lagen.
EU-domstolen

Förslag till avgörande av generaladvokat Giovanni Pitruzzella föredraget den 27 april 2023

CELEX
62021CC0340
Typ
EU-domstolen

Källa

1 Originalspråk: italienska.

2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

3 Den nationella skattemyndigheten är personuppgiftsansvarig i den mening som avses i artikel 4.7 i förordningen. Enligt nationell rätt är skattemyndigheten en specialiserad myndighet som är underordnad finansministern och har ansvar för att fastställa, säkerställa och driva in offentliga fordringar och privatpersoners i lag föreskrivna skulder till staten. Skattemyndigheten behandlar personuppgifter när den utövar sina offentliga befogenheter.

4 Artikel 5.2 (angående principen om personuppgiftsbiträdens ansvarsskyldighet), artikel 24 (om de åtgärder som den personuppgiftsansvarige ska vidta för att säkerställa att behandlingen utförs i enlighet med förordningen), artikel 32 (om nämnda skyldighet med specifikt avseende på säkerhet i samband med behandlingen) och artikel 82.1–82.3 (om ersättning för skada på grund av en överträdelse av denna förordning och om möjligheten för den personuppgiftsansvarige att vidta åtgärder för att säkerställa att förordningen efterlevs), utöver skälen 74, 85 och 146 som har samband med de nämnda artiklarna.

5 a) Den första frågan gäller huruvida den omständigheten att systemen blir föremål för intrång räcker för att de vidtagna åtgärderna inte ska anses vara lämpliga. b) Den andra frågan avser i vilken omfattning prövningen ska göras när en domstol undersöker huruvida nämnda åtgärder är lämpliga. c) Den tredje frågan gäller bevisbördan med avseende på frågan huruvida nämnda åtgärder är lämpliga och vissa tekniska bestämmelser för bevisupptagning. d) Den fjärde frågan avser huruvida den omständigheten att systemangreppet sker utifrån är av relevans för ansvarsfrihet.

6 Vad gäller de anförda bestämmelserna i förordningen rör de första tre frågorna aspekterna om den personuppgiftsansvariges ansvar för att de åtgärder som vidtas är lämpliga (artiklarna 5, 24 och 32), medan den fjärde och den femte frågan rör förutsättningarna för ansvarsfrihet respektive begreppet ersättningsgill ideell skada (artikel 82).

7 Se förslag till avgörande av generaladvokaten Campos Sánchez-Bordona i målet Österreichische Post (Ideell skada på grund av behandling av personuppgifter) ( C‑300/21, EU:C:2022:756).

8 C. Docksey, Article 24. Responsibility of the controller, i C. Kuner, L.A. Bygrave, C. Docksey, L. Drechsler, The EU General Data Protection Regulation (GDPR): A Commentary, Oxford University Press, 2020, s. 561. De principer och skyldigheter som fastställs i bestämmelserna om skydd av personuppgifter bör känneteckna den kulturella strukturen hos organisationerna på alla nivåer, snarare än uppfattas som en rad lagstadgade krav som deras juridikavdelning ska bocka av.

9 E. Belisario, G. Riccio, G. Scorza, GDPR e Normativa Privacy – Commentario, Wolters Kluwer, 2022, s. 301.

10 E. Belisario, G. Riccio, G. Scorza, GDPR e Normativa Privacy – Commentario, a.a., s. 380.

11 Såsom kommer att framgå bättre i det följande kan den första och den fjärde tolkningsfrågan av detta skäl inte besvaras på annat sätt än nekande. Ingen automatisk mekanism kan härledas ur bestämmelserna i förordningen: enbart det faktum att personuppgifter har röjts är inte tillräckligt för att de tekniska och organisatoriska åtgärder som har vidtagits inte ska anses vara lämpliga, men inte heller den omständigheten att röjandet är en följd av handlingar som har utförts av personer som befinner sig utanför den personuppgiftsansvariges organisation och inte står under dennes kontroll är tillräcklig för att undanta denne från ansvar.

12 L. Bolognini, E. Pelino, Codice della disciplina privacy, Giuffrè, 2019, s. 201. Unionslagstiftaren tog således avstånd från tanken om att säkerhet i samband med behandlingen ska vara baserad på att det finns förutbestämda säkerhetsåtgärder och valde en metod som tillämpas i internationella standarder om riskbaserad styrning av informationssystem. Denna metod går ut på att det fastställs åtgärder för att dämpa riskerna som inte är bundna till förkonfigurerade och allmänt tillämpliga kontrollistor. Det är således nödvändigt att ta utgångspunkt i internationella riktlinjer och standarder. Resultatet av denna riskbedömning blir därför bindande när organisationen fattar beslut i syfte att dämpa de identifierade riskerna och därmed åtar sig ett ansvar.

13 Begreppet lämpliga åtgärder visar otvetydigt att avsikten inte var att tillmäta alla abstrakt möjliga tekniska och organisatoriska åtgärder betydelse. Se, för ett liknande resonemang, M. Gambini, Responsabilità e risarcimento nel trattamento dei dati personali, i V. Cuffaro, R. D’Orazio, V. Ricciuto, I dati personali nel diritto europeo, Giappichelli, 2019, s. 1059.

14 Skriftligt yttrande, punkt 31.

15 M. Gambini, Responsabilità e risarcimento nel trattamento dei dati personali, nämnd ovan, s. 1067. Innehav av en certifiering leder därför till en omvänd bevisbörda till fördel för den personuppgiftsansvarige, som lättare kan visa att denne har fullgjort de skyldigheter som föreskrivs i förordningen.

16 I led d föreskrivs det uttryckligen att bedömningen av huruvida åtgärderna är lämpliga även omfattar effektiviteten hos de vidtagna åtgärderna, som regelbundet ska testas, undersökas och utvärderas, både i den inledande fasen och med jämna mellanrum, i syfte att säkerställa den faktiska säkerheten hos alla sorters behandling, oavsett deras risknivå. Vidare föreskrivs det uttryckligen i led c att de vidtagna tekniska och organisatoriska åtgärderna ska utvisa förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident. Se M. Gambini, Responsabilità e risarcimento nel trattamento dei dati personali, a.a., s. 1064 och 1065.

17 Punkt 30 i det skriftliga yttrandet: Det ankommer på den personuppgiftsansvarige att visa att denne har bedömt alla faktorer och omständigheter som kännetecknar den aktuella behandlingen, särskilt resultatet av den utförda riskanalysen, de identifierade riskerna, de konkreta åtgärder som har fastställts för att dämpa dessa risker, motiveringen av valet av åtgärderna mot bakgrund av de teknologiska lösningar som är tillgängliga på marknaden, åtgärdernas effektivitet, sambandet mellan tekniska och organisatoriska åtgärder, utbildningen av personal som deltar i behandling, eventuell utlokalisering av behandling av personuppgifter, inklusive utveckling och underhåll av informationstekniken, eventuell kontroll som genomförs av den personuppgiftsansvarige och noggranna instruktioner som ges till de personer som anlitas för behandlingen i enlighet med artikel 28 i förordningen om hur de sistnämnda ska behandla personuppgifter, bedömningen av stödinfrastrukturen för kommunikations- och informationssystem och klassificeringen av risknivån för registrerades rättigheter och friheter.

18 I skäl 74 anges följande: Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter.

19 Se, bland annat, domstolens dom av den 5 september 2019, Europeiska unionen/Guardian Europe ( C‑447/17 P och C‑479/17 P, EU:C:2019:672, punkt 147), och dom av den 28 oktober 2021, Vialto Consulting/kommissionen ( C‑650/19 P, EU:C:2021:879, punkt 138), samt tribunalens dom av den 13 januari 2021, Helbert/EUIPO ( T‑548/18, EU:T:2021:4, punkt 116), och dom av den 29 september 2021, Kočner/Europol (T‑528/20, ej publicerad, EU:T:2021:631, punkt 61), där det påpekades att tre villkor ska vara uppfyllda, nämligen att det handlande som läggs unionens institution till last är rättsstridigt, att den åberopade skadan är faktisk och att det finns ett orsakssamband mellan institutionens rättsstridiga handlande och den åberopade skadan.

20 Skriftligt yttrande, punkt 39.

21 I överensstämmelse med domstolens fasta praxis, enligt vilken undantag från en allmän regel ska tolkas restriktivt, ska eventuell ansvarsfrihet som följer av artikel 82.3 likaledes tolkas restriktivt. Se, analogt, dom av den 15 oktober 2020, Association française des usagers de banques ( C‑778/18, EU:C:2020:831, punkt 53), och dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl. ( C‑140/20, EU:C:2022:258, punkt 40).

22 Skadeståndsansvar tenderar att kvalificeras som strikt ansvar i alla de fall då den person som gör en viss handling är skyldig att vidta alla åtgärder som på ett abstrakt plan är möjliga för att undvika en skada, oberoende av om denne faktiskt kände till dessa eller av deras ekonomiska hållbarhet. Om den person som gör en viss handling däremot åläggs att vidta åtgärder som i normala fall ska tillämpas av en operatör i den aktuella ekonomiska sektorn för att upprätthålla säkerheten och förebygga de skador som kan uppstå vid den utförda verksamheten, tenderar åläggandet av ansvaret för skadan att röra sig mot ett ansvarssystem för specifik oaktsamhet. M. Gambini, Responsabilità e risarcimento nel trattamento dei dati personali, a.a., s. 1055.

23 M. Gambini, Responsabilità e risarcimento nel trattamento dei dati personali, a.a., s. 1059. Se analogt, vad gäller uppfattningen att det för att bevisa att det har vidtagits lämpliga åtgärder inte räcker att påstå att det har visats prov på nödvändig omsorg, utan ska påvisas en skadevållande handling av tredje parter med de särdrag om oförutsebarhet och oundviklighet som kännetecknar tillfälligheter och force majeure, S. Sica, Sub art. 82, i R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta, Codice della privacy e data protection, Giuffrè, 2021.

24 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan (artikel 82.3).

25 M. Gambini, Responsabilità e risarcimento nel trattamento dei dati personali, a.a., s. 1060.

26 Se, för ett liknande resonemang, dom av den 15 juni 2021, Facebook Ireland m.fl. ( C‑645/19, EU:C:2021:483, punkterna 43 och 44).

27 I skäl 85 anges följande: En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada … Av skäl 146 framgår följande: Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot denna förordning. Den personuppgiftsansvarige eller personuppgiftsbiträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål. Detta påverkar inte skadeståndsanspråk till följd av överträdelser av andra bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. … Registrerade bör få full och effektiv ersättning för den skada de lidit …

28 Se ovannämnda förslag till avgörande av generaladvokaten Campos Sánchez-Bordona (punkt 29 och fotnot 11). I samma förslag till avgörande drog generaladvokaten med fog, efter sin bedömning ur en bokstavlig, historisk, systematisk och teleologisk synvinkel, slutsatsen att ersättningsgill skada för de registrerade enligt artikel 82 inte är av straffliknande karaktär (punkterna 27–55). Generaladvokaten påpekade dels att [d]et finns ingen anledning för medlemsstaterna att välja mellan mekanismerna i kapitel VIII för att säkerställa skyddet av uppgifter (och de får i själva verket inte heller göra det). Vid en överträdelse som inte ger upphov till skada, har den registrerade fortfarande (åtminstone) rätt att lämna in ett klagomål till en tillsynsmyndighet, dels att [e]n möjlighet att erhålla ersättning oavsett eventuella skador skulle sannolikt främja civilrättsliga tvister där en talan kanske inte alltid är motiverad. Samtidigt skulle det kunna avskräcka från att behandla personuppgifter (punkterna 54 och 55).

29 Att ersättning nekas för svaga och övergående känslor till följd av överträdelser av regler om behandling innebär därför inte att den registrerade blir helt skyddslös (se, för ett liknande resonemang, ovannämnda förslag till avgörande av generaladvokaten Campos Sánchez-Bordona, punkt 115).

30 Eller brett enligt lydelsen i skäl 146.

31 Se dom av den 15 april 2021, The North of England P & I Association ( C‑786/19, EU:C:2021:276, punkt 48), och dom av den 10 juni 2021, KRONE – Verlag ( C‑65/20, EU:C:2021:471, punkt 25).

32 Se ovannämnda förslag till avgörande av generaladvokat Campos Sánchez-Bordona (punkt 104).

33 Domstolen har heller inte angett någon tolkningsmetod – självständig eller genom hänvisning till de nationella rättsordningarna – som i första hand bör tillämpas, utan denna är beroende av vilket område som är föremål för prövning. Se dom av den 10 maj 2001, Veedfald ( C‑203/99, EU:C:2001:258, punkt 27), rörande produkter med säkerhetsbrister, dom av den 6 maj 2010, Walz ( C‑63/09, EU:C:2010:251, punkt 21), rörande lufttrafikföretags skadeståndsansvar, eller dom av den 10 juni 2021, Van Ameyde España ( C‑923/19, EU:C:2021:475, punkt 37 och följande punkter), rörande civilrättsligt skadeståndsansvar som ska tillämpas vid trafikolyckor.

34 Till exempel konsumenter av produkter eller skadelidande i trafikolyckor.

35 Inom området paketresor, dom av den 12 mars 2002, Leitner ( C‑168/00, EU:C:2002:163), inom området civilrättsligt ansvar för motorfordon, dom av den 24 oktober 2013, Haasová ( C‑22/12, EU:C:2013:692, punkterna 47–50), dom av den 24 oktober 2013, Drozdovs ( C‑277/12, EU:C:2013:685, punkt 40), och dom av den 23 januari 2014, Petillo ( C‑371/12, EU:C:2014:26, punkt 35).

36 Se ovannämnda förslag till avgörande av generaladvokaten Campos Sánchez-Bordona (punkt 105). Domstolen har exempelvis slagit fast att unionsrätten inte utgör hinder för en nationell lagstiftning som vid beräkningen av ersättningen gör skillnad mellan olika typer av ideell skada som är följden av personskador orsakade av olyckor beroende på vad som orsakat olyckan. Se dom av den 23 januari 2014, Petillo ( C‑371/12, EU:C:2014:26, domslutet): Unionsrätten utgör inte hinder för en nationell lagstiftning … enligt vilken ett särskilt system för ersättning för immateriella skador som är följden av lindriga personskador, vilka orsakats av trafikolyckor, begränsar ersättningen för dessa skador i förhållande till den ersättning som beviljas för identiska skador som är följden av andra händelser än trafikolyckor.

37 En sådan åtskillnad finns i vissa nationella rättsordningar, som en oundviklig följd av samhällslivet. Se nyligen, när det gäller området dataskydd, i Italien, Tribunale di Palermo, sez. I civile, sentenza 05/10/2017 nr. 5261, samt Cass Civ. Ord. Sez 6, nr. 17383/2020. I Tyskland bland annat AG Diez, 07.11.2018-8 C‑130/18; LG Karlsruhe, 02.08.2019-8 O 26/19; och AG Frankfurt am Main, 10.07.2020-385 C‑155/19 (70). I Österrike, OGH 6 Ob 56/21k.

38 Se dom av den 23 oktober 2012, Nelson m.fl. ( C‑581/10 och C‑629/10, EU:C:2012:657, punkt 51), rörande skillnaden mellan skador i den mening som avses i artikel 19 i konventionen om vissa enhetliga regler för internationella lufttransporter, som ingicks i Montreal den 28 maj 1999, och olägenheter i den mening som avses i förordning nr 261/2004, vilka är ersättningsgilla enligt artikel 7 i den förordningen, enligt dom av den 19 november 2009, Sturgeon m.fl. ( C‑402/07 och C‑432/07, EU:C:2009:716). Inom detta område, liksom inom området passagerartrafik till sjöss eller på inre vattenvägar som förordning nr 1177/2010 handlar om, har lagstiftaren kunnat identifiera en abstrakt kategori tack vare att den faktor som ger upphov till problemet, och dess väsentliga innehåll, är identiska för alla som berörs. Jag anser inte att det går att dra en sådan slutsats när det gäller området dataskydd.

39 Enligt Irlands uppfattning är dessa överväganden särskilt viktiga i praktiken med avseende på it-brottslighet. Om var och en som – även i en begränsad omfattning – blir föremål för en överträdelse hade rätt till ersättning för ideell skada skulle det nämligen ha en kraftig effekt, i synnerhet på personuppgiftsansvariga inom den offentliga sektorn som finansieras med begränsade offentliga medel och snarare borde eftersträva kollektiva intressen, däribland förbättrad säkerhet för personuppgifter (skriftligt yttrande, punkt 72).

40 Se ovannämnda förslag till avgörande av generaladvokaten Campos Sánchez-Bordona (punkt 116).