CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:755

FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

T. ĆAPETA

fremsat den 6. oktober 2022 (1)

Sag C-268/21

Norra Stockholm Bygg AB

mod

Per Nycander AB,

procesdeltager:

Entral AB

(anmodning om præjudiciel afgørelse indgivet af Högsta domstolen (øverste domstol, Sverige))

»Præjudiciel forelæggelse – forordning (EU) 2016/679 – beskyttelse af personoplysninger – artikel 6, stk. 3 og 4 – behandling af personoplysninger – artikel 23, stk. 1, litra f) – beskyttelse af retsvæsenets uafhængighed og retssager – editionsbegæring fra indstævnte i en civilsag med henblik på appellantens fremlæggelse af oplysninger om ansattes udførte arbejdstimer«

I. Indledning

1. »Dit privatliv er vigtigt for os. Vi anvender cookies for at forbedre brugeroplevelsen. Gennemgå venligst privatlivspræferencer. Accepter alle / Indstillinger. Tjek vores privatlivs- og cookiespolitik« (2).

2. Når man besøger en hjemmeside, dukker en sådan meddelelse op.

3. Det skyldes den generelle forordning om databeskyttelse (herefter »databeskyttelsesforordningen«) (3), der er blevet det væsentligste instrument til beskyttelse af personoplysninger i Den Europæiske Union.

4. Dukker databeskyttelsesforordningen også op under kontakt med nationale retter? Finder den nærmere bestemt anvendelse for så vidt angår editionspligten under en civil retssag ved nationale retter? Hvilke forpligtelser medfører det i givet fald for disse retter? Domstolen anmodes om en afklaring af disse problemstillinger i den foreliggende sag.

II. Faktiske omstændigheder i hovedsagen og de præjudicielle spørgsmål

5. Problemstillingerne er blevet aktuelle under en sag ved den forelæggende ret, Högsta domstolen (øverste domstol, Sverige). De faktiske omstændigheder i hovedsagen kan opsummeres på følgende måde. Norra Stockholm Bygg AB (herefter »Fastec«), der er appellant i hovedsagen, har opført en kontorbygning for Per Nycander AB (herefter »Nycander«), der er indstævnte i hovedsagen. De medarbejdere, der udførte arbejde i henhold til kontrakten, registrerede af hensyn til skattekontrol deres tilstedeværelse i et elektronisk personaleregister. Personaleregistret blev leveret af Entral AB, der handlede på vegne af Fastec.

6. Hovedsagen blev indledt på baggrund af en tvist vedrørende vederlag for det udførte arbejde. Nycander har bestridt Fastecs påstand om betaling (af et beløb på godt 2 000 000 svenske kroner (SEK), ca. 190 133 EUR) og har gjort gældende, at Fastecs timeforbrug i forbindelse med arbejdet er mindre end den periode, for hvilken Fastec har nedlagt påstand om betaling.

7. Af bevismæssige hensyn har Nycander fremsat begæring om, at Entral fremlægger det personaleregister, som sidstnævnte førte på vegne af Fastec. Fastec har anfægtet denne begæring, idet Fastec har gjort gældende, at en fremlæggelse vil være i strid med databeskyttelsesforordningen, da de relevante oplysninger er indsamlet med et andet formål og ikke kan indgå som bevismateriale under hovedsagen.

8. Tingsrätten (byretten, Sverige) pålagde Entral at fremlægge registret, og denne afgørelse blev stadfæstet under en appelsag ved Svea hovrätt (appeldomstolen for Svealand, Stockholm, Sverige).

9. Fastec har appelleret afgørelsen fra Svea hovrätt (appeldomstolen for Svealand, Stockholm) til Högsta domstolen (øverste domstol) og nedlagt påstand om, principalt, at Nycanders editionsbegæring afvises, og, subsidiært, at der træffes afgørelse om fremlæggelse af en anonymiseret version af personaleregistret. Det er i forbindelse med denne procedure, at Högsta domstolen (øverste domstol) har indgivet følgende spørgsmål til Domstolen med anmodning om præjudiciel afgørelse:

»1) Stiller databeskyttelsesforordningens artikel 6, stk. 3 og 4, også krav til national processuel lovgivning om editionspligt?

2) Såfremt det første spørgsmål besvares bekræftende, indebærer databeskyttelsesforordningen da, at der ved bedømmelse af spørgsmålet, om der skal træffes bestemmelse om edition af et dokument, der indeholder personoplysninger, også skal tages hensyn til de registreredes interesser? Stiller EU-retten i dette tilfælde nogen krav til den måde, hvorpå denne bedømmelse nærmere skal foretages?«

10. Fastec, den tjekkiske, den polske og den svenske regering samt Europa-Kommissionen har under sagen indgivet skriftlige indlæg til Domstolen. Der er afholdt retsmøde den 27. juni 2022, hvor Nycander, den polske og den svenske regering samt Kommissionen har afgivet mundtlige indlæg.

III. Retsforskrifter

A. EU-retten

11. I databeskyttelsesforordningens artikel 5 angives principperne for behandling af personoplysninger:

»1. Personoplysninger skal:

a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)

c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)

d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)

e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)

f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

12. Under overskriften »Lovlig behandling« foreskrives følgende i databeskyttelsesforordningens artikel 6, stk. 1, 3 og 4:

»1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

[…]

c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

[…]

e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

[…]

3. Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:

a) EU-retten, eller

b) medlemsstaternes nationale ret, som den dataansvarlige er underlagt.

Formålet med behandlingen skal være fastlagt i dette retsgrundlag eller for så vidt angår den behandling, der er omhandlet i stk. 1, litra e), være nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Dette retsgrundlag kan indeholde specifikke bestemmelser med henblik på at tilpasse anvendelsen af bestemmelserne i denne forordning, bl.a. de generelle betingelser for lovlighed af den dataansvarliges behandling, hvilke typer oplysninger der skal behandles, berørte registrerede, hvilke enheder personoplysninger må videregives til, og formålet hermed, formålsbegrænsninger, opbevaringsperioder og behandlingsaktiviteter samt behandlingsprocedurer, herunder foranstaltninger til sikring af lovlig og rimelig behandling såsom i andre specifikke databehandlingssituationer som omhandlet i kapitel IX. EU-retten eller medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges.

4. Når behandling til et andet formål end det, som personoplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten eller medlemsstaternes nationale ret, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i artikel 23, stk. 1, tager den dataansvarlige, for at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, bl.a. hensyn til følgende:

a) enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling

b) den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige

c) personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 9, eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 10

d) den påtænkte viderebehandlings mulige konsekvenser for de registrerede

e) tilstedeværelse af fornødne garantier, som kan omfatte kryptering eller pseudonymisering.«

13. Databeskyttelsesforordningens artikel 23, stk. 1, fastsætter begrænsninger af rettigheder og forpligtelser under forordningen:

»1. EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt, kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 og 34 samt artikel 5, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:

[…]

f) beskyttelse af retsvæsenets uafhængighed og retssager

[…]«

B. Svensk ret

14. I henhold til § 2, stk. 1, i kapitel 38 i rättegångsbalken (herefter »retsplejeloven«) er enhver, der er i besiddelse af et skriftligt dokument, der kan anses for at have bevismæssig betydning, forpligtet til at fremlægge dette dokument. I bestemmelsens stk. 2 fastsættes en undtagelse fra denne pligt for advokater, læger, psykologer, præster og andre embedsmænd, der er blevet betroet oplysninger under udøvelsen af deres embede eller lignende. Retten kan herefter i henhold til § 4 i retsplejelovens kapitel 38 pålægge en person at fremlægge et skriftligt dokument som bevis.

15. Ifølge den forelæggende ret skal retten ved undersøgelsen af spørgsmålet om, hvorvidt en person skal være forpligtet til at fremlægge et dokument, afveje bevisets relevans over for modpartens interesse i ikke at udlevere disse oplysninger. Som den forelæggende ret har forklaret, medfører det dog ikke, at der skal tages hensyn til, om oplysningerne i dokumentet er af privat karakter.

IV. Bedømmelse

A. Udgangspunktet

16. Databeskyttelsesforordningen er den væsentligste EU-retlige retsakt til beskyttelse af fysiske personer i forbindelse med behandling af deres personoplysninger. Denne forordning blev i modsætning til dens forløber, direktiv 95/46/EF (4), vedtaget i medfør af artikel 16 TEUF (5). På grundlag af denne bestemmelse kunne EU-lovgiver fastsætte krav vedrørende den grundlæggende rettighed til beskyttelse af personoplysninger, der er fastsat i artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) (6).

17. Ansvaret for, at personoplysninger behandles i overensstemmelse med reglerne, påhviler i henhold til databeskyttelsesforordningen den »dataansvarlige« (7). Det er således ved enhver behandling af personoplysninger afgørende, at den dataansvarlige identificeres.

18. I henhold til databeskyttelsesforordningens artikel 4, nr. 7), er den dataansvarlige en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

19. I den foreliggende sag er der foretaget behandling af personoplysninger i to separate tilfælde. Den første behandling er foretaget i det elektroniske personaleregister, som Entral fører på vegne af Fastec, hvor sidstnævnte med henblik på skattekontrol er forpligtet i medfør af svensk ret til at indsamle oplysninger om udførte arbejdstimer. I denne sammenhæng er Fastec dataansvarlig, og Entral er databehandler (8).

20. Det er uomtvistet, at den første behandling er foretaget i overensstemmelse med databeskyttelsesforordningen. Det fremgår nærmere bestemt af forordningens artikel 6, stk. 1, litra c), at behandling af personoplysninger er lovlig, når den er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, i dette tilfælde Fastec (9). Hvis den første behandling blev anset for ulovlig i henhold til databeskyttelsesforordningen, ville viderebehandlingen med andet formål af de relevante oplysninger med sikkerhed da også tilsvarende blive anset for ulovlig (10).

21. Hovedproblemstillingen i denne sag er dog viderebehandling (med andet formål) af de oplysninger, der oprindeligt blev indsamlet med henblik på skattekontrol. Det nye formål er Entrals frigivelse af personaleregistret som bevis under den civile retssag mellem Fastec og Nycander. Fremlæggelsen af registret med henblik på dets anvendelse i en civil retssag medfører nødvendigvis behandling af personoplysninger.

22. Under denne anden behandling skifter rollerne i medfør af databeskyttelsesforordningen i forhold til den første behandling. Frem for alt udgør den nationale ret, der har truffet afgørelse om edition, hvorefter Entral skal fremlægge personaleregistret (herefter »afgørelse om edition«), den enhed, der fastlægger formålene med og hjælpemidlerne ved den anden behandling (11). Retten bliver dermed dataansvarlig (12).

23. Fastec kan i forbindelse med den anden behandling anses for enten at forblive dataansvarlig eller at være indtrådt i en ny rolle: nu som modtager af oplysninger i lighed med Nycander på det pågældende tidspunkt (13). Selv hvis Fastec forbliver dataansvarlig sammen med den nationale ret (14), ændrer det dog ikke den nationale rets forpligtelser som dataansvarlig (15). Dertil kommer, at Entrals rolle ikke ændres. Entral forbliver databehandler og fortsætter behandlingen af samme personoplysninger, men da på vegne af den nye dataansvarlige, den nationale ret.

24. Den forelæggende ret anmoder med sit første spørgsmål nærmere bestemt om svar på, hvorvidt den nationale ret kan blive dataansvarlig i henhold til databeskyttelsesforordningen, og hvorvidt forordningen i så fald stiller krav til national processuel lovgivning om retternes beføjelser og forpligtelser i civile retssager. Hvis databeskyttelsesforordningen finder anvendelse, og den nationale ret er dataansvarlig, ønsker den forelæggende ret med sit andet spørgsmål oplysning om, hvordan en relevant ret skal bedømme spørgsmålet om fremlæggelse af personoplysninger, når oplysningerne skal indgå som bevis i en civil retssag.

25. Jeg vil besvare den forelæggende rets spørgsmål på følgende måde. Først forklarer jeg, hvorfor databeskyttelsesforordningen efter min opfattelse finder anvendelse i forbindelse med civile retssager ved medlemsstaternes retter og betydningen heraf for medlemsstaternes gældende processuelle lovgivning (B). Herefter behandler jeg den metode, som nationale retter bør anvende, når de agerer som dataansvarlige, med henblik på at opfylde kravene i medfør af databeskyttelsesforordningen (C).

B. Databeskyttelsesforordningen finder anvendelse i civile sager ved nationale retter og supplerer medlemsstaternes processuelle regler

26. Med sit første spørgsmål ønsker den forelæggende ret nærmere bestemt afklaring af, om databeskyttelsesforordningen finder anvendelse i civile retssager, og af forordningens betydning for de relevante processuelle regler. Den forelæggende ret ønsker navnlig svar på, om databeskyttelsesforordningen har betydning for de nationale regler, der regulerer retternes beføjelser og forpligtelser, når retterne træffer afgørelse om fremlæggelse af bevismateriale. Jeg besvarer spørgsmålet i tre led.

1. Nationale retters aktiviteter under civile retssager falder ikke uden for databeskyttelsesforordningens anvendelsesområde

27. Databeskyttelsesforordningens materielle anvendelsesområde er defineret i forordningens artikel 2, stk. 1, gennem en funktionel snarere end institutionel tilgang. Det afgørende for anvendelsen af databeskyttelsesforordningen er hvad (aktiviteten behandling af personoplysninger) snarere end hvem (16).

28. De i artikel 2, stk. 2, oplistede forhold, der er undtaget fra anvendelsesområdet for databeskyttelsesforordningen, er ligeledes af funktionel karakter. Da de udgør en undtagelse til anvendelsen af databeskyttelsesforordningen, er det Domstolens opfattelse, at de skal fortolkes indskrænkende (17).

29. Offentlige myndigheders aktiviteter er således ikke i sig selv undtaget fra databeskyttelsesforordningens anvendelsesområde, men derimod alene undtaget for så vidt angår de aktiviteter, der er oplistet i databeskyttelsesforordningens artikel 2, stk. 2 (18). Bestemmelsen undtager således ikke retslig aktivitet under civile retssager fra det materielle anvendelsesområde for databeskyttelsesforordningen.

30. Konklusionen, hvorefter databeskyttelsesforordningen omfatter retslige aktiviteter, understøttes af 20. betragtning til databeskyttelsesforordningen (19), hvori det anføres, at retsakten finder anvendelse på domstoles og andre judicielle myndigheders aktiviteter (20).

31. Det ændrer ikke ved den ovennævnte konklusion, at tilsynsmyndigheder i henhold til databeskyttelsesforordningens artikel 55, stk. 3, ikke har kompetence til at føre tilsyn med domstolene, når de handler i deres egenskab af domstol. Efter min opfattelse bekræfter bestemmelsen snarere tværtimod, at retter er underlagt forpligtelserne i henhold til databeskyttelsesforordningen, når de handler i deres egenskab af domstol. Retternes uafhængighed og upartiskhed sikres derved, at tilsynsmyndigheder ikke kan føre tilsyn med deres proceshandlinger.

32. Den foreliggende sag vedrører behandling af personoplysninger, der er omfattet af det materielle anvendelsesområde for databeskyttelsesforordningen. Oprettelsen og ajourføringen af det elektroniske personaleregister vedrører behandling af personoplysninger (21). Afgørelsen om edition af sådanne personoplysninger under en civil retssag vedrører ligeledes behandling af personoplysninger (22). Omstændighederne i hovedsagen falder således inden for det materielle anvendelsesområde for databeskyttelsesforordningen.

33. Hvilken betydning har det for anvendelsen af nationale processuelle regler som retsplejeloven?

2. National ret er grundlaget for nationale retters lovlige behandling af data

34. Retsgrundlaget for udstedelsen af den relevante afgørelse om edition er i den foreliggende sag retsplejeloven.

35. Det fremgår da også af databeskyttelsesforordningen, at databehandling under omstændigheder som i den foreliggende sag forudsætter et retsgrundlag i (EU-retten eller) medlemsstaternes nationale ret (23).

36. De relevante oplysninger, der oprindeligt blev indsamlet og behandlet med henblik på skattekontrol, skal som følge af afgørelsen om edition i den foreliggende sag, behandles med henblik på bevisførelse i en retssag.

37. Databeskyttelsesforordningens artikel 6, stk. 4, tillader anvendelse af de behandlede oplysninger til et andet formål, hvis det sker med grundlag i medlemsstaternes nationale ret, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i databeskyttelsesforordningens artikel 23, stk. 1. Blandt disse formål anføres »beskyttelse af retsvæsenets uafhængighed og retssager« i artikel 23, stk. 1, litra f).

38. Samtlige deltagere i denne præjudicielle forelæggelse har tilsluttet sig den opfattelse, at databeskyttelsesforordningens artikel 23, stk. 1, litra f), er det relevante retsgrundlag for berettiget viderebehandling af oplysninger i medfør af retsplejeloven (24).

39. Nationale retter har i medfør af retsplejeloven beføjelse til at kræve fremlæggelse af dokumenter, hvis de har bevismæssig betydning i forbindelse med en civil retssag. Som forklaret ovenfor bliver den ret, der har krævet fremlæggelse af et dokument, som indeholder personoplysninger, dataansvarlig i henhold til databeskyttelsesforordningen.

40. Som Kommissionen har påpeget i retsmødet, er den nationale ret kun i et vist omfang at anse for sædvanlig dataansvarlig. Det skyldes, at nationale retter alene kan behandle data under deres offentlige myndighedsudøvelse.

41. Når behandlingen af oplysninger udføres under offentlig myndighedsudøvelse (25), skal grundlaget for behandlingen i henhold til databeskyttelsesforordningens artikel 6, stk. 3, fremgå af EU-retten eller medlemsstaternes nationale ret.

42. Såvel databeskyttelsesforordningens artikel 6, stk. 4 (hvorefter der kan ske behandling til et andet formål), som forordningens artikel 6, stk. 3 (hvorefter der kan ske behandling af oplysninger under offentlig myndighedsudøvelse), forudsætter således, at der foreligger et retsgrundlag for behandling i national ret (eller EU-retten) (26).

43. Det er således en nødvendig forudsætning for at anse den relevante behandling for lovlig, at retten har beføjelse i henhold til retsplejeloven til at kræve edition.

3. Databeskyttelsesforordningen supplerer de nationale processuelle regler

44. Er betingelserne i databeskyttelsesforordningen for lovlig behandling opfyldt, hvis der foreligger det fornødne retsgrundlag som foreskrevet i databeskyttelsesforordningen, og den afgørelse, der medfører behandling af personoplysninger, er truffet i overensstemmelse med den relevante ret i medlemsstaten?

45. Det er efter min opfattelse nødvendigt, men ikke tilstrækkeligt, for at anse afgørelsen om udlevering for at være forenelig med databeskyttelsesforordningen, at der foreligger et retsgrundlag i national ret.

46. Den forelæggende ret har forklaret, at der under retsplejeloven principielt ikke tages hensyn til oplysningers private karakter, når der træffes afgørelse om fremlæggelse af bevis. Retterne er forpligtede til at tage hensyn til begge partners interesser, men det fremgår ikke direkte af loven, at de registreredes interesser har betydning.

47. Er retsplejeloven uforenelig med databeskyttelsesforordningen, når den ikke direkte forpligter retten, når den fungerer som dataansvarlig, til at tage hensyn til de registreredes interesser, når retten træffer afgørelser, der kan have betydning for de registreredes personoplysninger?

48. Det er efter min opfattelse ikke tilfældet. Det skal erindres, at en række nationale retsakter, der danner retsgrundlag for databehandling, ikke er vedtaget med den hensigt at implementere databeskyttelsesforordningen, og at de har deres eget formål. Derudover har databeskyttelsesforordningen direkte virkning i medlemsstaternes retsorden og forudsætter ikke implementering. Det væsentlige er herefter, at de nationale processuelle regler, når de anvendes på databeskyttelsesforordningens område, samtidig giver mulighed for overholdelse af forordningen.

49. Den svenske regering har i retsmødet bekræftet, at retsplejeloven hverken foreskriver eller hindrer rettens hensyntagen til de registreredes interesser. Loven hindrer dermed ikke databeskyttelsesforordningens virkning under udøvelsen af de retslige procedurer, der reguleres af denne retsakt.

50. De nationale retter er dermed på samme tid underlagt de nationale processuelle regler og databeskyttelsesforordningen, hvor sidstnævnte supplerer de nationale regler, hvis rettens processuelle aktiviteter medfører behandling af personoplysninger.

51. Det skal konkluderes, at national lovgivning ikke nødvendigvis skal indeholde en direkte henvisning til databeskyttelsesforordningen eller en forpligtelse for retten til at inddrage hensynet til de registreredes interesser. Det er tilstrækkeligt, at lovgivningen giver mulighed for en supplerende anvendelse af databeskyttelsesforordningen. Lovgivningen er alene i strid med databeskyttelsesforordningen, hvis det ikke er tilfældet. Retsplejeloven synes dog at tillade en supplerende anvendelse af databeskyttelsesforordningen (27).

52. Med hensyn til det første spørgsmål er det således min konklusion, at databeskyttelsesforordningens artikel 6, stk. 3 og 4, stiller krav til national processuel lovgivning om editionspligt, når edition omfatter behandling af personoplysninger. Den nationale processuelle lovgivning må i sådanne tilfælde ikke forhindre, at de registreredes interesser indgår i vurderingen. Interesserne sikres, hvis de nationale retter overholder databeskyttelsesforordningens regler, når de i en konkret sag træffer afgørelse om edition af bevismateriale.

C. Den nationale rets forpligtelser vedrørende de registreredes interesser

53. Da de nationale retter er underlagt databeskyttelsesforordningen, skal de som dataansvarlige tage hensyn til de registreredes interesser. Hvordan kan man tage hensyn til disse interesser, når man træffer en konkret afgørelse om edition? Det er i det væsentlige indholdet af den forelæggende rets andet spørgsmål.

1. Proportionalitet

54. Registreredes rettigheder er beskyttede, når deres personoplysninger behandles i overensstemmelse med databeskyttelsesforordningens artikel 5 og 6 (28). Med henvisning til generaladvokat Pikamäe kan det anføres, at overholdelse af databeskyttelsesforordningens artikel 5 og 6 sikrer beskyttelse af retten til respekt for privatliv og familieliv og beskyttelse af personoplysninger som omhandlet i henholdsvis chartrets artikel 7 og 8 (29).

55. De lovlige formål med behandling er oplistet i databeskyttelsesforordningens artikel 6 (30). Som jeg har forklaret i det foregående afsnit i dette forslag til afgørelse, har behandlingen i den foreliggende sag et lovligt formål, da retten under offentlig myndighedsudøvelse har krævet edition i henhold til national ret, der har til formål at sikre korrekt gennemførelse af retssager. Databeskyttelsesforordningens artikel 6, såvel som artikel 5, forudsætter dog ikke alene et lovligt formål, men tillige, at den konkrete behandling er nødvendig for at opnå formålet.

56. Databeskyttelsesforordningen forudsætter således, at retten foretager en proportionalitetsvurdering, når den afgør, om videregivelse af personoplysninger i et konkret tilfælde er nødvendig af hensyn til bevisførelse i retssager (31).

57. I den forbindelse foreskriver databeskyttelsesforordningens artikel 6, stk. 4, at den nationale ret, som er grundlag for viderebehandling med andet formål, skal være en nødvendig og forholdsmæssig foranstaltning med henblik på at sikre et af de formål, der er oplistet i databeskyttelsesforordningens artikel 23, stk. 1, hvilket i den foreliggende sag er beskyttelse af retsvæsenets uafhængighed og retssager. Det fremgår tillige af databeskyttelsesforordningens artikel 6, stk. 3, at behandlingen skal være nødvendig for offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

58. Den nationale ret, der danner retsgrundlag for behandlingen, kan i teorien være i overensstemmelse med kravene i databeskyttelsesforordningens artikel 6, stk. 3 og 4. Lovligheden af de enkelte behandlinger (herunder af en rets konkrete afgørelse om edition) afhænger af den faktiske afvejning af samtlige relevante interesser med udgangspunkt i det lovlige formål, der begrunder editionen (32). Den nationale ret kan alene på denne måde afgøre, hvorvidt og i hvilken udstrækning editionen er nødvendig.

59. Der er således ingen tvivl om, at databeskyttelsesforordningen forudsætter en proportionalitetsvurdering. Kan databeskyttelsesforordningen på anden måde bidrage til afklaringen af, hvilke konkrete skridt retten skal tage i forbindelse med denne vurdering?

2. Bestemte skridt, som den nationale ret skal tage

60. Proportionalitetsvurderingen skal, som anført, foretages i hver enkelt sag under inddragelse af alle relevante interesser. Under omstændigheder som i den foreliggende sag skal interesserne bag edition afvejes over for indskrænkningen af retten til beskyttelse af personoplysninger (33).

61. Interessen bag edition har afsæt i retten til effektiv domstolsbeskyttelse (chartrets artikel 47). De registreredes interesser, der står i modsætning til ovennævnte ret, har afsæt i retten til respekt for privatliv og familieliv (chartrets artikel 7) og i retten til beskyttelse af personoplysninger (chartrets artikel 8). Det er disse interesser, der skal afvejes under vurderingen af, om videregivelsen af personoplysninger er påkrævet.

62. Jeg vil i det følgende præsentere bestemte skridt, som den nationale ret må forventes at tage.

63. Det må for det første altid antages, at de registrerede, der ikke har givet samtykke til behandlingen, har en interesse i at begrænse behandlingen af deres personoplysninger. Det er således det grundlæggende udgangspunkt for den nationale ret: Det skal berettiges, hvorfor der gøres indgreb i denne interesse.

64. Man kan efter min opfattelse finde retningslinjer for denne vurdering i databeskyttelsesforordningens artikel 5, der oplister de principper, den dataansvarlige skal efterleve ved behandlingen af personoplysninger.

65. I den sammenhæng har princippet om dataminimering, der er angivet i databeskyttelsesforordningens artikel 5, stk. 1, litra c), afgørende betydning. Den forudsætning er, som Domstolen har tilkendegivet (34), udtryk for kravet om proportionalitet. Personoplysningerne skal i medfør af princippet være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.

66. Det første spørgsmål, der bør stilles, er derfor, om oplysningerne i det personaleregister, som Entral har ført, er tilstrækkelige. Oplysningerne må anses for at være tilstrækkelige i relation til det formål, hvormed de fremlægges, hvis de faktisk viser det antal arbejdstimer, som ansatte hos Fastec har tilbragt på byggepladsen.

67. Det andet spørgsmål er, om oplysningerne i det personaleregister, som Entral har ført, er relevante for det formål, der forfølges med efterspørgslen. Formålet må anses for at være Nycanders interesse i at føre bevis for anbringendet om, at de ansatte hos Fastec arbejdede i færre timer end angivet på fakturaen. Personaleregistret er under disse omstændigheder relevant, hvis det reelt kan tjene som bevis eller modbevis for anbringendet. Den nationale ret skal bedømme personaleregistrets relevans i lyset af de øvrige omstændigheder i sagen (f.eks. Fastecs anbringende om, at personaleregistret alene indeholder en del af de relevante arbejdstimer, da andre er tilbragt uden for byggepladsen).

68. Med henblik på afklaring af den tredje forudsætning for dataminimering skal den nationale ret vurdere, om det er alle eller blot nogle data i registret, der er tilstrækkelige for formålet om bevisførelse. Hvis det samme bevis kan føres på anden måde, følger det tillige af princippet om dataminimering, at disse andre metoder skal anvendes. Den nationale ret kan f.eks. være nødt til at vurdere Fastecs anbringende, hvorefter de faktisk udførte arbejdstimer kan fastlægges på grundlag af de dokumenter, der allerede er en del af sagsdokumenterne ved den forelæggende ret. Hvis den nationale ret konstaterer, at det er tilfældet, kan den ikke træffe afgørelse om edition af personoplysningerne i personaleregistret.

69. Den nationale ret er nødt til at afklare, hvilke typer personoplysninger i registret der er tilstrækkelige med henblik på at bevise eller modbevise de relevante faktuelle omstændigheder. I den sammenhæng følger det af princippet om dataminimering, at det alene er de for det relevante formål strengt nødvendige oplysninger, der kan fremlægges. Der kan således være behov for, at Entral som databehandler foretager en tilpasning af personaleregistret, således at personoplysningerne begrænses til det nødvendige minimum samtidig med, at det er muligt at drage en konklusion vedrørende de faktisk udførte arbejdstimer.

70. I den forbindelse skal den nationale ret afgøre, om det i forbindelse med editionen har bevismæssig betydning, at de personer, hvis oplysninger er indeholdt i registret, kan identificeres (hvis det f.eks. er nødvendigt at kende navnene på de enkelte ansatte for at kunne indkalde dem som vidner). I modsat fald kan det være tilstrækkeligt at få oplysninger om det samlede antal arbejdstimer, der er udført på byggepladsen og/eller antallet af personer, der udførte disse timer.

71. Afhængigt af svarene på de foregående spørgsmål kan retten træffe afgørelse om fremlæggelse af pseudonymiserede eller anonymiserede data (35).

72. Som angivet i 26. betragtning til databeskyttelsesforordningen er oplysninger, der har været genstand for pseudonymisering, fortsat omfattet af det materielle anvendelsesområde for databeskyttelsesforordningen. Det skyldes, at det fortsat er muligt at identificere personen bag pseudonymet. Det modsatte er tilfældet for anonymiserede oplysninger, der falder uden for forordningens anvendelsesområde. Måden, hvorpå den nationale ret kræver fremlæggelse, vil derfor tillige få betydning for den videre anvendelse af databeskyttelsesforordningen (36).

73. Det påhviler i sidste ende den nationale ret at vurdere den bevismæssige betydning af forskellige versioner af personaleregistret med henblik på at afklare, hvilken form for dataminimering, om nogen, der er nødvendig med henblik på at sikre en korrekt sagsgang for retten.

74. Ud over princippet om dataminimering i databeskyttelsesforordningens artikel 5, stk. 1, litra c), er den nationale ret underlagt øvrige principper i databeskyttelsesforordningens artikel 5, der er relevante for afgørelsen om edition.

75. I databeskyttelsesforordningens artikel 5, stk. 1, litra a), henvises ud over princippet om lovlighed (der behandles yderligere i forordningens artikel 6), tillige til princippet om gennemsigtighed. Sidstnævnte princip forudsætter efter min opfattelse, at den nationale ret klart begrunder sin afgørelse om edition af personoplysninger ved bl.a. at oplyse, hvorledes retten har afvejet de respektive interesser og parternes argumenter for så vidt angår edition.

76. En tilstrækkelig begrundelse i afgørelsen om edition opfylder tillige kravet i medfør af databeskyttelsesforordningens artikel 5, stk. 2, hvorefter den dataansvarlige skal være i stand til at påvise overholdelse af de principper, der er anført i forordningens artikel 5, stk. 1.

77. Forudsætningen for overholdelse af principperne i databeskyttelsesforordningens artikel 5 kan tillige udledes af 31. betragtning til databeskyttelsesforordningen. I betragtningen anføres, at »[a]nmodninger om videregivelse af oplysninger sendt af offentlige myndigheder altid [bør] være skriftlige, begrundede og lejlighedsvise og ikke [bør] vedrøre et register som helhed eller føre til samkøring af registre«.

78. Den polske regering har givet udtryk for en bekymring for så vidt angår den nationale rets proportionalitetsvurdering: Hvis den nationale ret skal bedømme den bevismæssige betydning af personaleregistret eller en anden form for bevisførelse under sagen for retten, har retten da ikke allerede en for stor rolle i det, der burde påhvile parterne, nemlig bestræbelsen for at præsentere det afgørende argument vedrørende den bevismæssige betydning af netop dette bevis?

79. Efter min opfattelse har en bedømmelse af den bevismæssige betydning, hvor der tages hensyn til de registreredes interesser, ikke større indvirkning på sagen end bedømmelsen af den bevismæssige betydning af enhver anden bevisførelse i civile retssager (37).

80. Rækkevidden af den nationale rets indgreb vil afhænge af, hvor tydelig den bevismæssige betydning af de oplysninger, der begæres fremlagt, er under de i sagen foreliggende omstændigheder. Fremlæggelsens betydning for de registreredes interesser skal altid vurderes med udgangspunkt i den konkrete sag.

81. Nogle sager indeholder f.eks. følsomme oplysninger, der nyder særlig beskyttelse i henhold til databeskyttelsesforordningens artikel 9, eller oplysninger om strafferetlige sanktioner, der beskyttes i medfør af forordningens artikel 10. Under sådanne omstændigheder vil de registreredes interesser nødvendigvis have større vægt under afvejningen (38). På samme måde kan der i individuelle sager være forskellige interesser i relation til fremlæggelse. Det vil i visse tilfælde være klart, at den anmodede bevisførelse har minimal relevans, mens den i andre sager vil være af afgørende betydning for afgørelsen af sagen. Meget taler for Kommissionens betragtning i den sammenhæng, hvorefter den nationale ret har et vidt skøn, når vurderingen foretages. Retten kan dog aldrig undgå forpligtelsen til at inddrage hensynet til de registreredes interesser.

82. Den tjekkiske regering har givet udtryk for en anden bekymring: Det vil hindre den sædvanlige afvikling af procedurer under retssager, hvis nationale retter forpligtes til at inddrage hensynet til de registreredes interesser, når de træffer afgørelse om edition af bevismateriale. Databeskyttelsesforordningen fastsætter da også en yderligere forpligtelse (39) for retterne, der skal foretage en proportionalitetsvurdering, inden de træffer afgørelse om edition af bevismateriale, der indeholder personoplysninger. Afvejningen af interesser er dog ikke en uvant intellektuel øvelse for retterne, og den byrde, der pålægges den nationale ret, er ikke anderledes end den, der pålægges enhver dataansvarlig i medfør af databeskyttelsesforordningen.

83. Hvis Unionsborgere i overensstemmelse med EU-lovgivers valg, som det er kommet til udtryk i databeskyttelsesforordningen, skal opnå en høj grad af beskyttelse af deres personlige oplysninger, er inddragelse af de registreredes interesser ikke en urimelig byrde at pålægge medlemsstaternes retter.

84. Jeg foreslår derfor Domstolen at besvare den forelæggende rets andet præjudicielle spørgsmål således: Når en national ret under en civil retssag træffer afgørelse om edition, der medfører behandling af personoplysninger, skal den nationale ret foretage en proportionalitetsvurdering, hvorunder retten tager hensyn til interesserne hos de registrerede, hvis personoplysninger behandles, og afvejer disse interesser med interesserne hos retssagens parter i relation til bevisførelse. Proportionalitetsvurderingen skal udføres på grundlag af de principper, der er oplistet i databeskyttelsesforordningens artikel 5, herunder princippet om dataminimering.

V. Forslag til afgørelse

85. I lyset af foregående betragtninger foreslår jeg, at Domstolen besvarer de af Högsta domstolen (øverste domstol, Sverige) to forelagte spørgsmål således:

»1) Artikel 6, stk. 3 og 4, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) stiller krav til national processuel lovgivning om editionspligt, når edition omfatter behandling af personoplysninger. Den nationale processuelle lovgivning skal i sådanne tilfælde give mulighed for, at de registreredes interesser indgår i vurderingen. Interesserne sikres, hvis de nationale retter overholder reglerne i forordning 2016/679, når de i en konkret sag træffer afgørelse om edition af bevismateriale.

2) Når en national ret under en civil retssag træffer afgørelse om edition, der medfører behandling af personoplysninger, skal den nationale ret foretage en proportionalitetsvurdering, hvorunder retten tager hensyn til interesserne hos de registrerede, hvis personoplysninger behandles, og afvejer disse interesser med interesserne hos retssagens parter i relation til bevisførelse. Proportionalitetsvurderingen skal udføres på grundlag af de principper, der er oplistet i artikel 5 i forordning 2016/679, herunder princippet om dataminimering.«

1 – Originalsprog: engelsk.

2 – Denne meddelelse findes på https://eulawlive.com/

3 – Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1).

4 – Europa-Parlamentets og Rådets direktiv af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31). Direktiv 95/46 blev vedtaget med henvisning til et retsgrundlag vedrørende det indre marked. For en indledende analyse af ændringerne som følge af databeskyttelsesforordningen se B. Van Alsenoy, »Liability under EU Data Protection Law. From Directive 95/46 to the General Data Protection Regulation«, Journal of Intellectual Property, Information Technology and Electronic Commerce Law, bind 7, 2016, s. 271-288.

5 – På trods af forskellen i retsgrundlag er den retspraksis, der fortolker direktiv 95/46, relevant for forståelsen af databeskyttelsesforordningen. Jf. i den sammenhæng dom af 17.6.2021, M.I.C.M. (C-597/19, EU:C:2021:492, præmis 107). Jeg henviser således til Domstolens praksis vedrørende direktiv 95/[46], hvor det er relevant. I den udstrækning, hvor den giver mulighed for analog anvendelse af løsninger vedrørende retten til databeskyttelse, vil jeg ligeledes henvise til Domstolens praksis vedrørende Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om privatliv og elektronisk kommunikation) (EFT 2002, L 201, s. 37). Domstolen har fastslået, at fortolkningen af begrænsningerne af de rettigheder, der følger af direktiv 2002/58, finder tilsvarende anvendelse ved fortolkning af databeskyttelsesforordningen. Jf. i den sammenhæng dom af 6.10.2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 209-211).

6 – Jf. første betragtning til databeskyttelsesforordningen.

7 – Jf. databeskyttelsesforordningens artikel 5, stk. 2.

8 – Databeskyttelsesforordningens artikel 4, nr. 8), indeholder følgende definition af databehandleren: »en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne«.

9 – Det fremgår af databeskyttelsesforordningens artikel 6, stk. 3, at grundlaget for behandling, der udføres med henblik på at opfylde en retlig forpligtelse, der påhviler den dataansvarlige, skal fremgå af EU-retten eller medlemsstaters nationale ret, der skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges. Overholdelse af national skattelovgivning blev anset for et legitimt formål i dom af 16.1.2019, Deutsche Post (C-496/17, EU:C:2019:26, præmis 60-63).

10 – Jf. analogt dom af 2.3.2021, Prokuratuur (Betingelser for adgang til data vedrørende elektronisk kommunikation) (C-746/18, EU:C:2021:152, præmis 44).

11 – Fastlæggelsen af formålene med og hjælpemidlerne ved behandlingen af personoplysninger er de væsentlige faktorer ved definitionen af den dataansvarlige. Jf. dom af 10.7.2018, Jehovan todistajat (C-25/17, EU:C:2018:551, præmis 68). Jf. tillige L.A. Bygrave og L. Tossoni, »Article 4(7). Controller« i C. Kuner, L.A. Bygrave, C. Docksey og L. Drechsler (red.), The EU General Data Protection Regulation (GDPR): A Commentary, OUP, Oxford, 2021, s. 150.

12 – Den polske og den svenske regering samt Kommissionen har i retsmødet givet udtryk for enighed om, at denne opgave nu påhviler den nationale ret. Nycander har givet udtryk for den opfattelse, at Fastec fortsat alene er dataansvarlig under den anden behandling, mens den nationale ret fungerer som mellemmand. Det bemærkes, at begrebet »mellemmand« ikke anvendes i databeskyttelsesforordningen.

13 – I databeskyttelsesforordningens artikel 4, nr. 9), defineres modtagere som fysiske eller juridiske personer, offentlige myndigheder, institutioner eller andre organer, hvortil personoplysninger videregives, uanset om de er tredjemænd eller ej. Både Fastec og Nycander vil som parter i en civil retssag være modtagere af oplysninger, der er behandlet som følge af rettens afgørelsen om edition. Kommissionen har i retsmødet fastholdt, at Fastec forbliver ansvarlig og ikke bliver modtager.

14 – Databeskyttelsesforordningens artikel 26, stk. 1, foreskriver: »Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, er de fælles dataansvarlige. De fastlægger på en gennemsigtig måde deres respektive ansvar for overholdelse af forpligtelserne i henhold til denne forordning, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning mellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt. I ordningen kan der udpeges et kontaktpunkt for registrerede.« Jf. tillige dom af 29.7.2019, Fashion ID (C-40/17, EU:C:2019:629, præmis 67).

15 – Domstolen forklarede, at begrebet registeransvarlig skal defineres bredt, og at forskellige aktører kan være ansvarlige for behandlingen af personoplysninger på forskellige niveauer. Dom af 29.7.2019, Fashion ID (C-40/17, EU:C:2019:629, præmis 70).

16 – Sidstnævnte er alene undtagelsesvist relevant. EU-institutioner, ‑organer, ‑kontorer og ‑agenturer er f.eks. ikke omfattet af databeskyttelsesforordningen, jf. databeskyttelsesforordningens artikel 2, stk. 3. De er dog omfattet af Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18.12.2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og ‑organerne og om fri udveksling af sådanne oplysninger (EFT 2001, L 8, s. 1).

17 – Dom af 9.7.2020, Land Hessen (C-272/19, EU:C:2020:535, præmis 68).

18 – Databeskyttelsesforordningens artikel 2, stk. 2, foreskriver: »Denne forordning gælder ikke for behandling af personoplysninger: a) under udøvelse af aktiviteter, der falder uden for EU-retten, b) som foretages af medlemsstaterne, når de udfører aktiviteter, der falder inden for rammerne af afsnit V, kapitel 2, […] TEU, c) som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter, d) som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.«

19 – I 20. betragtning til databeskyttelsesforordningen anføres følgende: »Selv om denne forordning bl.a. finder anvendelse på domstoles og andre judicielle myndigheders aktiviteter, kan EU-retten eller medlemsstaternes nationale ret præcisere, hvilke behandlingsaktiviteter og ‑procedurer der finder anvendelse i forbindelse med domstoles og andre judicielle myndigheders behandling af personoplysninger. Tilsynsmyndighedernes kompetence bør af hensyn til dommerstandens uafhængighed under udførelsen af dens judicielle opgaver, herunder ved beslutningstagning, ikke omfatte domstolenes behandling af personoplysninger, når domstole handler i deres egenskab af domstol. Tilsynet med sådanne databehandlingsaktiviteter bør kunne overdrages til specifikke organer i medlemsstatens retssystem, der navnlig bør sikre overholdelsen af reglerne i denne forordning, gøre dommerstanden bekendt med dens forpligtelser i henhold til denne forordning og behandle klager over sådanne databehandlingsaktiviteter.«

20 – Jf. i den sammenhæng dom af 24.3.2022, Autoriteit Persoonsgegevens (C-245/20, EU:C:2022:216, præmis 25 og 26).

21 – Domstolen har direkte bekræftet, at oplysninger i et arbejdstidsregister udgør personoplysninger i dom af 30.5.2013, Worten (C-342/12, EU:C:2013:355, præmis 19).

22 – Videregivelse af dokumenter til retten under en civil retssag anses for behandling i generaladvokat Campos Sánchez-Bordonas forslag til afgørelse Inspektor mod Inspektorata kam Visshia sadeben savet (Formål med behandling af personoplysninger – strafferetlig efterforskning) (C-180/21, EU:C:2022:406, punkt 82 og 83). Sagen verserer fortsat for Domstolen på det tidspunkt, hvor nærværende forslag til afgørelse publiceres.

23 – Domstolen har i relation til direktiv 2002/58 vurderet, at direktivet ikke er til hinder for, at medlemsstater fastsætter en forpligtelse til at fremlægge personoplysninger under en civil retssag. Jf. i denne retning, dom af 29.1.2008, Promusicae (C-275/06, EU:C:2008:54, præmis 53). Efter min opfattelse gør det samme sig gældende for databeskyttelsesforordningen.

24 – Kommissionen har tillige anført, at viderebehandlingen af oplysninger i den foreliggende sag tillige kan finde begrundelse i databeskyttelsesforordningens artikel 23, stk. 1, litra i) (»beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder«). Den polske regering har henvist til databeskyttelsesforordningens artikel 23, stk. 1, litra j) (»håndhævelse af civilretlige krav«).

25 – Behandlingen kan foretages under offentlig myndighedsudøvelse i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra e).

26 – Behandlingen kan tillige være baseret på den registreredes samtykke. Det er dog ikke tilfældet her.

27 – I forbindelse med præjudicielle forelæggelser påhviler det i henhold til kompetencefordelingen mellem Domstolen og retterne i medlemsstaterne den nationale ret at afgøre, hvorvidt det er tilfældet.

28 – Dom af 16.1.2019, Deutsche Post (C-496/17, EU:C:2019:26, præmis 57), og af 6.10.2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 208). Domstolen har tidligere draget samme konklusion for så vidt angår direktiv 95/46. Jf. f.eks. dom af 20.5.2003, Österreichischer Rundfunk m.fl. (C-465/00, C-138/01 og C-139/01, EU:C:2003:294, præmis 65), og af 13.5.2014, Google Spain og Google (C-131/12, EU:C:2014:317, præmis 71).

29 – Generaladvokat Pikamäes forslag til afgørelse Vyriausioji tarnybinės etikos komisija (C-184/20, EU:C:2021:991, punkt 36).

30 – Domstolen vurderede, at listen i databeskyttelsesforordningens artikel 6 over de tilfælde, hvor behandling af personoplysninger kan anses for at være lovlig, er udtømmende og fuldstændig. Jf. dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504, præmis 99). Domstolen anlagde samme tilgang til lovlig behandling i relation til direktiv 95/46 i dom af 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336, præmis 25), og af 11.12.2019, Asociaţia de Proprietari bloc M5A-ScaraA (C-708/18, EU:C:2019:1064, præmis 37 og 38).

31 – Jf. tillige 39. betragtning til databeskyttelsesforordningen, hvori anføres, at: »[…] Personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. […] Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde«.

32 – Domstolen forklarede, at afvejningen skal foretages på grundlag af de foreliggende omstændigheder i en konkret sag. Jf. i den sammenhæng dom af 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336, præmis 31). Jf. tillige dom af 19.12.2020, Asociaţia de Proprietari bloc M5A-ScaraA (C-708/18, EU:C:2020:104, præmis 32).

33 – Jf. analogt dom af 9.11.2010, Volker und Markus Schecke og Eifert (C-92/09 og C-93/09, EU:C:2010:662, præmis 77).

34 – Dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504, præmis 98).

35 – Fastec har de facto anmodet den forelæggende ret om, primært, at afvise Nycanders anmodning om fremlæggelse af personaleregistret og, subsidiært, alene at pålægge personaleregistret fremlagt efter anonymisering. Kommissionen har med udgangspunkt i princippet om dataminimering og henvisning til databeskyttelsesforordningens artikel 25, stk. 1, foreslået en løsning i form af en pseudonymiseret version af personaleregistret.

36 – Den dataansvarlige vil i forbindelse med en anonymisering af registret undgå den sædvanlige forpligtelse i medfør af databeskyttelsesforordningens artikel 14 til at informere de registrerede om behandlingen.

37 – Som den forelæggende ret har tilkendegivet, er de nationale retter i medfør af retsplejeloven allerede forpligtede til at afveje bevisførelsens relevans over for modpartens interesse i ikke at fremlægge oplysningen.

38 – Domstolen har i relation til direktiv 2002/58 vedvarende tilkendegivet, at den faktiske indskrænkning af retten til beskyttelse af personoplysninger skal stå i forhold til samfundets interesse i det forfulgte formål. Dom af 21.12.2016, Tele2 Sverige og Watson m.fl. (C-203/15 og C-698/15, EU:C:2016:970, præmis 115), af 2.10.2018, Ministerio Fiscal (C-207/16, EU:C:2018:788, præmis 55), af 6.10.2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 131), og af 2.3.2021, Prokuratuur (Betingelser for adgang til oplysninger om elektronisk kommunikation) (C-746/18, EU:C:2021:152, præmis 32).

39 – I retssystemer, hvis retsplejeregler ikke tidligere har indeholdt krav om en sådan vurdering.