lagen.
EU-domstolen

Förslag till avgörande av generaladvokat Campos Sánchez-Bordona föredraget den 20 mars 2025

CELEX
62023CC0655
Typ
EU-domstolen

Källa

1 Originalspråk: spanska.

2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).

3 Med avseende på artikel 82.1 i dataskyddsförordningen, se, i senare rättspraxis, dom av den 20 juni 2024, Scalable Capital ( C‑182/22 och C‑189/22, EU:C:2024:531), dom av den 4 oktober 2024, Agentsia po vpisvaniyata ( C‑200/23, EU:C:2024:827) (nedan kallad domen Agentsia po vpisvaniyata), och dom av den 4 oktober 2024, Patērētāju tiesību aizsardzības centrs ( C‑507/23, EU:C:2024:854) (nedan kallad domen Patērētāju tiesību aizsardzības centrs).

4 Dom av den 28 april 2022, Meta Platforms Ireland ( C‑319/20, EU:C:2022:322) (nedan kallad domen Meta Platforms Ireland), och dom av den 4 oktober 2024, Lindenapotheke ( C‑21/23, EU:C:2024:846). I dessa mål yrkades att metoder som ansågs vara otillbörliga skulle upphöra eftersom de inte uppfyllde de rättsliga kraven för att erhålla giltigt samtycke från den registrerade enligt dataskyddsförordningen. I båda fallen begärdes skydd av personuppgifter genom förbudsföreläggande enligt bestämmelser som syftar till att skydda konsumenter eller bekämpa otillbörliga affärsmetoder: överträdelsen av dataskyddsförordningen utgjorde förutsättningen för dessa bestämmelser. De frågor som ställdes till domstolen rörde klagandenas talerätt i respektive mål.

5 Den tyska civillagen (nedan kallad BGB).

6 I punkt 10 i beslutet att begära förhandsavgörande förklaras att bestämmelsen i detta fall skulle tillämpas analogt på intrång i absoluta rättigheter i den mening som avses i 823 § punkt 1 BGB eller på överträdelse av en sådan regel som avses i 823 § punkt 2 BGB.

7 Som stöd för sitt ersättningsyrkande gjorde IP gällande att den immateriella skadan inte utgjordes av en abstrakt förlust av kontrollen över de utlämnade uppgifterna utan av att numera minst ytterligare en person som känner IP, samt både potentiella och tidigare arbetsgivare, hade fått kännedom om förhållanden som var konfidentiella. Det kunde befaras att den personen, som var verksam i samma bransch, hade spridit uppgifterna i meddelandet vidare eller genom sin kännedom om innehållet hade kunnat skaffa sig en fördel i konkurrensen om eventuella lediga tjänster på arbetsmarknaden. Dessutom uppfattade IP misslyckandet i löneförhandlingarna som en förödmjukelse som han inte ville att utomstående skulle få reda på – och framför allt inte potentiella konkurrenter.

8 Se punkt 22 nedan.

9 Se hänvisningarna i punkterna 21 och 29 i beslutet att begära förhandsavgörande.

10 Dom av den 21 december 2023, Krankenversicherung Nordrhein ( C‑667/21, EU:C:2023:1022, punkt 37).

11 Kommissionens skriftliga yttrande, punkt 11 och följande punkter, dock utan uttrycklig hänvisning till artikel 5 i dataskyddsförordningen.

12 Enligt artikel 1.2 syftar dataskyddsförordningen till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dataskyddsförordningen kan därför skapa skyldigheter som har direkt samband med dessa fysiska personer, och inte bara är av allmänt intresse.

13 Den tvingande formuleringen finns åtminstone i följande språkversioner: los datos personales serán (den spanska versionen); personal data shall be (den engelska versionen); les données à caractère personnel doivent être (den franska versionen); Personenbezogene Daten müssen (den tyska versionen).

14 Enligt artikel 5.2 i dataskyddsförordningen ska den personuppgiftsansvarige … ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet). För att kunna visa detta måste den personuppgiftsansvarige förvissa sig om att behandlingen är laglig. Se dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda) ( C‑60/22, EU:C:2023:373, punkterna 53 och 54).

15 Artikel 83.5 a i dataskyddsförordningen.

16 Se dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda) ( C‑60/22, EU:C:2023:373, punkt 59 och följande punkter), där de skyldigheter som följer av artiklarna 26 och 30 i dataskyddsförordningen jämförs med de som följer av artiklarna 5 och 6 i samma förordning.

17 Dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda) ( C‑60/22, EU:C:2023:373, punkt 57): all behandling av personuppgifter ska stå i överensstämmelse med de principer som anges i artikel 5.1 i dataskyddsförordningen och uppfylla de villkor som anges i artikel 6 i samma förordning. Se även dom av den 1 oktober 2015, Bara m.fl. ( C‑201/14, EU:C:2015:638), avseende den rättsakt som föregick dataskyddsförordningen, det vill säga Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31). Behandlingens laglighet angavs i artikel 6 i direktiv 95/46 bland principerna om uppgifternas kvalitet och grunden för lagligheten i artikel 7 som principer som gör att uppgiftsbehandling kan tillåtas.

18 Dom av den 21 december 2023, Krankenversicherung Nordrhein ( C‑667/21, EU:C:2023:1022, punkt 77, med andra hänvisningar).

19 Se föregående fotnot.

20 Enligt bestämmelserna i direktiv 95/46 var situationen annorlunda när det gällde andra preciseringar av principerna för behandling av personuppgifter, i form av registrerades rättigheter. Vissa av de rättigheter som är kopplade till dessa principer fanns redan i direktiv 95/46, och de förtydligas i dataskyddsförordningen, vilket förklaras i skäl 9. Andra ingick inte i direktivet och deras införlivande i förordningen mötte motstånd, särskilt på grund av behovet av att väga dem mot andra: detta var särskilt fallet med rätten att få personuppgifter raderade i form av rätten att bli bortglömd.

21 Artikel 12.2 i dataskyddsförordningen.

22 Domstolen har dragit andra slutsatser av dessa uttalanden som inte uttryckligen föreskrivs i dataskyddsförordningen: se domen Meta Platforms Ireland, och dom av den 4 oktober 2024, Lindenapotheke ( C‑21/23, EU:C:2024:846), avseende talerätt i tvistemål enligt kapitel VIII i dataskyddsförordningen.

23 I artikel 79.1 i dataskyddsförordning betonas att rätten till ett effektivt domstolsskydd erkänns [u]tan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet …. Se även domen Meta Platforms Ireland, punkt 54, och dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság ( C‑132/21, EU:C:2023:2, punkterna 34, 35 och 42).

24 Som ett ytterligare argument erinrar jag om att medlemsstaterna enligt artikel 80.2 i dataskyddsförordningen får föreskriva att vissa organ får utöva de rättigheter som avses i artikel 79 i förordningen utan uppdrag från den registrerade. Åtgärderna från dessa organ har ofta en preventiv funktion. Om artikel 79.1 inte skulle anses omfatta ett sådant skydd skulle denna bestämmelse (och den tidigare nämnda artikel 80.2 i dataskyddsförordningen) förlora en stor del av sitt innehåll.

25 Dom av den 20 juni 2024, Scalable Capital ( C‑182/22 och C‑189/22, EU:C:2024:531, punkt 23), domen Agentsia po vpisvaniyata, punkt 153, och domen Patērētāju tiesību aizsardzības centrs, punkt 40 och följande punkter. EU-domstolen har godtagit att rätten för var och en att begära ersättning för skada enligt artikel 82 i dataskyddsförordningen stärker den ändamålsenliga verkan av de skyddsregler som fastställs i förordningen och är ägnade att avskräcka från att överträdelser upprepas: dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter) ( C‑300/21, EU:C:2023:370, punkt 40), dom av den 11 april 2024, juris ( C‑741/21, EU:C:2024:288, punkt 59), och dom av den 20 juni 2024, Scalable Capital ( C‑182/22 och C‑189/22, EU:C:2024:531, punkt 22). Det utesluter dock att syftet med bestämmelsen skulle vara att avskräcka från olaglig behandling i framtiden.

26 Quirins skriftliga yttrande, punkt 1, in fine.

27 Min kursivering. Det rörde sig om artikel 76.5 i förslaget till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning), COM(2012) 11 final, som återgav artikel 18.1 i Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (Direktiv om elektronisk handel) (EGT L 178, 2000, s. 1). Parlamentet föreslog inga ändringar på denna punkt.

28 Quirins skriftliga yttrande, punkt 1, in fine.

29 En alternativ förklaring som Quirin tagit upp, och förkastat, se föregående fotnot.

30 Artikel 75 reglerade den registrerades rätt att föra talan, internationell behörighet, parallella rättsliga och administrativa förfaranden inom ramen för mekanismen för enhetlighet och verkställighet av domstolsavgöranden i andra medlemsstater. Artikel 76 rörde rätten att väcka talan för organisationer eller sammanslutningar som har till uppgift att skydda de registrerades rättigheter och intressen när det gäller skyddet av deras personuppgifter, samt talerätten för tillsynsmyndigheter; kommunikation mellan domstolar i olika medlemsstater; parallella förfaranden i två eller flera medlemsstater; samt syftet med skyddsåtgärderna.

31 Detta ord förekom dock inte i förslaget, som endast hänvisade till snabba åtgärder.

32 Detta förtydligande finns i själva frågan från den hänskjutande domstolen.

33 Detta förtydligande finns i punkt 21 i beslutet att begära förhandsavgörande.

34 Ibland är det inte möjligt att utöva rätten till radering eller begränsning av behandling, i alla fall inte i full utsträckning: se artiklarna 17.3 (behandling som är nödvändig för vissa ändamål) och 23 i dataskyddsförordningen. På samma sätt hänvisas i artikel 18.2 i dataskyddsförordningen till behandling av uppgifter i andra personers intresse än den registrerades eller allmänhetens intresse. Naturligtvis går det inte att få till stånd ett förbud mot de behandlingar som är tillåtna enligt dessa regler eller ett beslut om att de ska upphöra.

35 Att den personuppgiftsansvarige lagrar personuppgifter som ska raderas är ett undantag: se artikel 17.3 och skäl 65 i dataskyddsförordningen. Skyldigheten att radera vissa uppgifter innebär i regel också att de förstörs.

36 I en blandad situation, där både laglig och olaglig behandling sker av samma uppgifter, kan det ligga i inte bara den personuppgiftsansvariges utan även den registrerades intresse att fortsätta med den lagliga behandlingen. I det aktuella fallet är det till exempel rimligt att anta att (den lagliga) behandlingen av IP:s personuppgifter ligger i hans intresse, eftersom han annars inte skulle kunna delta i Quirins rekryteringsförfarande.

37 Bland annat att personuppgifterna har behandlats på ett olagligt sätt: artikel 17.1 d i dataskyddsförordningen.

38 Till exempel artikel 18 (rätt till begränsning av behandling) eller artikel 21 (rätt att göra invändningar).

39 Se fotnot 35 ovan. Enligt artikel 17.1 i kommissionens förslag skulle den registrerade ha rätt att av den [personuppgiftsansvarige] utverka att personuppgifter som rör vederbörande raderas och att man avstår från ytterligare spridning av sådana uppgifter …. Detta stycke ansågs meningslöst av vissa medlemsstaters delegationer, vilket rådets ordförandeskap höll med om, eftersom det inte längre är möjligt att sprida uppgifterna när de har raderats: se meddelande från rådets ordförandeskap till arbetsgruppen för skydd av personuppgifter, dokument 16529/12 av den 4 december 2012, fotnot 245. Punkt 8 i artikel 17 ansågs också överflödig. Där anges att om raderingen genomförs ska den [personuppgiftsansvarige] inte på annat sätt behandla sådana personuppgifter: ibidem, fotnot 270.

40 Tillfälligt: se följande punkter i detta förslag till avgörande.

41 Artikel 18.2 i dataskyddsförordningen. När behandlingen har begränsats i enlighet med artikel 18.1 i dataskyddsförordningen och fram till dess att begränsningen upphävs, får annan behandling av de berörda personuppgifterna än lagring bara ske i undantagsfall och under förutsättning att någon av de grunder som anges i artikel 18.2 i dataskyddsförordningen föreligger.

42 Ett ord med en innebörd motsvarande lagring används i vissa språkversioner av dataskyddsförordningen, till exempel den engelska (storage) och den tyska (Speicherung). I artikel 12 b i direktiv 95/46 användes ordet blockering, liksom i artikel 15.1 c i Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 2001, s. 1). Alla dessa begrepp för tankarna till frysning av personuppgifter.

43 Detta är särskilt tydligt under de omständigheter som avses i led b och c.

44 Lagring innebär inte bara att uppgifterna sparas, utan även tekniska åtgärder såsom markering (som enligt artikel 4.3 i dataskyddsförordningen utgör definitionen av begränsning av behandling) eller de åtgärder som beskrivs i skäl 67 i dataskyddsförordningen, som gör det möjligt att identifiera, isolera och skydda de berörda uppgifterna mot behandling.

45 … under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta.

46 Så länge den registrerade behöver uppgifterna för fastställande, utövande eller försvar av rättsliga anspråk.

47 … i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

48 De tvivel som uttrycktes i detta avseende ledde till att denna punkt i kommissionens förslag, som parlamentet inte ifrågasatte, först sattes inom parentes under förhandlingarna i rådet (se meddelande från rådets ordförandeskap till arbetsgruppen för skydd av personuppgifter, dokument 16529/12 av den 4 december 2012, fotnot 275) och sedan helt enkelt togs bort. Att den senare återkom till delegationerna för övervägande förklaras (enligt min mening på ett diskutabelt vis) av att den möjlighet som den ger ökar skyddet för den registrerade without entailing additional administrative burden on controllers: Meddelande från rådets ordförandeskap till delegationerna inför trepartsmötet, dokument 11696/15, av den 4 september 2015, s. 9, där delegationerna dessutom uppmanas to show flexibility on this point.

49 En bestämmelse liknande artikel 18.1 b i dataskyddsförordningen fanns i direktiv 95/46 och i artikel 15.1 c i förordning nr 45/2001. Med samma lydelse återfinns den i artikel 20.1 b i Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 2018, s. 39). Dessa bestämmelser har inte tolkats av EU-domstolen och ger enligt min mening upphov till samma tvivel som dataskyddsförordningen och är därför inte till någon hjälp för att förstå den.

50 Skäl 39 och artikel 5.1 e i dataskyddsförordningen. Se även dom av den 20 oktober 2022, Digi ( C‑77/21, EU:C:2022:805, punkt 53): principen om lagringsminimering kräver att den personuppgiftsansvarige, i enlighet med den ansvarsprincip det erinrats om …, kan visa att personuppgifterna endast lagras under den tid som krävs för att uppnå de ändamål för vilka uppgifterna samlades in eller senare behandlas.

51 Den skulle enligt min mening tjäna till att bevisa olaglig behandling: i artikel 18.1 skulle punkterna b och c ha liknande mål, men olika utgångspunkter (olaglig behandling enligt punkt b, laglig behandling enligt punkt c).

52 Dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság ( C‑132/21, EU:C:2023:2, punkt 45 och följande punkter).

53 Punkt 43 i beslutet att begära förhandsavgörande. Det rör sig om dom av den 22 februari 2022 (VI ZR 1175/20, ECLI:DE:BGH:2022:220222UVIZR1175.20.0).

54 Dom meddelad av Bundesgerichtshof (Federala högsta domstolen, Tyskland) den 22 februari 2022 (VI ZR 1175/20, ECLI:DE:BGH:2022:220222UVIZR1175.20.0, punkterna 44 och 51).

55 Dom av den 20 juni 2024, PS (Felaktig adress) ( C‑590/22, EU:C:2024:536, punkt 31).

56 Dom av den 20 juni 2024, PS (Felaktig adress) ( C‑590/22, EU:C:2024:536, punkt 32) och domen Agentsia po vpisvaniyata, punkt 144.

57 Dom av den 14 december 2023, Natsionalna agentsia za prihodite ( C‑340/21, EU:C:2023:986, punkterna 79 och 80).

58 Domen Patērētāju tiesību aizsardzības centrs, punkterna 36 och 37.

59 Domen Agentsia po vpisvaniyata, punkt 150.

60 Se fotnot 25 ovan. Den ekonomiska ersättningen ska motsvara den skada som den registrerade faktiskt har lidit, utan att överstiga eller understiga denna: dom av den 20 juni 2024, PS (Felaktig adress) ( C‑590/22, EU:C:2024:536, punkt 41), och domen Patērētāju tiesību aizsardzības centrs, punkterna 43 och 44. Hänsyn ska inte tas till allvaret i den personuppgiftsansvariges överträdelse av förordningen och till huruvida överträdelsen eventuellt har skett uppsåtligen (domen Patērētāju tiesību aizsardzības centrs, punkt 42), eller till den personuppgiftsansvariges hållning och motiv (ibidem, punkt 44), eller till den omständigheten att den personuppgiftsansvarige har gjort sig skyldig till flera överträdelser med avseende på en och samma registrerade (dom av den 11 april 2024, juris, C‑741/21, EU:C:2024:288, punkt 64).