lagen.
EU-domstolen

Förslag till avgörande av generaladvokat Michal Bobek föredraget den 2 september 2021

CELEX
62020CC0175
Typ
EU-domstolen

Källa

1 Originalspråk: engelska.

2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1).

3 Vad beträffar undantagen i direktiv 95/46, började det redan med dom av den 20 maj 2003, Österreichischer Rundfunk m.fl. ( C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294, punkt 41), och dom av den 6 november 2003, Lindqvist ( C‑101/01, EU:C:2003:596, punkterna 37–48). På senare tid, beträffande dataskyddsförordningen, se dom av den 22 juni 2021, B (Prickning) ( C‑439/19, EU:C:2021:504, punkterna 61–72).

4 Se exempelvis dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein ( C‑210/16, EU:C:2018:388, punkterna 29–39). Se emellertid dom av den 29 juli 2019, Fashion ID ( C‑40/17, EU:C:2019:629, punkt 74).

5 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).

6 Dom av den 20 december 2017, Nowak ( C‑434/16, EU:C:2017:994, punkterna 18–23).

7 Dom av den 4 maj 2017, Rīgas satiksme ( C‑13/16, EU:C:2017:336, punkterna 12–17).

8 Dom av den 10 december 2020, J & S Service ( C‑620/19, EU:C:2020:1011, punkterna 15–29).

9 Till skillnad från den ståndpunkt som domstolen i första instans, det vill säga Administratīvā rajona tiesa, tycks ha intagit. Den ansåg att det var klaganden som var personuppgiftsansvarig i det här skedet av uppgiftsbehandlingen (se punkt 21 ovan i det här förslaget till avgörande).

10 Se exempelvis dom av den 29 juni 2010, kommissionen/Bavarian Lager ( C‑28/08 P, EU:C:2010:378, punkt 69), och dom av den 19 april 2012, Bonnier Audio m.fl. ( C‑461/10, EU:C:2012:219, punkt 52).

11 Se exempelvis dom av den 29 januari 2008, Promusicae ( C‑275/06, EU:C:2008:54, punkt 45), och dom av den 6 oktober 2020, Privacy International ( C‑623/17, EU:C:2020:790, punkt 41), med avseende på Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37). Se även dom av den 6 oktober 2015, Schrems ( C‑362/14, EU:C:2015:650, punkt 45), med avseende på överföring av uppgifter till tredjeland.

12 Se exempelvis dom av den 9 juli 2020, Land Hessen ( C‑272/19, EU:C:2020:535, punkt 68)

13 Dom av den 20 maj 2003, Österreichischer Rundfunk m.fl. ( C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294, punkterna 39–47).

14 Dom av den 22 juni 2021, B (Prickning) ( C‑439/19, EU:C:2021:504, punkterna 61–72).

15 Se, i detta hänseende, artikel 3.7 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89).

16 Den hypotetiska framtida möjligheten är knappast avgörande för att på förhand fastställa det normativa tillämpningsområdet för ett unionsrättsligt instrument. Se även mitt förslag till avgörande i de förenade målen Ministerul Public – Parchetul de pe lângă Înalta Curte de Casaţie şi Justiţie – Direcţia Naţională Anticorupţie m.fl. (C‑357/19 och C‑547/19, EU:C:2021:170, punkterna 109–115), för ett liknande resonemang rörande tillämpningsområdet för artikel 325.1 FEUF.

17 Se exempelvis, för ett liknande resonemang, dom av den 11 december 2014, Ryneš ( C‑212/13, EU:C:2014:2428, punkt 30), och dom av den 10 juli 2018, Jehovan todistajat ( C‑25/17, EU:C:2018:551, punkt 51). I det sistnämnda fallet fann domstolen att en insamling av personuppgifter som medlemmarna i ett religiöst samfund ägnade sig åt i samband med sitt predikoarbete genom dörrknackning och den efterföljande behandlingen av de uppgifterna, kan omfattas av den allmänna dataskyddsförordningens materiella tillämpningsområde.

18 Se exempelvis dom av den 20 december 2017, Nowak ( C‑434/16, EU:C:2017:994, punkt 62), i vilken domstolen slog fast att de skriftliga svar som en examinand lämnat på ett prov för yrkesexamen och examinatorns eventuella anteckningar angående nämnda svar utgjorde personuppgifter.

19 Se exempelvis dom av den 13 maj 2014, Google Spain och Google ( C‑131/12, EU:C:2014:317, punkt 34), och dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein ( C‑210/16, EU:C:2018:388, punkterna 28–44), i vilken domstolen slog fast att begreppet personuppgiftsansvarig infattar en administratör av en fanpage som ett socialt nätverk hyser.

20 Se dom av den 29 juli 2019, Fashion ID ( C‑40/17, EU:C:2019:629, punkterna 72 och 74).

21 Dom av den 29 juli 2019, Fashion ID ( C‑40/17, EU:C:2019:629).

22 Ibidem, punkt 67.

23 Ibidem, punkt 74.

24 För ett aktuellt exempel på offentliga myndigheters behandling, se dom av den 9 juli 2020, Land Hessen ( C‑272/19, EU:C:2020:535, punkterna 64 och 65).

25 Se exempelvis dom av den 16 januari 2019, Deutsche Post ( C‑496/17, EU:C:2019:26, punkt 57). Se även, för ett liknande resonemang, dom av den 1 oktober 2015, Bara m.fl. ( C‑201/14, EU:C:2015:638, punkt 30), och dom av den 27 september 2017, Puškár ( C‑73/16, EU:C:2017:725, punkt 104).

26 Vilket särskilt föreskrivs i artikel 13.2 i den allmänna dataskyddsförordningen, om än i ett annat sammanhang, nämligen det som rör den information som ska lämnas.

27 För fullständighetens skull kan det tilläggas att andra fall som förutses i den allmänna dataskyddsförordningen, som att skattemyndigheten och det privata företaget är gemensamt personuppgiftsansvariga under det särskilda skedet av behandlingen (artikel 26), eller förhållandet till ett något konstruerat personuppgiftsbiträde som de facto är personuppgiftsansvarig (artikel 28), förefaller kunna uteslutas på grundval av de faktiska omständigheter som den hänskjutande domstolen har redovisat.

28 Med de två viktiga undantagen i artiklarna 26 och 28 i den allmänna dataskyddsförordningen som nämns i föregående fotnot, eller till exempel artikel 19 i den allmänna dataskyddsförordningen. Även med avseende på dessa bestämmelser kan emellertid den rättsliga inkluderingen av dessa kategorier fortfarande anses vara en reglering som rör dataskydd och som i första hand säkerställer att den personuppgiftsansvarige inte kan frånsäga sig och undgå ansvar genom att dela uppgifterna eller genom att lägga ut behandlingen av dem på någon annan.

29 Se exempelvis dom av den 24 november 2011, Scarlet Extended ( C‑70/10, EU:C:2011:771).

30 Dom av den 20 maj 2003, Österreichischer Rundfunk m.fl. ( C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294).

31 Se exempelvis dom av den 21 december 2016, Tele2 Sverige och Watson m.fl. ( C‑203/15 och C‑698/15, EU:C:2016:970), och dom av den 6 oktober 2020, La Quadrature du Net m.fl. ( C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791).

32 Dom av den 4 maj 2017, Rīgas satiksme ( C‑13/16, EU:C:2017:336).

33 Dom av den 29 januari 2008, Promusicae ( C‑275/06, EU:C:2008:54).

34 Dom av den 19 april 2012, Bonnier Audio m.fl. ( C‑461/10, EU:C:2012:219).

35 Dom av den 10 december 2020, J & S Service ( C‑620/19, EU:C:2020:1011).

36 Se exempelvis, enligt unionsrätten, artikel 4 i Europarlamentets och rådets tidigare direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, 2006, s. 54), eller artikel 8 i Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (EUT L 119, 2016, s. 132).

37 Se exempelvis, för ett liknande resonemang, dom av den 27 september 2017, Puškár ( C‑73/16, EU:C:2017:725, punkt 108), beträffande en offentlig myndighets upprättande av en förteckning för uppbörd av skatt och bekämpning av skatteundandragande.

38 Idealiska i betydelsen att de två beskrivna scenarierna representerar två ytterligheter på en tänkt linje, snarare än hermetiskt tillslutna lådor.

39 Här betonas åter detta måls sanna karaktär, vilken ligger mycket närmare de fall där domstolen hade att pröva olika fall med lagring av uppgifter eller överföring av uppgifter till tredje länder än ett egentligt dataskyddsförordningsmål (se punkterna 56 och 57 ovan i detta förslag till förhandsavgörande samt den rättspraxis som nämns i fotnoterna 11, 31 och 44).

40 Se exempelvis dom av den 12 juli 2005, Alliance for Natural Health m.fl. ( C‑154/04 och C‑155/04, EU:C:2005:449, punkterna 91 och 92), dom av den 21 december 2011, Ziolkowski och Szeja ( C‑424/10 och C‑425/10, EU:C:2011:866, punkterna 42 och 43), eller dom av den 25 juli 2018, Confédération paysanne m.fl. ( C‑528/16, EU:C:2018:583, punkterna 44–46 och 51).

41 Se även, för ett liknande resonemang, dom av den 27 september 2017, Puškár ( C‑73/16, EU:C:2017:725, punkt 113).

42 Se ovan, punkterna 72 och 73 i detta förslag till avgörande.

43 Se exempelvis, för ett liknande resonemang, dom av den 20 maj 2003, Österreichischer Rundfunk m.fl. ( C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294, punkterna 77 och 79).

44 Se exempelvis, på senare tid, dom av den 6 oktober 2020, Privacy International ( C‑623/17, EU:C:2020:790), punkt 68.

45 Se, för ett liknande resonemang, dom av den 1 oktober 2015, Bara m.fl. ( C‑201/14, EU:C:2015:638), punkt 33.

46 Se, för ett liknande resonemang, dom av den 1 oktober 2015, Bara m.fl. ( C‑201/14, EU:C:2015:638, punkterna 34–38), och dom av den 16 januari 2019, Deutsche Post ( C‑496/17, EU:C:2019:26, punkt 69).

47 För en liknande fråga i samband med kostnader för lagring av uppgifter, se beslut av den 26 november 2020, Colt Technology Services m.fl. ( C‑318/20, ej publicerat, EU:C:2020:969).

48 I allt mer datastyrda ekonomier är det bara en tidsfråga innan data börjar erkännas som en typ av innehav, eller till och med egendom, på samma sätt som ett antal andra immateriella tillgångar av ekonomiskt värde, såsom olika typer av immateriella rättigheter. Se, för ett liknande resonemang, den redan öppna inställningen till att inkludera olika typer av innehav i tillämpningsområdet för artikel 1 i tilläggsprotokoll nr l i Europadomstolens rättspraxis, vilket till exempel framgår av Europadomstolens dom av den 11 januari 2007, Anheuser-Busch Inc mot Portugal (CE:ECHR:2007:0111JUD007304901, §§ 63–65).

49 Vilket däremot skulle vara fallet i mål där överföring, lagring eller behandling av uppgifter regleras i ett unionsrättsligt instrument, som i de exempel som nämns i fotnot 36 ovan. Inom parentes föreföll det ursprungliga förslaget till Europaparlamentets och rådets direktiv om lagring av uppgifter som behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster och om ändring av direktiv 2002/58/EG (SEC(2005) 1131), COM/2005/0438 final – COD 2005/0182, som lades fram av kommissionen, indirekt bekräfta detta i det ursprungliga förslaget till artikel 10 och skäl 13. De bestämmelserna behölls emellertid inte i den version av direktivet som slutligen antogs.