Förslag till avgörande av generaladvokat Pedro Cruz Villalón föredraget den 25 juni 2015
1 Originalspråk: spanska.
2 Europaparlamentets och rådets direktiv av den 24 oktober 1995 (EGT L 281, s. 31).
3 C‑131/12, EU:C:2014:317.
4 Se exempelvis Rigaux, F. La loi applicable à la protection des individus à l’égard du traitement automatisé des données à caractère personnel, Revue critique de droit international privé, 1980, s. 443–478.
5 Bygrave, L., Determining applicable law pursuant to European Data Protection Legislation, Computer Law and Security Report, nr 16, 2000, s. 252.
6 Det finns ett litet fel i den spanska översättningen av den här bestämmelsen, eftersom verbet står i singularis. Detta förefaller bekräftas av andra språkversioner: each Member State shall apply the national provisions it adopts pursuant to this Directive …, chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive, osv.
7 C‑131/12, EU:C:2014:317.
8 C‑131/12, EU:C:2014:317, punkterna 48–50.
9 Se dom Factortame m.fl., C‑221/89, EU:C:1991:320, punkt 20, och dom kommissionen/Förenade kungariket, C‑246/89, EU:C:1991:375, punkt 21.
10 Dom Cadbury Schweppes och Cadbury Schweppes Overseas, C‑196/04, EU:C:2006:544, punkt 54.
11 Yttrande 8/2010 om tillämplig lagstiftning, antaget den 16 december 2010, 0836-02/10/SV, WP 179.
12 I detta yttrande hänvisas det till dom Berkholz, 168/84, EU:C:1985:299, punkt 18, och dom Lease Plan, C‑390/96, EU:C:1998:206, vilka handlade om tolkningen av artikel 9.1 i rådets sjätte direktiv 77/388/EEG av den 17 maj 1977 om harmonisering av medlemsstaternas lagstiftning rörande omsättningsskatter – Gemensamt system för mervärdesskatt: enhetlig beräkningsgrund, EGT L 145, s. 1; svensk specialutgåva, område 9, volym 1, s. 28.
13 Dom Welmory, C‑605/12, EU:C:2014:2298, punkt 58, beträffande tolkningen av artikel 44 i rådets direktiv 2006/112/EG av den 28 november 2006 om ett gemensamt system för mervärdesskatt (EUT L 347, s. 1), i dess lydelse enligt rådets direktiv 2008/8/EG av den 12 februari 2008 (EUT L 44, s. 11). Se även dom Planzer Luxembourg, C‑73/06, EU:C:2007:397, punkt 54 och den rättspraxis som domstolen där hänvisar till.
14 Konvention om tillämplig lag för avtalsförpliktelser öppnad för undertecknande i Rom den 19 juni 1980 (EGT L 266, s. 1; svensk utgåva, EGT C 15, 1997, s. 70).
15 Konvention i Bryssel av den 27 september 1968 om domstols behörighet och om verkställighet av domar på privaträttens område (EGT 1972, L 299, s. 32; svensk utgåva, EGT C 15, 1997, s. 30).
16 Domstolen slog fast att med begreppet filial, agentur eller liknande [avses] ett verksamhetscentrum som varaktigt framträder som representant för ett företag till vilket det hör, har en affärsledning och är materiellt så utrustat att det kan förhandla med tredje man … (dom Somafer, 33/78, EU:C:1978:205, punkt 12 och dom Blanckaert & Willems, 139/80, EU:C:1981:70, punkt 11), och den betonade att … ordet verksamhetsställe täcker ett företags alla fasta strukturer. Det är följaktligen inte bara dotterbolag och filialer, utan även andra enheter, såsom ett företags olika kontor, som kan utgöra verksamhetsställen i den mening som avses i artikel 6.2 b i Romkonventionen, även om de inte har status som juridiska personer (dom Voogsgeerd, C‑384/10, EU:C:2011:842, punkt 54).
17 Yttrande 8/2010, s. 14.
18 C‑131/12, EU:C:2013:424, punkt 65.
19 Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (EGT L 178, s. 1).
20 Se arbetsdokument om den internationella tillämpningen av EU:s dataskyddslagstiftning när webbplatser utanför EU behandlar personuppgifter på Internet, WP 56, 5035/01/SV/slutlig, 30 maj 2002, s. 8.
21 Parternas yttranden till EU-domstolen skiljer sig åt beträffande bedömningen av dessa faktorer. Medan den ungerska dataskyddsmyndigheten anser att dessa faktorer är relevanta, anser Förenade kungariket att ingen av de angivna faktorerna är det, eftersom ingen av dem nämns i artikel 4.1 i direktivet. På liknande sätt har Europeiska kommissionen uttalat sig. Enligt den ungerska regeringen är det bara av betydelse att tjänsterna är riktade till en medlemsstats territorium och den plats där uppgifterna har laddats upp i datasystemet. Den slovakiska regeringen anser att varken den plats från vilken uppgifterna kommuniceras eller de berörda personernas medborgarskap eller var företagets ägare är bosatta, har betydelse för att avgöra vilket lands lagstiftning som är tillämplig.
22 Av samma uppfattning är artikel 29-arbetsgruppen, som påpekat att varken de registrerades medborgarskap eller stadigvarande hemvist eller personuppgifternas fysiska lokalisering är avgörande [för att avgöra vilken lagstiftning som är tillämplig]. Yttrande 8/2010, s. 10. Se även punkterna 55–58 i generaladvokaten Jääskinens förslag till avgörande i målet Google Spain och Google, C‑131/12, EU:C:2013:424.
23 C‑131/12, EU:C:2014:317, punkterna 48–50.
24 Ibidem, punkt 52.
25 Ibidem, punkt 53.
26 Beträffande detta, se även yttrande 8/2010 från artikel 29-arbetsgruppen,
27 Yttrande 1/2008 om datakskyddsfrågor med anknytning till sökmotorer, avgivet den 4 april 2008, WP 148, 00737/SV.
28 Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) (KOM(2012) 11 slutlig).
29 Om detta råder det för övrigt delade meningar i doktrinen. Vissa författare anser att artikel 4 i direktivet även är den bestämmelse som avgör vilken myndighet som är behörig (exempelvis Bing, J., Data Protection, Jurisdiction and the Choice of Law, Privacy Law & Policy Reporter, 1999), medan andra är av motsatt uppfattning. Se exempelvis Swire, P. P., Of Elephants, Mice and Privacy: International Choice of Law and the Internet, The International Lawyer, 1998, s. 991. Beträffande denna diskussion, se även Kuner, C., Data Protection Law and International Jurisdiction on the Internet (Part 1), International Journal of Law and Information Technology, nr 18, 2010, s. 176.
30 I skäl 21 i direktivet anges uttryckligen att det inte [påverkar] de territorialitetsregler som gäller på straffrättens område. Jag anser att detta även kan tillämpas vad beträffar administrativa sanktioner.
31 Vars centrala kärna kan definieras så att alla myndigheter på alla nivåer must exercise the powers conferred on them reasonably, in good faith, for the purpose for which the powers were conferred and without exceeding the limits of such powers, Lord Bingham, The Rule of Law, The Cambridge Law Journal, nr 66, 2007, s. 78.
32 Det har i doktrinen påpekats att eftersom tillsynssystemet främst är av administrativ eller offentligrättslig karaktär, finns det ett nära samband mellan tillämplig rätt och den myndighet som är behörig att besluta om sanktioner vid överträdelser, de Miguel Asensio, P. A., Derecho Privado de Internet, 4 uppl., Madrid, 2011, s. 333. På motsvarande sätt finns det i doktrinen uttalanden beträffande tillsynsmyndigheternas befogenheter inom det konkurrensrättsliga området. Där anges att vad beträffar offentliga ingripanden avgör bestämmelsens tillämplighet behörigheten för den myndighet som ska tillämpa den. Se exempelvis Basedow, J. Antitrust or Competition Law, International, i Wolfrum, R. (red.), Max Planck Encyclopedia of Public International Law, 2009.
33 Se, beträffande detta, Rigaux: On ne conçoit guère que les autorités administratives, les commissions de contrôle … les organes de surveillance soumettent les fichiers du secteur privé à d’autres normes de conduite et qu’ils obéissent eux-mêmes à d’autres règles de fonctionnement qu’à celles qui sont contenues dans la lex fori, anfört arbete, s. 469.
34 C. Ohler, Die Kollisionsordnung des allgemeinen Verwaltungsrechts, Mohr Siebeck, 2005, s. 109 och 314.
35 Min kursivering.
36 Min kursivering. Beträffande denna diskussion, se Damman U. och Simitis S., EG‑Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden-Baden, 1997, s. 306.
37 (ETS 108), vilken samtliga medlemsstater har tillträtt. Enligt skäl 11 i direktivet utgör detta en precisering och en förstärkning av skyddet i nämnda konvention.
38 Beträffande denna fråga, se Damman U. och Simitis S., anfört arbete, s. 313.
39 Yttrande 8/2010 om tillämplig lagstiftning, s. 29
40 Å ena sidan betonas det i yttrande 8/2010 från artikel 29-arbetsgruppen att innehållet i samarbetet mellan tillsynsmyndigheterna mycket riktigt inte bara innefattar utbyte av information, utan även handläggning av gränsöverskridande klagomål, insamling av bevis för andra dataskyddsmyndigheter eller vidtagande av sanktioner (s. 31). I yttrandet uttrycker arbetsgruppen emellertid tvivel om vilka befogenheter de olika dataskyddsmyndigheterna ska ha: framför allt i vilken utsträckning dataskyddsmyndigheten på platsen får utöva sina befogenheter när det gäller tillämpning av materiella principer och sanktioner? Bör den begränsa sig till att använda sina befogenheter för att undersöka omständigheterna, får den vidta provisoriska verkställighetsåtgärder eller till och med slutgiltiga åtgärder? Får den göra sin egen tolkning av bestämmelserna i den tillämpliga lagstiftningen, eller åligger detta endast dataskyddsmyndigheten i den medlemsstat vars lagstiftning är tillämplig? ... (s. 30).
41 Advice paper on the practical implementation of the Article 28(6) of the Directive 95/46/EC, Ref. Ares (2011)444105, av den 20 april 2011.
42 Ibidem, s. 31. Exempel nr 10 i yttrandet är mycket belysande i det här sammanhanget. Exemplet avser ett hypotetiskt fall där tysk lagstiftning är tillämplig på behandling av uppgifter som utförs i Storbritannien. Där anges att [d]en brittiska dataskyddsmyndigheten måste ha befogenhet att inspektera lokalerna i Storbritannien samt att fastställa omständigheterna och sända resultaten till den tyska dataskyddsmyndigheten. Den tyska dataskyddsmyndigheten bör på grundval av de omständigheter som den brittiska dataskyddsmyndigheten har fastställt kunna vidta sanktioner mot den registeransvarige, som är etablerad i Tyskland.
43 Detta erkänns i skäl 9 i direktivet. I detta sammanhang kan det hänvisas till det dokument som har utarbetats av Europeiska unionens byrå för grundläggande rättigheter, Data Protection in the European Union: the role of National Data Protection Authorities, 2010, där de olika befogenheter som tillsynsmyndigheterna i medlemsstaterna har betonas.
44 I detta hänseende har unionsrätten angående skydd av personuppgifter varit viktig och nydandande inom EU-förvaltningen. Förslaget till en ny allmän uppgiftsskyddsförordning kommer om det förverkligas att leda till omfattande förändringar inom detta område, i synnerhet vad beträffar införandet av ett komplext och avancerat system för samarbete, samstämmighet och ansvarsfördelning mellan de olika tillsynsmyndigheterna.
45 Dom UPV DTH, C‑475/12, EU:C:2014:285.
46 I synnerhet Europaparlamentets och rådets direktiv 2002/20/EG av den 7 mars 2002 om auktorisation för elektroniska kommunikationsnät och kommunikationstjänster (EGT L 108, s. 21), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/140/EG av den 25 november 2009 s (auktorisationsdirektivet) (EUT L 337, s. 37) och Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (EGT L 108, s. 33), i dess lydelse enligt direktiv 2009/140.
47 Dom UPC DTH, C‑475/12, EU:C:2014:285, punkt 88.
48 Den sanktion som vidtagits i det målet berodde på att det berörda bolaget hade vägrat att lämna ut uppgifter till den nationella kommunikationsmyndigheten. Domstolen slog fast att enligt artikel 11.1 b i auktorisationsdirektivet, ... får de nationella myndigheterna av företagen begära uppgifter som står i proportion till syftet och är sakligt motiverade för kontroll av att villkoren avseende konsumentskydd är uppfyllda, när de tar emot klagomål eller på eget initiativ gör en utredning, ibidem, punkt 85.
49 I direktivet förekommer endast ett ord som härletts från begreppet adatkezelés, vid hänvisning till den registeransvarige.
50 3 § 17 i informationslagen. I 3 § 10 i informationslagen ges begreppet adatkezelés en vid tolkning som i allt väsentligt överensstämmer med begreppet behandling av uppgifter som definieras i artikel 2 b i direktivet.