ext/celex/62024CJ0312
Preliminär utgåva
DOMSTOLENS DOM (femte avdelningen)
den 4 juni 2026 ( * )
” Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter på det straffrättsliga området – Förordning (EU) 2016/679 – Direktiv (EU) 2016/680 – Tillämpningsområden – Behandling av personuppgifter som samlats in i samband med en utredning mot en brottsmisstänkt polistjänsteman – Registrering av uppgifter om denna utredning i polistjänstemannens personalakt – Laglig behandling av personuppgifter – Artiklarna 6.1 första stycket och 6.3 i förordning 2016/679 – Behandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige – Rättslig grund för behandlingen – Artikel 17 i förordning 2016/679 – Rätt till radering ”
I mål C‑312/24 [Darashev],( i )
angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Sofiyski rayonen sad (Distriktsdomstolen i Sofia, Bulgarien) genom beslut av den 30 januari 2024, som inkom till domstolen den 29 april 2024, i målet
CL
mot
Prokuratura na Republika Bulgaria,
meddelar
DOMSTOLEN (femte avdelningen)
sammansatt av avdelningsordföranden M.L. Arastey Sahún, samt domarna J. Passer, E. Regan (referent), D. Gratsias och B. Smulders,
generaladvokat: M. Szpunar,
justitiesekreterare: handläggaren R. Stefanova-Kamisheva,
efter det skriftliga förfarandet och förhandlingen den 21 maj 2025,
med beaktande av de yttranden som avgetts av:
– Bulgariens regering, genom T. Mitova, S. Ruseva och R. Stoyanov, samtliga i egenskap av ombud,
– Ungerns regering, genom Zs. Biró-Tóth och M.Z. Fehér, båda i egenskap av ombud,
– Europeiska kommissionen, genom A. Bouchagiar, G. Koleva och H. Kranenborg, samtliga i egenskap av ombud,
och efter att den 4 september 2025 ha hört generaladvokatens förslag till avgörande,
följande
Dom
1 Begäran om förhandsavgörande avser tolkningen av artikel 1 i rådets direktiv 2000/78/EG av den 27 november 2000 om inrättande av en allmän ram för likabehandling i arbetslivet (EGT L 303, 2000, s. 16, och rättelse i EGT L 2, 2001, s. 42), av artikel 2.1, artikel 4 leden 2 och 6, artikel 9.2 b samt artikel 17.1 a och d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen), av artikel 3 leden 1 och 2, artikel 9.1 och artikel16.2 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89) samt av artikel 52 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan).
2 Begäran har framställts i ett mål mellan CL och Prokuratura na Republika Bulgaria (Republiken Bulgariens åklagarmyndighet) (nedan kallad åklagarmyndigheten). Målet rör en skadeståndstalan där CL har yrkat ersättning för den skada som han påstår sig ha lidit på grund dels av de utredningsåtgärder som vidtagits mot honom i samband med en förundersökning mot honom, dels av konsekvenserna av denna utredning.
Tillämpliga bestämmelser
Unionsrätt
Direktiv 2000/78
3 I artikel 1 (”Syfte”) i direktiv 2000/78 föreskrivs följande:
”Syftet med detta direktiv är att fastställa en allmän ram för bekämpning av diskriminering i arbetslivet på grund av religion eller övertygelse, funktionshinder, ålder eller sexuell läggning, för att principen om likabehandling skall kunna genomföras i medlemsstaterna.”
Dataskyddsförordningen
4 Skälen 4, 10, 19, 39, 41, 65 och 66 i dataskyddsförordningen har följande lydelse:
”(4) … Denna förordning respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd för privat- och familjeliv…
…
(10) För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. …
…
(19) …
Vad gäller dessa behöriga myndigheters behandling av personuppgifter för ändamål som omfattas av tillämpningsområdet för denna förordning, bör medlemsstaterna kunna bibehålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. I sådana bestämmelser får det fastställas mer specifika krav för dessa behöriga myndigheters behandling av personuppgifter för dessa andra ändamål, med beaktande av respektive medlemsstats konstitutionella, organisatoriska och administrativa struktur. …
…
(39) … Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. …
…
(41) När det i denna förordning hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis en lagstiftningsakt antagen av ett parlament, utan att detta påverkar krav som uppställs i den konstitutionella ordningen i den berörda medlemsstaten. En sådan rättslig grund eller lagstiftningsåtgärd bör dock vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol (nedan kallad domstolen ) och Europeiska domstolen för de mänskliga rättigheterna.
…
(65) Den registrerade bör ha rätt att få sina personuppgifter rättade och en rätt att bli bortglömd, om lagringen av uppgifterna strider mot denna förordning eller unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av. En registrerad bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om en registrerad … invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. … Ytterligare lagring av personuppgifterna bör dock vara laglig, om detta krävs … för att uppfylla en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts den personuppgiftsansvarige …
(66) För att stärka ’rätten att bli bortglömd’ i nätmiljön bör rätten till radering utvidgas genom att personuppgiftsansvariga som offentliggjort personuppgifter är förpliktigade att vidta rimliga åtgärder, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar dessa personuppgifter om att den registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. …”
5 Artikel 1 i dataskyddsförordningen har rubriken ”Syfte”. I punkt 2 i denna bestämmelse föreskrivs följande:
”I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter.”
6 I artikel 2 (”Materiellt tillämpningsområde”) i dataskyddsförordningen stadgas följande:
”1. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
2. Denna förordning ska inte tillämpas på behandling av personuppgifter som
…
d) behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
…”
7 Artikel 4 i dataskyddsförordningen, med rubriken ”Definitioner”, har följande lydelse:
”I denna förordning avses med
1. personuppgifter : varje upplysning som avser en identifierad eller identifierbar fysisk person …, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,
2. behandling : en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,
…
6. register : en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,
…”
8 Artikel 5 i dataskyddsförordningen har rubriken ”Principer för behandling av personuppgifter”. I punkt 1 i denna bestämmelse föreskrivs följande:
”Vid behandling av personuppgifter ska följande gälla:
a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
…
e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter ( lagringsminimering ).
…”
9 Artikel 6 (”Laglig behandling av personuppgifter”) i dataskyddsförordningen har följande lydelse:
”1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
…
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
…
3. Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med
a) unionsrätten, eller
b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
…”
10 Artikel 9 i dataskyddsförordningen, med rubriken ”Behandling av särskilda kategorier av personuppgifter”, har följande lydelse:
”1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.
2. Punkt 1 ska inte tillämpas om något av följande gäller:
…
b) Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.
…”
11 I artikel 10 i dataskyddsförordningen, med rubriken ”Behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott”, anges följande:
”Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. …”
12 Artikel 17 i dataskyddsförordningen, med rubriken ”Rätt till radering (’rätten att bli bortglömd’)”, har följande lydelse:
”1. Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:
a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
…
d) Personuppgifterna har behandlats på olagligt sätt.
…
3. Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:
…
b) För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.
…”
Direktiv 2016/680
13 I skälen 11 och 12 i direktiv 2016/680 anges följande:
”(11) Det är därför lämpligt att dessa områden behandlas i ett direktiv som fastställer särskilda regler om skydd för fysiska personer i samband med behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, med respekt för den särskilda karaktären hos denna verksamhet. Sådana behöriga myndigheter kan omfatta inte bara offentliga myndigheter såsom rättsliga myndigheter, polis eller andra brottsbekämpande myndigheter, utan också alla andra organ eller enheter som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning enligt detta direktiv. [Dataskyddsförordningen] bör tillämpas när ett sådant organ eller en sådan enhet behandlar personuppgifter för andra ändamål än de som avses i detta direktiv. [Dataskyddsförordningen] är därför tillämplig i fall då ett organ eller en enhet samlar in personuppgifter för andra ändamål och behandlar dessa personuppgifter ytterligare för att iaktta sina rättsliga skyldigheter. …
(12) Polisens och andra brottsbekämpande myndigheters verksamhet är främst inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott, inbegripet polisverksamhet där man inte på förhand vet om det inträffade utgör ett brott eller inte. … Denna verksamhet omfattar också upprätthållande av lag och ordning som en uppgift som anförtros åt polisen eller andra brottsbekämpande myndigheter när det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott. …”
14 Artikel 1 i direktivet har rubriken ”Syfte och mål”. I punkt 1 i denna bestämmelse föreskrivs följande:
”I detta direktiv fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.”
15 Artikel 2 i direktivet har rubriken ”Tillämpningsområde”. I punkt 1 i denna bestämmelse föreskrivs följande:
”Detta direktiv ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1.”
16 I artikel 3 (”Definitioner”) i samma direktiv föreskrivs följande:
”I detta direktiv avses med
1. personuppgifter : varje upplysning som avser en identifierad eller identifierbar fysisk person …, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer, eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,
2. behandling : en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,
…
7. behörig myndighet :
a) en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten, eller
…
8. personuppgiftsansvarig : en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivs i unionsrätten eller medlemsstaternas nationella rätt,
…”
17 I artikel 9 i direktiv 2016/680, med rubriken ”Särskilda villkor för uppgiftsbehandling”, föreskrivs följande:
”1. Personuppgifter som samlas in av behöriga myndigheter för de ändamål som anges i artikel 1.1. ska inte behandlas för andra ändamål än de som anges i artikel 1.1 såvida inte sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt. När personuppgifter behandlas för andra ändamål ska [dataskyddsförordningen] tillämpas, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten.
2. Om de behöriga myndigheterna enligt medlemsstaternas nationella rätt anförtros utförandet av andra uppgifter än de som utförs för de ändamål som anges i artikel 1.1, ska [dataskyddsförordningen] vara tillämplig på behandlingen för dessa ändamål, inklusive för arkivändamål av allmänt intresse, för historiska eller vetenskapliga forskningsändamål eller för statistiska ändamål, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten.
…”
18 I artikel 10 i detta direktiv fastställs villkor för behandling av särskilda kategorier av personuppgifter.
19 Artikel 16 i nämnda direktiv har rubriken ”Rätt till rättelse eller radering av personuppgifter och begränsning av behandling”. I punkt 2 i denna bestämmelse anges följande:
”Medlemsstaterna ska kräva att den personuppgiftsansvarige utan onödigt dröjsmål ska radera personuppgifter och ge den registrerade rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få till stånd radering av personuppgifter som rör honom eller henne om behandlingen står i strid med de bestämmelser som antas enligt artiklarna 4, 8 och 10 eller om personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarige.”
Bulgarisk rätt
20 I artikel 2.1 leden 2 och 3 i zakon za otingerornostta na darzhavata i obshtinite za vredi (lagen om statens och kommunernas ansvar för skada) (DV nr 60 av den 5 augusti 1988), i den lydelse som är tillämplig i det nationella målet, föreskrivs följande:
”Staten är ansvarig för skador som åsamkats medborgare av utredande myndigheter, åklagarmyndigheten eller domstolar i följande fall: … 2. vid kränkning av rättigheter som skyddas enligt artikel 5.2–5.4 i konventionen, 3. vid anklagelse för att ha begått ett brott, om personen frikänns eller om det straffrättsliga förfarandet läggs ned på grund av att gärningen inte har begåtts av den registrerade eller att den inte utgör något brott, eller att det straffrättsliga förfarandet inleddes efter preskription eller amnesti. …”.
21 I artikel 2.1 i zakon za ministerstvoto na vatreshnite raboti (lagen om inrikesministeriet) (DV nr 53 av den 27 juni 2014), i den lydelse som är tillämplig i det nationella målet (nedan kallad ZMVR), föreskrivs följande:
”Inrikesministeriets verksamhet syftar till att skydda medborgarnas rättigheter och friheter, bekämpa brottslighet, skydda den nationella säkerheten, upprätthålla den allmänna ordningen, garantera brandsäkerhet och skydda befolkningen.”
22 Artikel 26.2 ZMVR har följande lydelse:
”Tidsgränserna för att lagra de uppgifter som avses i punkt 1 eller för periodisk översyn av behovet av att lagra uppgifterna ska fastställas av inrikesministeriet. Dessa uppgifter får även raderas i enlighet med en dom eller ett beslut från kommissionen för skydd [av personuppgifter].”
23 I artikel 29.1 och 29.2 ZMVR föreskrivs följande:
”(1) Personuppgiftsansvarig är inrikesministern, som kan anförtro behandlingen av personuppgifter åt tjänstemän som denne utser. (2) Närmare villkor för behandling av personuppgifter ska fastställas genom anvisningar från inrikesministern.”
24 I artikel 147 ZMVR föreskrivs följande:
”(1) En personalakt ska upprättas och föras för varje anställd vid inrikesministeriet. (2) Villkoren för upprättande, hantering och lagring av personalakter samt hur de ska användas ska fastställas genom anvisningar från inrikesministern.”
25 I artikel 150 ZMVR föreskrivs följande:
”(1) Inrikesministern ska upprätta en uppförandekod för anställda vid inrikesministeriet, vilken ska offentliggöras i Darzhaven vestnik. (2) Anställda är skyldiga att följa de regler som fastställs i uppförandekoden för anställda vid inrikesministeriet.”
26 I artikel 155.1 och 155.4 ZMVR föreskrivs följande:
”(1) En anställd vid inrikesministeriet är en fysisk person som har rättshandlingsförmåga och uppfyller följande villkor: … 2. inte ha dömts för ett uppsåtligt brott enligt allmän lag, även om han eller hon har rehabiliterats, 3. inte delgetts misstanke eller varit tilltalad för ett uppsåtligt brott enligt allmän lag, …
…
(4) De omständigheter som avses i punkt 1 led 2 ska fastställas på eget initiativ av tillsättningsmyndigheten.”
27 I artikel 6.1 och 6.2 i zakon za zashtita na lichnite danni (lagen om skydd av personuppgifter) (DV nr 1 av den 4 januari 2002), i den lydelse som är tillämplig i det nationella målet (nedan kallad ZZLD), föreskrivs följande:
”(1) Kommissionen för skydd [av personuppgifter]… är en oberoende och permanent tillsynsmyndighet som säkerställer skyddet av personer vid behandling av och tillgång till deras personuppgifter samt utövar tillsyn över efterlevnaden [av dataskyddsförordningen] och av denna lag. (2) Kommissionen [för skydd av personuppgifter] bidrar till genomförandet av statens politik på området för skydd av personuppgifter.”
28 I artikel 42 ZZLD föreskrivs följande:
”(1) Reglerna i detta kapitel ska tillämpas när de behöriga myndigheterna behandlar personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna ordningen och säkerheten. (2) Personuppgifter som samlas in för de ändamål som avses i punkt 1 får inte behandlas för andra ändamål, om inte annat föreskrivs i unionsrätten eller i Republiken Bulgariens lagstiftning. (3) När de behöriga myndigheter som avses i punkt 1 behandlar personuppgifter för andra ändamål än de som avses i punkt 1, samt i de fall som avses i punkt 2, ska [dataskyddsförordningen] och de relevanta bestämmelserna i denna lag som genomför denna förordning tillämpas. (4) De behöriga myndigheter som avses i punkt 1 är de offentliga myndigheter som har befogenhet att förebygga, avslöja, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. (5) Om inte annat föreskrivs i lag, är en personuppgiftsansvarig i den mening som avses i detta kapitel, vid behandling av personuppgifter för de ändamål som avses i punkt 1, en behörig myndighet i den mening som avses i punkt 4 eller det förvaltningsorgan som denna myndighet utgör en del av, som själv eller tillsammans med andra myndigheter fastställer ändamålen och medlen för behandlingen av personuppgifter.”
29 I artikel 43 ZZLD föreskrivs följande:
”Bestämmelserna i detta kapitel ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.”
30 Artikel 46 ZZLD har följande lydelse:
”(1) När tidsfristerna för radering av personuppgifter eller för periodisk översyn av behovet av att lagra dem inte fastställs i lag, ska de fastställas av den registeransvarige. (2) Den periodiska översyn som avses i punkt 1 ska dokumenteras och beslutet att fortsätta lagra uppgifterna motiveras.”
31 I artikel 3 i anvisning nr 8121z-532 av den 9 september 2014 om upprättande, förande, lagring och användning av personalakter över anställda vid inrikesministeriet (DV nr 78 av den 19 september 2014, ändrad och kompletterad genom DV nr 27 av den 14 april 2015, ändrad och kompletterad genom DV nr 53 av den 25 juni 2021) (nedan kallad anvisningarna om personalakter) föreskrivs följande:
”Personalakter ska upprättas och lagras av personalavdelningen vid de berörda strukturerna. De ska numreras i stigande ordning, beskrivas i en förteckning … och lagras på ställen (register) som uppfyller kraven på lagring av material som innehåller säkerhetsklassade uppgifter.”
32 Artikel 5 i anvisningarna om personalakter har följande lydelse:
”(1) Behandlingen av personuppgifter i personalakterna utförs i enlighet med bestämmelserna i zakon za zashtita na klasifitsiranata informatsia … [lagen om skydd av säkerhetsklassade uppgifter], [ZZLD] och [dataskyddsförordningen]. (2) Den information som lagras i personalakten ska behandlas för följande ändamål: 1. Inledande, ändring och upphörande av anställdas anställnings- och tjänsteförhållande. 2. Fullgörande av anställningsavtalet, inbegripet fullgörande av de skyldigheter som fastställs i lag eller i kollektivavtal, arbetsledning, -planering och -organisation, jämställdhet och mångfald på arbetsplatsen, hälsa och säkerhet i arbetsmiljö samt skydd av arbetsgivarens eller arbetstagarens egendom. 3. Individuellt eller kollektivt utövande och åtnjutande av rättigheter och förmåner i samband med anställningen. 4. Arkivmaterial i allmänhetens intresse för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål. (3) Tillgång till information som lagras i personalakter är begränsad och sker i enlighet med bestämmelserna [i lagen om skydd av säkerhetsklassade uppgifter], [ZZLD] och [dataskyddsförordningen].”
33 I artikel 6 i anvisningarna om personalakter föreskrivs följande:
”(1) I personalakterna samlas in och lagras handlingar i tre olika avsnitt, med uppgifter och information om anställdas utbildning, tillsättning, ingående av anställningsavtal, ändrade arbetsuppgifter och avslutad tjänstgöring. (2) Det första avsnittet innehåller handlingar som rör tillträdet till tjänsten vid inrikesministeriet. (3) Det andra avsnittet innehåller handlingar om karriärutvecklingen (deklarationer, protokoll, förslag, bedömningsrapporter, formulär med personuppgifter, utbildningsbevis, handlingar om deltagande i uttagningsprov, säkerhetskontroll, sjukskrivningsintyg, och så vidare). (4) Det tredje avsnittet innehåller handlingar som rör ändrade arbetsuppgifter (beslut, beslut om inledande och upphörande av tjänstgöring, handlingar som rör disciplinära förfaranden, anställningsavtal, tilläggsavtal, underrättelser som avses i artikel 62 i Kodeks na truda (arbetslagen), och så vidare).”
Målet vid den nationella domstolen och tolkningsfrågorna
34 Mellan åren 2012 och 2023 innehade CL olika befattningar som polistjänsteman vid generaldirektoratet för säkerhetspolisen och generaldirektoratet för den nationella polisen vid det bulgariska inrikesministeriet.
35 Den 1 mars 2016 inledde ministeriets direktorat för inre säkerhet en utredning mot okänd gärningsman till följd av ett rån som hade begåtts med medgärningsman.
36 Den 17 maj 2016 hölls ett allmänt möte med samtliga poliser inom det direktorat där CL arbetade. Vid mötet närvarade även chefen för den berörda enheten, en företrädare för direktoratet för inre säkerhet, en åklagare vid Sofiyska gradska prokuratura (Åklagarmyndigheten i staden Sofia, Bulgarien) och en utredare. Vid nämnda möte greps CL offentligt och tvingades lämna ifrån sig sin polisbricka, sitt vapen och sin polislegitimation.
37 I samband med den aktuella utredningen blev CL, i egenskap av misstänkt, föremål för olika tvångsmedel, nämligen kroppsvisitation, upptagning av fingeravtryck och, efter det att ett domstolstillstånd hade utfärdats, husrannsakan i hans bostad som ledde till beslag. Han deltog i en gärningsmannakonfrontation, under vilket brottsoffren inte identifierade honom som gärningsman. Inga spår av hans fingeravtryck hittades på brottsoffrens föremål. Efter 24 timmar försattes CL på fri fot. Han har därefter varken delgetts misstanke eller åtalats för rån. Eftersom gärningsmannen inte kunde identifieras, lades utredningen ned.
38 CL fortsatte att tjänstgöra som polis vid inrikesministeriet och deltog i uttagningsprov för befordran till andra befattningar inom ministeriet, vilket nekades honom med motiveringen att han hade gripits i egenskap av misstänkt i samband med den utredning som inletts avseende rån. Av hans personalakt och inrikesministeriets arkiv framgår att CL greps och blev föremål för utredningsåtgärder i egenskap av misstänkt.
39 CL väckte talan vid Sofiyski rayonen sad (Distriktsdomstolen i Sofia, Bulgarien), som är hänskjutande domstol i målet, och yrkade att åklagarmyndigheten skulle förpliktas att betala ersättning för den ideella skada som han hade lidit till följd av de åtgärder som vidtagits mot honom i samband med brottsutredningen och till följd av konsekvenserna av denna utredning. Han gjorde gällande att han hade lidit ideell skada på grund av att han, som anställd på inrikesministeriet sedan flera år tillbaka, hade gripits inför sina kollegor för ett brott som det inte har visats att han hade begått. Denna förnedrande åtgärd hindrar hans karriärutveckling och han påpekade i detta avseende att hans arbetsgivare, som lät honom gripas, lagrar uppgifter om utredningen i en databas och om hans namn som misstänkt samt vägrar att ta bort eller radera dessa uppgifter.
40 Det framgår av beslutet om hänskjutande att en brottsmisstänkt som inte är lagförd och som omfattas av ett beslut om att lägga ner utredningen har rätt till ersättning, i enlighet med rättspraxis från Varhoven kasatsionen sad na Republika Balgaria (Högsta domstolen i Republiken Bulgarien).
41 Den hänskjutande domstolen har angett att inrikesministeriet är en och samma förvaltningsmyndighet, vars uppgift är att upprätthålla den allmänna ordningen. Inrikesministeriet består av flera direktorat, däribland direktoratet för den nationella polisen och direktoratet för säkerhetspolisen, som agerar för att skydda den allmänna ordningen, samt direktoratet för inre säkerhet, som leder utredningar mot anställda vid detta ministerium, oavsett den typ av brott som de anställda anklagas för och vilken enhet de tillhör.
42 Som en och samma förvaltningsmyndighet är inrikesministeriet arbetsgivare till alla anställda som arbetar där, men varje direktorat som ingår i inrikesministeriet lagrar information om sina anställda och registrerar den i deras personalakter. Vid deltagande i uttagningsprov för befordran eller förflyttning måste den berörda anställda lämna ut sin personalakt samt uppgifter om hur han eller hon har uppfyllt sina skyldigheter och om huruvida han eller hon har haft ställning som misstänkt eller åtalad i en brottmålsprocess, om han eller hon har gjort sig skyldig till en disciplinär förseelse eller begått ett brott mot den allmänna ordningen. Den information som erhålls under utredningen lagras också i personalakten.
43 För det första vill den hänskjutande domstolen få klarhet i huruvida dataskyddsförordningen är tillämplig på ett sådant fall som det som är aktuellt i det nationella målet, det vill säga när det rör sig om en och samma organisationsstruktur där en part utför uppgifter som arbetsgivare, medan en annan person utför uppgifter som utredande myndighet i samband med en brottmålsprocess.
44 För det andra vill den hänskjutande domstolen få klarhet i huruvida en lagring av sådana uppgifter som avses i punkt 42 ovan i en anställds personalakt utgör en ”behandling av personuppgifter” i den mening som avses i artikel 4 led 2 i dataskyddsförordningen, och huruvida denna akt utgör ett ”register” i den mening som avses i artikel 4 led 6 i dataskyddsförordningen. Det uppkommer även frågan huruvida en lagring av sådana uppgifter omfattas av tillämpningsområdet för artikel 9.2 b i dataskyddsförordningen.
45 För det tredje vill den hänskjutande domstolen få klarhet i huruvida inrikesministeriet, i egenskap av arbetsgivare, kan vägra en av sina anställda en befordran enbart av det skälet att denne haft ställning som misstänkt, lagförd eller åtalad i en brottmålsprocess, trots att brottmålsprocessen i slutändan lades ner. Även om det är allmänt känt att inrikesministeriets personal, som ser till att den allmänna ordningen upprätthålls, måste uppfylla högre moraliska och etiska krav än andra kategorier av arbetstagare eller anställda, hyser den hänskjutande domstolen tvivel om huruvida villkoren för att behandla uppgifter i personalakten för anställda vid detta ministerium om att de haft ställning som misstänkt, lagförd eller åtalad i en brottmålsprocess står i proportion till de krav som uppställs för denna kategori av anställda. Enligt den hänskjutande domstolen utgör nämligen endast en lagakraftvunnen, fällande dom en giltig grund för att ensidigt säga upp en anställds anställningsavtal.
46 För det fjärde vill den hänskjutande domstolen få klarhet i huruvida principen om ”rätten att bli bortglömd” i artikel 17.1 a i dataskyddsförordningen, jämförd med skälen 65 och 66 i samma förordning, ska tolkas på så sätt att uppgifter i en anställds personalakt ska raderas om de har samlats in av en annan enhet hos arbetsgivaren än den till vilken arbetstagaren tillhör, som har till uppgift att genomföra utredningen, och om dessa uppgifter visar att den anställde haft ställning som misstänkt eller tilltalad i en brottmålsprocess. Denna domstol hyser i detta sammanhang även tvivel om räckvidden av begreppet olaglig behandling, i den mening som avses i artikel 17.1 d i dataskyddsförordningen.
47 För det femte vill den hänskjutande domstolen få klarhet i huruvida bestämmelserna i direktiv 2016/680 är tillämpliga på den situation som är aktuell i det nationella målet och, om så är fallet, huruvida lagringen av de uppgifter som är aktuella i det nationella målet är laglig och proportionerlig i förhållande till artiklarna 9.1 och 10 i direktivet samt huruvida dessa uppgifter ska raderas med stöd av artikel 16.2 i direktivet.
48 För det sjätte och sista påpekar denna domstol att CL deltog i ett uttagningsprov för befordran och förflyttning och att han, trots han hamnade på topplistan i rangordningen, inte valdes ut på grund av att han var misstänkt i samband med utredningen om rån. I detta sammanhang uppkommer frågan huruvida lagringen av personuppgifter av en och samma förvaltningsmyndighet, såsom inrikesministeriet, utgör en form av diskriminering i den mening som avses i artikel 1 i direktiv 2000/78.
49 Mot denna bakgrund beslutade Sofiyski rayonen sad (Distriktsdomstolen i Sofia) att vilandeförklara målet och ställa följande frågor till EU-domstolen:
”1) Ska artikel 2.1 i dataskyddsförordningen tolkas på så sätt att behandling av personuppgifter omfattar verksamhet som utförs inom en och samma [struktur], där vissa av direktoraten fungerar som arbetsgivare, medan enbart ett av de andra direktoraten agerar i egenskap av utredande myndighet i brottmålsprocesser mot anställda vid de andra direktoraten? Om denna fråga besvaras jakande:
2) Ska begreppet behandling av personuppgifter i artikel 4.2 i dataskyddsförordningen tolkas på så sätt att det omfattar en verksamhet inom ramen för vilken information förs till den anställdes personalakt, när arbetsgivaren har erhållit informationen från ett av sina direktorat som agerar i egenskap av utredande myndighet i samband med en brottsutredning mot den anställde?
3) Ska begreppet register i artikel 4.6 i dataskyddsförordningen tolkas på så sätt att det omfattar den personalakt som förs över en anställd eller arbetstagare som arbetar vid ett av arbetsgivarens direktorat, när informationen samlats in av ett annat av arbetsgivarens direktorat som agerar i egenskap av utredande myndighet?
4) Ska artikel 9.2 b i dataskyddsförordningen tolkas på så sätt att en enhet hos en arbetsgivare får samla in och lagra uppgifter om att den anställde haft ställning som misstänkt, lagförd eller åtalad i en brottmålsprocess, trots att informationen samlats in av en annan enhet hos arbetsgivaren som agerar i egenskap av utredande myndighet?
5) Ska ’rätten att bli bortglömd’ enligt artikel 17.1 a i dataskyddsförordningen tolkas på så sätt att en arbetsgivare är skyldig att radera samtliga uppgifter från den anställdes personalakt som arbetsgivaren, genom ett annat av sina direktorat som agerar i egenskap av utredande myndighet i fråga om den egna anställda, har samlat in och lagrat om att den anställde
– har ställning som misstänkt, åtalad eller lagförd i en pågående brottmålsprocess, eller
– har haft ställning som misstänkt, åtalad eller lagförd i en brottmålsprocess, men där förundersökningen har lagts ned eller avskrivits?
6) Ska personuppgifter som ’har behandlats på olagligt sätt’ i artikel 17.1 d i dataskyddsförordningen tolkas på så sätt att de omfattar uppgifter som arbetsgivaren har erhållit, samlat in och lagrat genom en av sina enheter som ansvarar för brottsutredningar mot anställda vid arbetsgivarens andra organisatoriska enheter, när dessa personuppgifter har lagrats i personalakten och rör den omständigheten att den anställde
– har ställning som misstänkt, åtalad eller lagförd i en pågående brottmålsprocess, eller
– har haft ställning som misstänkt, åtalad eller lagförd i en brottmålsprocess, men där förundersökningen har lagts ned eller avskrivits?
7) Ska ’personuppgifter’ i artikel 3.1 i [direktiv 2016/680], jämförd med artikel 52 i [stadgan], tolkas på så sätt att detta begrepp avser uppgifter som arbetsgivaren har erhållit, samlat in och lagrat genom en av sina enheter som agerar i egenskap av utredande myndighet i en brottmålsprocess mot en anställd som tjänstgör vid en annan av arbetsgivarens enheter?
8) Ska begreppet ’behandling’ av personuppgifter, i den mening som avses i artikel 3.2 i [direktiv 2016/680], jämförd med artikel 52 i [stadgan], tolkas på så sätt att det omfattar en verksamhet som innebär att arbetsgivaren lagrar personuppgifter som rör en anställd i dennes personalakt, i en situation där arbetsgivaren har erhållit, samlat in och lagrat uppgifterna genom en av sina enheter, som agerar i egenskap av utredande myndighet, i en brottmålsprocess mot denna anställd som tjänstgör vid en annan av arbetsgivarens enheter?
9) Ska artikel 9.1 i [direktiv 2016/680], jämförd med artikel 52 i [stadgan], tolkas på så sätt att det är tillåtet för arbetsgivaren att samla in och lagra information om en anställd som har ställning som misstänkt, lagförd eller åtalad i en brottmålsprocess, när denna information har samlats in av arbetsgivaren genom en annan av sina organisatoriska enheter som agerar i egenskap av utredande myndighet i en brottmålsprocess mot den anställde?
10) Ska artikel 16.2 i [direktiv 2016/680], jämförd med artikel 52 i [stadgan], tolkas på så sätt att arbetsgivaren är skyldig att radera samtliga uppgifter från den anställdes personalakt som arbetsgivaren har samlat in och lagrat genom en annan av arbetsgivarens organisatoriska enheter, som agerar i egenskap av utredande myndighet i en brottmålsprocess mot den anställde, och som rör den omständigheten att den anställde
– har ställning som misstänkt, åtalad eller lagförd i en pågående brottmålsprocess, eller
– har haft ställning som misstänkt, åtalad eller lagförd i en brottmålsprocess, men där förundersökningen har lagts ned eller avskrivits?
11) Ska artikel 1 i [direktiv 2000/78] tolkas på så sätt att en arbetsgivare, i en situation där en av dess organisatoriska enheter vidtar utredningsåtgärder gentemot en anställd som arbetar på en annan enhet, inte får vägra att befordra vederbörande enbart av det skälet att den anställde
– har ställning som misstänkt, åtalad eller lagförd i en pågående brottmålsprocess, eller
– har haft ställning som misstänkt, åtalad eller lagförd i en brottmålsprocess, men där förundersökningen har lagts ned eller avskrivits?”
Prövning av tolkningsfrågorna
Upptagande till prövning
50 Den bulgariska regeringen har gjort gällande att det är uppenbart att ingen av tolkningsfrågorna kan tas upp till prövning.
51 Denna regering har gjort gällande att yrkandet om ersättning för liden skada endast riktar sig mot åklagarmyndigheten, som är en del av den dömande makten, medan det endast är inrikesministeriet, som ingår i den verkställande makten och som är CL:s arbetsgivare, som innehar uppgifterna i hans personalakt. CL kan således varken begära att åklagarmyndigheten ska radera hans uppgifter eller hålla åklagarmyndigheten ansvarig för att inrikesministeriet innehar dessa uppgifter och inte heller klandra åklagarmyndigheten för att ha hämmat hans karriärutveckling.
52 Nämnda regering har påpekat att den hänskjutande domstolen, för att kunna hålla åklagarmyndigheten ansvarig, i enlighet med den nationella lagstiftningen om statens skadeståndsansvar ska fastställa huruvida de rättigheter som ges den registrerade i egenskap av tilltalad har kränkts och huruvida han eller hon har åtalats på felaktiga grunder. Det nationella målet avser emellertid varken tillämpningen av bestämmelserna i dataskyddsförordningen eller tillämpningen av den nationella lagstiftning genom vilken direktiven 2016/680 och 2000/78 har införlivats. En tolkning av dessa unionsrättsakter är således inte nödvändig för att avgöra det nationella målet.
53 Enligt fast rättspraxis presumeras nationella domstolars frågor om tolkningen av unionsrätten vara relevanta. Dessa frågor ställs mot bakgrund av den beskrivning av omständigheterna i målet och tillämplig lagstiftning som den nationella domstolen på eget ansvar har lämnat och vars riktighet det inte ankommer på EU-domstolen att pröva. En begäran om förhandsavgörande från en nationell domstol kan bara avvisas då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågeställningen är hypotetisk eller EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den (se dom av den 8 maj 2025, Stadt Wuppertal, C‑130/24, EU:C:2025:340, punkt 42 och där angiven rättspraxis).
54 I övrigt bör det erinras om att det inte ankommer på EU-domstolen att uttala sig om tolkningen av nationella bestämmelser eller att bedöma huruvida en nationell domstols tolkning eller tillämpning av sådana bestämmelser är korrekt, eftersom det enbart är den domstolen som är behörig att göra en sådan tolkning (dom av den 4 oktober 2024, Bezirkshauptmannschaft Landeck (Försök att bereda sig tillgång till personuppgifter som finns lagrade i en mobiltelefon), C‑548/21, EU:C:2024:830, punkt 53 och där angiven rättspraxis).
55 Det ankommer således på EU-domstolen, i enlighet med fördelningen av behörighet mellan unionsdomstolen och de nationella domstolarna, att beakta den faktiska och rättsliga bakgrunden till tolkningsfrågorna, såsom den angetts i beslutet om hänskjutande. Oaktat de invändningar som framförts av en medlemsstats regering mot den tolkning av nationell rätt som förespråkas av den hänskjutande domstolen, ska prövningen av tolkningsfrågorna grundas på denna tolkning och det ankommer inte på EU-domstolen att pröva dess riktighet (dom av den 29 juli 2024, CU och ND (Socialt bistånd – Indirekt diskriminering), C‑112/22 och C‑223/22, EU:C:2024:636, punkt 40 och där angiven rättspraxis).
56 För att göra det möjligt för EU-domstolen att tillhandahålla en tolkning av unionsrätten som är användbar för den nationella domstolen föreskrivs det i artikel 94 c i domstolens rättegångsregler att begäran om förhandsavgörande ska innehålla en redogörelse för de skäl som fått den hänskjutande domstolen att undra över tolkningen eller giltigheten av de aktuella unionsrättsliga bestämmelserna, och för det samband som den hänskjutande domstolen har funnit föreligga mellan de unionsrättsliga bestämmelserna och den nationella lagstiftning som är tillämplig i det nationella målet (dom av den 2 juli 2015, Gullotta och Farmacia di Gullotta Davide & C., C‑497/12, EU:C:2015:436, punkt 17).
57 Vad gäller saken i det nationella målet är det ostridigt att tolkningsfrågorna har ställts inom ramen för en pågående tvist vid den hänskjutande domstolen som rör ett yrkande om ersättning för den skada som CL påstår sig ha lidit inte bara på grund av de åtgärder som vidtagits mot honom i samband med en utredning, utan även på grund av konsekvenserna av denna utredning. I sistnämnda hänseende framgår det av beslutet om hänskjutande att den påstådda skadan särskilt beror på att arbetsgivaren lagrat och därefter använt personuppgifter som samlats in i samband med denna utredning, varvid arbetsgivaren har vägrat att befordra CL på grund av att han var misstänkt i samband med nämnda utredning. CL begär även att hans namn ska strykas ur den databas där han finns registrerad som misstänkt.
58 Det framgår således av de handlingar som EU-domstolen har tillgång till dels att det föreligger ett samband mellan saken i det nationella målet och unionsbestämmelserna om skydd av personuppgifter, dels de skäl som har föranlett den hänskjutande domstolen att ställa sig frågan om huruvida arbetsgivarens vägran att radera de aktuella uppgifterna är förenlig med dessa bestämmelser.
59 När det specifikt gäller frågan huruvida tolkningen av direktiv 2000/78 är relevant för att avgöra det nationella målet, i och med att den därmed sammanhängande frågan i huvudsak syftar till att fastställa huruvida den skada som CL påstår sig ha lidit, som består i att CL inte har befordrats på grund av att han var misstänkt, kan prövas mot bakgrund av bestämmelserna i detta direktiv, innebär denna fråga under de aktuella omständigheterna att ett svar i sak måste ges avseende tolkningen av artikel 1 i nämnda direktiv, vilken avgränsar dess tillämpningsområde.
60 Den bulgariska regeringens argument motiverar följaktligen inte att tolkningsfrågorna ska avvisas i sin helhet.
61 Däremot bör det noteras att den hänskjutande domstolen med den fjärde frågan hänvisar till artikel 9 i dataskyddsförordningen, vilken, såsom framgår av dess rubrik, reglerar behandlingen av känsliga kategorier av personuppgifter. Det framgår emellertid inte av begäran om förhandsavgörande att de uppgifter som är aktuella i det nationella målet omfattas av någon av de uppgiftskategorier som räknas upp i artikel 9.1, nämligen uppgifter som avslöjar ras eller etniskt ursprung, behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om en fysisk persons hälsa. Eftersom den begärda tolkningen av artikel 9.2 b i dataskyddsförordningen saknar relevans för att avgöra det nationella målet, kan den fjärde frågan inte tas upp till prövning.
62 Vidare är vissa omständigheter som avses i frågorna 5, 6 och 9–11 inte relevanta för situationen i det nationella målet, vilken, såsom framgår av beslutet om hänskjutande, såsom det sammanfattats i punkterna 35–37 ovan, avser en person som var misstänkt för ett brott i samband med en förundersökning som i slutändan lades ned. Det saknas således anledning att besvara dessa frågor, eftersom de avser behandling av personuppgifter om en anställd som har eller har haft ställning som tilltalad i en brottmålsprocess eller som är eller har varit föremål för lagföring för brott. Dessa frågor är således hypotetiska.
63 Vad därutöver gäller vissa andra faktiska förutsättningar som ligger till grund för den elfte frågan, angav den bulgariska regeringen vid förhandlingen att CL, i motsats till vad han har hävdat, befordrades vid flera tillfällen efter den aktuella förundersökningen. Det ska emellertid understrykas att presumtionen att frågorna är relevanta, vilken det erinrats om i punkt 53 ovan, inte kan brytas enbart av det skälet att en av parterna i det nationella målet har bestritt vissa faktiska omständigheter vars riktighet det inte ankommer på EU-domstolen att pröva och som är avgörande för hur saken i målet ska bestämmas (dom av den 5 december 2006, Cipolla m.fl., C‑94/04 och C‑202/04, EU:C:2006:758, punkt 26).
Prövning i sak
Frågorna 1–3 och 7–9
64 EU-domstolen erinrar om att det enligt det förfarande för samarbete mellan nationella domstolar och EU-domstolen som införts genom artikel 267 FEUF ankommer på EU-domstolen att ge den nationella domstolen ett användbart svar, som gör det möjligt för den domstolen att avgöra det mål som den ska pröva. I detta syfte kan EU-domstolen behöva omformulera de frågor som hänskjutits. EU-domstolen kan dessutom behöva ta hänsyn till unionsbestämmelser som den nationella domstolen inte har hänvisat till i sin fråga (dom av den 18 januari 2024, Hewlett Packard Development Company, C‑367/21, EU:C:2024:61, punkt 44 och där angiven rättspraxis).
65 Såsom generaladvokaten har påpekat i punkterna 47–53 i sitt förslag till avgörande har den hänskjutande domstolen visserligen ställt den andra, den tredje, den sjunde och den åttonde frågan formellt till EU-domstolen för att få klarhet i hur begreppen ”behandling” av personuppgifter och ”register”, i den mening som avses i artikel 4 leden 2 och 6 i dataskyddsförordningen, samt begreppen ”personuppgifter” och ”behandling”, i den mening som avses i artikel 3 leden 1 och 2 i direktiv 2016/680, ska tolkas. Utöver den omständigheten att dessa begrepp definieras på samma sätt som i dataskyddsförordningen, försöker den hänskjutande domstolen i själva verket fastställa om den nu aktuella situationen omfattas av tillämpningsområdet för dataskyddsförordningen eller för direktiv 2016/680. Det framgår nämligen av skälen till beslutet om hänskjutande och av dessa frågor att det egentliga syftet med frågorna är att avgöra vilken av dessa rättsakter som är tillämplig på personuppgiftsbehandling som utförs av ett direktorat på en offentlig myndighet, i egenskap av arbetsgivare, och som består i att i en anställds personalakt hos denna myndighet lagra uppgifter om hans eller hennes ställning som misstänkt i samband med en förundersökning, trots att direktoratet har erhållit dessa uppgifter från ett annat direktorat inom samma offentliga myndighet, eftersom sistnämnda direktorat ansvarar för att genomföra denna typ av utredning.
66 Mot denna bakgrund ska den hänskjutande domstolen anses ha ställt frågorna 1–3 och 7–9, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 2.1 i dataskyddsförordningen och artikel 9.1 i direktiv 2016/680 ska tolkas på så sätt att denna förordning är tillämplig på en behandling av personuppgifter som utförs av en offentlig myndighets direktorat och som består i att i en av sina anställdas personalakt lagra uppgifter om dennes ställning som misstänkt i samband med en förundersökning (nedan kallad den behandling som är aktuell i det nationella målet), trots att detta direktorat har erhållit dessa uppgifter från ett annat direktorat inom samma offentliga myndighet, vilket ansvarar för att genomföra denna typ av utredning.
67 I artikel 2.2 d i dataskyddsförordningen föreskrivs nämligen att denna förordning inte ska tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
68 I artikel 1.1 i direktiv 2016/680 föreskrivs däremot att det i detta direktiv fastställs regler om skydd för fysiska personer med avseende på den behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
69 I artikel 9.1 i direktivet föreskrivs dessutom bland annat att när personuppgifter behandlas för andra ändamål än de som anges i artikel 1.1 i direktivet, ska dataskyddsförordningen tillämpas, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten.
70 Härav följer att om de behöriga myndigheterna behandlar personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, är direktiv 2016/680 tillämpligt, medan om behandlingen utförs för andra ändamål är dataskyddsförordningen tillämplig (se, för ett liknande resonemang, dom av den 8 december 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Ändamålen med behandlingen av personuppgifter – Brottsutredning), C‑180/21, EU:C:2022:967, punkterna 73 och 74 samt där angiven rättspraxis).
71 I förevarande fall omfattas den ursprungliga insamling av personuppgifter som utfördes av inrikesministeriets direktorat för inre säkerhet för att genomföra utredningen gentemot CL av direktiv 2016/680. Den behandling som är aktuell i det nationella målet, i den mån den utförs för personaladministrativa ändamål, omfattas däremot av dataskyddsförordningen.
72 Det bör preciseras att dataskyddsförordningens tillämplighet på den behandling som är aktuell i det nationella målet inte påverkas av den omständigheten att den berörda informationen har erhållits av arbetsgivaren från det direktorat på inrikesministeriet som ansvarat för att genomföra utredningen gentemot CL. EU-domstolen har tidigare slagit fast att det av ordalydelsen i artikel 9.1 och 9.2 i direktiv 2016/680 och av sambandet mellan dessa punkter framgår att dataskyddsförordningen är tillämplig på all behandling av personuppgifter som samlas in för de ändamål som anges i artikel 1.1 i direktivet, för andra ändamål än dessa, såvida inte den aktuella behandlingen inte omfattas av unionsrätten, inbegripet när den ”personuppgiftsansvarige”, i den mening som avses i artikel 3.8 i nämnda direktiv, är en ”behörig myndighet” i den mening som avses i artikel 3.7 a i direktivet, och denne behandlar personuppgifter i samband med andra uppgifter än de som utförs för de ändamål som avses i artikel 1.1 i samma direktiv (dom av den 8 december 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Ändamålen med behandlingen av personuppgifter – Brottsutredning), C‑180/21, EU:C:2022:967, punkt 81).
73 Mot bakgrund av det ovan anförda ska frågorna 1–3 och 7–9 besvaras enligt följande. Artikel 2.1 i dataskyddsförordningen och artikel 9.1 i direktiv 2016/680 ska tolkas på så sätt att dataskyddsförordningen är tillämplig på verksamhet som utförs av ett direktorat inom en offentlig myndighet och som består i att i en av myndighetens anställdas personalakt lagra uppgifter om dennes ställning som misstänkt i en förundersökning. Det saknar i detta avseende betydelse att det berörda direktoratet har erhållit dessa uppgifter från ett annat direktorat inom samma myndighet, vilket har befogenhet att genomföra brottsutredningar.
Frågorna 5 och 6
74 Det bör påpekas att den femte och den sjätte frågan i huvudsak rör möjligheten för den berörda anställda att få de uppgifter som är aktuella i det nationella målet raderade från sin personalakt med stöd av artikel 17.1 a och d i dataskyddsförordningen.
75 Det framgår av de handlingar som getts in till EU-domstolen att den nationella lag som reglerar inrikesministeriets verksamhet föreskriver en skyldighet för ministeriet att upprätta och föra en personalakt för varje anställd på detta ministerium, samt att införa en uppförandekod som dessa anställda är skyldiga att följa. Vidare kräver denna nationella lag att anställda, för att kunna utföra sina uppgifter, inte har dömts, delgetts misstanke eller varit lagförda för ett uppsåtligt brott enligt allmän lag. Lagen föreskriver dessutom att inrikesministern är personuppgiftsansvarig för den behandling som utförs av dennes anställda och att ministern fastställer behandlingsvillkoren genom anvisningar.
76 Enligt artikel 17.1 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera dessa personuppgifter om någon av de grunder som räknas upp i denna bestämmelse föreligger.
77 Så är fallet enligt artikel 17.1 a i dataskyddsförordningen, när personuppgifterna ”inte längre [är] nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats” eller, i enlighet med artikel 17.1 d, när personuppgifterna har behandlats ”på olagligt sätt”.
78 Såsom generaladvokaten har påpekat i punkt 69 i sitt förslag till avgörande, framgår det av den femte frågan jämförd med den sjätte frågan samt av motiveringen till begäran om förhandsavgörande att den hänskjutande domstolen genom dessa frågor, på ett mer grundläggande plan, vill få klarhet i huruvida det är tillåtet att lagra de aktuella uppgifterna i personakten för att kunna fatta ett beslut om CL:s begäran om radering.
79 Det ska erinras om att artikel 6.1 första stycket i dataskyddsförordningen innehåller en uttömmande och fullständig förteckning av de fall i vilka en behandling av personuppgifter kan anses laglig. För att en behandling ska kunna betraktas som laglig måste den vara hänförlig till något av de fall som anges i den bestämmelsen (dom av den 4 oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punkt 94 och där angiven rättspraxis). I artikel 6.1 första stycket c i dataskyddsförordningen föreskrivs att en behandling av personuppgifter är laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
80 I artikel 6.3 i dataskyddsförordningen preciseras bland annat att den behandling som avses i artikel 6.1 första stycket c i denna förordning ska fastställas i enlighet med unionsrätten, eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, och att denna rättsliga grund ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (se, för ett liknande resonemang, dom av den 12 september 2024, HTB Neunte Immobilien Portfolio och Ökorenta Neue Energien Ökostabil IV, C‑17/22 och C‑18/22, EU:C:2024:738, punkt 67 och där angiven rättspraxis).
81 Det bör dessutom noteras att den laglighetsgrund som anges i artikel 6.1 första stycket c i dataskyddsförordningen, jämförd med artikel 6.3 i samma förordning, återfinns i artikel 17.3 b i nämnda förordning, vilken utesluter rätten till radering som föreskrivs i artikel 17.1 i förordningen, bland annat när behandlingen av uppgifterna är nödvändig för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt den nationella rätt i den medlemsstat som den personuppgiftsansvarige omfattas av.
82 EU-domstolen har tidigare slagit fast att om det antas att behandlingen av personuppgifter faktiskt svarar mot den laglighetsgrund som föreskrivs i artikel 6.1 första stycket c i dataskyddsförordningen, föreskrivs det uttryckligen i denna bestämmelse, och särskilt i artikel 6.3 andra stycket, att det ska göras en avvägning mellan, å ena sidan, de grundläggande rättigheterna till respekt för privatlivet och skydd för personuppgifter, vilka stadfästs i artiklarna 7 och 8 i stadgan, och, å andra sidan, de legitima mål som eftersträvas med unionsrätten eller medlemsstaternas nationella rätt som ligger till grund för den rättsliga förpliktelse vars uppfyllande förutsätter att behandlingen är nödvändig (se, för ett liknande resonemang, dom av den 4 oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punkt 124 och där angiven rättspraxis).
83 EU-domstolen erinrar härvidlag om att artikel 52.1 i stadgan tillåter att utövandet av sådana rättigheter som dem som är stadfästa i artiklarna 7 och 8 i stadgan begränsas. Detta förutsätter dock att begränsningarna är föreskrivna i lag, att de är förenliga med det väsentliga innehållet i dessa rättigheter och friheter och, med beaktande av proportionalitetsprincipen, endast görs om de är nödvändiga och faktiskt svarar mot mål av allmänintresse som erkänns av unionen eller mot behovet av skydd för andra människors rättigheter och friheter (dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter), C‑136/17, EU:C:2019:773, punkt 58 och där angiven rättspraxis).
84 Under dessa omständigheter och med beaktande av den rättspraxis som det redogjorts för i punkt 64 ovan, ska den hänskjutande domstolen anses ha ställt den femte och den sjätte frågan för att få klarhet i huruvida artikel 17.3 b i dataskyddsförordningen, jämförd med artiklarna 6.1 första stycket c och 6.3 i samma förordning, samt mot bakgrund av artikel 52.1 i stadgan, ska tolkas på så sätt att lagring i en polistjänstemans personalakt av personuppgifter som rör hans eller hennes ställning som misstänkt i en brottmålsprocess där förundersökningen har lagts ned och den berörda polistjänstemannen varken åtalats eller lagförts för det aktuella brottet, i syfte att hantera polistjänstemannens karriär och kontrollera att han eller hon följer de regler som gäller för hans eller hennes tjänst, kan anses vara motiverad för att uppfylla en rättslig förpliktelse enligt nationell rätt som åvilar den offentliga myndighet som är den berörda polistjänstemannens arbetsgivare.
85 Inledningsvis bör det erinras om att enligt artikel 1.2 i dataskyddsförordningen, jämförd med skälen 4 och 10 i samma förordning, syftar förordningen bland annat till att säkerställa en hög skyddsnivå för fysiska personers grundläggande fri- och rättigheter med avseende på behandling av personuppgifter. Denna rättighet erkänns även i artikel 8 i stadgan och är nära knuten till rätten till respekt för privatlivet enligt artikel 7 i stadgan (se, för ett liknande resonemang, dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 61).
86 Enligt EU-domstolens praxis ska all behandling av personuppgifter dels vara förenlig med de i artikel 5 i förordningen angivna principerna för personuppgiftsbehandling, dels – med hänsyn till den princip om laglighet som föreskrivs i artikel 5.1 a – uppfylla något av de i artikel 6 uppräknade villkoren som gör att behandlingen anses vara laglig (dom av den 7 mars 2024, Endemol Shine Finland, C‑740/22, EU:C:2024:216, punkt 45 och där angiven rättspraxis).
87 Det bör även erinras om att det enligt artikel 5 i dataskyddsförordningen är den personuppgiftsansvarige som har bevisbördan bland annat för att uppgifterna har samlats in för särskilda, uttryckligt angivna och berättigade ändamål, att de är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas och att de behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (dom av den 4 oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punkt 97 och där angiven rättspraxis).
88 Eftersom de grunder som finns upptagna i artikel 6.1 första stycket b–f i denna förordning gör att en behandling av personuppgifter som sker utan samtycke från den registrerade kan vara laglig, måste de i detta sammanhang tolkas restriktivt (dom av den 4 oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punkt 96 och där angiven rättspraxis).
89 Även om det ankommer på den hänskjutande domstolen att avgöra huruvida en sådan behandling som den som är aktuell i det nationella målet är nödvändig för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarige i den mening som avses i artikel 17.3 b i dataskyddsförordningen, jämförd med artiklarna 6.1 första stycket c och 6.3 i samma förordning, får EU-domstolen ändå ge den hänskjutande domstolen användbara upplysningar för att avgöra det mål som är anhängigt där (se, för ett liknande resonemang, dom av den 4 oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punkt 98 och där angiven rättspraxis).
90 Såsom framgår av handlingarna i målet och särskilt av de förklaringar som den bulgariska regeringen lämnade vid förhandlingen, grundar sig lagringen av de uppgifter som är aktuella i det nationella målet på flera bestämmelser i de anvisningar som inrikesministern har antagit med stöd av ZMVR för att uppfylla de rättsliga förpliktelser som åvilar ministern enligt denna lag när det gäller hanteringen av anställdas personalakter och deras disciplinära ansvar samt i enlighet med den befogenhet som lagen ger ministern för att fastställa regler. Av dessa omständigheter framgår således att den behandling av uppgifter som är aktuell i det nationella målet kan vara nödvändig för att uppfylla rättsliga förpliktelser, i den mening som avses i artikel 6.1 första stycket c i dataskyddsförordningen, som avses i tillämplig nationell lagstiftning. Dessa förpliktelser genomförs i föreskrifter av den offentliga myndighet som ansvarar för behandlingen. Föreskrifterna utgör således den rättsliga grunden för den behandling av uppgifter som utförs av myndighetens anställda.
91 I detta avseende uppkommer frågan huruvida grunden för behandlingen, i den mening som avses i artikel 6.3 i dataskyddsförordningen, kan fastställas genom en regleringsakt som antagits av en offentlig myndighet i en medlemsstat på grundval av ett lagstadgat bemyndigande som föreskrivs i en nationell lagstiftningsakt för att uppfylla de rättsliga förpliktelser som åvilar denna myndighet.
92 Såsom anges i skäl 41 i dataskyddsförordningen innebär det inte nödvändigtvis, när det i denna förordning hänvisas till en rättslig grund eller lagstiftningsåtgärd, en lagstiftningsakt antagen av ett parlament, utan att detta påverkar krav som uppställs i den konstitutionella ordningen i den berörda medlemsstaten. En sådan rättslig grund eller lagstiftningsåtgärd bör dock vara tydlig och precis och dess tillämpning bör vara förutsebar för de registrerade, i enlighet med rättspraxis från EU-domstolen och Europeiska domstolen för de mänskliga rättigheterna.
93 I skäl 19 i dataskyddsförordningen preciseras dessutom att vad gäller behöriga myndigheters behandling av personuppgifter, i den mening som avses i direktiv 2016/680, för ändamål som omfattas av tillämpningsområdet för dataskyddsförordningen, bör medlemsstaterna kunna bibehålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. I sådana bestämmelser får det fastställas mer specifika krav för dessa behöriga myndigheters behandling av personuppgifter för dessa andra ändamål, med beaktande av respektive medlemsstats konstitutionella, organisatoriska och administrativa struktur.
94 Härav följer att artikel 6.3 i dataskyddsförordningen inte utgör hinder för att den rättsliga grunden för en behandling av personuppgifter fastställs av den offentliga myndighet som ansvarar för behandlingen i en regleringsakt som syftar till att uppfylla de rättsliga förpliktelser som åvilar den, i den mening som avses i artikel 6.1 första stycket c i förordningen, under förutsättning att myndigheten enligt nationell rätt har bemyndigats att anta denna rättsakt, att den rättsliga grunden är tydlig och precis och att dess tillämpning är förutsebar för de registrerade.
95 I förevarande fall framgår det av de handlingar som EU-domstolen har tillgång till att inrikesministerns anvisningar utgör regleringsakter som antagits med stöd av det lagstadgade bemyndigande som föreskrivs i ZMVR och att de offentliggörs i Bulgariens officiella tidning. Det återstår dock att särskilt pröva om ändamålen med behandlingen definieras på ett tydligt och precist sätt i denna rättsliga grund, vilket innebär att dess tillämpning är förutsebar i enlighet med artikel 6.3 i dataskyddsförordningen, jämförd med skäl 41 i samma förordning.
96 I detta avseende framgår det av handlingarna i målet vid EU-domstolen att myndighetens anvisningar, vad gäller de handlingar som ska finnas i den anställdes personalakt, hänvisar till handlingar som rör disciplinära förfaranden.
97 Det ankommer på den hänskjutande domstolen att mot bakgrund av samtliga relevanta bestämmelser i bulgarisk rätt bedöma om en sådan hänvisning på ett tillräckligt tydligt, precist och förutsebart sätt kan tolkas på så sätt att den omfattar lagring av uppgifter rörande en förundersökning som avser en anställd, även i de fall där den anställde i slutändan inte blev åtalad eller lagförd för det aktuella brottet och nämnda utredning inte ledde till ett disciplinärt förfarande.
98 Om så är fallet, uppkommer frågan huruvida den aktuella rättsliga förpliktelsen i enlighet med artikel 6.3 andra stycket i dataskyddsförordningen, i den mån den föreskriver en behandling av personuppgifter såsom den som är aktuell i det nationella målet, svarar mot ett mål av allmänt intresse och är proportionell mot det legitima mål som eftersträvas.
99 Vad gäller frågan huruvida den aktuella nationella lagstiftningen svarar mot ett mål av allmänt intresse, har den bulgariska regeringen i huvudsak anfört att det föreligger ett allmänt intresse av att lagra sådana uppgifter som de som är aktuella i det nationella målet, med hänsyn till de särartade uppgifter som polistjänstemän utför, som särskilt består i att upprätthålla den allmänna ordningen och skydda befolkningen.
100 Det är vedertaget, såsom generaladvokaten har påpekat i punkt 86 i sitt förslag till avgörande, att en polistjänstemans arbetsuppgifter ställer höga krav på uppförande och, såsom framgår av punkt 45 i denna dom, måste polistjänstemän i Bulgarien uppfylla högre moraliska och etiska krav än andra kategorier av arbetstagare eller anställda för att visa att de besitter de yrkesmässiga och mänskliga egenskaper som krävs för att utföra sina uppgifter. Såsom har påpekats i punkt 75 ovan är dessa uppföranderegler och kriterier för övrigt uttryckligt fastställda i den nationella lag som reglerar inrikesministeriets och dess anställdas verksamhet.
101 Det kan således anses att kravet på att polistjänstemän ska uppfylla sådana kriterier utgör ett mål av allmänt intresse och följaktligen ett legitimt mål, i den mening som avses i artikel 6.3 i dataskyddsförordningen, det vill säga att säkerställa redbarheten hos den personal som bland annat har till uppgift att upprätthålla den allmänna ordningen och skydda befolkningen.
102 Ett sådant legitimt mål kan följaktligen motivera att uppgifter som bland annat rör en polistjänstemans ställning som misstänkt i samband med en förundersökning lagras i dennes personalakt medan denna förundersökning pågår eller när den har lett till åtal eller till en fällande dom mot polistjänstemannen, eftersom den behöriga myndigheten i sådana fall, för att säkerställa iakttagandet av de uppföranderegler och kriterier som avses i punkt 100 ovan, kan vara skyldig att vidta säkerhetsåtgärder eller, i förekommande fall, disciplinära åtgärder.
103 I en sådan situation som den nu aktuella, där förundersökningen avseende den berörda polistjänstemannen i slutändan lades ned på grund av att gärningsmannens inte hade kunnat identifieras, och där det har konstaterats att det saknas bevisning på att polistjänstemannen har begått ett brott samt att inget disciplinärt förfarande har inletts mot honom, framgår det däremot inte av de uppgifter som EU-domstolen innehar att en nationell lagstiftning som föreskriver att lagringen av uppgifter avseende en sådan utredning är ägnad att uppfylla detta legitima mål.
104 Om det emellertid antas att den hänskjutande domstolen kommer fram till att den nationella lagstiftning som är aktuell i det nationella målet svarar mot ett legitimt mål, ankommer det dessutom på den att bedöma huruvida den nationella lagstiftning som föreskriver en sådan behandling är proportionerlig. Vad särskilt gäller lagringen av dessa uppgifter ska artikel 17.3 b i dataskyddsförordningen, jämförd med artikel 5.1 e i samma förordning, tolkas på så sätt att när lagringstiden för dessa uppgifter är längre än vad som är nödvändigt för att uppfylla denna förpliktelse, kan den registrerade återfå sin rätt att få uppgifterna raderade, bland annat av det skäl som anges i artikel 17.1 a i förordningen. Det ankommer således, i förekommande fall, på den hänskjutande domstolen att kontrollera huruvida lagringstiden för de uppgifter som avser brottmålsprocessen mot CL inte har varit orimligt lång.
105 Det bör tilläggas att eftersom artiklarna 7–11 i dataskyddsförordningen, vilka i likhet med artiklarna 5 och 6 ingår i förordningens kapitel II om principer, syftar till att precisera omfattningen av den personuppgiftsansvariges skyldigheter enligt artiklarna 5.1 a och 6.1 i förordningen, måste behandlingen av personuppgifter för att vara laglig, såsom framgår av domstolens praxis, även iaktta dessa övriga bestämmelser i detta kapitel II, vilka i princip avser samtycke, behandling av särskilda kategorier av känsliga personuppgifter och behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott (dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda), C‑60/22, EU:C:2023:373, punkt 58 och där angiven rättspraxis).
106 De uppgifter som är aktuella i det nationella målet utgör personuppgifter ”som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder”, i den mening som avses i artikel 10 i dataskyddsförordningen, vars behandling omfattas av de ytterligare villkor för laglighet som föreskrivs i nämnda artikel 10, och detta oberoende av om det under förundersökningen inte har fastställts att det brott för vilket personen var misstänkt har begåtts. Enligt denna bestämmelse får behandling av dessa uppgifter ”endast utföras under kontroll av en myndighet”, förutom om den är ”tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs” (se, för ett liknande resonemang, dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter), C‑136/17, EU:C:2019:773, punkterna 72 och 73).
107 I förevarande fall utförs den behandling som är aktuell i det nationella målet, såsom generaladvokaten har konstaterat i punkt 98 i sitt förslag till avgörande, uteslutande inom inrikesministeriet i dess egenskap av personuppgiftsansvarig. Följaktligen utförs denna behandling ”under kontroll av en myndighet” i den mening som avses i artikel 10 i dataskyddsförordningen.
108 Vad slutligen gäller den begäran om radering enligt artikel 17 i dataskyddsförordningen som är aktuell i det nationella målet, bör det noteras att, såsom Europeiska kommissionen har påpekat, om den hänskjutande domstolen efter sin prövning av huruvida nämnda behandling är laglig skulle komma fram till att behandlingen inte är laglig, ankommer det på inrikesministeriet att i egenskap av personuppgiftsansvarig, i enlighet med artikel 17.1 d i dataskyddsförordningen, radera de berörda uppgifterna utan onödigt dröjsmål, eftersom inget av de undantag som föreskrivs i artikel 17.3 i dataskyddsförordningen är tillämpligt (se, för ett liknande resonemang, dom av den 4 oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punkt 118 och där angiven rättspraxis).
109 Mot bakgrund av det ovan anförda ska den femte och den sjätte frågan besvaras enligt följande. Artikel 17.3 b i dataskyddsförordningen, jämförd med artiklarna 6.1 första stycket c och 6.3 i samma förordning, samt mot bakgrund av artikel 52.1 i stadgan, ska tolkas på så sätt att lagring i en polistjänstemans personalakt av personuppgifter som rör hans eller hennes ställning som misstänkt i en brottmålsprocess där förundersökningen har lagts ned och den berörda polistjänstemannen varken åtalats eller lagförts för det aktuella brottet, i syfte att hantera polistjänstemannens karriär och kontrollera att han eller hon följer de regler som gäller för hans eller hennes tjänst, kan anses vara motiverad för att uppfylla en rättslig förpliktelse enligt nationell rätt som åvilar den offentliga myndighet som är den berörda polistjänstemannens arbetsgivare. Detta gäller dock under förutsättning att denna rättsliga grund är tydlig och precis, att dess tillämpning är förutsebar för de registrerade och att den aktuella rättsliga förpliktelsen svarar mot ett mål av allmänt intresse och står i proportion till detta mål.
Fråga 10
110 Mot bakgrund av svaren på frågorna 1–3 och 5–9, av vilka det framgår att begäran om radering av de personuppgifter som är aktuella i det nationella målet omfattas av dataskyddsförordningen och särskilt av artikel 17 däri, saknas det anledning att besvara den tionde frågan, eftersom den avser samma begäran, men med stöd av artikel 16.2 i direktiv 2016/680.
Fråga 11
111 Den hänskjutande domstolen har ställt den elfte frågan för att få klarhet i huruvida artikel 1 i direktiv 2000/78 ska tolkas på så sätt att detta direktiv utgör hinder för att en offentlig myndighet – inom vilken ett av direktoraten ansvarar för att genomföra förundersökningar som avser myndighetens anställda – vägrar, i sin egenskap av arbetsgivare, att befordra en anställd enbart av det skälet att han eller hon har haft ställning som misstänkt i en brottmålsprocess där förundersökningen i slutändan lades ned och den anställde varken åtalades eller lagfördes för det aktuella brottet.
112 Såsom framgår av artikel 1 i direktiv 2000/78 är syftet med direktivet att fastställa en allmän ram för bekämpning av diskriminering i arbetslivet på grund av religion eller övertygelse, funktionshinder, ålder eller sexuell läggning. Såsom framgår av bland annat artikel 2.1 i direktivet är dessa skäl uttömmande uppräknade (se, för ett liknande resonemang, dom av den 21 maj 2015, SCMD, C‑262/14, EU:C:2015:336, punkt 29 och där angiven rättspraxis, samt dom av den 9 mars 2017, Milkova, C‑406/15, EU:C:2017:198, punkt 34 och där angiven rättspraxis).
113 En vägran att befordra en anställd på grund av att denne har varit misstänkt i samband med en förundersökning som i slutändan lades ned omfattas således inte av tillämpningsområdet för direktiv 2000/78.
114 Vad gäller diskriminering som grundas på själva anställningsförhållandet har EU-domstolen slagit fast att en sådan diskriminering inte omfattas av den allmänna ram som införs genom direktiv 2000/78 (dom av den 9 mars 2017, Milkova, C‑406/15, EU:C:2017:198, punkt 44 och där angiven rättspraxis).
115 Den elfte frågan ska således besvaras enligt följande. Artikel 1 i direktiv 2000/78 ska tolkas på så sätt att direktivet inte är tillämpligt när en offentlig myndighet, inom vilken ett av direktoraten ansvarar för att genomföra förundersökningar som avser myndighetens anställda, vägrar, i sin egenskap av arbetsgivare, att befordra en anställd enbart av det skälet att han eller hon har haft ställning som misstänkt i en brottmålsprocess där förundersökningen lades ned och den anställde varken åtalades eller lagfördes för det aktuella brottet.
Rättegångskostnader
116 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.
Mot denna bakgrund beslutar domstolen (femte avdelningen) följande:
1) Artikel 2.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), och artikel 9.1 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF,
ska tolkas på följande sätt:
Förordning 2016/679 är tillämplig på verksamhet som utförs av ett direktorat inom en offentlig myndighet och som består i att i en av myndighetens anställdas personalakt lagra uppgifter om dennes ställning som misstänkt i en förundersökning. Det saknar i detta avseende betydelse att det berörda direktoratet har erhållit dessa uppgifter från ett annat direktorat inom samma myndighet, vilket har befogenhet att genomföra brottsutredningar.
2) Artikel 17.3 b i förordning 2016/679, jämförd med artiklarna 6.1 första stycket c och 6.3 i samma förordning, samt mot bakgrund av artikel 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna,
ska tolkas på följande sätt:
Lagring i en polistjänstemans personalakt av personuppgifter som rör hans eller hennes ställning som misstänkt i en brottmålsprocess där förundersökningen lagts ned och den berörda polistjänstemannen varken åtalats eller lagförts för det aktuella brottet, i syfte att hantera polistjänstemannens karriär och kontrollera att han eller hon följer de regler som gäller för hans eller hennes tjänst, kan anses vara motiverad för att uppfylla en rättslig förpliktelse enligt nationell rätt som åvilar den offentliga myndighet som är den berörda polistjänstemannens arbetsgivare. Detta gäller dock under förutsättning att denna rättsliga grund är tydlig och precis, att dess tillämpning är förutsebar för de registrerade och att den aktuella rättsliga förpliktelsen svarar mot ett mål av allmänt intresse och står i proportion till detta mål.
3) Artikel 1 i rådets direktiv 2000/78/EG av den 27 november 2000 om inrättande av en allmän ram för likabehandling i arbetslivet
ska tolkas på följande sätt:
Direktiv 2000/78 är inte tillämpligt när en offentlig myndighet – inom vilken ett av direktoraten ansvarar för att genomföra förundersökningar som avser myndighetens anställda – vägrar, i sin egenskap av arbetsgivare, att befordra en anställd enbart av det skälet att han eller hon har haft ställning som misstänkt i en brottmålsprocess där förundersökningen lades ned och den anställde varken åtalades eller lagfördes för det aktuella brottet.
Underskrifter
* Rättegångsspråk: bulgariska.
i Förevarande mål har getts ett fiktivt namn. Detta namn är inte någon av rättegångsdeltagarnas verkliga namn.