Förslag till avgörande av generaladvokat Nicholas Emiliou föredraget den 4 maj 2023
1 Originalspråk: engelska.
2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1).
3 De personuppgifter som KARANTINAS samlade in från sina användare innefattade bland annat följande: identitetsnummer, koordinater för latitud och longitud, land, stad, kommun, bostadsadress, förnamn, efternamn, personnummer och telefonnummer samt uppgift om huruvida personen var tvungen att isolera sig och huruvida han eller hon var registrerad och så vidare. Dessa uppgifter samlades inte endast in i Litauen utan även utomlands.
4 Artikel 5 i dataskyddsförordningen innehåller en förteckning över allmänna principer som den personuppgiftsansvarige ska se till är uppfyllda när personuppgifter behandlas. I artikel 13 anges vilken information den personuppgiftsansvarige ska förse de registrerade med när personuppgifter samlas in från dem. Enligt artikel 24 ska den personuppgiftsansvarige bland annat genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa (och kunna visa) att behandlingen utförs i enlighet med de tillämpliga dataskyddsreglerna. Artikel 32 rör säkerhet i samband med behandlingen och skapar skyldigheter i det sammanhanget för både personuppgiftsansvariga och personuppgiftsbiträden. Artikel 35 rör den personuppgiftsansvariges skyldighet att utföra en konsekvensbedömning avseende dataskydd innan vissa typer av behandling genomförs.
5 Enligt artikel 29 i dataskyddsförordningen får [p]ersonuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, … endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.
6 Jag noterar att uppgifter om hälsa är en sådan särskild kategori av personuppgifter som det enligt artikel 9 i dataskyddsförordningen är förbjudet att behandla såvida inte någon av de omständigheter som räknas upp i artikel 9.2 föreligger (bland dessa omständigheter märks att behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet (artikel 9.2 i) eller av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin (artikel 9.2 h)). De frågor som EU-domstolen har att ta ställning till i förevarande mål rör emellertid inte huruvida den aktuella behandlingen var lagenlig utan i stället under vilka omständigheter en sådan enhet som NVSC kan hållas ansvarig för överträdelser begångna av utvecklaren av en sådan app (i det aktuella fallet ITSS).
7 Utifrån uppgifterna i akten och de upplysningar som lämnades vid förhandlingen är det oklart huruvida staden Vilnius medverkade i utvecklingen av KARANTINAS.
8 Som jag förklarar i punkt 46 nedan, tolkar jag begäran om förhandsavgörande så, att KARANTINAS genomgick en testfas innan appen gjordes tillgänglig för allmänheten att ladda ned. Som jag förstår saken, rör således den fjärde frågan den användning av personuppgifter som skedde under den testfasen, i motsats till den användning av personuppgifter som ägde rum i ett senare skede, när KARANTINAS var tillgänglig för allmänheten att ladda ned.
9 Se Rücker, D. och Kugler, T., New European General Data Protection Regulation, A Practitioner’s Guide, C.H. Beck, Hart and Nomos, Oxford, 2018, s. 27. Den personuppgiftsansvariges främsta kännetecken är enligt dessa författare att den slår fast vilka resultat som är tänkta att uppnås, snarare än medlen för behandlingen eller svaret på frågan hur?, vilka åtminstone såvitt avser icke-centrala aspekter, kan delegeras till ett personuppgiftsbiträde utan att vederbörande därigenom förlorar sin ställning som personuppgiftsansvarig.
10 Se dom av den 10 juli 2018, Jehovan todistajat ( C‑25/17, EU:C:2018:551, punkt 68). Den domen rörde tolkningen av begreppet registeransvarig såsom detta definierades i artikel 2 d i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31). Det direktivet är visserligen inte längre i kraft och har ersatts av dataskyddsförordningen, men EU-domstolens tolkning av den bestämmelsen är fortfarande relevant i samband med tillämpning av dataskyddsförordningen, eftersom definitionen av det begreppet är identisk i de båda rättsakterna bortsett från smärre formella justeringar. Jag kommer därför att hänvisa till domar som rör den ena eller den andra av dessa båda rättsakter utan åtskillnad.
11 Se dom av den 10 juli 2018, Jehovan todistajat ( C‑25/17, EU:C:2018:551, punkt 67.
12 Se EDPB:s riktlinjedokument Guidelines 07/2020 on the concepts of controller and processor in the GDPR, version 2.1, antaget den 7 juli 2021 (nedan kallat riktlinje 07/2010), tillgängligt på engelska på följande internetadress: https://edpb.europa.eu/system/files/2021–07/eppb_guidelines_202007_controllerprocessor_final_en.pdf), s. 3 och punkterna 21 och 25–27.
13 Dom av den 29 juli 2019 ( C‑40/17, EU:C:2019:629, punkt 85).
14 Se även riktlinje 07/2020, punkt 42.
15 Se artikel 26.3 i dataskyddsförordningen, enligt vilken den registrerade [får] utöva sina rättigheter enligt [dataskydds]förordning[en] med avseende på och emot var och en av de personuppgiftsansvariga. Se även artikel 82.4 och 82.5 i samma förordning.
16 Se dom av den 29 juli 2019, Fashion ID ( C‑40/17, EU:C:2019:629, punkt 67 och där angiven rättspraxis).
17 Se, för ett liknande resonemang, dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein ( C‑210/16, EU:C:2018:388, punkt 43).
18 Se dom av den 10 juli 2018, Jehovan todistajat ( C‑25/17, EU:C:2018:551, punkt 69 och där angiven rättspraxis).
19 Se riktlinje 07/2020, s. 3 och punkterna 54 och 55.
20 Det vore i själva verket en smula motsägelsefullt om det var möjligt att klara sig utan formella krav när det gäller huruvida en person eller en enhet kan anses vara personuppgiftsansvarig men däremot inte när det gäller huruvida samma enhet och en annan enhet kan anses vara gemensamt personuppgiftsansvariga.
21 Se riktlinje 07/2020, punkt 52.
22 Se riktlinje 07/2020, punkt 69.
23 Jag noterar att den hänskjutande domstolen i sin fjärde fråga talar om användning av kopior av personuppgifter snarare än användning av personuppgifter. Det är för mig oklart vad den hänskjutande domstolen menar med uttrycket kopior av personuppgifter, med tanke på att personuppgifter kan föreligga i icke-materiell form och att, såsom tydligt framgår av artikel 4 led 1 i dataskyddsförordningen begreppet personuppgifter definieras i den bestämmelsen som varje upplysning som avser en identifierad eller identifierbar fysisk person (min kursivering), utan något som helst krav på att personuppgiften ska kopieras eller transkriberas till en särskild anordning eller ett särskilt medium. Enligt min åsikt saknar det fysiska föremål (exempelvis ett papper), eller för den delen den elektroniska filen, där en personuppgift återfinns betydelse för huruvida en viss kombination av åtgärder som inbegriper personuppgifter är att anse som behandling i den mening som avses i artikel 4 led 2 i den förordningen. I mitt svar på den fjärde frågan kommer jag därför att hänvisa till personuppgifter och inte till kopior av personuppgifter.
24 Min kursivering.
25 Enligt artikel 4 led 2 i dataskyddsförordningen innefattar behandling åtgärder såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
26 Se föregående fotnot.
27 Personuppgifter i den mening som avses i artikel 4 led 1 i dataskyddsförordningen jämförd med skäl 26 i samma förordning innefattar i själva verket personuppgifter som har pseudonymiserats men som skulle kunna tillskrivas en fysisk person genom att kompletterande personuppgifter används.
28 I begäran om förhandsavgörande har den hänskjutande domstolen nämnt att vissa, men inte alla, personuppgifter som användes i testfasen kan ha utgjorts av fingerade uppgifter. Den hänskjutande domstolen har emellertid inte närmare utvecklat vad den åsyftar med det uttrycket. I detta hänseende nöjer jag mig med att påpeka att en upplysning enligt min åsikt kan anses utgöra en personuppgift i den mening som avses i artikel 4 led 1 i dataskyddsförordningen oavsett om den är sann eller falsk. Det enda väsentliga är, som jag har påpekat, att upplysningen hänför sig till en identifierad eller identifierbar fysisk person. Om en uppgift är helt och hållet påhittad, så att den inte kan sägas hänföra sig till en identifierad eller identifierbar person, rör det sig enligt min uppfattning inte om en personuppgift, varför dataskyddsförordningen inte är tillämplig på behandling av den uppgiften. Däremot är den förordningen fortfarande tillämplig på de övriga icke-fingerade uppgifter som samlades in under testfasen.
29 Här skulle jag vilja påpeka att användningen av personuppgifter för testning av de it-system som finns inbäddade i en mobilapp utgör en annan behandling än den som sker när samma mobilapp görs tillgänglig för allmänheten att ladda ned. Således krävs det en separat bedömning av vem som är personuppgiftsansvarig, personuppgiftsbiträde eller gemensamt personuppgiftsansvarig.
30 Se artikel 24 i direktiv 95/46.
31 Se Riktlinjer för tillämpning och fastställande av administrativa sanktionsavgifter i enlighet med [dataskydds]förordning[en], antagna den 3 oktober 2017 av artikel 29-arbetsgruppen för skydd av personuppgifter, s. 4. Den arbetsgruppen har sedermera ersatts av Europeiska dataskyddsstyrelsen (EDPB), men dess riktlinjer för tillämpning av administrativa sanktionsavgifter är fortfarande giltiga.
32 Ett exempel är den sanktionsavgift på 50 miljoner euro som den franska dataskyddsmyndigheten påförde Google i januari 2019 (https://edpb.europa.eu/news/national-news/2019/cnils-restricted-committee-imposes-financial-penalty-50-million-euros_en).
33 Närmare bestämt i artikel 83.2 b. De övriga omständigheter som räknas upp i artikel 83.2 a–k har antingen samband med själva överträdelsen (exempelvis dess karaktär, svårighetsgrad och varaktighet (led a) eller de kategorier av personuppgifter som berörs (led g)) eller med den personuppgiftsansvarige eller det personuppgiftsbiträde som i förekommande fall ska påföras sanktionsavgiften (nämligen graden av deras ansvar (led d), deras agerande före överträdelsen, exempelvis relevanta tidigare överträdelser (led e) och åtgärder som tidigare har förordnats mot dem (led i), och deras agerande efter överträdelsen, bland annat huruvida de anmälde överträdelsen (led h), vilka åtgärder de vidtog för att lindra skadan (led c) och i vilken grad de har samarbetat med tillsynsmyndigheten för att komma till rätta med överträdelsen och minska dess potentiella negativa effekter (led f)). Därutöver föreskrivs också att vederbörlig hänsyn ska tas till eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen (led k).
34 Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning), COM(2012) 11 final (nedan kallat kommissionens ursprungliga förslag till förordning).
35 Se artikel 79.4, 79.5 och 79.6 i kommissionens ursprungliga förslag till förordning. Jag noterar att om överträdelsen skett med uppsåt eller genom oaktsamhet fanns med även i förteckningen i artikel 79.2 i det förslaget över faktorer som skulle beaktas vid fastställandet av sanktionsavgiftens belopp (min krusivering).
36 Lydelsen ändrades sedermera, och uttrycket uppsåtligen eller av oaktsamhet finns inte längre med i bestämmelserna om de båda nivåerna för det system med sanktionsavgifter som införs genom dataskyddsförordningen.
37 Min kursivering.
38 Samma konstaterande är möjligt att göra med ledning av de övriga språkversionerna av artikel 83.2 i dataskyddsförordningen, i synnerhet den tjeckiska, den grekiska, den spanska, den franska och den italienska. Jag noterar dock att i den italienska versionen används ordet the (le) snarare än ordet any (eventuali) med avseende på artikel 83.2 c i den förordningen som gäller de åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet har vidtagit för att milda skador.
39 Enligt artikel 29-arbetsgruppen utgör de administrativa sanktionerna korrigerande åtgärder vilkas syfte kan vara antingen … att se till att reglerna efterlevs eller att bestraffa olagligt beteende (eller båda delarna) (min kursivering) (se Riktlinjer för tillämpning och fastställande av administrativa sanktionsavgifter i enlighet med [dataskydds]förordning[en], antagna den 3 oktober 2017 av artikel 29-arbetsgruppen för skydd av personuppgifter, s. 6).
40 Se, analogt, dom av den 2 februari 2021, Consob ( C‑481/19, EU:C:2021:84, punkt 43). Jag vill erinra om att tre kriterier är relevanta vid bedömning av huruvida en sanktion är av straffrättslig karaktär. Det första av dessa är den rättsliga kvalificeringen av överträdelsen i nationell rätt, det andra är själva överträdelsens art och det tredje är arten av och strängheten i den sanktion som den berörde kan åläggas (se punkt 42 i den domen och dom av den 5 juni 2012, Bonda, C‑489/10, EU:C:2012:319, punkt 37; se även Europadomstolen, 8 juni 1976, Engel m.fl. mot Nederländerna, CE:ECHR:1976:0608JUD000510071, § 82). Det är inte nödvändigt att alla kriterierna är uppfyllda för att böter eller sanktionsavgifter ska anses vara av straffrättslig karaktär (se förslag till avgörande av generaladvokaten Bot i målet ThyssenKrupp Nirosta/kommissionen ( C‑352/09 P, EU:C:2010:635, punkt 50 och där angiven rättspraxis)).
41 I punkt 3 i artikel 49 i stadgan, vars rubrik lyder Principerna om laglighet och proportionalitet i fråga om brott och straff, anges att [s]traffets stränghet [inte] bör … vara oproportionerlig i förhållande till lagöverträdelsen.
42 Se dom av den 9 februari 2012, Urbán ( C‑210/10, EU:C:2012:64, punkt 48), dom av den 13 november 2014, Reindl ( C‑443/13, EU:C:2014:2370, punkt 42), dom av den 20 december 2017, Global Starnet ( C‑322/16, EU:C:2017:985, punkt 63), och dom av den 22 mars 2017, Euro-Team och Spirál-Gép ( C‑497/15 och C‑498/15, EU:C:2017:229, punkterna 53 och 54). Dessa domar illustrerar att denna rättspraxis har tillämpats på en rad olika områden inom unionsrätten.
43 Se Förklaringar avseende stadgan om de grundläggande rättigheterna (EUT C 303, 2007, s. 17). Enligt artikel 52.3 i stadgan kan det skydd som följer av artikel 49 i denna inte vara mindre omfattande än det som följer av artikel 7 i Europakonventionen.
44 Se Europadomstolen (stora kammaren), 28 juni 2018, GIEM s.r.l. m.fl. mot Italien (CE:ECHR:2018:0628JUD000182806, §§ 242 och 243).
45 Se artiklarna 58.2 i) och 83.2 i dataskyddsförordningen.
46 Enligt artikel 84.1 i dataskyddsförordningen ska [m]edlemsstaterna … fastställa regler om andra sanktioner för överträdelser …, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83, och vidta alla nödvändiga åtgärder för att säkerställa att de genomförs. I skäl 152 i den förordningen anges att artikel 84 är tillämplig när dataskyddsförordningen inte harmoniserar administrativa sanktioner eller om nödvändigt i andra fall, till exempel vid fall av allvarliga överträdelser.
47 Se, för ett liknande resonemang, Chamberlain, J., och Reichel, J., The relationship between Damages and Administrative Fines in the EU General Data Protection Regulation, vol. 89, nr 4, Mississippi Law Journal, 2020, s. 677–679.
48 Se Nemitz, P. Fines under the GDPR, i: Leenes, R., van Brakel, R., Gutwirth, S., och De Hert, P., Data Protection and Privacy: The internet of Bodies, Hart Publishing, 2019, s. 241.
49 Däremot har samma arbetsgrupp påpekat att begreppet med uppsåt innefattar både kunskap och uppsåt i förhållande till en överträdelse (se Riktlinjer för tillämpning och fastställande av administrativa sanktionsavgifter i enlighet med [dataskydds]förordning[en], antagna den 3 oktober 2017 av artikel 29-arbetsgruppen för skydd av personuppgifter, s. 11).
50 Ibid., s. 12. Bland andra omständigheter som anges märks ren underlåtenhet att läsa och följa befintliga policyer, underlåtenhet att kontrollera huruvida det finns personuppgifter i information som offentliggörs, underlåtenhet att utan dröjsmål tillämpa tekniska uppdateringar och underlåtenhet att anta policyer.
51 Se Nemitz, P. Fines under the GDPR, i: Leenes, R., van Brakel, R., Gutwirth, S., och De Hert, P., Data Protection and Privacy: The internet of Bodies, Hart Publishing, 2019, s. 240.
52 Se skälen 122 och 132 i dataskyddsförordningen.
53 Se, särskilt, skäl 1 i dataskyddsförordningen, där det med hänvisning till artikel 8.1 i stadgan och artikel 16.1 FEUF erinras om att det är en grundläggande rättighet att få sina personuppgifter skyddade. Se även skälen 10, 11 och 13 i den förordningen samt dom av den 24 september 2019, Google (Territoriell räckvidd för borttagandet av länkar) ( C‑507/17, EU:C:2019:772, punkt 54).
54 Se skäl 148 i dataskyddsförordningen.
55 Se Chamberlain, J., och Reichel, J., The relationship between Damages and Administrative Fines in the EU General Data Protection Regulation, vol. 89, nr 4, Mississippi Law Journal, 2020, s. 685.
56 Rådets förordning (EG) nr 1/2003 av den 16 december 2002 om tillämpning av konkurrensreglerna i artiklarna [101 FEUF] och [102 FEUF] (EGT L 1, 2003, s. 1).
57 Se dom av den 8 december 2011, Chalkor/kommissionen ( C‑386/10 P, EU:C:2011:815, punkterna 56 och 57 samt där angiven rättspraxis). Därvidlag noterar jag att uppsåt eller oaktsamhet visserligen måste vara styrkt för att böter för överträdelse av konkurrensreglerna ska kunna påföras men att det kravet i praktiken är mycket lågt ställt även i det fallet. EU-domstolen har nämligen funnit att det aktuella rekvisitet är uppfyllt när det berörda företaget måste ha varit medvetet om att dess beteende var konkurrensbegränsande, oberoende av huruvida det var medvetet om att dess beteende innebar en överträdelse av konkurrensreglerna (se dom av den 10 juli 2014, Telefónica och Telefónica de España/kommissionen ( C‑295/12 P, EU:C:2014:2062, punkt 156 och där angiven rättspraxis).
58 Se, exempelvis, skäl 9 i dataskyddsförordningen, där det anges att skillnader i nivån på skyddet av fysiska personers rättigheter och friheter kan förhindra det fria flödet av personuppgifter och utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå.
59 Se skäl 129 (Detta bör inte utesluta ytterligare krav enligt medlemsstaternas nationella processrätt. (min kursivering)) och skäl 150 i dataskyddsförordningen. Se även Riktlinjer för tillämpning och fastställande av administrativa sanktionsavgifter i enlighet med [dataskydds]förordning[en], antagna den 3 oktober 2017 av artikel 29-arbetsgruppen för skydd av personuppgifter (s. 6).
60 Därvidlag noterar jag att det i skäl 10 i dataskyddsförordningen anges att nivån på skyddet [bör] vara likvärdig i alla medlemsstater medan det i skälen 11, 13 och 129 i samma förordning anges att det i medlemsstaterna behöver finnas likvärdiga befogenheter för övervakning och för säkerställande av efterlevnad samt likvärdiga sanktioner för överträdelser. I skäl 152 i dataskyddsförordningen anges vidare att det endast är i den mån som den förordningen inte harmoniserar administrativa sanktioner (eller när det är nödvändigt i andra fall) som medlemsstaterna bör genomföra ett system med sådana sanktioner (se även skäl 150 i dataskyddsförordningen).
61 Se Voss, W.G., och Bouthinon-Dumas, H., EU General Data Protection Regulation Sanctions in Theory and in Practice, Santa Clara High Tech, vol. 37, 2020, s. 44.
62 Min kursivering.
63 Enligt artikel 29 i dataskyddsförordningen får [p]ersonuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, … endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.
64 Enligt artikel 28.10 i dataskyddsförordningen ska personuppgiftsbiträdet anses vara personuppgiftsansvarig med avseende på sådan behandling. Se även Rücker, D., och Kugler, T., New European General Data Protection Regulation, A Practitioner’s Guide, C.H. Beck, Hart and Nomos, Oxford, 2018, s. 30.