Förslag till avgörande av generaladvokat Priit Pikamäe av den 16 mars 2023
1 Originalspråk: franska.
2 EUT L 119, 2016, s. 1.
3 EUT L 141, 2015, s. 19.
4 Det rör sig konkret om artiklarna 18 och 21 i Europaparlamentets och rådets direktiv 2014/17/EU av den 4 februari 2014 om konsumentkreditavtal som avser bostadsfastighet och om ändring av direktiven 2008/48/EG och 2013/36/EU och förordning (EU) nr 1093/2010 (EUT L 60, 2014, s. 34) samt artiklarna 8 och 9 i Europaparlamentets och rådets direktiv 2008/48/EG av den 23 april 2008 om konsumentkreditavtal och om upphävande av rådets direktiv 87/102/EEG (EUT L 133, 2008, s. 66).
5 Se förslag till avgörande av generaladvokaten Szpunar i målet Latvijas Republikas Saeima (Prickning) ( C‑439/19, EU:C:2020:1054, punkt 48).
6 Dom av den 15 juni 2021, Facebook Ireland m.fl. ( C‑645/19, EU:C:2021:483, punkterna 44 och 45).
7 Dom av den 16 juli 2020, Facebook Ireland och Schrems ( C‑311/18, EU:C:2020:559, punkt 109).
8 Se, för ett liknande resonemang, Kotschy, W., Article 77. Right to lodge a complaint with a supervisory authority, The EU General Data Protection Regulation (GDPR) (utg. Christopher Kuner, Lee A. Bygrave, Christopher Docksey), Oxford 2020, s. 1123.
9 Se, för ett liknande resonemang, Härting, N./Flisek, C./Thiess, L., DSGVO: Der Verwaltungsakt wird zum Normalfall - Das neue Beschwerderecht, Computer und Recht, 5/2018, s. 299, där det erinras om att tillsynsmyndigheten enligt artikel 57.1 a i dataskyddsförordningen har till uppgift att kontrollera tillämpningen av dataskyddsförordningen och se till att den efterlevs i de registrerades intresse. Enligt författarna ska tillsynsmyndigheten inte förbli overksam när en medborgares rättigheter kränks genom behandling av personuppgifter. Tvärtom är tillsynsmyndigheten skyldig att avhjälpa situationen och använda sina befogenheter enligt artikel 58.2 i dataskyddsförordningen.
10 Se, för ett liknande resonemang, Hijmans, H., Article 55. Tasks, The EU General Data Protection Regulation (GDPR) (utg. Christopher Kuner, Lee A. Bygrave, Christopher Docksey), Oxford 2020, sidorna 934 och 936.
11 Se mitt förslag till avgörande i målet parlamentet/UZ ( C‑894/19 P, EU:C:2021:497, punkt 68) för en detaljerad förklaring av begreppet god förvaltningssed i unionens förvaltningsrätt.
12 Förslag till avgörande av generaladvokaten Saugmandsgaard Øe i målet Facebook Ireland och Schrems ( C‑311/18, EU:C:2019:1145, punkterna 146 och 147).
13 Förslag till avgörande av generaladvokaten Saugmandsgaard Øe i målet Facebook Ireland och Schrems ( C‑311/18, EU:C:2019:1145, punkt 148).
14 Se punkterna 43 och 44 i detta förslag till avgörande.
15 Se Efta-domstolens dom av den 10 december 2020 i de förenade målen E-11/19 och E-12/19, Adpublisher AG mot J och K, punkt 58, där Efta-domstolen konstaterade att artikel 58.4 och artikel 78 i dataskyddsförordningen uttrycker rätten till ett effektivt rättsmedel.
16 Dom av den 7 september 2021, Klaipėdos regiono atliekų tvarkymo centras ( C‑927/19, EU:C:2021:700, punkt 146).
17 Se dom av den 6 oktober 2015, Schrems ( C‑362/14, EU:C:2015:650, 95).
18 Se dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság ( C‑132/21, EU:C:2023:2, punkt 41).
19 Se, för ett liknande resonemang, Kotschy, W., Article 77. Right to lodge a complaint with a supervisory authority The EU General Data Protection Regulation (GDPR) (utg. Christopher Kuner, Lee A. Bygrave, Christopher Docksey), Oxford 2020, sidorna 1127–1130.
20 Se förslag till avgörande av generaladvokaten Richard de la Tour i målet Budapesti elektromos Msvek m.fl. ( C‑132/21, EU:C:2022:661, punkt 43 och följande punkter).
21 Dom av 11 november 2020, DenizBank ( C‑287/19, EU:C:2020:897, punkt 59), och dom av den 24 februari 2022, Glavna direktsia Pozharna bezopasnost i zashtita na naselenieto ( C‑262/20, EU:C:2022:117, punkt 33), och dom av den 11 november 2020, DenizBank ( C‑287/19, EU:C:2020:897, punkt 59).
22 Dom av den 11 december 2019, Asociaţia de Proprietari bloc M5A-ScaraA ( C‑708/18, EU:C:2019:1064, punkt 32).
23 Dom av den 26 april 2022, Polen/Parlamentet och rådet ( C‑401/19, EU:C:2022:297, punkt 47).
24 Dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) ( C‑439/19, EU:C:2021:504, punkt 99), och dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija ( C‑184/20, EU:C:2022:601, punkt 67).
25 Dom av den 17 juni 2021, M.I.C.M. ( C‑597/19, EU:C:2021:492, punkt 106).
26 Se i detta avseende förslag till avgörande av generaladvokaten Rantos i målet Meta Platforms m.fl.(Allmänna villkor för användning av ett socialt nätverk) ( C‑252/21, EU:C:2022:704, punkt 60).
27 Se dom av den 4 maj 2017, Rīgas satiksme ( C‑13/16, EU:C:2017:336, punkt 30), och dom av den 17 juni 2021, M.I.C.M. ( C‑597/19, EU:C:2021:492, punkt 110).
28 Dom 4 maj 2017, Rīgas satiksme ( C‑13/16, EU:C:2017:336, punkt 31), och dom av den 17 juni 2021, M.I.C.M. ( C‑597/19, EU:C:2021:492, punkt 111).
29 Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG, WP217 av den 9 april 2014, avsnitt III.3.4 (Nyckelfaktorer som ska beaktas vid tillämpningen av avvägningstestet).
30 Se punkterna 61–63 i förevarande förslag till avgörande.
31 Dom av den 13 maj 2014, Google Spain och Google ( C‑131/12, EU:C:2014:317, punkterna 86 och 87), och dom av den 11 december 2019, Asociaţia de Proprietari bloc M5A-ScaraA ( C‑708/18, EU:C:2019:1064, punkt 57).
32 Dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija ( C‑184/20, EU:C:2022:601, punkt 92).
33 Dom av den 11 december 2019, Asociaţia de Proprietari bloc M5A-ScaraA ( C‑708/18, EU:C:2019:1064, punkt 57).
34 Dom av den 13 maj 2014, Google Spain och Google ( C‑131/12, EU:C:2014:317, punkt 98).
35 Se dom av den 22 november 2022, Luxembourg Business Registers ( C‑37/20 och C‑601/20, EU:C:2022:912, punkterna 39–42), där EU-domstolen fann att tillgängliggörande för allmänheten av uppgifter om verkligt huvudmannaskap i bolag och andra juridiska enheter utgjorde ett åsidosättande av rättigheter som garanteras i artiklarna 7 och 8 i stadgan. I sitt resonemang tog EU-domstolen hänsyn till att de aktuella personuppgifterna var känsliga och till att denna information var tillgänglig för ett potentiellt obegränsat antal personer.
36 SCHUFA har vid förhandlingen hänvisat till att vissa personer på nytt blir insolventa, vilket enligt SCHUFA berättigar en lagringstid på tre år.
37 Gutowski, M., OLG Schleswig: Eintragung erfolgter Restschuldbefreiung in Datenbanken von Auskunfteien über die Löschungsfrist für das Insolvenzbekanntmachungsportal hinaus, Neue Zeitschrift für Insolvenz- und Sanierungsrecht, 18/2021, s. 799, har ifrågasatt om det är ändamålsenligt att föreskriva att uppgifter om en person ska lagras under tre år för att fastställa vederbörandes ekonomiska situation.
38 Se, för ett liknande resonemang, Heyer, H.-U., Schein-Datenschutz, Zeitschrift für Verbraucher-, Privat- und Nachlassinsolvenz, 2019, s. 46.
39 Se punkt 31 i förevarande förslag till avgörande.
40 Se dom av den 11 december 2019, Asociaţia de Proprietari bloc M5A-ScaraA ( C‑708/18, EU:C:2019:1064, punkt 58).
41 Det argument som SCHUFA anförde vid förhandlingen, att den tyska lagstiftaren inte hade gjort något för att förkorta den frist på tre år som detta privata företag tillämpade, verkar inte vederlägga detta konstaterande. Det kan nämligen finnas olika skäl till varför en medlemsstat ännu inte har behandlat problematiken kring parallella databaser. Syftet med den hänskjutande domstolens begäran om förhandsavgörande är just att finna svar på denna problematik för att åstadkomma en situation som uppfyller kraven i dataskyddsförordningen.
42 Se punkt 75 i förevarande förslag till avgörande.
43 Ehmann, E., Bundesdatenschutzgesetz (utg. Simitis/Hornung/Spiecker), Datenschutzrecht – DSGVO mit BDSG, åttonde upplagan, Baden-Baden 2014, § 29, punkt 192, anser att det inte längre finns något berättigat intresse av att personuppgifter sprids genom en databas som förvaltas av ett privat företag när den frist som föreskrivs i den nationella lagstiftningen för offentliggörande i ett offentligt register har löpt ut, eftersom syftet med lagstiftningen annars skulle motverkas.
44 Se dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija ( C‑184/20, EU:C:2022:601, punkt 93), av vilken det framgår att villkoret om att behandlingen ska vara nödvändig ska prövas tillsammans med principen om uppgiftsminimering.
45 Dix, A., Datenschutzrecht - DSGVO mit BDSG (utg. Simitis/Hornung/Spiecker), Baden-Baden 2018, artikel 17, punkt 14.
46 Se punkt 77 i förevarande förslag till avgörande.
47 Kranenborg, H., Article 17. Right to erasure (right to be forgotten), The EU General Data Protection Regulation (GDPR) (utg. Christopher Kuner, Lee A. Bygrave, Christopher Docksey), Oxford 2020, s. 481, har förklarat att artikel 21.1 i dataskyddsförordningen leder till att bevisbördan omkastas, så att den personregisteransvarige i stället för den registrerade måste visa att det föreligger tvingande berättigade skäl för behandlingen. Om den ansvariga personen inte lyckas göra det ska uppgifterna i fråga raderas.
48 Det är viktigt att uppmärksamma det faktum att det i den aktuella uppförandekoden (Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien vom 25.05.2018) anges att dess regler inte innehåller några bestämmelser om den materiella motiveringen för lagring av personuppgifter. Det framgår även av uppförandekoden att det i bestämmelserna om lagringstid och raderingstid inte anges huruvida lagringen av dessa är lagenlig. Följande raderings- och lagringstider gäller oavsett om de underliggande uppgifterna samlades in och lagrades på laglig grund eller på grundval av samtycke” (min kursivering). Detta visar enligt min mening att författarna till uppförandekoden måste ha varit medvetna om att uppförandekoden inte utgör en rättslig grund som kan legitimera behandling av uppgifter.
49 Se punkt 59 i förevarande förslag till avgörande.
50 Se punkt 77 i förevarande förslag till avgörande.