C-65/23
WyrokTSUE2024-12-19CELEX: 62023CJ0065ECLI:EU:C:2024:1051
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
1. Czy krajowe przepisy lub porozumienia zbiorowe dotyczące przetwarzania danych osobowych pracowników, przyjęte na podstawie art. 88 ust. 1 RODO, muszą przestrzegać również ogólnych zasad RODO, w szczególności art. 5, art. 6 ust. 1 oraz art. 9 ust. 1 i 2 RODO? 2. Czy strony porozumienia zbiorowego mają zakres uznania w ocenie niezbędności przetwarzania danych osobowych, który ogranicza pełną kontrolę sądową sądów krajowych?Ratio decidendi
Trybunał stwierdził, że art. 88 RODO, będący klauzulą upoważniającą, pozwala państwom członkowskim na przyjęcie bardziej szczegółowych przepisów dotyczących przetwarzania danych pracowników, ale nie zwalnia ich z obowiązku przestrzegania ogólnych zasad RODO, w tym art. 5, art. 6 ust. 1 i art. 9 ust. 1 i 2. Cel RODO, jakim jest zapewnienie wysokiego poziomu ochrony danych, wymaga, aby wszelkie przepisy szczegółowe, w tym porozumienia zbiorowe, były zgodne z tymi ogólnymi zasadami, zwłaszcza z kryterium niezbędności przetwarzania. Zakres uznania stron porozumienia zbiorowego nie może prowadzić do naruszenia treści ani celów RODO, a sądy krajowe muszą mieć możliwość pełnej kontroli sądowej nad takimi porozumieniami, aby zweryfikować ich zgodność z wymogami RODO.Stan faktyczny
Powód MK, pracownik K GmbH i przewodniczący rady zakładowej, pozwał swojego pracodawcę K GmbH. Spółka wdrożyła oprogramowanie „Workday” do zarządzania informacjami o personelu, przenosząc dane pracowników na serwer spółki dominującej w Stanach Zjednoczonych. W związku z tym zawarto porozumienie zakładowe o tolerowaniu, które określało kategorie danych do przekazania. MK twierdził, że spółka przekazała więcej danych niż przewidziano w porozumieniu i że przetwarzanie nie było niezbędne. Domagał się zadośćuczynienia za krzywdę niemajątkową z powodu niezgodnego z prawem przetwarzania danych osobowych w okresie od 25 maja 2018 r. do końca pierwszego kwartału 2019 r.Rozstrzygnięcie
1) Artykuł 88 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia w sprawie ochrony danych) należy interpretować w ten sposób, że: przepis krajowy, którego przedmiotem jest przetwarzanie danych osobowych do celów stosunków pracy i który przyjęto na podstawie art. 88 ust. 1 tego rozporządzenia, musi skutkować zobowiązaniem jego adresatów do przestrzegania nie tylko wymogów wynikających z art. 88 ust. 2 wspomnianego rozporządzenia, lecz również wymogów wynikających z art. 5, art. 6 ust. 1 oraz art. 9 ust. 1 i 2 tegoż rozporządzenia.
2) Artykuł 88 ust. 1 rozporządzenia 2016/679 należy interpretować w ten sposób, że: w razie gdy porozumienie zbiorowe jest objęte zakresem stosowania tego przepisu, zakres uznania, jaki przysługuje stronom tego porozumienia przy określaniu „niezbędnego” charakteru przetwarzania danych osobowych w rozumieniu art. 5, art. 6 ust. 1 oraz art. 9 ust. 1 i 2 tego rozporządzenia, nie uniemożliwia sądowi krajowemu przeprowadzenia pełnej kontroli sądowej w tym względzie.Pełny tekst orzeczenia
WYROK TRYBUNAŁU (ósma izba)
z dnia 19 grudnia 2024 r. (
*1
)
Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 88 ust. 1 i 2 – Przetwarzanie danych w kontekście zatrudnienia – Dane osobowe pracowników – Bardziej szczegółowe przepisy ustanowione przez państwo członkowskie na mocy tego art. 88 – Obowiązek przestrzegania art. 5, art. 6 ust. 1 oraz art. 9 ust. 1 i 2 tego rozporządzenia – Przetwarzanie na podstawie porozumienia zbiorowego – Zakres uznania stron porozumienia zbiorowego w odniesieniu do niezbędności przetwarzania danych osobowych przewidzianego w tym porozumieniu – Granice kontroli sądowej
W sprawie C‑65/23
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Bundesarbeitsgericht (federalny sąd pracy, Niemcy) postanowieniem z dnia 22 września 2022 r., które wpłynęło do Trybunału w dniu 8 lutego 2023 r., w postępowaniu:
MK
przeciwko
K GmbH,
TRYBUNAŁ (ósma izba),
w składzie: N. Jääskinen (sprawozdawca), prezes dziewiątej izby, pełniący obowiązki prezesa ósmej izby, M. Gavalec i I. Ziemele, sędziowie,
rzecznik generalny: L. Medina,
sekretarz: A. Calot Escobar,
uwzględniając pisemny etap postępowania,
rozważywszy uwagi, które przedstawili:
–
w imieniu MK – J. Zäh, Rechtsanwalt,
–
w imieniu K GmbH – B. Geck, Rechtsanwältin,
–
w imieniu Irlandii – M. Browne, Chief State Solicitor, A. Joyce i M. Tierney, w charakterze pełnomocników, których wspierał D. Fennelly, BL,
–
w imieniu rządu włoskiego – G. Palmieri, w charakterze pełnomocnika, którą wspierała G. Natale, avvocato dello Stato,
–
w imieniu Komisji Europejskiej – A. Bouchagiar, M. Heller i H. Kranenborg, w charakterze pełnomocników,
podjąwszy, po wysłuchaniu rzecznik generalnej, decyzję o rozstrzygnięciu sprawy bez opinii,
wydaje następujący
Wyrok
Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 82 ust. 1, a także art. 88 ust. 1 i 2 w związku z art. 5, art. 6 ust. 1 oraz art. 9 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowania: Dz.U. 2018, L 127, s. 2; Dz.U. 2021, L 74, s. 35, zwanego dalej „RODO”).
Wniosek ten został złożony w ramach sporu między MK, osobą fizyczną, a K GmbH, jej pracodawcą, w przedmiocie zadośćuczynienia za krzywdę, jakiej osoba ta miała doznać w wyniku przetwarzania jej danych osobowych przez tę spółkę na podstawie porozumienia zakładowego.
Ramy prawne
Prawo Unii
Motywy 8, 10 i 155 RODO mają następujące brzmienie:
„(8)
W zakresie, w jakim niniejsze rozporządzenie dopuszcza doprecyzowanie lub zawężenie jego przepisów przez prawo państw członkowskich, mogą one – o ile jest to niezbędne, by krajowe przepisy były spójne i zrozumiałe dla osób, do których mają zastosowanie – włączyć elementy niniejszego rozporządzenia do swego prawa krajowego.
[…]
(10)
Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii [Europejskiej], należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych […]. Niniejsze rozporządzenie umożliwia też państwom członkowskim doprecyzowanie jego przepisów, w tym w odniesieniu do przetwarzania szczególnych kategorii danych osobowych (zwanych dalej »danymi wrażliwymi«). W tym względzie niniejsze rozporządzenie nie wyklucza możliwości określenia w prawie państwa członkowskiego okoliczności dotyczących konkretnych sytuacji związanych z przetwarzaniem danych, w tym dookreślenia warunków, które decydują o zgodności przetwarzania z prawem.
[…]
(155)
W prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym zakładowych porozumieniach z przedstawicielami pracowników, mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem, w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów procedury rekrutacyjnej, wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy”.
Artykuł 4 tego rozporządzenia, zatytułowany „Definicje”, stanowi:
„Na użytek niniejszego rozporządzenia:
1)
»dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); […]
2)
»przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany […];
[…]
7)
»administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; […]
[…]”.
Rozdział II RODO, opatrzony nagłówkiem „Zasady”, zawiera art. 5–11.
Artykuł 5 tego rozporządzenia, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, przewiduje:
„1. Dane osobowe muszą być:
[…]
c)
adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (»minimalizacja danych«);
[…]
f)
przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (»integralność i poufność«).
2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.
Artykuł 6 wspomnianego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, stanowi:
„1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a)
osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b)
przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c)
przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d)
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e)
przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f)
przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
2. Państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów niniejszego rozporządzenia w odniesieniu do przetwarzania służącego wypełnieniu warunków określonych w ust. 1 lit. c) i e); w tym celu mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX.
3. Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:
a)
w prawie Unii; lub
b)
w prawie państwa członkowskiego, któremu podlega administrator.
[…] Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX […].
[…]”.
Artykuł 9 tego rozporządzenia, zatytułowany „Przetwarzanie szczególnych kategorii danych osobowych”, ma następujące brzmienie:
„1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
a)
osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
b)
przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
[…]”.
Zawarty w rozdziale VIII RODO, opatrzonym nagłówkiem „Środki ochrony prawnej, odpowiedzialność i sankcje”, art. 82 tego rozporządzenia, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, przewiduje w ust. 1:
„Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.
Zawarty w rozdziale IX RODO, opatrzonym nagłówkiem „Przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem”, art. 88 tego rozporządzenia, zatytułowany „Przetwarzanie w kontekście zatrudnienia”, przewiduje w ust. 1 i 2:
„1. Państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.
2. Przepisy te muszą obejmować odpowiednie i szczegółowe środki zapewniające osobie, której dane dotyczą, poszanowanie jej godności, prawnie uzasadnionych interesów i praw podstawowych, w szczególności pod względem przejrzystości przetwarzania, przekazywania danych osobowych w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą oraz systemów monitorujących w miejscu pracy”.
Artykuł 99 RODO, zatytułowany „Wejście w życie i stosowanie”, stanowi:
„1. Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej.
2. Niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r.”.
Prawo niemieckie
Paragraf 26 Bundesdatenschutzgesetz (federalnej ustawy o ochronie danych) z dnia 30 czerwca 2017 r. (BGBl. 2017 I, s. 2097, zwanej dalej „BDSG”), zatytułowany „Przetwarzanie danych do celów stosunku pracy”, przewiduje w ust. 1 i 4:
„(1) Dla celów związanych ze stosunkiem pracy można przetwarzać dane osobowe pracowników, jeżeli jest to niezbędne dla podjęcia decyzji o nawiązaniu stosunku pracy lub, po nawiązaniu stosunku pracy, dla jego wykonania, rozwiązania lub wykonywania praw i obowiązków rad pracowniczych, wynikających z ustawy lub układu zbiorowego pracy, porozumienia zakładowego w sektorze prywatnym albo porozumienia zakładowego w sektorze publicznym (porozumienia zbiorowego) […].
[…]
(4) Przetwarzanie danych osobowych, w tym kategorii szczególnych danych osobowych pracowników dla celów związanych ze stosunkiem pracy, jest dopuszczalne na podstawie porozumień zbiorowych. Strony negocjacji przestrzegają przy tym art. 88 ust. 2 [RODO]”.
Postępowanie główne i pytania prejudycjalne
Powód w postępowaniu głównym jest pracownikiem pozwanej w postępowaniu głównym, spółki prawa niemieckiego, i przewodniczy radzie zakładowej utworzonej w ramach tej spółki.
Pierwotnie wspomniana spółka przetwarzała niektóre dane osobowe swoich pracowników, korzystając z oprogramowania o nazwie „SAP” (zwanego dalej „oprogramowaniem SAP”), w szczególności do celów księgowości, i zawarła w tym względzie z radą zakładową szereg porozumień zakładowych.
W 2017 r. grupa spółek D, do której należy pozwana w postępowaniu głównym (zwana dalej „grupą D”), wprowadziła w całej tej grupie oprogramowanie o nazwie „Workday” (zwane dalej „oprogramowaniem Workday”), działające w chmurze (cloud), jako jedyny system zarządzania informacjami dotyczącymi personelu. W tym kontekście pozwana w postępowaniu głównym przeniosła różne dane osobowe swoich pracowników z oprogramowania SAP na serwer spółki dominującej grupy D, zlokalizowany w Stanach Zjednoczonych.
W dniu 3 lipca 2017 r. pozwana w postępowaniu głównym i jej rada zakładowa zawarły porozumienie o tolerowaniu w odniesieniu do wprowadzenia oprogramowania Workday (zwane dalej „porozumieniem zakładowym o tolerowaniu”), które to porozumienie zakazywało w szczególności wykorzystywania tego oprogramowania do celów zarządzania zasobami ludzkimi, takich jak ocena pracownika, podczas fazy testowej. Zgodnie z załącznikiem 2 do tego porozumienia jedynymi kategoriami danych, które mogły zostać przekazane w celu zasilania oprogramowania Workday, były: numer identyfikacyjny przyznany pracownikowi w grupie D, jego nazwisko, imię, numer telefonu, data podjęcia pracy w danej spółce, data podjęcia przez niego pracy w grupie D, miejsce pracy, nazwa danej spółki oraz numer telefonu służbowego i służbowy adres poczty elektronicznej. Obowiązywanie wspomnianego porozumienia przedłużano do czasu wejścia w życie ostatecznego porozumienia zakładowego zawartego w dniu 23 stycznia 2019 r.
W tym kontekście powód w postępowaniu głównym wniósł do właściwych miejscowo Arbeitsgericht (sądu pracy, Niemcy), a następnie Landesarbeitsgericht (sądu pracy wyższej instancji, Niemcy) żądania uzyskania dostępu do niektórych informacji, usunięcia dotyczących go danych i przyznania zadośćuczynienia. Powód ten podniósł w szczególności, że pozwana w postępowaniu głównym przeniosła na serwer spółki dominującej dotyczące go dane osobowe, z których pewne nie były wymienione w porozumieniu zakładowym o tolerowaniu, w szczególności jego prywatne dane kontaktowe, szczegółowe dane dotyczące jego umowy o pracę i wynagrodzenia, numery ubezpieczenia społecznego i identyfikacji podatkowej, obywatelstwo oraz stan cywilny.
Ponieważ powód w postępowaniu głównym nie uzyskał pełnego zaspokojenia, wniósł on skargę rewizyjną do Bundesarbeitsgericht (federalnego sądu pracy, Niemcy), który jest sądem odsyłającym. Jedyne nadal zawisłe żądanie powoda dotyczy zadośćuczynienia na podstawie RODO za krzywdę, jakiej miał on doznać z powodu niezgodnego z prawem przetwarzania jego danych osobowych za pośrednictwem oprogramowania Workday w okresie od pierwszego dnia, w którym rozporządzenie to zaczęło mieć zastosowanie, czyli od dnia 25 maja 2018 r., do końca pierwszego kwartału 2019 r.
Co się tyczy niezgodności z prawem tego przetwarzania, powód w postępowaniu głównym podnosi, po pierwsze, że przetwarzanie to nie było niezbędne ani do celów stosunku pracy, w odniesieniu do którego pozwana w postępowaniu głównym korzystała wówczas z oprogramowania SAP, ani do celów testowania oprogramowania Workday, ponieważ wykorzystanie fikcyjnych danych byłoby w tym celu wystarczające i zagwarantowałoby, że żadne rzeczywiste dane nie zostałyby udostępnione grupie D. Po drugie, nawet przy założeniu, że porozumienie zakładowe o tolerowaniu mogłoby stanowić ważną podstawę dla wspomnianego przetwarzania, zawarte w nim zezwolenie zostało przekroczone, ponieważ pozwana przekazała dane inne niż przewidziane w załączniku 2 do tego porozumienia. Wreszcie ciężar dowodu, że działania pozwanej są zgodne z RODO, spoczywa zdaniem wspomnianego powoda na niej.
Pozwana w postępowaniu głównym podnosi, że rozpatrywane przetwarzanie jest zgodne z wymogami RODO, że ciężar dowodu spoczywa na powodzie w postępowaniu głównym i że ten ostatni nie wykazał ani istnienia krzywdy, ani związku przyczynowego między ewentualnym naruszeniem tego rozporządzenia a podnoszoną krzywdą.
Sąd odsyłający uważa, że operacje kwestionowane przez powoda w postępowaniu głównym są objęte przedmiotowym zakresem stosowania RODO, ponieważ stanowią „przetwarzanie”„danych osobowych”„osoby, której dane dotyczą” w rozumieniu art. 4 pkt 1 i 2 tego rozporządzenia. Ponadto wskazuje on, że pozwana w postępowaniu głównym ma status „administratora” w rozumieniu art. 4 pkt 7 wspomnianego rozporządzenia. Co się tyczy czasowego zakresu stosowania tego rozporządzenia, podkreśla on, że przetwarzanie rozpoczęło się wprawdzie przed dniem, w którym akt ten zaczął mieć zastosowanie, ale trwało nadal po tym dniu ze względu na kilkukrotne przedłużanie obowiązywania pierwotnych skutków porozumienia zakładowego o tolerowaniu.
W tym kontekście sąd odsyłający zastanawia się w pierwszej kolejności, czy norma krajowa, taka jak § 26 ust. 4 BDSG, regulująca przetwarzanie danych osobowych do celów stosunków pracy, która przewiduje w istocie, że takie przetwarzanie na podstawie porozumień zbiorowych jest dozwolone z zastrzeżeniem przestrzegania art. 88 ust. 2 RODO, jest zgodna z tym rozporządzeniem, czy też w tym celu dane przetwarzanie musi być również zgodne z pozostałymi przepisami tego rozporządzenia. Sąd ten skłania się do uznania, że jeżeli przetwarzanie danych osobowych pracowników jest regulowane „porozumieniem zbiorowym” w rozumieniu art. 88 RODO, to przetwarzanie to nie może odbiegać od wymogów wynikających nie tylko z art. 88, lecz również z art. 5, art. 6 ust. 1 i art. 9 ust. 1 i 2 tego rozporządzenia, w szczególności w odniesieniu do kryterium niezbędności przetwarzania przewidzianego w tych trzech ostatnich artykułach.
W drugiej kolejności, na wypadek udzielenia odpowiedzi twierdzącej na pytanie pierwsze, wspomniany sąd zastanawia się, czy stronom takiego porozumienia zbiorowego przysługuje zakres uznania, który powinien podlegać jedynie ograniczonej kontroli sądowej w odniesieniu do oceny niezbędności danego przetwarzania w rozumieniu art. 5, art. 6 ust. 1 oraz art. 9 ust. 1 i 2 RODO. Jego zdaniem teza ta może znaleźć oparcie w argumentacji, zgodnie z którą strony te są bardzo blisko związane z działalnością przedsiębiorstwa i ogólnie osiągnęły właściwą równowagę w odniesieniu do wchodzących w grę interesów. Niemniej jednak orzecznictwo Trybunału dotyczące innych aktów prawa Unii, w szczególności wyroki z dnia 7 lutego 1991 r., Nimz (C‑184/89, EU:C:1991:50), i z dnia 20 marca 2003 r., Kutz-Bauer (C‑187/00, EU:C:2003:168), pozwala raczej sądzić, że postanowienia porozumienia zbiorowego objętego zakresem stosowania tego prawa nie mogą być z nim sprzeczne oraz że w razie potrzeby należy odstąpić od stosowania takich przepisów.
W trzeciej kolejności, w razie udzielenia odpowiedzi twierdzącej na pytanie drugie, sąd odsyłający pragnie poznać kryteria oceny, do których powinien w stosownym przypadku ograniczyć swoją kontrolę sądową.
Wreszcie przedstawione pierwotnie przez ten sąd pytania od czwartego do szóstego, zanim zostały przez niego wycofane, dotyczyły w istocie prawa do zadośćuczynienia za krzywdę na mocy art. 82 ust. 1 RODO.
W tych okolicznościach Bundesarbeitsgericht (federalny sąd pracy) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1)
Czy przepis prawa krajowego wydany na podstawie art. 88 ust. 1 [RODO] – taki jak § 26 ust. 4 BDSG – który stanowi, że przetwarzanie danych osobowych – w tym szczególnych kategorii danych osobowych – pracowników do celów stosunku pracy jest dopuszczalne na podstawie porozumień zbiorowych z poszanowaniem art. 88 ust. 2 [RODO], należy interpretować w ten sposób, że zawsze należy przestrzegać również pozostałych wymogów [RODO] – takich jak określone w art. 5, art. 6 ust. 1 i art. 9 ust. 1 i 2 [RODO]?
2)
W wypadku udzielenia odpowiedzi twierdzącej na pytanie pierwsze:
Czy przepis prawa krajowego wydany na podstawie art. 88 ust. 1 [RODO] – taki jak § 26 ust. 4 BDSG – można interpretować w ten sposób, że stronom porozumienia zbiorowego (w niniejszym przypadku stronom porozumienia zakładowego) przy ocenie niezbędności przetwarzania danych w rozumieniu art. 5, art. 6 ust. 1 i art. 9 ust. 1 i 2 rozporządzenia [RODO] przysługuje swoboda, która podlega kontroli sądowej jedynie w ograniczonym stopniu?
3)
W wypadku udzielenia odpowiedzi twierdzącej na pytanie drugie:
Do czego w takim przypadku można ograniczyć kontrolę sądową?
4)
Czy art. 82 ust. 1 [RODO] należy interpretować w ten sposób, że osobom przysługuje prawo do odszkodowania z tytułu szkody niemajątkowej już wtedy, gdy ich dane osobowe były przetwarzane niezgodnie z wymogami [RODO], czy też prawo do odszkodowania z tytułu szkody niemajątkowej wymaga ponadto, aby dana osoba wykazała poniesioną przez nią szkodę niemajątkową – o pewnej wadze?
5)
Czy art. 82 ust. 1 [RODO] ma szczególny lub ogólny charakter prewencyjny i czy musi to być uwzględniane przy ustalaniu wysokości podlegającej naprawieniu szkody niemajątkowej na podstawie art. 82 ust. 1 [RODO] na niekorzyść administratora lub podmiotu przetwarzającego?
6)
Czy przy ustalaniu wysokości podlegającej naprawieniu szkody niemajątkowej na podstawie art. 82 ust. 1 [RODO] ma znaczenie stopień winy administratora lub podmiotu przetwarzającego? W szczególności, czy nieistniejąca lub niewielka wina po stronie administratora lub podmiotu przetwarzającego może zostać uwzględniona na jego korzyść?”.
Postępowanie przed Trybunałem
Decyzją prezesa Trybunału z dnia 24 stycznia 2024 r. sądowi odsyłającemu doręczono wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych) (C‑300/21, EU:C:2023:370), z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:986), z dnia 14 grudnia 2023 r., Gemeinde Ummendorf (C‑456/22, EU:C:2023:988), z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022), oraz z dnia 25 stycznia 2024 r., MediaMarktSaturn (C‑687/21, EU:C:2024:72), aby sąd ten wskazał, czy w świetle tych wyroków zamierza on podtrzymać swój wniosek o wydanie orzeczenia w trybie prejudycjalnym, w szczególności w odniesieniu do pytań od czwartego do szóstego.
Decyzją prezesa Trybunału z dnia 15 marca 2024 r. postępowanie zostało zawieszone na podstawie art. 55 § 1 lit. b) regulaminu postępowania przed Trybunałem do czasu otrzymania odpowiedzi na zadane pytanie.
Za pośrednictwem pisemnego powiadomienia, które wpłynęło do Trybunału w dniu 8 maja 2024 r., sąd odsyłający poinformował Trybunał, że wycofuje pytania od czwartego do szóstego, lecz podtrzymuje pytania od pierwszego do trzeciego.
W przedmiocie dopuszczalności wniosku o wydanie orzeczenia w trybie prejudycjalnym
Pozwana w postępowaniu głównym twierdzi, że pytania od pierwszego do trzeciego są niedopuszczalne, ponieważ nie mają znaczenia dla rozstrzygnięcia sporu zawisłego przed sądem odsyłającym. Twierdzi ona w istocie, że powód w postępowaniu głównym podważa nie treść porozumienia zakładowego mającego zastosowanie w niniejszej sprawie, lecz przekroczenie granic tego porozumienia przez kwestionowane przetwarzanie danych, wobec czego przedmiotem tego sporu nie jest naruszenie wymogów art. 88 RODO dotyczących takiego porozumienia. Co więcej, pytania te są hipotetyczne w zakresie, w jakim zmierzają do umożliwienia temu sądowi kontroli zgodności z prawem tego przetwarzania w ogólności, a nie tylko w stosunku do elementów kwestionowanych przez powoda w postępowaniu głównym.
W tym względzie, zgodnie z utrwalonym orzecznictwem, wyłącznie do sądu krajowego, przed którym zawisł spór i na którym spoczywa odpowiedzialność za mające zapaść rozstrzygnięcie, należy ustalenie, czy, przy uwzględnieniu specyfiki danej sprawy, w celu wydania rozstrzygnięcia zachodzi potrzeba uzyskania orzeczenia w trybie prejudycjalnym, jak i ocena zasadności zadawanych Trybunałowi pytań, które korzystają w tym względzie z domniemania posiadania znaczenia dla sprawy. Wobec tego w sytuacji, gdy zadane pytanie dotyczy wykładni lub ważności przepisu prawa Unii, Trybunał jest co do zasady zobowiązany orzec, chyba że oczywiste jest, że wykładnia, o którą się zwrócono, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem sporu w postępowaniu głównym, gdy problem jest natury hipotetycznej bądź gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego lub prawnego, które są niezbędne do udzielenia przydatnej odpowiedzi na dane pytanie (wyrok z dnia 20 czerwca 2024 r., Scalable Capital, C‑182/22 i C‑189/22, EU:C:2024:531, pkt 18 i przytoczone tam orzecznictwo).
W niniejszej sprawie pytania od pierwszego do trzeciego dotyczą wykładni szeregu przepisów prawa Unii, a konkretnie art. 88 RODO w związku z jego art. 5, 6 i 9. Ponadto sąd odsyłający uważa, że ograniczenia określone w mającym zastosowanie w niniejszej sprawie porozumieniu zakładowym, które sąd ten uznaje za „porozumienie zbiorowe” w rozumieniu tego rozporządzenia, zostały przekroczone i że sporne w postępowaniu głównym przetwarzanie danych osobowych należy rozpatrywać w całości, ponieważ może ono być niezgodne z prawem w świetle przepisów zarówno ust. 1, jak i ust. 4 § 26 BDSG, który to przepis odnosi się wyraźnie do art. 88 RODO.
Wynika stąd, że wniosek o wydanie orzeczenia w trybie prejudycjalnym jest dopuszczalny.
W przedmiocie pytań prejudycjalnych
W przedmiocie pytania pierwszego
Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 88 ust. 1 i 2 RODO należy interpretować w ten sposób, że przepis krajowy, którego przedmiotem jest przetwarzanie danych osobowych do celów stosunków pracy i który przyjęto na podstawie art. 88 ust. 1 tego rozporządzenia, musi skutkować zobowiązaniem jego adresatów do przestrzegania nie tylko wymogów wynikających z art. 88 ust. 2 wspomnianego rozporządzenia, lecz również wymogów wynikających z art. 5, art. 6 ust. 1 oraz art. 9 ust. 1 i 2 tegoż rozporządzenia.
W tym względzie należy przypomnieć, że RODO ma na celu zapewnienie harmonizacji ustawodawstw krajowych w zakresie ochrony danych osobowych, która jest co do zasady pełna. Jednakże niektóre przepisy tego rozporządzenia dają państwom członkowskim możliwość ustanowienia dodatkowych – bardziej restrykcyjnych lub wprowadzających odstępstwa – uregulowań krajowych i pozostawiają im zakres uznania co do sposobu, w jaki owe przepisy mogą być wprowadzane w życie („klauzule upoważniające”) (zob. podobnie wyrok z dnia 30 marca 2023 r., Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, pkt 51 i przytoczone tam orzecznictwo).
Artykuł 88 RODO, odnoszący się do przetwarzania danych osobowych w kontekście zatrudnienia, określa warunki, na jakich państwa członkowskie mogą zawrzeć w swoich przepisach ustawowych lub w porozumieniach zbiorowych „bardziej szczegółowe przepisy” mające zapewnić ochronę praw i wolności pracowników, których dotyczy takie przetwarzanie. Motyw 155 tego rozporządzenia wskazuje w szczególności, że pojęcie „porozumienia zbiorowego” w rozumieniu tego art. 88 obejmuje „porozumienia zakładowe”, takie jak to rozpatrywane w postępowaniu głównym. Ponadto art. 5, 6 i 9 wspomnianego rozporządzenia ustanawiają, odpowiednio, zasady dotyczące przetwarzania danych osobowych, warunki zgodności tego przetwarzania z prawem oraz reguły odnoszące się do przetwarzania szczególnych kategorii takich danych.
Zgodnie z utrwalonym orzecznictwem treści przepisu prawa Unii, który – tak jak art. 88 RODO – nie zawiera żadnego wyraźnego odesłania do prawa państw członkowskich w celu określenia jego znaczenia i zakresu, należy zazwyczaj nadawać w całej Unii autonomiczną i jednolitą wykładnię, której należy dokonywać z uwzględnieniem w szczególności treści tego przepisu, realizowanych przez niego celów oraz kontekstu, w jaki się on wpisuje (zob. analogicznie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 23 i przytoczone tam orzecznictwo).
Po pierwsze, z brzmienia art. 88 RODO wynika, że jego ust. 1 wymaga, by dozwolone przez ten przepis „bardziej szczegółowe przepisy” miały treść normatywną właściwą dla regulowanej dziedziny i odrębną od przepisów ogólnych tego rozporządzenia, podczas gdy jego ust. 2 reguluje, zgodnie z realizowanym przez wspomniane rozporządzenie celem harmonizacji, zakres uznania państw członkowskich, które zamierzają przyjąć uregulowanie krajowe na podstawie tego ust. 1 (zob. podobnie wyrok z dnia 30 marca 2023 r., Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, pkt 61, 65, 72, 75).
Brzmienie to nie zawiera natomiast wyraźnej wskazówki co do tego, czy „bardziej szczegółowe przepisy”, które państwa członkowskie mają w ten sposób możliwość przyjąć, powinny zmierzać do przestrzegania wyłącznie wymogów określonych w art. 88 ust. 2 RODO, czy również do przestrzegania wymogów wynikających z innych przepisów tego rozporządzenia, w związku z czym przetwarzanie danych osobowych na podstawie takich bardziej szczegółowych przepisów powinno być ponadto zgodne z tymi innymi przepisami.
Po drugie, co się tyczy celów art. 88 RODO, Trybunał orzekł już, że artykuł ten stanowi „klauzulę upoważniającą” i że uprawnienie przyznane państwom członkowskim w jego ust. 1, z uwagi na specyfikę takiego przetwarzania, tłumaczy się w szczególności istnieniem stosunku podporządkowania między pracownikiem a pracodawcą. Uściślił on, że warunki ustanowione w art. 88 ust. 2 tego rozporządzenia odzwierciedlają granice zakresu uznania pozostawionego państwom członkowskim w tym znaczeniu, że związany z tym brak harmonizacji może zostać dopuszczony tylko wtedy, gdy istniejącym różnicom towarzyszą szczególne i odpowiednie zabezpieczenia mające na celu ochronę praw i wolności pracowników w zakresie przetwarzania ich danych osobowych w ramach stosunków pracy (zob. podobnie wyrok z dnia 30 marca 2023 r., Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, pkt 52, 53, 73).
Ponadto Trybunał podkreślił, że w sytuacji gdy państwa członkowskie korzystają z uprawnienia przyznanego im w art. 88 RODO, powinny one korzystać z przysługującego im zakresu uznania na warunkach i w granicach przewidzianych w przepisach wspomnianego rozporządzenia, wobec czego powinny stanowić prawo w taki sposób, aby nie naruszać treści ani celów tego rozporządzenia, zmierzającego w szczególności do zagwarantowania wysokiego poziomu ochrony praw i wolności osób, których dotyczy takie przetwarzanie, jak to wynika z motywu 10 tego rozporządzenia. W związku z tym przepisy przyjęte przez państwo członkowskie na podstawie tego art. 88 powinny mieć na celu ochronę praw i wolności pracowników w odniesieniu do przetwarzania ich danych osobowych (zob. podobnie wyrok z dnia 30 marca 2023 r., Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, pkt 54, 59, 62, 74).
Artykułu 88 RODO nie można zaś interpretować w ten sposób, że celem lub skutkiem „bardziej szczegółowych przepisów”, które państwa członkowskie mają prawo przyjąć na podstawie tego artykułu, mogłoby być obejście wynikających z innych przepisów tego rozporządzenia obowiązków administratora lub też podmiotu przetwarzającego, gdyż w przeciwnym razie doszłoby do naruszenia wszystkich wspomnianych celów owego rozporządzenia, a zwłaszcza celu polegającego na zapewnieniu wysokiego poziomu ochrony pracowników w przypadku przetwarzania ich danych osobowych w kontekście zatrudnienia.
Wynika stąd, że art. 88 ust. 1 i 2 RODO należy interpretować w ten sposób, że nawet jeżeli państwa członkowskie opierają się na tym artykule w celu wprowadzenia do swoich odpowiednich krajowych porządków prawnych „bardziej szczegółowych przepisów” za pośrednictwem swoich przepisów ustawowych lub porozumień zbiorowych, to muszą zostać również spełnione wymogi wynikające z pozostałych przepisów, konkretnie wymienionych w rozpatrywanym pytaniu, a mianowicie z art. 5, art. 6 ust. 1 oraz art. 9 ust. 1 i 2 tego rozporządzenia. Odnosi się to zwłaszcza do przestrzegania przewidzianego w tych przepisach kryterium niezbędności przetwarzania, nad którym to kryterium sąd odsyłający zastanawia się w szczególności.
Po trzecie, kontekst, w jaki wpisuje się art. 88 RODO, potwierdza tę wykładnię.
Artykuł 88 RODO został bowiem ujęty w rozdziale IX, opatrzonym nagłówkiem „Przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem”, podczas gdy art. 5, 6 i 9 tego rozporządzenia znajdują się w rozdziale II, opatrzonym nagłówkiem „Zasady”, który ma zatem bardziej ogólny zakres. Ponadto z brzmienia tego art. 6, który w ust. 2 i 3 odnosi się wyraźnie do przepisów rozdziału IX, jasno wynika, że warunki zgodności z prawem przewidziane we wspomnianym art. 6 są wiążące również w ramach „szczególnych sytuacji” regulowanych przepisami wspomnianego rozdziału IX.
Ponadto zgodnie z utrwalonym orzecznictwem przy każdym przetwarzaniu danych osobowych należy przestrzegać zasad dotyczących przetwarzania takich danych oraz praw osoby, której dane dotyczą, określonych, odpowiednio, w rozdziałach II i III RODO. W szczególności musi ono być zgodne z zasadami dotyczącymi przetwarzania tych danych przewidzianymi w art. 5 tego rozporządzenia i spełniać warunki zgodności przetwarzania z prawem wymienione w art. 6 owego rozporządzenia [zob. podobnie wyroki: z dnia 2 marca 2023 r., Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, pkt 43; z dnia 11 lipca 2024 r., Meta Platforms Ireland (Powództwo przedstawicielskie), C‑757/22, EU:C:2024:598, pkt 49 i przytoczone tam orzecznictwo].
Co się tyczy konkretniej związku między art. 88 RODO a innymi przepisami tego rozporządzenia, Trybunał zauważył, w szczególności w świetle jego motywu 8, że niezależnie od ewentualnego istnienia „bardziej szczegółowych przepisów” przyjętych przez państwa członkowskie na podstawie art. 88 ust. 1 wspomnianego rozporządzenia, przy każdym przetwarzaniu danych osobowych należy przestrzegać obowiązków wynikających z przepisów rozdziałów II i III tego rozporządzenia, a w szczególności z jego art. 5 i 6 (zob. podobnie wyrok z dnia 30 marca 2023 r., Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, pkt 67–71).
Podobnie podczas każdego przetwarzania danych osobowych objętego zakresem tego rozporządzenia, w tym w razie przyjęcia „bardziej szczegółowych zasad” na mocy art. 88 ust. 1 tego rozporządzenia, należy przestrzegać obowiązków wynikających z art. 9 RODO. Ów art. 9, regulujący przetwarzanie szczególnych kategorii danych, które wymienia, jest bowiem ujęty w rozdziale II wspomnianego rozporządzenia, podobnie jak jego art. 5 i 6, których wymogi mogą się zresztą łączyć z wymogami wynikającymi ze wspomnianego art. 9 (zob. podobnie wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 73, 77–79). Ponadto wykładnia ta jest zgodna z celem art. 9, polegającym na zapewnieniu zwiększonej ochrony przed przetwarzaniem, które ze względu na szczególnie chroniony charakter danych będących jego przedmiotem może stanowić szczególnie poważną ingerencję w prawa podstawowe osób, których dane dotyczą (zob. podobnie wyrok z dnia 4 października 2024 r., Lindenapotheke, C‑21/23, EU:C:2024:846, pkt 89 i przytoczone tam orzecznictwo).
Tak więc, w sytuacji gdy prawo państwa członkowskiego zawiera „bardziej szczegółowe przepisy” w rozumieniu art. 88 ust. 1 RODO, przy przetwarzaniu danych osobowych objętym tymi przepisami należy przestrzegać nie tylko warunków określonych w ust. 1 i 2 tego artykułu, lecz również warunków określonych w art. 5, 6 i 9 tego rozporządzenia, stosownie do ich wykładni dokonanej w orzecznictwie Trybunału.
W świetle powyższych rozważań na pytanie pierwsze należy odpowiedzieć, iż art. 88 ust. 1 i 2 RODO należy interpretować w ten sposób, że przepis krajowy, którego przedmiotem jest przetwarzanie danych osobowych do celów stosunków pracy i który przyjęto na podstawie art. 88 ust. 1 tego rozporządzenia, musi skutkować zobowiązaniem jego adresatów do przestrzegania nie tylko wymogów wynikających z art. 88 ust. 2 wspomnianego rozporządzenia, lecz również wymogów wynikających z art. 5, art. 6 ust. 1 oraz art. 9 ust. 1 i 2 tegoż rozporządzenia.
W przedmiocie pytania drugiego
Poprzez pytanie drugie sąd odsyłający dąży w istocie do ustalenia, czy art. 88 ust. 1 RODO należy interpretować w ten sposób, że w razie gdy porozumienie zbiorowe jest objęte zakresem stosowania tego przepisu, zakres uznania przysługujący stronom tego porozumienia przy określaniu „niezbędnego” charakteru przetwarzania danych osobowych w rozumieniu art. 5, art. 6 ust. 1 oraz art. 9 ust. 1 i 2 tego rozporządzenia skutkuje uniemożliwieniem sądowi krajowemu przeprowadzenia pełnej kontroli sądowej w tym względzie.
Przede wszystkim należy przypomnieć, że jak podkreślono w pkt 41 niniejszego wyroku, państwa członkowskie, które korzystają z uprawnienia przyznanego im w art. 88 RODO, powinny korzystać z przysługującego im zakresu uznania na warunkach i w granicach przewidzianych w przepisach tego rozporządzenia, a tym samym czuwać nad tym, aby „bardziej szczegółowe przepisy”, które wprowadzają do krajowego porządku prawnego, nie naruszały treści i celów wspomnianego rozporządzenia. Przepisy te powinny mieć na celu w szczególności zagwarantowanie wysokiego poziomu ochrony podstawowych praw i wolności pracowników w zakresie przetwarzania ich danych osobowych w kontekście zatrudnienia.
Co się tyczy zakresu kontroli sądowej, jaka może być sprawowana w odniesieniu do takich przepisów szczególnych, Trybunał orzekł już, że do sądu krajowego rozpatrującego sprawę, który jako jedyny jest właściwy do dokonania wykładni prawa krajowego, należy ocena, czy przepisy te spełniają warunki i ograniczenia określone w szczególności w art. 88 RODO. Zgodnie z zasadą pierwszeństwa prawa Unii, jeżeli sąd ten dojdzie do wniosku, że rozpatrywane przepisy krajowe nie spełniają tych warunków i ograniczeń, powinien on odstąpić od stosowania tych przepisów. Wobec braku bardziej szczegółowych przepisów spełniających wymagania tego art. 88 przetwarzanie danych osobowych w związku z zatrudnieniem jest bezpośrednio regulowane tym rozporządzeniem (zob. podobnie wyrok z dnia 30 marca 2023 r., Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, pkt 80, 82–84, 89).
Rozważania te odnoszą się również do stron porozumienia zbiorowego, o którym mowa w art. 88 RODO, takiego jak rozpatrywane w postępowaniu głównym. Jak bowiem w istocie podniosła Komisja Europejska w uwagach na piśmie, stronom porozumienia zbiorowego powinien przysługiwać zakres uznania, w szczególności w odniesieniu do jego granic, równoważny z marginesem przyznanym państwom członkowskim, jako że „bardziej szczegółowe przepisy”, o których mowa w art. 88 ust. 1, mogą w szczególności wynikać z porozumień zbiorowych. Motyw 155 tego rozporządzenia wskazuje również, że takie przepisy mogą być przewidziane w prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym w „porozumieniach zakładowych”.
Zatem niezależnie od zakresu uznania, jaki art. 88 RODO pozostawia stronom porozumienia zbiorowego, możliwość sprawowania kontroli sądowej względem takiego porozumienia, podobnie jak kontroli odnoszącej się do normy prawa krajowego przyjętej na podstawie tego przepisu, powinna bez żadnych granic dotyczyć przestrzegania wszystkich warunków i ograniczeń określonych w przepisach tego rozporządzenia w odniesieniu do przetwarzania danych osobowych.
Następnie należy uściślić, że taka kontrola sądowa powinna w szczególności zmierzać do weryfikacji „niezbędnego” charakteru przetwarzania takich danych w rozumieniu art. 5, 6 i 9 RODO. Innymi słowy, art. 88 tego rozporządzenia nie można interpretować w ten sposób, że stronom porozumienia zbiorowego przysługuje swobodne uznanie umożliwiające im wprowadzenie „bardziej szczegółowych przepisów” prowadzących do stosowania w sposób mniej restrykcyjny wspomnianego wymogu niezbędności, a nawet do jego pominięcia.
Jest prawdą, jak zauważyły zasadniczo sąd odsyłający i Irlandia, że strony porozumienia zbiorowego znajdują się ogólnie w dobrym położeniu, by ocenić, czy przetwarzanie danych ma charakter niezbędny w konkretnym kontekście zawodowym, ponieważ strony te zwykle mają szeroką wiedzę co do potrzeb właściwych dla dziedziny zatrudnienia i danego sektora działalności. Jednakże taki proces oceny nie może prowadzić do tego, by wspomniane strony zawierały kompromisy natury gospodarczej lub podyktowane wygodą, które mogłyby w nienależyty sposób zagrozić celowi RODO polegającemu na zapewnieniu wysokiego poziomu ochrony podstawowych praw i wolności pracowników w związku z przetwarzaniem dotyczących ich danych osobowych.
W związku z tym wykładnia art. 88 RODO, zgodnie z którą sądy krajowe nie mogłyby sprawować pełnej kontroli sądowej w odniesieniu do porozumienia zbiorowego, w szczególności w celu sprawdzenia, czy uzasadnienia przedstawione przez strony tego porozumienia wskazują na niezbędny charakter wynikającego z niego przetwarzania danych osobowych, byłaby nie do pogodzenia z tym rozporządzeniem w świetle celu ochrony przypomnianego w poprzednim punkcie niniejszego wyroku.
Wreszcie należy podkreślić, że w razie gdyby sąd krajowy rozpoznający sprawę po przeprowadzeniu kontroli stwierdził, że niektóre postanowienia danego porozumienia zbiorowego nie spełniają warunków i ograniczeń określonych w RODO, powinien on wówczas odstąpić od stosowania tych przepisów, zgodnie z orzecznictwem wskazanym w pkt 53 niniejszego wyroku.
W świetle powyższych rozważań na pytanie drugie należy odpowiedzieć, iż art. 88 ust. 1 RODO należy interpretować w ten sposób, że w razie gdy porozumienie zbiorowe jest objęte zakresem stosowania tego przepisu, zakres uznania, jaki przysługuje stronom tego porozumienia przy określaniu „niezbędnego” charakteru przetwarzania danych osobowych w rozumieniu art. 5, art. 6 ust. 1 oraz art. 9 ust. 1 i 2 tego rozporządzenia, nie uniemożliwia sądowi krajowemu przeprowadzenia pełnej kontroli sądowej w tym względzie.
W przedmiocie pytania trzeciego
Z uwagi na odpowiedź udzieloną na pytanie drugie nie ma potrzeby udzielania odpowiedzi na pytanie trzecie.
W przedmiocie kosztów
Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (ósma izba) orzeka, co następuje:
1)
Artykuł 88 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia w sprawie ochrony danych)
należy interpretować w ten sposób, że:
przepis krajowy, którego przedmiotem jest przetwarzanie danych osobowych do celów stosunków pracy i który przyjęto na podstawie art. 88 ust. 1 tego rozporządzenia, musi skutkować zobowiązaniem jego adresatów do przestrzegania nie tylko wymogów wynikających z art. 88 ust. 2 wspomnianego rozporządzenia, lecz również wymogów wynikających z art. 5, art. 6 ust. 1 oraz art. 9 ust. 1 i 2 tegoż rozporządzenia.
2)
Artykuł 88 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
w razie gdy porozumienie zbiorowe jest objęte zakresem stosowania tego przepisu, zakres uznania, jaki przysługuje stronom tego porozumienia przy określaniu „niezbędnego” charakteru przetwarzania danych osobowych w rozumieniu art. 5, art. 6 ust. 1 oraz art. 9 ust. 1 i 2 tego rozporządzenia, nie uniemożliwia sądowi krajowemu przeprowadzenia pełnej kontroli sądowej w tym względzie.
Podpisy
(
*1
) Język postępowania: niemiecki.
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 12.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · Źródło