Förslag till avgörande av generaladvokat Tamara Ćapeta föredraget den 6 oktober 2022
1 Originalspråk: engelska.
2 Just detta meddelande återfinns på https://eulawlive.com/.
3 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 5/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1).
4 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31). Den rättsliga grunden för att anta direktiv 95/46 var den inre marknaden. För en första analys av de förändringar som infördes genom dataskyddsförordningen, se Van Alsenoy, B., Liability under EU Data Protection Law. From Directive 95/46 to the General Data Protection Regulation, Journal of Intellectual Property, Information Technology and Electronic Commerce Law, vol. 7, 2016, s. 271–288.
5 Trots att den rättsliga grunden för dessa båda rättsakter skiljer sig åt är rättspraxis angående tolkningen av direktiv 95/46 relevant för förståelsen av dataskyddsförordningen. Se, i detta avseende, dom av den 17 juni 2021, M.I.C.M. ( C‑597/19, EU:C:2021:492, punkt 107). Jag kommer därför att hänvisa till EU-domstolens praxis avseende direktiv 95/46 där så är relevant. I den mån den erbjuder analoga lösningar vad gäller begränsningar av rätten till skydd av personuppgifter, kommer jag även att hänvisa till EU-domstolens praxis avseende Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37). EU-domstolen har slagit fast att tolkningen av begränsningar av de rättigheter som följer av direktiv 2002/58 i tillämpliga delar även ska gälla för tolkningen av dataskyddsförordningen. Se, i detta avseende, dom av den 6 oktober 2020, La Quadrature du Net m.fl. ( C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkterna 209–211).
6 Se skäl 1 i dataskyddsförordningen.
7 Se artikel 5.2 i dataskyddsförordningen.
8 I artikel 4.8 i dataskyddsförordningen definieras ett personuppgiftsbiträde som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
9 När behandlingen sker för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige ska denna grund enligt artikel 6.3 i dataskyddsförordningen fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt, vilken ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Efterlevnad av nationell skattelagstiftning ansågs vara ett berättigat ändamål i dom av den 16 januari 2019, Deutsche Post ( C‑496/17, EU:C:2019:26, punkterna 60–63).
10 Se, analogt, dom av den 2 mars 2021, Prokuratuur (Villkor för att ge tillgång till uppgifter avseende elektronisk kommunikation) ( C‑746/18, EU:C:2021:152, punkt 44).
11 Att bestämma ändamål och medel för behandlingen av personuppgifter är centrala åtgärder som avgör vem som ska anses vara personuppgiftsansvarig. Se dom av den 10 juli 2018, Jehovan todistajat ( C‑25/17, EU:C:2018:551, punkt 68). Se även Bygrave, L.A. och Tossoni, L., Article 4.7. Controller i Kuner, C., Bygrave, L. A., Docksey, C. och Drechsler, L. (red), The EU General Data Protection Regulation (GDPR): A Commentary, OUP, Oxford, 2021, på s. 150.
12 Vid den muntliga förhandlingen var den polska och den svenska regeringen samt kommissionen eniga om att denna roll nu innehas av den nationella domstolen. Nycander gjorde gällande att Fastec kvarstår som ensam personuppgiftsansvarig vid den andra behandlingen, medan den nationella domstolen har rollen som mellanhand. Det bör noteras att uttrycket mellanhand inte används någonstans i dataskyddsförordningen.
13 I artikel 4.9 i dataskyddsförordningen definieras en mottagare som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifterna utlämnas, vare sig det är en tredje part eller inte. I egenskap av parter i ett civilrättsligt förfarande kommer både Fastec och Nycander att bli mottagare av personuppgifter som behandlas på grundval av domstolens föreläggande om utlämnande. Vid den muntliga förhandlingen hävdade kommissionen att Fastec förblir personuppgiftsansvarig, snarare än att bolaget blir mottagare.
14 I artikel 26.1 i dataskyddsförordningen föreskrivs följande: Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de registrerade utses. Se även dom av den 29 juli 2019, Fashion ID ( C‑40/17, EU:C:2019:629, punkt 67).
15 EU-domstolen har förklarat att begreppet personuppgiftsansvarig har getts en vid definition och att olika aktörer kan vara involverade i olika skeden av behandlingen. Dom av den 29 juli 2019, Fashion ID ( C‑40/17, EU:C:2019:629, punkt 70).
16 Det sistnämnda är endast relevant i undantagsfall. Enligt artikel 2.3 i dataskyddsförordningen omfattas exempelvis EU:s institutioner, organ och byråer inte av dataskyddsförordningen. De omfattas dock av Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 2001, s. 1).
17 Dom av den 9 juli 2020, Land Hessen ( C‑272/19, EU:C:2020:535, punkt 68).
18 I artikel 2.2 i dataskyddsförordningen föreskrivs följande: Denna förordning ska inte tillämpas på behandling av personuppgifter som a) utgör ett led i en verksamhet som inte omfattas av unionsrätten, b) medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget, c) en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll, d) behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
19 I skäl 20 i dataskyddsförordningen anges följande: Eftersom denna förordning bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter, skulle det i unionsrätt eller medlemsstaternas nationella rätt kunna anges vilken behandling och vilka förfaranden för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av personuppgifter. Tillsynsmyndigheternas behörighet bör inte omfatta domstolars behandling av personuppgifter när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets oberoende när det utför sin rättskipande verksamhet, inbegripet när det fattar beslut. Det bör vara möjligt att anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen, vilka framför allt bör säkerställa efterlevnaden av bestämmelserna i denna förordning, främja domstolsväsendets medvetenhet om sina skyldigheter enligt denna förordning och hantera klagomål relaterade till sådan behandling av uppgifter.
20 Se, i detta hänseende, dom av den 24 mars 2022, Autoriteit Persoonsgegevens ( C‑245/20, EU:C:2022:216, punkterna 25 och 26).
21 EU-domstolen har bekräftat att särskilt arbetstidsregister utgör personuppgifter i dom av den 30 maj 2013, Worten ( C‑342/12, EU:C:2013:355, punkt 19).
22 Överföring av handlingar till domstolen i samband med ett tvistemål ansågs vara behandling av personuppgifter i förslag till avgörande av generaladvokat M. Campos Sánchez-Bordonas i målet Inspektor v Inspektorata kam Visshia sadeben savet (Ändamål med behandlingen av personuppgifter – brottsutredning) ( C‑180/21, EU:C:2022:406, punkterna 82 och 83). När detta förslag till avgörande föredras har det målet ännu inte avgjorts av EU-domstolen.
23 EU-domstolen har i samband med direktiv 2002/58 konstaterat att detta direktiv inte utgör hinder för att medlemsstaterna föreskriver en skyldighet för berörda att lämna ut personuppgifter i ett tvistemål. Se, i detta avseende, dom av den 29 januari 2008, Promusicae ( C‑275/06, EU:C:2008:54, punkt 53). Enligt min mening gäller samma sak även för dataskyddsförordningen.
24 Därtill har kommissionen föreslagit att det i förevarande mål kan finnas en annan bevekelsegrund för vidarebehandling för andra ändamål i artikel 23.1 i i dataskyddsförordningen (skydd av den registrerade eller andras rättigheter och friheter). Den polska regeringen har hänvisat till artikel 23.1 j i dataskyddsförordningen (verkställighet av civilrättsliga krav).
25 Behandling som ett led i myndighetsutövningen har möjliggjorts genom artikel 6.1 e i dataskyddsförordningen.
26 Behandlingen kan även grundas på den registrerades samtycke. Så är emellertid inte fallet i förevarande mål.
27 Behörighetsfördelningen mellan EU-domstolen och medlemsstaternas domstolar i mål om förhandsavgörande medför att det ankommer på den nationella domstolen att avgöra om så verkligen är fallet.
28 Dom av den 16 januari 2019, Deutsche Post ( C‑496/17, EU:C:2020:26, punkt 57), och dom av den 6 oktober 2020, La Quadrature du Net m.fl. ( C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 208). EU-domstolen hade tidigare dragit samma slutsats beträffande direktiv 95/46. Se, exempelvis, dom av den 20 maj 2003, Österreichischer Rundfunk m.fl. ( C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294, punkt 65), och dom av den 13 maj 2014, Google Spain och Google ( C‑131/12, EU:C:2014:317, punkt 71).
29 Förslag till avgörande av generaladvokat Pikamäe i målet Vyriausioji tarnybinės etikos komisija ( C‑184/20, EU:C:2021:991, punkt 36).
30 EU-domstolen har funnit att artikel 6 i dataskyddsförordningen innehåller en uttömmande och begränsande uppräkning av de fall där behandling av personuppgifter kan anses vara tillåten. Se dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) ( C‑439/19, EU:C:2021:504, punkt 99). I samband med direktiv 95/46 intog EU-domstolen samma synsätt på tillåtligheten av behandling i dom av den 4 maj 2017, Rīgas satiksme ( C‑13/16, EU:C:2017:336, punkt 25), och dom av den 11 december 2019, Asociaţia de Proprietari bloc M5A-ScaraA ( C‑708/18, EU:C:2019:1064, punkterna 37 och 38).
31 Se även skäl 39 i dataskyddsförordningen, där följande anges: … Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. … Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel.
32 EU-domstolen har förklarat att avvägningen beror på de konkreta omständigheterna i det enskilda fallet. Se, i detta avseende, dom av den 4 maj 2017, Rīgas satiksme ( C‑13/16, EU:C:2017:336, punkt 31). Se även dom av den 19 december 2020, Asociaţia de Proprietari bloc M5A-ScaraA ( C‑708/18, EU:C:2020:104, punkt 32).
33 Se, analogt, dom av den 9 november 2010, Volker und Markus Schecke och Eifert ( C‑92/09 och C‑93/09, EU:C:2010:662, punkt 77).
34 Dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) ( C‑439/19, EU:C:2021:504, punkt 98).
35 Fastec har nämligen yrkat att den hänskjutande domstolen antingen ska avslå Nycanders yrkande om att personalliggaren ska företes eller, i andra hand, att personalliggaren ska företes först i anonymiserad version. Kommissionen har, med hänvisning till principen om uppgiftsminimering och till artikel 25.1 i dataskyddsförordningen, föreslagit att en lösning också skulle kunna vara att förete en pseudonymiserad version av personalliggaren.
36 Genom att liggaren anonymiseras befrias exempelvis den personuppgiftsansvarige från den skyldighet att informera de registrerade om behandlingen som normalt skulle krävas enligt artikel 14 i dataskyddsförordningen.
37 Som den hänskjutande domstolen har förklarat är domstolarna enligt RB redan skyldiga att väga bevisningens relevans mot motpartens intresse av att informationen inte lämnas ut.
38 I samband med direktiv 2002/58 har EU-domstolen konsekvent funnit att ju allvarligare ingrepp i rätten till skydd för personuppgifter som görs, desto större betydelse måste det mål av allmänt samhällsintresse som eftersträvas ha. Dom av den 21 december 2016, Tele2 Sverige och Watson m.fl. ( C‑203/15 och C‑698/15, EU:C:2016:970, punkt 115), dom av den 2 oktober 2018, Ministerio Fiscal ( C‑207/16, EU:C:2018:788, punkt 55), dom av den 6 oktober 2020, La Quadrature du Net m.fl. ( C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 131), och dom av den 2 mars 2021, Prokuratuur (Villkor för att ge tillgång till uppgifter avseende elektronisk kommunikation) ( C‑746/18, EU:C:2021:152, punkt 32).
39 I rättsordningar vars processrättsliga bestämmelser inte tidigare har krävt en sådan bedömning.