Förslag till avgörande av generaladvokaten michal Bobek föredraget den 13 januari 2021
1 Originalspråk: engelska.
2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) EUT L 119, 2016, s. 1.
3 EGT L 281, 1995, s. 31.
4 Av de skäl som angetts ovan, se punkt 23 i detta förslag till avgörande.
5 I detta avseende har domstolen konsekvent förklarat att begreppet registeransvarig enligt direktiv 95/46 ska ges en vid tolkning, se, till exempel, på senare tid dom av den 29 juli 2019, Fashion ID ( C‑40/17, EU:C:2019:629, punkterna 65, 66 och 70) och dom av den 10 juli 2018, Jehovan todistajat ( C‑25/17, EU:C:2018:551, punkt 66). Jag ser inte något skäl till varför detsamma inte också skulle gälla med avseende på dataskyddsförordningen.
6 Se, till exempel, dom av den 25 juli 2018, Confédération paysanne m.fl. ( C‑528/16, EU:C:2018:583, punkterna 72 och 73 och där angiven rättspraxis) eller dom av den 1 oktober 2019, Blaise m.fl. ( C‑616/17, EU:C:2019:800, punkt 35).
7 Exempelvis har jag i mitt förslag till avgörande i målet Fashion ID förklarat skälen till att både reglerna i dåvarande direktivet 95/46 och i det så kallade e‑integritetsdirektivet (Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37) kunde eventuellt vara tillämpliga i ett mål som rörde placering av kakor ( C‑40/17, EU:C:2018:1039, punkterna 111–115). Se i denna fråga mer generellt Europeiska dataskyddsstyrelsens yttrande 5/2019 om samspelet mellan e-integritetsdirektivet och dataskyddsförordningen, i synnerhet rörande tillsynsmyndigheternas behörighet, uppgifter och befogenheter, av den 12 mars 2019. Se även Artikel 29-arbetsgruppens yttrande 2/2013 av den 2 oktober 2013 med vägledning om inhämtande av samtycke för kakor 1676/13/EN WP 208, av den 2 oktober 2013.
8 Min kursivering.
9 Min kursivering.
10 Min kursivering.
11 I juridisk doktrin, se Bensoussan, A. (red.), Règlement européen sur la protection des données – Textes, commentaires et orientations pratiques, 2a uppl., Bruylant, Bruxelles, 2017, s. 363.
12 På samma sätt, Hijmans, H., Comment to Article 56 of the dataskyddsförordningen, i Kuner, C., Bygrave, L., Docksey, C. (red.), The EU General Data Protection Regulation (dataskyddsförordningen) – A Commentary, Oxford University Press, Oxford, 2020, s. 921.
13 I analogi med allmän förvaltningsrätt (eller rättegångsregler) kan ett organ ha den (generella) befogenheten att agera i vissa avseenden men kanske inte nödvändigtvis har behörigheten (i materiellt, personligt, tidsmässigt eller lokalt hänseende …) att utöva denna befogenhet för att avgöra ett enskilt fall. Exempelvis betyder inte det förhållandet att en domstol har befogenhet att meddela dom i brottmål att den också nödvändigtvis såvitt gäller ett visst brott som begåtts av en viss person är behörig att göra det (eftersom det kan omfattas av en annan domstols behörighet).
14 Europeiska dataskyddsstyrelsen, yttrande 8/2019 om behörigheten för en tillsynsmyndighet vid förändring av omständigheterna rörande huvudsakligt eller enda verksamhetsställe, av den 9 juli 2019, punkterna 19 och 20.
15 Denna bestämmelse har i relevant del följande lydelse: Varje tillsynsmyndighet skall särskilt ha …. befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta direktiv har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.
16 Se Europeiska kommissionen, Första rapporten om genomförandet av dataskyddsdirektivet (95/46/EG) av den 15 maj 2003, COM(2003) 265 final, s. 12 och 13, och dess bilaga Analysis and impact study on the implementation of Directive EC 95/46 in Member States, s. 40. Se också Europeiska unionens byrå för grundläggande rättigheter, Access to data protection remedies in EU Member States – Rapport, 2012, särskilt s. 20–22.
17 Se ovan punkterna 51, 57 och 58 i detta förslag till avgörande.
18 Dom av den 6 oktober 2015, Schrems ( C‑362/14, EU:C:2015:650, punkt 63) och dom av den 16 juli 2020, Facebook Ireland och Schrems ( C‑311/18, EU:C:2020:559, punkt 109).
19 I vissa fall har en berörd tillsynsmyndighet rätt (och ska således kunna) lämna in ett utkast till beslut till den ansvariga tillsynsmyndigheten: se artikel 56.2–56.4 i dataskyddsförordningen.
20 Se, för ett liknande resonemang, skäl 125 i dataskyddsförordningen.
21 Dom av den 16 juli 2020 ( C‑311/18, EU:C:2020:559, punkt 120) (min kursivering). På samma sätt, beträffande klarläggande av att det ankommer på den behöriga tillsynsmyndigheten att ingripa mot en överträdelse av dataskyddsförordningen och att välja det lämpligaste medlet därför, se förslag till avgörande av generaladvokaten Saugmandsgaard Øe i målet Facebook Ireland och Schrems ( C‑311/18, EU:C:2019:1145, punkterna 147 och 148). Jämför dessa uttalanden med domen av den 6 oktober 2015, Schrems ( C‑362/14, EU:C:2015:650, punkt 65) i vilken domstolen förklarade att (varje) nationell tillsynsmyndighet enligt direktiv 95/46 ska kunna inleda rättsliga förfaranden.
22 Som den berömda repliken i Den gode, den onde och den fule uttryckte det (en film från 1966 i regi av Sergio Leone med Clint Eastwood, Lee Van Cleef och Eli Wallach, producerad av Produzioni Europee Associate och United Artists).
23 Artikel 68 i dataskyddsförordningen.
24 Se, i synnerhet, artikel 70.1 a i dataskyddsförordningen.
25 Se motivering till kommissionens förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning), COM(2012) 11 final. Se också skäl 10, 13 och 123 i dataskyddsförordningen.
26 I denna fråga, se generellt Giurgiu, A. och Larsen, T., Roles and Powers of National Data Protection Authorities – Moving from Directive 95/46/EC to the dataskyddsförordningen: Stronger and More European DPAs as Guardians of Consistency? European Data Protection Law Review, 2016, s. 342–352, på 349, och Voigt, P., von dem Bussche, A., The EU General Data Protection Regulation (dataskyddsförordningen) – A Practical Guide, Springer, 2017, s. 190–192.
27 Dom av den 1 oktober 2015 ( C‑230/14, EU:C:2015:639, punkterna 42–60).
28 Dom av den 5 juni 2018 ( C‑210/16, EU:C:2018:388, punkterna 65–74).
29 Se, till exempel, Miglio, A., The Competence of Supervisory Authorities and the One-stop-shop Mechanism, i EU Law Live – Weekend edition, No. 28, 2020, s. 10–14, på s. 11.
30 Se förslag till avgörande av generaladvokaten Bot i målet Wirtschaftsakademie Schleswig-Holstein ( C‑210/16, EU:C:2017:796, punkt 103).
31 Dom av den 24 september 2019 ( C‑507/17, EU:C:2019:772, punkt 68).
32 C‑311/18, EU:C:2019:1145, punkt 155.
33 Se skäl 97 och 98 i kommissionens förslag (se ovan fotnot 25).
34 Se rådets dokument 15656/1/14 REV 1, av den 28 november 2014 och 16526/14, av den 4 och 5 december 2014, s. 2, 8 och 9.
35 Ibidem, s. 1.
36 Se rådets dokument 5419/1/16 REV 1 av den 8 april 2016, s. 203–205.
37 Se ovan punkt 45 i detta förslag till avgörande.
38 Rådets dokument 15656/1/14 REV 1 av den 28 november 2014, s. 2.
39 Se dokument A7–0402/2013 av den 22 november 2013, som omnämnde mekanismen för en enda kontaktpunkt som ett stort steg mot en sammanhängande tillämpning av uppgiftsskyddslagstiftningen i hela EU.
40 Dokument EP-PE_TC1-COD(2012)0011 av den 12 mars 2014 (se särskilt ändringarna 148, 149, 158, 159 och 167).
41 På samma sätt förmodar jag helt enkelt att dessa bestämmelser i stadgan och åberopade rättigheter är de som tillkommer de registrerade som en tillsynsmyndighet har i uppgift att skydda och inte att tillsynsmyndigheten själv skulle vara innehavare av dessa rättigheter. Tanken att de administrativa myndigheterna, det vill säga utflöden av staten, skulle ha tillerkänts grundläggande (mänskliga) rättigheter som de skulle kunna åberopa mot staten (eller snarare mot varandra eller i fall av horisontell direkt effekt till och med mot enskilda) är faktiskt ganska egenartad. Enligt min uppfattning bör svaret vara klart nekande men jag erkänner att det finns olika synsätt i medlemsstaterna. Hursomhelst kan denna fråga lämnas därhän i förevarande mål.
42 Se, för ett liknande resonemang, dom av den 6 oktober 2015, Schrems ( C‑362/14, EU:C:2015:650, punkt 39).
43 Se skäl 7, 9 och 10 i dataskyddsförordningen (min kursivering).
44 Se, för ett liknande resonemang, skäl 10, 11 och 13 i dataskyddsförordningen
45 Min kursivering.
46 Se, för ett liknande resonemang, dom av den 27 september 2017, Puškár ( C‑73/16, EU:C:2017:725, punkterna 54–76 och där angiven rättspraxis).
47 Se artikel 79 och även skäl 145 i dataskyddsförordningen.
48 Det ska även beaktas att praktiskt sett sammanfaller denna lösning med vad som typiskt skulle vara det (skydds) forum (kärandens) i konsumentavtal enligt lösningen i Bryssel-förordningen, se, i allmänhet, dom av den 25 januari 2018, Schrems ( C‑498/16, EU:C:2018:37).
49 Se skäl 141 och 143 i dataskyddsförordningen och dom av den 16 juli 2020, Facebook Ireland och Schrems ( C‑311/18, EU:C:2020:559, punkt 110).
50 Se skäl 143 och artikel 78 i dataskyddsförordningen.
51 Beträffande en sådan inställning i ett annat (decentraliserat) regulatoriskt sammanhang, se mitt förslag till avgörande i målet Astellas Pharma ( C‑557/16, EU:C:2017:957).
52 I den senare frågan anger artikel 78.4 att om talan väcks mot ett beslut som fattats av en tillsynsmyndighet och som föregicks av ett yttrande från eller beslut av styrelsen inom ramen för mekanismen för enhetlighet ska tillsynsmyndigheten vidarebefordra detta yttrande eller beslut till domstolen. I praktiken är detta sannolikt det enda sättet att åstadkomma domstolsprövning av styrelsens beslut, eftersom skäl 143 i dataskyddsförordningen olycksbådande bekräftar att varje fysisk eller juridisk person har rätt att väcka ogiltighetstalan mot styrelsens beslut vid unionsdomstolarna när de villkor som föreskrivs i artikel 263 FEUF är uppfyllda. Med hänsyn emellertid till domstolens restriktiva tolkning av villkoren för talerätt för enskilda som fastställs i artikel 263 FEUF är det inte lätt att finna situationer i vilka enskilda kan anses vara direkt berörda av styrelsens beslut, eftersom dessa i vart fall måste tillämpas på situationen för en viss registrerad genom ett efterföljande beslut av en ansvarig tillsynsmyndighet eller en berörd tillsynsmyndighet. I en sådan situation liksom på många andra områden i unionsrätten (beträffande kritik i detta avseende, se mitt förslag till avgörande i målet Région de Bruxelles-Capitale/kommissionen ( C‑352/19 P, EU:C:2020:588, punkterna 137–147) skulle det enda sättet att angripa ett beslut av styrelsen till slut vara genom ett förhandsavgörande enligt artikel 267 FEUF, begränsat till fall i vilka en mer frågvis nationell domstol önskar lyfta på slöjan över dess egen rättsliga prövning, som lagts på den av den nationella tillsynsmyndigheten i form av det vidarebefordrade yttrandet från styrelsen enligt artikel 78.4 i dataskyddsförordningen.
53 Se särskilt artikel 60.1 i dataskyddsförordningen.
54 Hijmans, H., Comment to Article 56 of the dataskyddsförordningen, i Kuner, C., Bygrave, L., Docksey, C. (red.), The EU General Data Protection Regulation (dataskyddsförordningen) – A Commentary, Oxford University Press, Oxford, 2020, s. 918
55 Hustinx, P., EU Data Protection Law: The Review of Directive 95/46/EC and the General Data Protection Regulation, i Cremona, M. (red.), New Technologies and EU Law, 2017, Oxford University Press, Oxford, s. 123.
56 Beträffande detta uttryck, se Rådet, Riktlinjedebatt om mekanismen för en enda kontaktpunkt, 10139/14 av den 26 maj 2014, s. 4.
57 Se, till exempel, dom av den 9 mars 2010, kommissionen/Tyskland ( C‑518/07, EU:C:2010:125, punkt 24). På senare tid, se dom av den 6 oktober 2015, Schrems ( C‑362/14, EU:C:2015:650, punkt 42).
58 Se ovan, punkt 4 i detta förslag till avgörande.
59 Min kursivering.
60 I detta sammanhang vill jag endast tillägga att tillsynsmyndigheter som mottar ett klagomål oberoende av om de är ansvariga eller berörda tillsynsmyndigheter inte endast är skyldiga att granska detta klagomål med vederbörlig omsorg (se ovan i punkt 69 i detta förslag till avgörande) utan också att se till att [dataskyddsförordningen] iakttas fullt ut med all erforderlig omsorg(se, för ett liknande resonemang, dom av den 16 juli 2020, Facebook Ireland och Schrems ( C‑311/18, EU:C:2020:559, punkt 112) (min kursivering).
61 Min kursivering.
62 Min kursivering.
63 Se Tosoni, L., Comment to Article 60 of dataskyddsförordningen, i Kuner, C., Bygrave, L., Docksey, C. (red.), The EU General Data Protection Regulation (dataskyddsförordningen) – A Commentary, Oxford University Press, Oxford, 2020, s. 969.
64 Min kursivering.
65 Beroende på vilken typ av åtgärd som det är fråga om, vilket klarläggs av skäl 138 i dataskyddsförordningen. Det skulle emellertid realistiskt sett vara ganska förvånande om en ansvarig tillsynsmyndighet skulle välja att inte beakta ett beslut av styrelsen även om det inte var formellt bindande enligt dataskyddsförordningen (i synnerhet eftersom vad som inte är bindande i första omgången verkligen kan bli det i nästa omgång).
66 På samma sätt, mer i detalj, se Van Eecke, P., Šimkus, A., Comment to Article 64, i Kuner, C., Bygrave, L., Docksey, C. (red.), The EU General Data Protection Regulation (dataskyddsförordningen) – A Commentary, Oxford University Press, Oxford, 2020, s. 1011.
67 Se ovan punkterna 106 och 107 i detta förslag till avgörande.
68 Se ovan punkterna 35–38 i detta förslag till avgörande.
69 Se också Artikel 29-arbetsgruppen för skydd av personuppgifter, Riktlinjer om fastställande av ansvarig tillsynsmyndighet för personuppgiftsansvariga eller personuppgiftsbiträden, WP 244 rev.01, av den 5 april 2017, s. 10.
70 Jag påstår vidare inte att de exempel som nu getts är de enda exemplen. Kan det inte finnas en ytterligare situation i vilken det slutliga beslut som fattats i ett visst fall av gränsöverskridande behandling, oavsett om det fattats enligt överenskommelse mellan den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna eller i anledning av ett tvistlösningsbeslut av styrelsen, kan anförtro en eller fler berörda tillsynsmyndigheter att genomföra vissa verkställighetsåtgärder på deras respektive territorium inbegripet exempelvis inledande av rättsligt förfarande?
71 Som anförts ovan i punkterna 31–38 i detta förslag till avgörande.
72 Ovan, punkterna 32–33 i detta förslag till avgörande.
73 Som i allmänhet bör vara fallet med varje behandling som sådan och definitionen av den (gemensamma) personuppgiftsansvarige därför. Det faktiska bestämmandet över ändamålen och medlen för behandlingen ska bedömas med avseende på en viss behandlingsåtgärd och inte i abstrakta, statiska termer i förhållande till odefinierad behandling, se dom av den 29 juli 2019, Fashion ID ( C‑40/17, EU:C:2019:629, punkterna 71–74).
74 Se ovan punkterna 111 och 112 i detta förslag till avgörande.
75 Se ovan punkterna 45 och 84 i detta förslag till avgörande.
76 Indirekt kommer man därvid tillbaka till den ursprungliga frågan vad exakt det är som ett sådant verksamhetsställe åtalas för i en sådan medlemsstat efter ikraftträdandet av dataskyddsförordningen, vilket diskuterats ovan i punkterna 32–34 i detta förslag till avgörande.
77 Dom av den 5 juni 2018 ( C‑210/16, EU:C:2018:388).
78 Jämför i synnerhet den nya artikeln 3.1 med den gamla artikeln 4.1 a och den nya artikeln 58.6 med den gamla artikeln 28.3 tredje strecksatsen.
79 Som föreslagits ovan i fotnot 70 är det emellertid lika troligt att samordnat beslutsfattande kan medföra samordnade verkställighetsåtgärder.
80 Se, analogt, dom av den 14 februari 2012, Toshiba Corporation m.fl. ( C‑17/10, EU:C:2012:72, särskilt punkt 60).
81 Beträffande en detaljerad diskussion med exempel, se mitt förslag till avgörande i målet Nemec ( C‑256/15, EU:C:2016:619, punkterna 27–44).
82 Se också ovan, punkt 34 i detta förslag till avgörande.
83 Mer i detalj, se mitt förslag till avgörande i målet Klohn ( C‑167/17, EU:C:2018:387, punkterna 36–46).
84 Medan naturligtvis direkt tillämplighet inte är direkt effekt och samma villkor för direkt effekt är tillämpliga med avseende på bestämmelser i förordningar som förutser eller kräver deras genomförande, se till exempel dom av den 11 januari 2001, Monte Arcosu ( C‑403/98, EU:C:2001:6, punkterna 26–28), dom av den 28 oktober 2010, SGS Belgium m.fl. ( C‑367/09, EU:C:2010:648, punkterna 33 och följande punkter) eller dom av den 14 april 2011, Vlaamse Dierenartsenvereniging och Janssens ( C‑42/10, C‑45/10 and C‑57/10, EU:C:2011:253, punkterna 48–50).