lagen.
EU-domstolen

Förslag till avgörande av generaladvokat Priit Pikamäe föredraget den 31 mars 2022

CELEX
62021CC0077
Typ
EU-domstolen

Källa

1 Originalspråk: franska.

2 Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).

3 Dom av den 16 juli 2020, Facebook Ireland och Schrems ( C‑311/18, EU:C:2020:559, punkterna 73 och 74).

4 Europaparlamentets och rådets direktiv av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37).

5 Dom av den 6 oktober 2020, Privacy International ( C‑623/17, EU:C:2020:790, punkterna 34 och 36).

6 Europaparlamentets och rådets direktiv av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).

7 Det ska erinras om att eftersom dataskyddsförordningen har upphävt och ersatt direktiv 95/46 och de relevanta bestämmelserna i dataskyddsförordningen i allt väsentligt har samma räckvidd som de relevanta bestämmelserna i direktivet, är domstolens praxis avseende nämnda direktiv i princip även tillämplig med avseende på dataskyddsförordningen (dom av den 17 juni 2021, M.I.C.M. ( C‑597/19, EU:C:2021:492, punkt 107)).

8 Se dom av den 11 november 2020, Orange România ( C‑61/19, EU:C:2020:901), avseende genomförande av bestämmelserna i direktiv 95/46 och dataskyddsförordningen i ett mål som avsåg bolaget Orange România, tillhandahållare av mobila telekommunikationstjänster på den rumänska marknaden, och dess kunders samtycke till insamling och lagring av kopior av deras identitetshandlingar.

9 Av punkt 2 i kommissionens yttranden framgår att dessa uppgifter utgjordes av följande: de registrerade personernas namn, födelseort och födelsedatum, adress, ID-kortnummer, i vissa fall personnummer, e‑postadress, fasta telefonnummer och mobiltelefonnummer.

10 Dom av den 6 oktober 2020, La Quadrature du Net m.fl. ( C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 208).

11 Se, analogt, dom av den 13 maj 2014, Google Spain och Google ( C‑131/12, EU:C:2014:317, punkt 72).

12 Att de skyldigheter som åligger den personuppgiftsansvarige enligt artikel 5 i dataskyddsförordningen är fristående hindrar inte att det finns en koppling mellan dem, vilken i föreliggande fall utgörs av begreppet ändamål. Kontrollen av en behandlings art och ändamål är väsentlig för att bedöma huruvida de principer som anges i denna bestämmelse har iakttagits, bland annat principerna om ändamålsbegränsning och lagringsminimering, vilka avses i det nationella målet.

13 Dom av den 22 april 2021, Profi Credit Slovakia ( C‑485/19, EU:C:2021:313, punkt 50).

14 Enligt ordalydelsen i artikel 5.1 b i dataskyddsförordningen ska ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål anses som laglig behandling som är förenlig med de ursprungliga ändamålen, men detta motsvarar inte omständigheterna i det nationella målet.

15 Se, analogt, dom av den 13 maj 2014, Google Spain och Google ( C‑131/12, EU:C:2014:317, punkt 93).

16 Se, för ett liknande resonemang, dom av den 7 maj 2009, Rijkeboer ( C‑553/07, EU:C:2009:293, punkt 33), och dom av den 13 maj 2014, Google Spain och Google ( C‑131/12, EU:C:2014:317, punkt 92).

17 Se, för ett liknande resonemang, dom av den 7 maj 2009, Rijkeboer ( C‑553/07, EU:C:2009:293, punkt 33).

18 Med hänsyn till dessa behandlingars karaktär förefaller den lämpliga rättsliga grunden för dem att utgöras av artikel 6.1 a och b i dataskyddsförordningen, vilket för övrigt inte är föremål för någon diskussion i förevarande fall.

19 Se, analogt, dom av den 20 maj 2003, Österreichischer Rundfunk m.fl. ( C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294, punkt 40).

20 Insamlingen av kundernas personuppgifter och lagringen av dem i den ursprungliga databasen svarar simultant mot samma ändamål, det vill säga att tillhandahålla den avtalade tjänsten.

21 Se punkt 13 i Digis yttranden.

22 Oberoende rådgivande organ som inrättades i enlighet med artikel 29 i direktiv 95/46 och som efter antagandet av dataskyddsförordningen har ersatts med Europeiska dataskyddsstyrelsen.

23 Se, analogt, dom av den 11 november 2020, Orange România ( C‑61/19, EU:C:2020:901, punkterna 51 och 52).

24 Innehållet i artikel 13.3 i dataskyddsförordningen styrker synsättet att kravet på precisering av ändamålet inte endast är tillämpligt i skedet för insamling av uppgifterna, utan gäller all behandling.

25 Denna bestämmelse speglar den flexibla hantering som tillåts till förmån för den personuppgiftsansvarige, som ensam bedömer huruvida det föreligger en skyldighet att lämna information till de registrerade. Denna möjlighet kräver på motsvarande sätt att tillsynsmyndigheten vidtar en strikt kontroll av ändamålen med behandlingen, vilket är väsentligt för att försäkra sig om att den ytterligare behandlingen är laglig och framför allt att kravet på förenlighet är uppfyllt.

26 Denna skyldighet gäller inte företag eller organisationer som sysselsätter färre än 250 personer såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som avses i artikel 9.1 i dataskyddsförordningen eller personuppgifter om fällande domar i brottmål samt lagöverträdelser som innefattar brott, som avses i artikel 10 i dataskyddsförordningen.

27 Dom av den 11 november 2020, Orange România ( C‑61/19, EU:C:2020:901, punkt 48). Det är intressant att notera att det undantag från den personuppgiftsansvariges informationsskyldighet när personuppgifterna inte har samlats in från den registrerade som föreskrivs i artikel 14.5 b i dataskyddsförordningen, för det fall att tillhandahållandet av information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, inte har gjorts tillämpligt på de situationer som regleras av artikel 13 i dataskyddsförordningen.

28 Det ska påpekas att bland de behandlingar som är undantagna från kravet på förenlighet ingår inte de som grundar sig på artikel 6.1 c i dataskyddsförordningen avseende behandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige och bland annat den förpliktelse som föreskrivs i artikel 5.1 f i dataskyddsförordningen avseende säkerställandet av lämplig säkerhet för uppgifterna.

29 Det ska erinras om att enligt artikel 6.1 a i dataskyddsförordningen är en behandling laglig, om och i den mån som den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

30 Detta villkor är inte föremål för någon diskussion i förevarande fall.

31 Se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) ( C‑439/19, EU:C:2021:504, punkt 98).

32 Dom av den 6 oktober 2020, La Quadrature du Net m.fl. ( C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 210).

33 Se, analogt, dom av den 7 maj 2009, Rijkeboer ( C‑553/07, EU:C:2009:293, punkt 35).

34 Med beaktande av de omständigheter under vilka den ifrågasatta behandlingen genomfördes är denna bestämmelse inte tillämplig i förevarande fall.

35 Dom av den 13 maj 2014, Google Spain och Google ( C‑131/12, EU:C:2014:317, punkt 94).

36 Det ska endast erinras om att konstaterandet att testdatabasen omedelbart raderades efter den hackerattack som riktades mot Digi, oberoende av att avtalsförhållandena med abonnenterna i fråga fortsatte, radikalt motsäger påståendet att upprätthållandet av denna databas syftade till att fullgöra abonnemangsavtalen.

37 Se, bland annat, punkt 22 i Digis yttranden.