Förslag till avgörande av generaladvokat Manuel Campos Sánchez-Bordona föredraget den 15 december 2022
1 Originalspråk: spanska.
2 Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1 och rättelse i EUT L 74, 2021, s. 35) (nedan kallad den allmänna dataskyddsförordningen).
3 Dataskyddslagen. Enligt 1 § dataskyddslagen preciseras och kompletteras den allmänna dataskyddsförordningen genom denna lag.
4 Lagen om integritetsskydd i arbetslivet.
5 Banken ville få klarlagt huruvida det förelåg en intressekonflikt mellan J.M. och en bankkund vars konto J.M. var ansvarig för. Till sist drogs slutsatsen att J.M. inte hade gjort sig skyldig till någon skadeståndsgrundande handling.
6 Artikel 99.2 i den allmänna dataskyddsförordningen.
7 Se, för ett liknande resonemang, förslag till avgörande av generaladvokaten Pitruzzella i målet Österreichische Post (Information om personuppgifternas mottagare) ( C-154/21, EU:C:2022:452, punkt 33): ... rätten till tillgång enligt artikel 15.1 c i dataskyddsförordningen har en praktisk och avgörande betydelse för utövandet av andra rättigheter som den registrerade har enligt dataskyddsförordningen.
8 Eller, vilket här är fallet, från och med den tidpunkt då själva rättsakten ska börja tillämpas, om den inte sammanfaller med ikraftträdandet.
9 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).
10 EU-domstolens rättspraxis rörande regeländringars rättsverkningar i tiden sammanfattas i dom av den 15 juni 2021, Facebook Ireland m.fl. ( C-645/19, EU:C:2021:483).
11 Vad beträffar direktiv 95/46 slog domstolen i dom av den 7 maj 2009, Rijkeboer (C-553/07, EU:C.2009:293, punkt 70) fast att [m]edlemsstaterna... enligt artikel 12 a i direktivet [är] skyldiga att föreskriva en rätt att få tillgång till information..., vilken avser inte enbart nutid, utan även förfluten tid. Det ankommer på medlemsstaterna att fastställa den tid under vilken denna information ska lagras och att fastställa en motsvarande rätt att få tillgång till denna information, vilket innebär en lämplig avvägning mellan den registrerades intresse av att skydda sitt privatliv, bland annat genom den rätt att göra invändningar och att föra talan som föreskrivs i direktiv 95/46 och den börda som skyldigheten att lagra denna information utgör för den registeransvarige. Min kursivering.
12 Med förbehåll för att detta är en fråga som det eventuellt ankommer på den hänskjutande domstolen att pröva, anfördes vid förhandlingen som grunder för att behandla uppgifterna dels de skyldigheter som följer av den finländska lagstiftningen, enligt vilken banken, i egenskap av finansinstitut, ska säkerställa att riskerna hanteras på rätt sätt samt iaktta bestämmelserna om förebyggande och bekämpning av penningtvätt vad beträffar spårbarheten i transaktionerna, dels de avtal som banken har med sina kunder och anställda, enligt vilka deras personuppgifter får kontrolleras under förhållanden som de här aktuella.
13 Se punkt 21 i detta förslag till avgörande.
14 Enligt den bestämmelsen avses med personuppgifter varje upplysning som avser en identifierad eller identifierbar fysisk person, det vill säga en person som direkt eller indirekt kan identifieras.
15 Hans identitet angavs inte som en följd eller effekt av behandlingen, eftersom den ju skedde efter det att J.M. hade identifierats.
16 Såsom kommissionen har påpekat är det möjligt att J.M. anser att den information som har tillhandahållits är otillräcklig eller alltför vag. Under alla förhållanden följer det av artikel 15.1 i den allmänna dataskyddsförordningen att J.M. har rätt att få bekräftelse på huruvida hans uppgifter har behandlats eller håller på att behandlas (vilket innebär att det måste anges när) och vilka ändamålen är med behandlingen. Det ankommer på den hänskjutande domstolen att avgöra huruvida han fått tillräcklig information om detta.
17 Se återgivningen av den i punkt 9 i detta förslag till avgörande.
18 Såsom domstolen har slagit fast beträffande direktiv 95/46, vilket även kan tillämpas på den allmänna dataskyddsförordningen, avspeglas principerna för det skydd som föreskrivs i unionsrätten dels i de förpliktelser som åvilar registeransvariga personer särskilt med avseende på uppgifternas kvalitet, den tekniska säkerheten, anmälningar till tillsynsmyndigheten och de omständigheter under vilka behandling får utföras, dels i de rättigheter som tillkommer enskilda personer, vilkas personuppgifter blir föremål för behandling, att bli informerade om att behandling sker, att få tillgång till uppgifterna, att begära rättelse och att under vissa omständigheter invända mot behandlingen (dom av den 20 december 2017, Nowak, C-434/16, EU:C:2017:994, punkt 48).
19 Min kursivering.
20 Rätt att begära rättelse eller radering av uppgifter eller begränsningar av eller invändning mot behandlingen, att inge klagomål till en tillsynsmyndighet och att få information om varifrån uppgifter som inte samlats in från den registrerade kommer.
21 Punkt 38 i beslutet att begära förhandsavgörande.
22 Artiklarna 13, 14 och 15 i den allmänna dataskyddsförordningen, vilka ingår i avsnitt 2 (Information och tillgång till personuppgifter) i kapitel III (Den registrerades rättigheter), utgör ett system som bygger på ett erkännande av rätten att få kännedom om: a) de personuppgifter som den registeransvarige förfogar över, oavsett hur de har inhämtats (artiklarna 13 och 14), och b) omständigheterna kring varje behandling av dessa uppgifter, i synnerhet (artikel 15).
23 Min kursivering.
24 Detta anser även Europeiska dataskyddsstyrelsen i sina riktlinjer 07/2020, vilka antogs den 2 september 2020, rörande begreppen ansvarig och biträde i den allmänna dataskyddsförordningen, punkterna 83–90.
25 I det fallet är artikel 34.1 i den allmänna dataskyddsförordningen tillämplig.
26 Detta anser Europeiska dataskyddsstyrelsen i de ovannämnda riktlinjerna 07/2020, punkt 88: An employee … who obtains access to data that he or she is not authorised to access and for other purposes than that of the employer does not fall within this category. Instead, this employee should be considered as a third party vis-à-vis the processing undertaken by the employer. Insofar as the employee processes personal data for his or her own purposes, distinct from those of his or her employer, he or she will then be considered a controller and take on all the resulting consequences and liabilities in terms of personal data processing.
27 Resultatet blir detsamma om man tolkar hänvisningarna i artiklarna 13 och 14 i den allmänna dataskyddsförordningen, och skäl 61, till den tidpunkt då de registrerade ska förses med information om behandlingen av de personuppgifter som har lämnats ut till mottagarna. Härav följer att mottagaren är en annan enhet eller person än den personuppgiftsansvarige/personuppgiftsbiträdet.
28 Den finländska regeringen uppgav vid förhandlingen att den har gjort det när det gäller sjukvårdsuppgifter.
29 Det är svårt att förutse vilka konsekvenser ett erkännande av en sådan skyldighet skulle få för företagens löpande verksamhet, i synnerhet de företag som blir skyldiga att (naturligtvis genom sina anställda) behandla miljontals personuppgifter rörande sina kunder.
30 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89).
31 Det klargjordes vid förhandlingen att hänvisningen till direktiv 2016/680 inte innebar att det skulle anses tillämpligt i förevarande mål, vilket helt saknar straffrättsliga inslag.
32 Dessa bestämmelser återges i artikel 88 Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 2018, s. 39), med tillägget, i punkt 2, att sådana loggar ska raderas efter tre år, om de inte krävs för en pågående kontroll.
33 I artikel 25.1 i direktiv 2016/680 nämns uttryckligen den som har läst eller lämnat ut personuppgifter. Mer generellt, och utan att åsyfta varje konkret behandling, utan alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning, nämns i artikel 30.2 a i den allmänna dataskyddsförordningen namn och kontaktuppgifter för personuppgiftsbiträdet, det vill säga, enligt artikel 4.8 i den allmänna dataskyddsförordningen, en person... som behandlar personuppgifter för den personuppgiftsansvariges räkning.
34 En sådan särskild reglering kan till exempel, enligt skäl 11 i direktiv 2016/680, innebära att ... finansinstitut [behåller] vissa personuppgifter som de behandlar i syfte att utreda, avslöja eller lagföra brott, och tillhandahåller dessa personuppgifter för behöriga nationella myndigheter endast i särskilda fall och i enlighet med medlemsstaternas nationella rätt.
35 Se fotnot 12 i detta förslag till avgörande.
36 Den hänskjutande domstolen ställer ingen fråga om huruvida J.M.:s rättigheter i egenskap av anställd hos banken har åsidosatts.