lagen.
EU-domstolen

Förslag till avgörande av generaladvokaten Dean Spielmann föredraget den 6 februari 2025

CELEX
62023CC0413
Typ
EU-domstolen

Källa

1 Originalspråk: franska.

2 Europaparlamentets och rådet förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 2018, s. 39).

3 EUT L 225, 2014, s. 1.

4 Kommissionens beslut (EU) 2017/1246 av den 7 juni 2017 om godkännande av resolutionsordningen för Banco Popular Español SA (EUT L 178, 2017, s. 15).

5 I artikel 20.1 i förordning nr 806/2014 föreskrivs att denna person ska vara oberoende av offentliga myndigheter, inbegripet nämnden och den nationella resolutionsmyndigheten och enheten i fråga. Artikel 20.16 i denna förordning hänvisar till artikel 20.1 beträffande begreppet oberoende person.

6 Det rör sig om en universell unik identifieringskod på 33 siffror, som genereras slumpmässigt.

7 Det framgår av det omtvistade beslutet att Deloitte assisterade SRB i egenskap av oberoende person i dess beslutsprocess. Det framgår även av detta beslut att SRB, den 18 mars 2020, beslutade att ingen kompensation skulle betalas till de berörda aktieägarna och borgenärerna och angav att detta beslut grundade sig på den bedömning som Deloitte gjort efter resolutionen och på analysen av de kommentarer som lämnats inom ramen för förfarandet för att låta de berörda utöva rätten att bli hörda.

8 Det andra yrkandet avsåg en förklaring om att det ursprungliga beslutet var rättsstridigt. Tribunalen avvisade, i den överklagade domen, detta andra yrkande, på grund av att den saknade behörighet, eftersom SRB genom detta yrkande avsåg uppnå en fastställelsedom och inte ogiltigförklaring av en rättsakt.

9 Se punkterna 64, 73 och 74 i den överklagade domen.

10 Dom av den 20 december 2017 ( C‑434/16, EU:C:2017:994) (nedan kallad domen Nowak). Jag hänvisar i detta förslag analogt till de domar i vilka unionsdomstolarna tillämpat Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31) och Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen). Som följer av skälen 4 och 5 i förordning 2018/1725 och av artiklarna 2.3 och 98 i dataskyddsförordningen har unionslagstiftarens avsikt varit att inrätta ett system för skydd av personuppgifter som gäller för unionens institutioner, organ och byråer som är likvärdigt med det system som inrättats genom dataskyddsförordningen. Syftet härmed är att säkerställa ett enhetligt och konsekvent skydd för fysiska personer med avseende på behandling av deras personuppgifter inom unionen (se dom av den 7 mars 2024, OC/kommissionen, C‑479/22 P, EU:C:2024:215, punkt 43).

11 Se punkterna 100, 103 och 105 i den överklagade domen.

12 C‑413/23 P, EU:C:2023:1036.

13 Se bland annat den icke-uttömmande förteckningen i förslag till avgörande av generaladvokaten Pitruzzella i målet Österreichische Datenschutzbehörde och CRIF ( C‑487/21, EU:C:2022:1000).

14 Se domen Nowak, punkterna 34 och 35. Se, vidare dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF ( C‑487/21, EU:C:2023:369, punkterna 23 och 24), dom av den 22 juni 2023, Pankki S ( C‑579/21, EU:C:2023:501, punkterna 42 och 43), dom av den 7 mars 2024, OC/kommissionen ( C‑479/22 P, EU:C:2024:215, punkt 45), och dom av den 7 mars 2024, IAB Europe ( C‑604/22, EU:C:2024:214, punkterna 36 och 37).

15 Domen Nowak, punkt 43.

16 Domen Nowak, punkt 44 slutet.

17 Se, för ett liknande resonemang, punkterna 5–7 i den överklagade domen och punkt 9 i detta förslag till avgörande.

18 Se punkt 23 i den överklagade domen.

19 Dom av den 19 oktober 2016, Breyer ( C‑582/14, EU:C:2016:779) (nedan kallad domen Breyer).

20 Se även i detta hänseende yttrandet om begreppet personavgifter (artikel 29-gruppens yttrande 4/2007, den 20 juni 2007, WP 136) och det som uttryckligen tar upp tekniker för anonymisering och pseudonymisering (artikel 29-gruppens yttrande 05/2014, den 10 april 2014, WP 216). Detta pseudonymiseringsförfarande är således särskilt viktigt bland annat i samband med forskning och statistik.

21 Även om skälen inte har något självständigt rättsligt värde och inte får utgöra grund för en tolkning som strider mot de syften som eftersträvas med förordning 2018/1725, har domstolen ofta hänvisat till skälen vid tolkningen av bestämmelser i unionens rättsakter (se bland annat förslag till avgörande av generaladvokaten Szpunar i målet Planet49, C‑673/17, EU:C:2019:246, punkt 71, och förslag till avgörande av generaladvokaten Kokott i målet kommissionen/CK Telecoms UK Investments, C‑376/20 P, EU:C:2022:817).

22 Vidare utesluter inte anonymiseringen, rent tekniskt, möjligheter till återidentifiering, varför de personuppgiftsansvariga som genomför anonymiseringstekniker regelbundet måste analysera den risk som återidentifiering medför och bedöma denna risks allvar och sannolikhet från fall till fall (se, i detta hänseende, O. Tambou, Manuel de droit européen de la protection des données à caractère personnel, Bruylant 2020, punkt 68 och där angivna hänvisningar i detta hänseende i fotnot nr 162).

23 Även om den ursprungliga avsikten med att införa begreppet pseudonymisering i dataskyddsförordningen var att tillhandahålla flexibilitet för att minska skyldigheter på dataskyddsområdet (se i detta hänseende Kuner, C., Bygave, L.A. och Docksey, C., Background and Evolution of the EU General Data Protection Regulation (GDPR), i Kuner, C., Bygrave, L. A., Docksey, C., och Drechsler, L. (red.), The EU General Data Protection Regulation (GDPR). A Commentary, Oxford University Press, Oxford, 2020, sidorna 1–47), följdes inte denna avsikt av rådet i skäl 26 i dataskyddsförordningen, vars lydelse har återgetts i skäl 16 i förordning 2018/1725.

24 Som generaladvokaten Campos Sánchez-Bordona angav i punkterna 64–67 i sitt förslag till avgörande i målet Breyer ( C‑582/14, EU:C:2016:339), kan [det] aldrig helt säkert uteslutas att det finns en tredje man som förfogar över ytterligare uppgifter som kan kombineras med den informationen och som därmed kan bidra till att röja en persons identitet… Jag anser emellertid att denna omsorg – vilken för övrigt är fullt legitim – inte får medföra att man bortser från lagstiftarens syfte och att den systematiska tolkningen av skäl [16 i förordning 2018/1725] endast avser hjälpmedel som rimligen kan komma att användas av vissa andra personer.

25 Exempelvis klassificerades, i domen Breyer, en dynamisk IP-adress som en leverantör av webb-baserade mediatjänster förfogade över, även om den var åtskild från identifieringsuppgifter som internetleverantören förfogade över, som personuppgift, eftersom leverantören av webb-baserade mediatjänster förfogade över hjälpmedel som i syfte att identifiera vederbörande rimligen kan komma att användas för att identifiera den med denna IP-adress registrerade personen. Domen av den 9 november 2023, Gesamtverband Autoteile-Handel (Tillgång till information om fordon) ( C‑319/22, EU:C:2023:837), rörde ett fordons VIN, vilket definierats som den alfanumeriska kod som tilldelats ett fordon av tillverkaren i syfte att ombesörja korrekt identifiering av detta fordon. Även om VIN i sig saknar personlig karaktär, blir den en personuppgift för den som rimligen kan förfoga över medel som gör det möjligt att knyta uppgiften till en viss person (punkt 46) och således att knyta det till en identifierad eller identifierbar fysisk person (punkt 49). På samma sätt har domstolen slagit fast ett pressmeddelande från Europeiska byrån för bedrägeribekämpning (Olaf), som innehåller identifikationer som gör det möjligt att identifiera klaganden, antingen enbart genom en objektiv läsning av pressmeddelandet eller genom hjälpmedel, som rimligen kan komma att användas av en läsare, utgör personuppgifter (dom av den 7 mars 2024, OC/kommissionen, C‑479/22 P, EU:C:2024:215). Vidare hade, i domen av den 7 mars 2024, IAB Europe ( C‑604/22, EU:C:2024:214), organisationen IAB, företrädare för företag inom branschen för digital reklam och marknadsföring, inrättat en ram för registrering av webbplats-användarnas preferenser via en TC-sträng (kombination av bokstäver och tecken). Denna TC-sträng ansågs vara en personuppgift, eftersom den, då den var knuten till en identifierare, gjorde det möjligt att identifiera den berörda internetanvändaren, inbegripet för IAB, som inte förfogade över identifieringsuppgifter, men indirekt kunde få tillgång till dem genom rimliga hjälpmedel (punkterna 48–50 i domen).

26 Det framgår av punkt 46 i domen Breyer att detta skulle vara fallet om identifiering av den aktuella personen var förbjuden i lag eller omöjlig att genomföra i praktiken, exempelvis på grund av att den skulle kräva orimliga resurser i form av tid, kostnader och arbetskraft.

27 Exempelvis skyldigheter som följer av den rätt till rättelse av personuppgifter som föreskrivs i artikel 18 i förordning 2018/1725 kan nämnas.

28 Se, analogt, dom av den 29 juli 2019, Fashion ID ( C‑40/17, EU:C:2019:629, punkt 104 och där angiven rättspraxis). Se även förslag till avgörande av generaladvokaten Szpunar i målet Association Mousse ( C‑394/23, EU:C:2024:610, punkt 58).

29 Se, analogt, dom av den 1 oktober 2015, Bara m.fl. ( C‑201/14, EU:C:2015:638, punkt 34), dom av den 1 oktober 2019, Planet49 ( C‑673/17, EU:C:2019:801, punkt 77), och dom av den 11 juli 2024, Meta Platforms Ireland (Grupptalan) ( C‑757/22, EU:C:2024:598, punkt 57). I skäl 36 i förordning 2018/1725 preciseras vidare att [o]m personuppgifter legitimt kan lämnas ut till en annan mottagare, bör de registrerade informeras första gången personuppgifterna lämnas ut till denna mottagare. Med andra ord ska, om en ny omständighet föreligger, den registrerade få kännedom om detta före denna ytterligare behandling (se, för ett liknande resonemang och analogt, dom av den 27 april 2022, Roos m.fl./Europaparlamentet, T‑710/21, T‑722/21 och T‑723/21, EU:T:2022:262, punkt 171).

30 Se, analogt, dom av den 11 juli 2024, Meta Platforms Ireland (Grupptalan) ( C‑757/22, EU:C:2024:598, punkt 60) och punkt 47 i generaladvokaten Richard de la Tours förslag till avgörande i samma mål (EU:C:2024:88). Se även artikel 14.1 i förordning 2018/1725, enligt vilken [d]en personuppgiftsansvarige ska vidta lämpliga åtgärder för att tillhandahålla den registrerade all information som avses i artiklarna 15 och 16 … vilken avser behandling i en koncis, klar och tydlig, begriplig och lättillgänglig form och på ett klart och tydligt språk ….

31 För det fall det skulle konstateras att detta synsätt inte har kallats så i skrivelserna, ska det påpekas att det, förutom att det nämndes under förhandlingen vid domstolen, omfattas av detta mål eftersom det avser att fastställa det relevanta synsättet beträffande informationsskyldighet i den aktuella situationen. Inom denna ram är domstolen, även om den enbart ska pröva tvisten i enlighet med de yrkanden som framställts av parterna, på vilka det ankommer att avgränsa tvisten, inte bunden enbart till de argument som parterna åberopat till stöd för sina yrkanden, med risk för att avgörandet annars skulle fattas på felaktiga rättsliga grunder (se dom av den 21 september 2010, Sverige m.fl./API och kommissionen, C‑514/07 P, C‑528/07 P och C‑532/07 P, EU:C:2010:541, punkt 65 och där angiven rättspraxis).

32 Se punkt 69 i detta förslag till avgörande.

33 Beträffande huruvida informationen ska erhållas i förväg för att ett informerat samtycke ska kunna anses föreligga, se dom av den 11 juli 2024, Meta Platforms Ireland (Grupptalan) ( C‑757/22, EU:C:2024:598, punkt 60).

34 Se fotnot 7 i punkt 12 i detta förslag till avgörande.

35 Se punkterna 13 och följande punkter i den överklagade domen. Se även SRB:s svar på frågorna vid förhandlingen.

36 Beträffande behandling av denna information i en koncis, klar och tydlig, begriplig och lättillgänglig form och på ett klart och tydligt språk, se artikel 14.1 i förordning 2018/1725. Se även artikel 29-gruppens riktlinjer om öppenhet enligt förordning (EU) 2016/679 av den 11 april 2018, WP 260, rev. 01, punkt 30: Om ändringen av upplysningarna på ett grundläggande sätt ändrar behandlingens karaktär (exempelvis genom att bredda kategorier av mottagare eller införa lämnande till ett tredjeland) eller om det rör sig om en ändring som kanske inte är grundläggande för själva behandlingen, men som kan vara det för den registrerade och påverka vederbörande, ska upplysningarna lämnas till den registrerade väl innan ändringen sker och den metod som används för att upplysa den registrerade om ändringarna ska vara tydlig och effektiv. Syftet är att garantera den registrerade att vederbörande inte missar ändringen och ge honom eller henne en rimlig tid för att kunna a) bedöma ändringens art och inverkan, och b) utöva sina rättigheter enligt dataskyddsförordningen som är kopplade till ändringen (exempelvis återkalla sitt godkännande eller invända mot behandlingen).

37 Se, bland annat, dom av den 29 februari 2024, Euranimi/kommissionen ( C‑95/23 P, ej publicerad, EU:C:2024:177, punkt 53).

38 Se dom av den 25 januari 2022, kommissionen/European Food m.fl. ( C‑638/19 P, EU:C:2022:50, punkt 77, och där angiven rättspraxis).

39 Se bland annat, för ett liknande resonemang, dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda) ( C‑60/22, EU:C:2023:373, punkt 53 och där angiven rättspraxis). Se även, beträffande att bevisbördan avseende samtycke till behandling av personuppgifter åligger den personuppgiftsansvarige, dom av den 11 november 2020, Orange Romania ( C‑61/19, EU:C:2020:901, punkt 52).

40 Se, analogt inom ramen för en talan om skadestånd grundad på dataskyddsförordningen, domen av den 25 januari 2024, MediaMarktSaturn ( C‑687/21, EU:C:2024:72, punkterna 43–45): Det åligger den personuppgiftsansvarige att visa att de säkerhetsåtgärder som denne vidtagit är lämpliga. Den domstol vid vilken talan har väckts ska beakta all bevisning som den personuppgiftsansvarige har lagt fram för att visa att de tekniska och organisatoriska åtgärder som denne har vidtagit för att uppfylla sina skyldigheter är lämpliga. Men den omständigheten att den personuppgiftsansvariges anställda felaktigt har överlämnat en handling som innehåller personuppgifter till en obehörig tredje part räcker inte i sig för att anse att de tekniska och organisatoriska åtgärder som vidtagits av den personuppgiftsansvarige inte var lämpliga.

41 Se punkterna 59 och 60 i detta förslag till avgörande.

42 Se, i detta hänseende, den jämförelse som kommissionen har gjort med reglerna om statligt stöd i domen av den 12 oktober 2023, Larko/kommissionen ( C‑445/22 P, EU:C:2023:773, punkt 29). På samma sätt som en klassificering av en åtgärd som statligt stöd är en förutsättning för att denna åtgärd ska anses omfattas av kommissionens behörighet för att genomföra artiklarna 107 och 108 FEUF, är i detta mål en klassificering som personuppgifter en förutsättning för att förordning 2018/1725 ska vara tillämplig och att EDPS ska vara behörig (se artikel 52.3 i denna förordning).