnosti a rozmanitosti na pracovisku, ochrany zdravia a bezpečnosti pri práci, ochrany majetku zamestnávateľa alebo zákazníka, ako aj na účely uplatňovania a využívania práv a výhod súvisiacich so zamestnaním na individuálnom alebo kolektívnom základe, a na účely ukončenia pracovného pomeru.
2. Uvedené pravidlá zahŕňajú vhodné a osobitné opatrenia na zaistenie ľudskej dôstojnosti, oprávnených záujmov a základných práv dotknutej osoby[,] s osobitným zameraním na transparentnosť spracúvania, prenos osobných údajov v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a systémy monitorovania na pracovisku.
3. Každý členský štát oznámi [Európskej k]omisii do 25. mája 2018 ustanovenia svojich právnych predpisov, ktoré prijme podľa odseku 1, a bezodkladne oznámi aj všetky následné zmeny, ktoré sa ich týkajú.“
Nemecké právo
11 V § 26 ods. 1 Bundesdatenschutzgesetz (spolkový zákon o ochrane údajov) z 30. júna 2017 (BGBl. 2017 I, s. 2097) sa stanovuje:
„Osobné údaje zamestnancov sa smú spracúvať na účely pracovnoprávneho vzťahu, ak je to potrebné na rozhodnutie o vzniku pracovnoprávneho vzťahu alebo po vzniku pracovnoprávneho vzťahu na jeho vykonávanie alebo jeho skončenie, alebo na výkon práv či dodržiavanie povinností súvisiacich so zastupovaním záujmov zamestnancov, ktoré vyplývajú zo zákona alebo z nástroja upravujúceho kolektívne pracovnoprávne vzťahy, podnikovej alebo služobnej dohody (kolektívna zmluva). …“
12 Podľa § 23 Hessisches Datenschutz‑ und Informationsfreiheitsgesetz (zákon spolkovej krajiny Hesensko o ochrane údajov a slobodnom poskytovaní informácií) z 3. mája 2018 (ďalej len „HDSIG“):
„1. Osobné údaje zamestnancov sa smú spracúvať na účely pracovnoprávneho vzťahu, ak je to potrebné na rozhodnutie o vzniku pracovnoprávneho vzťahu alebo po vzniku pracovnoprávneho vzťahu na jeho vykonávanie, ukončenie alebo zrušenie, ako aj na uskutočňovanie interných služobných plánovacích, organizačných, sociálnych a personálnych opatrení. …
2. Ak k spracúvaniu osobných údajov zamestnancov dochádza na základe súhlasu, treba na účely posúdenia, či bol súhlas poskytnutý slobodne, zohľadniť najmä závislosť zamestnanca v pracovnoprávnom vzťahu, ako aj okolnosti, za ktorých bol súhlas udelený. Slobodný charakter súhlasu možno preukázať najmä vtedy, ak pre zamestnanca existuje právna alebo hospodárska výhoda, alebo ak sa záujmy zamestnávateľa a zamestnanca zhodujú. Súhlas musí byť vyhotovený písomne, ibaže sa vzhľadom na osobitné okolnosti vyžaduje iná forma. Zamestnávateľ je povinný písomne informovať zamestnanca o účele spracúvania údajov a o jeho práve odvolať svoj súhlas, ktoré je stanovené v článku 7 ods. 3 [GDPR].
3. Odchylne od článku 9 ods. 1 [GDPR] je spracúvanie osobitných kategórií osobných údajov v zmysle článku 9 ods. 1 [GDPR] povolené na účely pracovnoprávneho vzťahu, pokiaľ je nevyhnutné na výkon práv alebo na plnenie právnych povinností vyplývajúcich z pracovného práva, práva sociálneho zabezpečenia a sociálnej ochrany a ak neexistuje dôvod domnievať sa, že prevažuje oprávnený záujem dotknutej osoby na tom, aby sa spracúvanie vylúčilo. Odsek 2 sa vzťahuje aj na súhlas so spracúvaním osobitných kategórií osobných údajov. V tejto súvislosti musí súhlas výslovne zmieňovať tieto údaje. …
4. Spracúvanie osobných údajov vrátane osobitných kategórií osobných údajov zamestnancov na účely pracovnoprávneho vzťahu je prípustné na základe kolektívnych zmlúv. V tejto súvislosti musia účastníci kolektívneho vyjednávania dodržať článok 88 ods. 2 [GDPR].
5. Prevádzkovateľ musí prijať vhodné opatrenia s cieľom zabezpečiť, aby boli dodržané najmä zásady spracúvania osobných údajov uvedené v článku 5 [GDPR].
…
7. Odseky 1 až 6 sa uplatňujú aj vtedy, keď sa osobné údaje vrátane osobitných kategórií osobných údajov zamestnancov spracúvajú bez toho, aby tvorili súčasť informačného systému, alebo boli určené na to, aby tvorili súčasť informačného systému. Ustanovenia Hessisches Beamtengesetz [(HBG) (zákon o verejnej službe spolkovej krajiny Hesensko) z 21. júna 2018 (ďalej len ‚HBG‘)], ktoré sú uplatniteľné na spisy zamestnancov, sa uplatňujú mutatis mutandis na pracovníkov vo verejnom sektore, pokiaľ nie je v nástroji upravujúcom kolektívne pracovné vzťahy stanovené inak.
8. Zamestnancami v zmysle tohto zákona sú:
1. pracovníci vrátane dočasných agentúrnych pracovníkov, ktorí majú vzťah s užívateľom,
…
7. úradníci, na ktorých sa vzťahuje HBG, sudcovia spolkovej krajiny, ako aj osoby vykonávajúce civilnú službu.
…“
13 V § 86 ods. 4 HBG sa uvádza:
„Zamestnávateľ smie získavať osobné údaje o uchádzačkách, uchádzačoch, úradníčkach a úradníkoch, ako aj bývalých úradníčkach a úradníkoch, len pokiaľ je to potrebné na vznik, vykonávanie, ukončenie alebo zrušenie služobného pomeru, alebo na uskutočňovanie organizačných, personálnych a sociálnych opatrení, najmä aj na účely personálneho plánovania a prideľovania práce alebo ak to dovoľuje právny predpis alebo kolektívna zmluva týkajúca sa verejnej služby. …“
Spor vo veci samej a prejudiciálne otázky
14 Tak ako vyplýva zo spisu predloženého Súdnemu dvoru, minister školstva a kultúry spolkovej krajiny Hesensko dvomi aktmi prijatými v priebehu roka 2020 stanovil právny a organizačný rámec školskej výučby počas obdobia pandémie COVID‑19. Tento rámec okrem iného stanovil možnosť, aby sa žiaci, ktorí nemohli byť prítomní v triede, mohli zúčastniť na vyučovacích hodinách v priamom prenose prostredníctvom videokonferencie. S cieľom chrániť práva žiakov v oblasti ochrany osobných údajov bolo stanovené, že pripojenie k službe videokonferencie bude povolené len so súhlasom samotných žiakov, alebo v prípade, že sú títo maloletí, so súhlasom ich rodičov. Naopak súhlas dotknutých učiteľov s ich účasťou na tejto službe sa neupravil.
15 Hlavný výbor pedagogických zamestnancov pri Ministerstve školstva a kultúry spolkovej krajiny Hesensko podal žalobu na Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden, Nemecko), pričom namietal, že vysielanie vyučovacích hodín v priamom prenose prostredníctvom videokonferencie nepodlieha podmienke súhlasu dotknutých učiteľov.
16 Minister školstva a kultúry spolkovej krajiny Hesensko zase tvrdil, že na spracúvanie osobných údajov, ktoré predstavuje vysielanie vyučovacích hodín v priamom prenose prostredníctvom videokonferencie, sa vzťahuje § 23 ods. 1 prvá veta HDSIG, a teda je možné ho uskutočňovať bez toho, aby sa žiadalo o súhlas dotknutého učiteľa.
17 Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden) v tejto súvislosti uvádza, že v súlade so zámerom zákonodarcu spolkovej krajiny Hesensko patria § 23 HDSIG a § 86 HBG do kategórie „konkrétnejších pravidiel“, ktoré môžu členské štáty stanoviť v súlade s článkom 88 ods. 1 GDPR na zabezpečenie ochrany práv a slobôd pri spracúvaní osobných údajov zamestnancov v súvislosti so zamestnaním. Tento súd má však pochybnosti, pokiaľ ide o zlučiteľnosť § 23 ods. 1 prvej vety HDSIG a § 86 ods. 4 HBG s požiadavkami stanovenými v článku 88 ods. 2 GDPR.
18 V prvom rade totiž § 23 ods. 1 prvá veta HDSIG a § 86 ods. 4 HBG ako právny základ spracúvania údajov zamestnancov vychádzajú z „nevyhnutnosti“. Vloženie zásady „nevyhnutnosti“ do zákona však po prvé nepredstavuje pravidlo, ktoré by špecifikovalo požiadavky obsiahnuté v článku 88 ods. 2 GDPR, keďže spracúvanie údajov nevyhnutné v kontexte zamestnania už upravuje článok 6 ods. 1 prvý pododsek písm. b) GDPR.
19 Po druhé sa § 23 ods. 1 prvá veta HDSIG nad rámec zmluvného vzťahu vo vlastnom slova zmysle uplatňuje na akékoľvek spracúvanie údajov zamestnancov. Z článku 6 ods. 1 prvého pododseku písm. f) GDPR pritom vyplýva, že v prípade spracúvania osobných údajov, ktoré ide nad rámec prísne nevyhnutného spracúvania v súvislosti so zamestnaním, treba vyvážiť slobody a základné práva dotknutej osoby, v danom prípade zamestnancov a úradníkov, s oprávneným záujmom, ktorý sleduje prevádzkovateľ, ktorým je v predmetnom prípade zamestnávateľ. Vzhľadom na to, že § 23 ods. 1 prvá veta HDSIG takéto vyváženie neupravuje, toto ustanovenie nemožno po nadobudnutí účinnosti GDPR považovať za osobitnú odvetvovú normu.
20 V druhom rade Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden) zastáva názor, že jednoduchý odkaz uvedený v § 23 ods. 5 HDSIG, podľa ktorého musí prevádzkovateľ okrem iného dodržiavať zásady uvedené v článku 5 GDPR, nespĺňa požiadavky článku 88 ods. 2 tohto nariadenia. Toto posledné uvedené ustanovenie totiž vyžaduje, aby vhodné a osobitné normatívne ustanovenia, ktoré upravuje, boli prijaté na zaistenie ochrany ľudskej dôstojnosti, oprávnených záujmov a základných práv dotknutých osôb, s osobitným zameraním na transparentnosť spracúvania, prenos osobných údajov v rámci skupiny podnikov alebo skupiny podnikov zapojených do spoločnej hospodárskej činnosti a na systémy monitorovania na pracovisku, a nie je jednoducho len pravidlom, ktoré používateľ vnútroštátnej normy musí dodržiavať navyše. Používateľ normy nie je adresátom článku 88 ods. 2 GDPR.
21 Za týchto okolností Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:
„1. Má sa článok 88 ods. 1 [GDPR] vykladať v tom zmysle, že právny predpis musí na to, aby bol konkrétnejším pravidlom na zabezpečenie ochrany práv a slobôd pri spracúvaní osobných údajov zamestnancov v súvislosti so zamestnaním v zmysle uvedeného článku 88 ods. 1 [GDPR], spĺňať požiadavky kladené na také pravidlá podľa článku 88 ods. 2 [GDPR]?
2. Ak vnútroštátny predpis zjavne nespĺňa požiadavky podľa článku 88 ods. 2 [GDPR], možno ho napriek tomu ešte uplatniť?“
22 Oznámením doručeným do kancelárie Súdneho dvora 30. novembra 2021 Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden) informoval Súdny dvor o tom, že z dôvodu novelizácie vnútroštátnej právnej úpravy upravujúcej územnú právomoc správnych súdov spolkovej krajiny Hesensko, ktoré mali nadobudnúť účinnosť 1. decembra 2021, bol spor vo veci samej postúpený na Verwaltungsgericht Frankfurt am Main (Správny súd Frankfurt nad Mohanom, Nemecko). Oznámením doručeným do kancelárie Súdneho dvora 21. februára 2022 tento posledný uvedený súd toto postúpenie potvrdil a informoval Súdny dvor o novom spisovom čísle pridelenom sporu vo veci samej.
O prípustnosti návrhu na začatie prejudiciálneho konania
23 Nemecká vláda vo svojich písomných pripomienkach uviedla, že návrh na začatie prejudiciálneho konania je neprípustný, keďže prejudiciálne otázky nie sú relevantné na rozhodnutie sporu vo veci samej. Odpoveď Súdneho dvora totiž nie je pre vnútroštátny súd užitočná v prípade eventuality, že by spracúvanie údajov bolo povolené z dôvodu súhlasu učiteľa. Vnútroštátny súd pritom nevysvetlil dôvody, pre ktoré takúto eventualitu nezohľadnil.
24 Nemecká vláda, ktorej bola v tejto súvislosti položená otázka na pojednávaní pred Súdnym dvorom, však uznala, že prejudiciálne otázky sú relevantné v prípade, že súhlas učiteľa nebolo možné získať.
25 V tejto súvislosti treba pripomenúť, že podľa ustálenej judikatúry pri otázkach týkajúcich sa výkladu práva Únie položených vnútroštátnym súdom v právnom a skutkovom rámci, ktorý tento súd vymedzí na svoju vlastnú zodpovednosť a ktorého správnosť Súdnemu dvoru neprináleží preverovať, platí prezumpcia relevantnosti. Súdny dvor môže odmietnuť rozhodnúť o návrhu na začatie prejudiciálneho konania predloženom vnútroštátnym súdom len vtedy, ak je zjavné, že požadovaný výklad práva Únie nemá žiadnu súvislosť s realitou alebo predmetom sporu vo veci samej, pokiaľ ide o hypotetický problém, alebo ak Súdny dvor nedisponuje dostatočnými skutkovými a právnymi podkladmi potrebnými na užitočnú odpoveď na otázky, ktoré mu boli položené (rozsudok z 1. augusta 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, bod 48 a citovaná judikatúra).
26 V predmetnom prípade z rozhodnutia vnútroštátneho súdu vyplýva, že účastníci konania vo veci samej sa nezhodujú v otázke, či si zavedenie vysielania výučby v priamom prenose prostredníctvom systémov videokonferencie vyžaduje okrem súhlasu rodičov poskytnutého za ich deti či súhlasu plnoletých žiakov aj súhlas dotknutých učiteľov, alebo či sa naopak na spracúvanie osobných údajov učiteľov vzťahujú § 23 ods. 1 prvá veta HDSIG a § 86 ods. 4 HBG.
27 Treba tiež uviesť, že Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden) vo svojom návrhu na začatie prejudiciálneho konania uviedol jednak to, že vnútroštátny zákonodarca usúdil, že § 23 HDSIG a § 86 HBG predstavujú konkrétnejšie pravidlá v zmysle článku 88 GDPR, a jednak to, že výsledok sporu vo veci samej závisí od otázky, či § 23 ods. 1 prvá veta HDSIG a § 86 ods. 4 HBG spĺňajú požiadavky uvedeného článku 88 GDPR, a tak by mohli predstavovať konkrétnejšie pravidlá uplatniteľné na spracúvanie osobných údajov učiteľov pri vysielaní vyučovacích hodín v priamom prenose prostredníctvom systému videokonferencie, o aké ide vo veci samej.
28 Vzhľadom na informácie takto uvedené v návrhu na začatie prejudiciálneho konania nie je argumentácia nemeckej vlády spôsobilá vyvrátiť domnienku relevantnosti, ktorá platí vo vzťahu k položeným otázkam.
29 Za týchto okolností nemožno konštatovať ani to, že požadovaný výklad ustanovení práva Únie zjavne nemá žiadnu súvislosť s existenciou alebo predmetom sporu vo veci samej, ani to, že ide o hypotetický problém, keďže vnútroštátny súd môže zohľadniť tento výklad na účely vyriešenia sporu vo veci samej. Napokon Súdny dvor má k dispozícii skutkové a právne podklady nevyhnutné na to, aby poskytol užitočnú odpoveď na otázky, ktoré sú mu položené.
30 Návrh na začatie prejudiciálneho konania je teda prípustný.
O prejudiciálnych otázkach
Úvodné poznámky
31 Prejudiciálne otázky sa týkajú výkladu článku 88 ods. 1 a 2 GDPR v rámci sporu týkajúceho sa spracúvania osobných údajov učiteľov pri vysielaní vyučovacích hodín v rámci verejného vzdelávania, ktoré majú títo za úlohu zabezpečovať, v priamom prenose prostredníctvom videokonferencie.
32 V prvom rade treba určiť, či takéto spracúvanie patrí do vecnej pôsobnosti GDPR vzhľadom na skutočnosť, že podľa článku 2 ods. 2 písm. a) tohto nariadenia sa toto nariadenie nevzťahuje na spracúvanie osobných údajov „v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie“, a že v súlade s článkom 165 ods. 1 ZFEÚ sú členské štáty zodpovedné za obsah výučby a organizáciu svojich vzdelávacích systémov.
33 V tejto súvislosti z judikatúry Súdneho dvora vyplýva, že vymedzenie vecnej pôsobnosti GDPR, tak ako je toto uvedené v jeho článku 2 ods. 1, je veľmi široké a že výnimky z tejto pôsobnosti, ktoré sú stanovené v jeho článku 2 ods. 2, sa musia vykladať reštriktívne [pozri v tomto zmysle rozsudky z 9. júla 2020, Land Hessen, C‑272/19, EU:C:2020:535, bod 68, ako aj z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, body 61 a 62].
34 Okrem toho treba článok 2 ods. 2 písm. a) GDPR chápať v spojení s jeho článkom 2 ods. 2 písm. b) a jeho odôvodnením 16, ktoré spresňuje, že uvedené nariadenie sa nevzťahuje na spracúvanie osobných údajov v kontexte „činností, ktoré nepatria do pôsobnosti práva Únie, ako sú činnosti týkajúce sa národnej bezpečnosti“, ako aj „činnosti v súvislosti so spoločnou zahraničnou a bezpečnostnou politikou Únie“ [rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 63].
35 Z toho vyplýva, že článok 2 ods. 2 písm. a) a b) GDPR, ktorý čiastočne zapadá do pokračovania článku 3 ods. 2 prvej zarážky smernice 95/46, nemožno vykladať ako stanovujúci širší rozsah, než výnimka vyplývajúca z článku 3 ods. 2 prvej zarážky smernice 95/46, ktorá už vylučovala z pôsobnosti tejto smernice najmä spracúvanie osobných údajov, ku ktorému dochádza v rámci „činností, ktoré sú mimo [pôsobnosti práva] spoločenstva, ako sú tie, ktoré sú uvedené v hlave V a VI Zmluvy [o EÚ v jej znení platnom pred nadobudnutím účinnosti Lisabonskej zmluvy], a v žiadnom prípade sa neuplatňujú na operácie spracovania týkajúce sa verejnej bezpečnosti, obrany, bezpečnosti štátu“ [rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 64].
36 V predmetnom prípade je nesporné, že činnosť týkajúcu sa organizácie vzdelávania v spolkovej krajine Hesensko nemožno zaradiť do kategórie činností, ktorých cieľom je ochrana národnej bezpečnosti a ktoré sú uvedené v článku 2 ods. 2 písm. a) GDPR.
37 Spracúvanie osobných údajov učiteľov pri vysielaní vyučovacích hodín v rámci verejného vzdelávania, ktoré títo poskytujú, v priamom prenose prostredníctvom videokonferencie, akým je spracúvanie, o aké ide vo veci samej, preto patrí do vecnej pôsobnosti GDPR.
38 V druhom rade z návrhu na začatie prejudiciálneho konania vyplýva, že učitelia, ktorých spracúvanie osobných údajov je predmetom sporu vo veci samej, sú vo verejnej službe spolkovej krajiny Hesensko, a to ako zamestnanci alebo úradníci.
39 Preto treba určiť, či takéto spracúvanie osobných údajov patrí do pôsobnosti článku 88 GDPR, ktorý sa týka „spracúvani[a] osobných údajov zamestnancov v súvislosti so zamestnaním“.
40 V tejto súvislosti treba poukázať na to, že GDPR nevymedzuje pojmy „zamestnanci“ a „zamestnanie“, a ani na účely ich vymedzenia neodkazuje na právo členských štátov. V prípade neexistencie takéhoto odkazu treba pripomenúť, že tak ako vyplýva z požiadaviek tak jednotného uplatňovania práva Únie, ako aj zásady rovnosti, znenie ustanovenia práva Únie, ktoré neobsahuje nijaký výslovný odkaz na právo členských štátov s cieľom určiť jeho zmysel a rozsah pôsobnosti, si v zásade vyžaduje autonómny a jednotný výklad v celej Únii (rozsudok z 2. júna 2022, HK/Dánsko a HK/Privat, C‑587/20, EU:C:2022:419, bod 25, ako aj citovaná judikatúra).
41 Okrem toho, keďže GDPR pojmy „zamestnanci“ a „zamestnanie“ nevymedzuje, treba tieto pojmy vykladať v súlade s ich obvyklým významom v bežnom jazyku, pričom sa zohľadní kontext, v ktorom sa používajú, a ciele sledované právnou úpravou, ktorej sú súčasťou (rozsudok z 2. júna 2022, HK/Dánsko a HK/Privat, C‑587/20, EU:C:2022:419, bod 26, ako aj citovaná judikatúra).
42 Okrem toho pojem „zamestnanec“ označuje vo svojom obvyklom význame osobu, ktorá vykonáva svoju prácu v rámci vzťahu podriadenosti so svojím zamestnávateľom, a teda pod jeho kontrolou (rozsudok z 18. marca 2021, Kuoni Travel, C‑578/19, EU:C:2021:213, bod 42).
43 Charakteristickým znakom „pracovnoprávneho vzťahu“ je okolnosť, že určitá osoba vykonáva po určitú dobu v prospech inej osoby a pod jej vedením činnosti, za ktoré poberá odmenu (rozsudok z 15. júla 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, bod 49).
44 Vzhľadom na to, že takýto charakteristický znak je vlastný zamestnancom a pracovnoprávnym vzťahom tak vo verejnom sektore, ako aj v súkromnom sektore, treba z toho vyvodiť, že pojmy „zamestnávateľ“ a „zamestnanie“, chápané v ich obvyklom význame, nevylučujú osoby, ktoré vykonávajú svoje povolanie vo verejnom sektore.
45 Pôsobnosť článku 88 ods. 1 nariadenia GDPR totiž nemožno určiť v závislosti od povahy právneho vzťahu medzi zamestnancom a zamestnávateľom. Je tak irelevantné, či sa dotknutá osoba nachádza v postavení zamestnanca alebo úradníka, alebo či jej pracovnoprávny vzťah patrí do oblasti verejného alebo súkromného práva, keďže tieto právne kvalifikácie sa líšia v závislosti od vnútroštátnych právnych predpisov, a teda nemôžu byť vhodným kritériom pre jednotný a autonómny výklad tohto ustanovenia (pozri analogicky rozsudky z 12. februára 1974, Sotgiu, 152/73, EU:C:1974:13, bod 5, a z 3. júna 1986, Komisia/Francúzsko, 307/84, EU:C:1986:222, bod 11).
46 Pokiaľ ide konkrétne o osoby, ktorých pracovnoprávny vzťah nie je založený pracovnou zmluvou, tak ako úradníci, je pravda, že článok 88 GDPR vo svojom odseku 1 zmieňuje „plnenie pracovnej zmluvy“. Treba však po prvé uviesť to, že táto zmienka je uvedená medzi ďalšími účelmi spracúvania osobných údajov v súvislosti so zamestnaním, ktoré môže byť predmetom konkrétnejších pravidiel prijatých členskými štátmi, vymenovaných v článku 88 ods. 1 GDPR, a že v každom prípade tento výpočet nie je taxatívny, tak ako o tom svedčí príslovka „najmä“ použitá v tomto ustanovení.
47 Po druhé to, že kvalifikácia právneho vzťahu medzi zamestnancom a administratívou, ktorá ho zamestnáva, je irelevantná, potvrdzuje skutočnosť, že riadenie, plánovanie a organizácia práce, rovnosť a rozmanitosť na pracovisku, ochrana zdravia a bezpečnosti pri práci, ochrana majetku zamestnávateľa alebo zákazníka, uplatňovanie a využívanie práv a výhod súvisiacich so zamestnaním na individuálnom alebo kolektívnom základe, ako aj ukončenie pracovného pomeru, ktoré sú tiež vymenované v tomto článku 88 ods. 1 GDPR, sa vzťahujú na zamestnanie tak v súkromnom, ako aj vo verejnom sektore.
48 V dôsledku toho zo zmienky „plnenie pracovnej zmluvy“, ktorá je uvedená v článku 88 ods. 1 GDPR, nemožno vyvodiť, že by zamestnanie vo verejnom sektore, ktoré nie je založené na pracovnej zmluve, bolo vylúčené z pôsobnosti uvedeného ustanovenia.
49 K rovnakému záveru treba dospieť aj pokiaľ ide o to, že v článku 88 ods. 2 GDPR sa medzi tromi skutočnosťami, na ktoré sa členské štáty pri prijímaní takýchto „konkrétnejš[ích] pravid[iel]“ musia „osobitn[e] zamera[ť]“, uvádza prenos osobných údajov „v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti“. Ostatné dve skutočnosti, ktorými sú transparentnosť spracúvania a systémy monitorovania na pracovisku, sú relevantné tak pre zamestnanie v súkromnom sektore, ako aj pre zamestnanie vo verejnom sektore, a to bez ohľadu na povahu právneho vzťahu medzi zamestnancom a zamestnávateľom.
50 Výklad vyplývajúci zo znenia článku 88 GDPR potvrdzuje kontext, do ktorého tento článok patrí, ako aj cieľ sledovaný právnou úpravou, ktorej je súčasťou.
51 Tak ako vyplýva z článku 1 ods. 1 GDPR v spojení najmä s jeho odôvodneniami 9, 10 a 13, cieľom tohto nariadenia je zabezpečiť harmonizáciu vnútroštátnych právnych predpisov týkajúcich sa ochrany osobných údajov, ktorá je v zásade úplná. Ustanovenia uvedeného nariadenia však členským štátom umožňujú stanoviť dodatočné prísnejšie alebo odchylné vnútroštátne pravidlá a ponechávajú im mieru voľnej úvahy, pokiaľ ide o spôsob, akým sa môžu tieto ustanovenia vykonávať („ustanovenia o otvorení“) (pozri v tomto zmysle rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 57).
52 Článok 88 GDPR, ktorý je súčasťou kapitoly IX tohto nariadenia, nazvanej „Ustanovenia o osobitných situáciách spracovania“, predstavuje takéto ustanovenie o otvorení, pretože členským štátom priznáva možnosť prijať „konkrétnejšie pravidlá“ na zabezpečenie ochrany práv a slobôd pri spracúvaní osobných údajov zamestnancov v súvislosti so zamestnaním.
53 Osobitosti spracúvania osobných údajov v súvislosti so zamestnaním, a v dôsledku toho možnosť, ktorú členským štátom priznáva článok 88 ods. 1 GDPR, možno vysvetliť najmä existenciou vzťahu podriadenosti medzi zamestnancom a zamestnávateľom, a nie povahou právneho vzťahu medzi zamestnancom a zamestnávateľom.
54 Okrem toho podľa článku 1 ods. 2 GDPR v spojení s jeho odôvodnením 10 je cieľom tohto nariadenia najmä zaručiť vysokú úroveň ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov, pričom toto právo je uznané aj v článku 8 Charty základných práv Európskej únie a úzko súvisí s právom na rešpektovanie súkromného života, ktoré je zakotvené v jej článku 7 (pozri v tomto zmysle rozsudok z 1. augusta 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, bod 61).
55 S týmto cieľom je pritom v súlade široký výklad článku 88 ods. 1 GDPR, podľa ktorého sa „konkrétnejšie pravidlá“, ktoré členské štáty môžu stanoviť na zabezpečenie ochrany práv a slobôd pri spracúvaní osobných údajov zamestnancov v súvislosti so zamestnaním, môžu týkať všetkých zamestnancov, bez ohľadu na povahu právneho vzťahu medzi zamestnancami a ich zamestnávateľom.
56 Za týchto okolností spracúvanie osobných údajov učiteľov pri vysielaní vyučovacích hodín v rámci verejného vzdelávania, ktoré títo zabezpečujú, v priamom prenose prostredníctvom videokonferencie, akým je spracúvanie, o aké ide vo veci samej, patrí do vecnej a osobnej pôsobnosti článku 88 GDPR.
O prvej otázke
57 Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 88 GDPR vykladať v tom zmysle, že na to, aby sa právne pravidlo mohlo kvalifikovať ako konkrétnejšie pravidlo v zmysle odseku 1 tohto článku, musí spĺňať podmienky stanovené v odseku 2 uvedeného článku.
58 Tak ako bolo uvedené v bode 52 tohto rozsudku, členské štáty majú možnosť, a nie povinnosť prijať takéto pravidlá, pričom tieto môžu byť stanovené prostredníctvom právnych predpisov alebo kolektívnych zmlúv.
59 Okrem toho, pokiaľ členské štáty využívajú možnosť, ktorú im poskytuje takéto ustanovenie GDPR o otvorení, musia používať svoju voľnú úvahu za podmienok a v medziach stanovených ustanoveniami tohto nariadenia, a musia tak prijímať právne predpisy spôsobom, ktorý nezasahuje do obsahu a cieľov uvedeného nariadenia (pozri v tomto zmysle rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 60).
60 Na účely určenia podmienok a medzí, ktorým podliehajú pravidlá uvedené v článku 88 ods. 1 a 2 GDPR, a v dôsledku toho aj na účely posúdenia miery voľnej úvahy, ktorú tieto ustanovenia ponechávajú členským štátom, treba pripomenúť, že podľa ustálenej judikatúry si výklad ustanovenia práva Únie vyžaduje zohľadnenie nielen jeho znenia, ale aj kontextu, do ktorého patrí, a cieľov a účelu aktu, ktorého je súčasťou (rozsudok z 15. marca 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, bod 63).
61 Pokiaľ ide o znenie článku 88 ods. 1 GDPR, z použitia pojmu „konkrétnejšie“ predovšetkým vyplýva to, že pravidlá uvedené v tomto ustanovení musia mať normatívny obsah, ktorý je vlastný regulovanému odvetviu a ktorý sa odlišuje od všeobecných pravidiel tohto nariadenia.
62 Tak ako bolo uvedené v bode 52 tohto rozsudku, cieľ pravidiel prijatých na základe tohto ustanovenia spočíva v ochrane práv a slobôd zamestnancov pri spracúvaní ich osobných údajov v súvislosti so zamestnaním.
63 Napokon z rôznych účelov, na aké spracúvanie osobných údajov možno uskutočňovať a ktoré sú vyjadrené v článku 88 ods. 1 GDPR, vyplýva, že „konkrétnejšie pravidlá“, ktoré sú v ňom uvedené, sa môžu vzťahovať na veľmi veľký počet spracúvaní súvisiacich so zamestnaním, a teda môžu pokrývať všetky účely, na ktoré možno spracúvanie osobných údajov uskutočňovať v súvislosti so zamestnaním. Okrem toho vzhľadom na to, že vyjadrenie týchto cieľov nepredstavuje taxatívny výpočet, tak ako bolo uvedené v bode 46 tohto rozsudku, členské štáty disponujú mierou voľnej úvahy, pokiaľ ide o spracúvanie, na ktoré sa tak vzťahujú tieto konkrétnejšie pravidlá.
64 Článok 88 GDPR vo svojom odseku 2 stanovuje, že pravidlá prijaté na základe článku jeho odseku 1 zahŕňajú vhodné a osobitné opatrenia na zaistenie ľudskej dôstojnosti, oprávnených záujmov a základných práv dotknutej osoby, s osobitným zameraním na transparentnosť spracúvania, prenos osobných údajov v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a systémy monitorovania na pracovisku.
65 Zo znenia článku 88 GDPR tak vyplýva, že odsek 2 tohto článku vymedzuje rámec pre mieru voľnej úvahy členských štátov, ktoré majú v úmysle prijať „konkrétnejšie pravidlá“ na základe odseku 1 uvedeného článku. Po prvé sa tak tieto pravidlá nemôžu obmedziť len na zopakovanie ustanovení tohto nariadenia a musia mať za cieľ ochranu práv a slobôd zamestnancov pri spracúvaní ich osobných údajov v súvislosti so zamestnaním a musia zahŕňať vhodné a osobitné opatrenia na zaistenie ľudskej dôstojnosti, oprávnených záujmov a základných práv dotknutej osoby.
66 Po druhé sa treba osobitne zamerať na transparentnosť spracúvania, prenos osobných údajov v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a systémy monitorovania na pracovisku.
67 Pokiaľ ide o kontext, do ktorého patrí článok 88 GDPR, treba v prvom rade poukázať na to, že toto ustanovenie sa má vykladať s prihliadnutím na odôvodnenie 8 tohto nariadenia, podľa ktorého, ak sa v tomto nariadení stanovuje, že právo členského štátu má spresniť alebo obmedziť jeho pravidlá, členské štáty môžu, pokiaľ je to nevyhnutné pre súdržnosť a dosiahnutie lepšej zrozumiteľnosti vnútroštátnych predpisov pre osoby, na ktoré sa vzťahujú, začleniť prvky uvedeného nariadenia do svojho vnútroštátneho práva.
68 V druhom rade treba pripomenúť, že v kapitolách II a III GDPR sa uvádzajú zásady, ktorými sa riadi spracúvanie osobných údajov, ako aj práva dotknutej osoby, ktoré musí rešpektovať každé spracúvanie osobných údajov [rozsudok z 24. februára 2022, Valsts ieņēmumu dienests (Spracovanie osobných údajov na daňové účely), C‑175/20, EU:C:2022:124, bod 50].
69 Predovšetkým musí byť každé spracúvanie osobných údajov jednak v súlade so zásadami týkajúcimi sa spracúvania údajov uvedenými v článku 5 GDPR a jednak musí spĺňať jednu zo zásad týkajúcich sa zákonnosti spracúvania vymenovaných v článku 6 uvedeného nariadenia [rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 96 a citovaná judikatúra].
70 Pokiaľ ide o zásady týkajúce sa zákonnosti spracúvania, článok 6 GDPR stanovuje taxatívny a obmedzujúci zoznam prípadov, v ktorých možno považovať spracúvanie osobných údajov za zákonné. Aby sa tak spracúvanie mohlo považovať za zákonné, musí sa naň vzťahovať jeden z prípadov stanovených v uvedenom článku 6 [rozsudok z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 99 a citovaná judikatúra].
71 Hoci teda členské štáty v rámci využitia možnosti, ktorú im priznáva ustanovenie GDPR o otvorení, môžu, pokiaľ je to nevyhnutné na zabezpečenie súdržnosti a dosiahnutie lepšej zrozumiteľnosti vnútroštátnych predpisov pre osoby, na ktoré sa vzťahujú, začleniť do svojho práva prvky tohto nariadenia, „konkrétnejšie pravidlá“ prijaté na základe článku 88 ods. 1 uvedeného nariadenia sa nemôžu obmedziť na to, že sa v nich zopakujú podmienky zákonnosti spracúvania osobných údajov, ako aj zásady tohto spracúvania, ktoré sú vyjadrené v článku 6 a článku 5 tohto nariadenia, alebo že sa v nich na tieto podmienky a zásady odkáže.
72 Výklad, podľa ktorého je miera voľnej úvahy členských štátov pri prijímaní pravidiel na základe odseku 1 článku 88 GDPR obmedzená odsekom 2 tohto článku, je v súlade s cieľom tohto nariadenia pripomenutým v bode 51 tohto rozsudku, ktorým je zabezpečiť harmonizáciu vnútroštátnych právnych predpisov týkajúcich sa ochrany osobných údajov, ktorá je v zásade úplná.
73 Ako totiž v podstate uviedol generálny advokát v bodoch 56, 70 a 73 svojich návrhov, možnosť členských štátov prijať „konkrétnejšie pravidlá“ na základe článku 88 ods. 1 GDPR môže viesť k neexistencii harmonizácie v oblasti pôsobnosti uvedených pravidiel. V podmienkach stanovených v článku 88 ods. 2 tohto nariadenia sa pritom odrážajú hranice diferenciácie akceptovanej uvedeným nariadením, a to v tom zmysle, že túto neexistenciu harmonizácie možno pripustiť len vtedy, ak sú k pretrvávajúcim rozdielom pripojené osobitné a vhodné záruky, ktorých cieľom je chrániť práva a slobody zamestnancov pri spracúvaní ich osobných údajov v súvislosti so zamestnaním.
74 V dôsledku uvedeného na to, aby sa právne pravidlo mohlo kvalifikovať ako „konkrétnejšie pravidlo“ v zmysle odseku 1 článku 88 GDPR, musí spĺňať podmienky stanovené v odseku 2 uvedeného článku. Okrem normatívneho obsahu, ktorý je vlastný regulovanému odvetviu a ktorý sa odlišuje od všeobecných pravidiel tohto nariadenia, musia mať tieto konkrétnejšie pravidlá za cieľ ochranu práv a slobôd zamestnancov pri spracúvaní ich osobných údajov v súvislosti so zamestnaním a musia zahŕňať vhodné a osobitné opatrenia na zaistenie ľudskej dôstojnosti, oprávnených záujmov a základných práv dotknutej osoby. Osobitne sa treba zamerať na transparentnosť spracúvania, prenos osobných údajov v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a systémy monitorovania na pracovisku.
75 Vzhľadom na už vyššie uvedené treba na prvú otázku odpovedať tak, že článok 88 GDPR sa má vykladať v tom zmysle, že vnútroštátna právna úprava nemôže predstavovať „konkrétnejšie pravidlo“ v zmysle odseku 1 tohto článku v prípade, že nespĺňa podmienky stanovené v odseku 2 uvedeného článku.
O druhej otázke
76 Svojou druhou otázkou sa vnútroštátny súd v podstate pýta, aké dôsledky treba vyvodiť z konštatovania nezlučiteľnosti vnútroštátnych ustanovení prijatých na zabezpečenie ochrany práv a slobôd pri spracúvaní osobných údajov zamestnancov v súvislosti so zamestnaním s podmienkami a medzami stanovenými v článku 88 ods. 1 a 2 GDPR.
77 V tejto súvislosti treba pripomenúť, že podľa článku 288 druhého odseku ZFEÚ je nariadenie záväzné vo svojej celistvosti a je priamo uplatniteľné vo všetkých členských štátoch, takže jeho ustanovenia si v zásade nevyžadujú nijaké vykonávacie opatrenie zo strany členských štátov (rozsudok z 15. júna 2021, Facebook Ireland a i., C‑645/19, EU:C:2021:483, bod 109).
78 Ako však bolo pripomenuté v bode 51 tohto rozsudku, ustanovenia o otvorení stanovené v GDPR umožňujú členským štátom stanoviť dodatočné prísnejšie alebo odchylné vnútroštátne pravidlá a ponechávajú im mieru voľnej úvahy, pokiaľ ide o spôsob, akým sa dotknuté ustanovenia môžu vykonávať.
79 Tak ako bolo uvedené v bode 59 tohto rozsudku, pokiaľ členské štáty využívajú možnosť, ktorú im poskytuje ustanovenie GDPR o otvorení, musia používať svoju voľnú úvahu za podmienok a v medziach stanovených ustanoveniami tohto nariadenia, a tak musia prijímať právne predpisy spôsobom, ktorý nezasahuje do obsahu a cieľov uvedeného nariadenia.
80 Vnútroštátnemu súdu, ktorý má ako jediný právomoc vykladať vnútroštátne právo, prináleží posúdiť, či ustanovenia, o ktoré ide vo veci samej, rešpektujú podmienky a medze stanovené v článku 88 GDPR, tak ako sú tieto zhrnuté v bode 74 tohto rozsudku.
81 Ako však uviedol generálny advokát v bodoch 60 až 62 svojich návrhov, zdá sa, že v ustanoveniach, akými sú § 23 ods. 1 HDSIG a § 86 ods. 4 HBG, ktoré podmieňujú spracúvanie osobných údajov zamestnancov tým, že je toto spracúvanie nevyhnutné na určité účely súvisiace s výkonom zamestnania, je zopakovaná podmienka všeobecnej zákonnosti spracúvania, ktorá je už uvedená v článku 6 ods. 1 prvom pododseku písm. b) GDPR, pričom nie je dodané konkrétnejšie pravidlo v zmysle článku 88 ods. 1 tohto nariadenia. Skutočne sa nezdá, že by takéto ustanovenia mali normatívny obsah, ktorý by bol vlastný regulovanému odvetviu a ktorý by sa odlišoval od všeobecných pravidiel uvedeného nariadenia.
82 V prípade, že by vnútroštátny súd dospel k záveru, že ustanovenia, o ktoré ide vo veci samej, nerešpektujú podmienky a medze stanovené v článku 88 GDPR, v zásade by bol povinný uvedené ustanovenia neuplatniť.
83 Na základe zásady prednosti práva Únie je účinkom z dôvodu nadobudnutia účinnosti priamo uplatniteľných ustanovení Zmluvy a aktov inštitúcií vo vzťahu k vnútroštátnemu právu členských štátov automatická strata uplatniteľnosti každého ustanovenia vnútroštátneho predpisu, ktoré je s nimi v rozpore (rozsudky z 9. marca 1978, Simmenthal, 106/77, EU:C:1978:49, bod 17; z 19. júna 1990, Factortame a i., C‑213/89, EU:C:1990:257, bod 18, ako aj zo 4. februára 2016, Ince, C‑336/14, EU:C:2016:72, bod 52).
84 Preto vzhľadom na neexistenciu konkrétnejších pravidiel, ktoré by rešpektovali podmienky a medze stanovené v článku 88 GDPR, je spracúvanie osobných údajov v súvislosti so zamestnaním priamo upravené ustanoveniami tohto nariadenia, a to tak v súkromnom, ako aj vo verejnom sektore.
85 V tejto súvislosti treba uviesť, že na také spracúvanie osobných údajov, o aké ide vo veci samej, možno uplatniť písmená c) a e) článku 6 ods. 1 prvého pododseku GDPR, podľa ktorých je spracúvanie osobných údajov zákonné, ak je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
86 Článok 6 ods. 3 GDPR stanovuje po prvé, pokiaľ ide o dva prípady zákonnosti uvedené v písmenách c) a e) článku 6 ods. 1 prvého pododseku tohto nariadenia, že spracúvanie musí byť založené na práve Únie alebo na práve členského štátu vzťahujúcom sa na prevádzkovateľa, a po druhé sa v ňom dodáva, že účel spracúvania sa stanoví v tomto právnom základe, alebo pokiaľ ide o spracúvanie uvedené v odseku 1 prvom pododseku písm. e), tento účel je nevyhnutný na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi [pozri v tomto zmysle rozsudok z 8. decembra 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Účel spracúvania osobných údajov – Trestné vyšetrovanie), C‑180/21, EU:C:2022:967, bod 95].
87 Treba pripomenúť, že Súdny dvor už rozhodol, že zákonné spracúvanie osobných údajov prevádzkovateľmi na základe článku 6 ods. 1 prvého pododseku písm. e) GDPR predpokladá nielen to, aby sa títo prevádzkovatelia mohli považovať za subjekty plniace úlohu vo verejnom záujme, ale aj to, aby spracúvanie osobných údajov na účely plnenia takej úlohy vychádzalo z právneho základu uvedeného v článku 6 ods. 3 tohto nariadenia (pozri v tomto zmysle rozsudok z 20. októbra 2022, Koalicija „Demokratična Bălgarija – Obedinenie, C‑306/21, EU:C:2022:813, bod 52).
88 V dôsledku uvedeného, keď vnútroštátny súd dospeje k záveru, že vnútroštátne ustanovenia týkajúce sa spracúvania osobných údajov v súvislosti so zamestnaním nerešpektujú podmienky a medze stanovené v článku 88 ods. 1 a 2 GDPR, musí ešte overiť, či uvedené ustanovenia predstavujú právny základ uvedený v článku 6 ods. 3 tohto nariadenia v spojení s jeho odôvodnením 45, ktorý spĺňa požiadavky stanovené uvedeným nariadením. Ak to tak je, uplatnenie vnútroštátnych ustanovení nemožno vylúčiť.
89 Vzhľadom na už vyššie uvedené treba na druhú prejudiciálnu otázku odpovedať tak, že článok 88 ods. 1 a 2 GDPR sa má vykladať v tom zmysle, že uplatnenie vnútroštátnych ustanovení prijatých na zabezpečenie ochrany práv a slobôd zamestnancov pri spracúvaní ich osobných údajov v súvislosti so zamestnaním sa musí odmietnuť v prípade, že tieto ustanovenia nerešpektujú podmienky a medze stanovené týmto článkom 88 ods. 1 a 2, ibaže platí, že uvedené ustanovenia predstavujú právny základ upravený v článku 6 ods. 3 tohto nariadenia, ktorý rešpektuje požiadavky ním stanovené.
O trovách
90 Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.
Z týchto dôvodov Súdny dvor (prvá komora) rozhodol takto:
1. Článok 88 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),
sa má vykladať v tom zmysle, že:
vnútroštátna právna úprava nemôže predstavovať „konkrétnejšie pravidlo“ v zmysle odseku 1 tohto článku v prípade, že nespĺňa podmienky stanovené v odseku 2 uvedeného článku.
2. Článok 88 ods. 1 a 2 nariadenia 2016/679
sa má vykladať v tom zmysle, že:
uplatnenie vnútroštátnych ustanovení prijatých na zabezpečenie ochrany práv a slobôd zamestnancov pri spracúvaní ich osobných údajov v súvislosti so zamestnaním sa musí odmietnuť v prípade, že tieto ustanovenia nerešpektujú podmienky a medze stanovené týmto článkom 88 ods. 1 a 2, ibaže platí, že uvedené ustanovenia predstavujú právny základ upravený v článku 6 ods. 3 tohto nariadenia, ktorý rešpektuje požiadavky ním stanovené.
Podpisy