lagen.
EU-domstolen

Artiklarna 4.1 c, 8.1 och 10 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF

CELEX
62025CC0005
Typ
EU-domstolen

Källa

Preliminär utgåva

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

DEAN SPIELMANN

föredraget den 5 mars 2026( 1 )

Mål C ‑ 5/25 [Pilev] ( i )

Brottmål

mot

WE

ytterligare deltagare i rättegången:

Sofiyska gradska prokuratura

(begäran om förhandsavgörande från Sofiyski gradski sad (Stadsdomstolen i Sofia, Bulgarien))

” Begäran om förhandsavgörande – Straffrättsligt samarbete – Skydd för fysiska personer med avseende på behandling av personuppgifter i samband med straffrättsliga förfaranden – Domstolar som behandlar personuppgifter inom ramen för sin dömande verksamhet – Huruvida direktiv (EU) 2016/680 är tillämpligt – Kontroll av den tilltalades identitet vid en offentlig förhandling – Uppgifter om födelseort, nationalitet, hemvist, utbildning, familjeförhållanden, anmärkningar i belastningsregistret och ’kulturell identitet’ ”

Inledning

1. Förevarande mål avser omfattningen av en nationell brottmålsdomstols insamling av personuppgifter om en tilltalad endast i syfte att kontrollera att personen verkligen är den person som avses i åtalet. Målet avser dock inte frågan om domstolens oavhängighet inom ramen för sitt uppdrag som domstol som prövar målet i sak eller dess handlingsutrymme för att fråga ut den tilltalade i det avseendet.

2. Målet ger således domstolen tillfälle att klargöra tillämpningsområdet för direktiv (EU) 2016/680( 2 ) i förhållande till förordning (EU) 2016/679( 3 ) och att befästa sin rättspraxis vad gäller proportionalitet i förhållande till det eftersträvade målet med en brottsmålsdomstols behandling genom insamling av personuppgifter.

Tillämpliga bestämmelser

Direktiv 2016/680

3. Artikel 1 i direktivet har rubriken ”Syfte och mål”, och i artikel 1.1 föreskrivs följande:

”I detta direktiv fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.”

4. Artikel 2 i direktivet har rubriken ”Tillämpningsområde”, och i artikel 2.1 i föreskrivs följande:

”Detta direktiv ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1.”

5. Artikel 3 i direktiv 2016/680, med rubriken ”Definitioner”, har följande lydelse:

”I detta direktiv avses med

7. behörig myndighet :

a) en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten, eller

b) annat organ eller annan enhet som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten,

…”

6. Artikel 4 i direktivet, med rubriken ”Principer för behandling av personuppgifter”, har följande lydelse:

”1. Medlemsstaterna ska föreskriva att personuppgifter ska

c) vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas,

…”

7. Artikel 8 i direktivet har rubriken ”Laglig behandling av personuppgifter”, och i artikel 8.1 i föreskrivs följande:

”Medlemsstaterna ska föreskriva att behandling ska vara laglig endast om och i den mån behandlingen är nödvändig för att utföra en uppgift som utförs av en behörig myndighet för de ändamål som anges i artikel 1.1 och som sker på grundval av unionsrätt eller medlemsstaternas nationella rätt.”

8. Artikel 10 i direktiv 2016/680, med rubriken ”Behandling av särskilda kategorier av personuppgifter”, har följande lydelse:

”Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt behandling av genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara tillåten endast om det är absolut nödvändigt och under förutsättning att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter och endast

a) om behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt,

b) för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person, eller

c) om behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.”

Bulgarisk rätt

Straffprocesslagen (NPK)

9. Artikel 138.2 och 138.3 i Nakazatelno-protsesualen kodeks (straffprocesslagen)( 4 ) av den 29 april 2006 (nedan kallad NPK) har följande lydelse:

”…

(2) Före förhöret ska den behöriga myndigheten fastställa den tilltalades identitet.

(3) Förhöret med den tilltalade ska inledas med att den tilltalade tillfrågas om han eller hon förstår anklagelsen. Den tilltalade ska därefter anmodas att, om han eller hon så önskar, med egna ord ange allt han eller hon känner till om saken.”

10. I artikel 272.1 NPK anges följande:

”Ordföranden ska kontrollera den tilltalades identitet genom att be vederbörande uppge fullständigt namn, födelsedatum och födelseort, kulturell identitet, nationalitet, hemvist, utbildning, familjeförhållanden och personligt identifieringsnummer samt anmärkningar i belastningsregistret.”

11. I artikel 311.1 led 2 NPK föreskrivs följande:

”Protokollet från domstolsförhandlingen … ska innehålla … uppgifter som identifierar den tilltalade.”

Folkbokföringslagen (ZGR)

12. I artikel 8.1 i zakon za grazhdanskata registratsia (folkbokföringslagen)( 5 ) av den 27 juli 1999 (nedan kallad ZGR) föreskrivs att de viktigaste folkbokföringsuppgifterna är namn, födelsedatum (dag, månad, år), födelseort, kön, nationalitet och personligt identifieringsnummer.

Lagen om bulgariska identitetshandlingar (ZBLD)

13. I artikel 3.1 i zakon za balgarskite lichni dokumenti (lagen om bulgariska identitetshandlingar)( 6 ) av den 1 april 1999 (nedan kallad ZBLD) föreskrivs följande:

”Identitetshandlingar styrker identiteten och, vid behov, nationaliteten med hjälp av de uppgifter som anges däri.”

14. I artikel 6 ZBLD föreskrivs följande:

”Medborgare är skyldiga att identifiera sig på begäran av behöriga offentliga tjänstemän som fastställs i lag.”

15. Artikel 16.1 ZBLD har följande lydelse:

”Bulgariska identitetshandlingar ska innehålla följande obligatoriska personuppgifter:

1. Namn.

2. Födelsedatum.

3. Personligt identifieringsnummer (identifieringsnummer eller utländskt identifieringsnummer).

4. Kön.

5. Nationalitet.”

Lagen om domstolsväsendet (ZSV)

16. I artikel 8.2 i zakon za sadebnata vlast (lagen om domstolsväsendet)( 7 ) (nedan kallad ZSV) föreskrivs följande:

”Vid utövandet av dömande verksamhet … får inga rättigheter inskränkas eller fördelar beviljas på grundval av… kulturell identitet …”

Målet vid den nationella domstolen , tolkningsfrågan och förfarandet vid EU-domstolen

17. Sofiyska gradska prokuratura (allmänna åklagarmyndigheten i Sofia stad, Bulgarien) väckte åtal vid Sofiyski gradski sad (Stadsdomstolen i Sofia, Bulgarien), som är den hänskjutande domstolen, och gjorde gällande att en fysisk person den 6 september 2023 hade mutat polismän i Sofia för att undgå fastställandet av en administrativ överträdelse, nämligen framförande av ett motorfordon utan körkort, samtidigt som personen i fråga på samma plats hade utövat yrket som taxichaufför, utan att inneha nödvändigt tillstånd. Det har gjorts gällande att dessa gärningar utgör brott.

18. Till den första domstolsförhandlingen som ägde rum den 5 juli 2024 inställde sig en företrädare för åklagarmyndigheten i Sofia stad, den tilltalade och hans försvarare. Den hänskjutande domstolen inledde förfarandet och i enlighet med artikel 272.1 NPK skulle avdelningens ordförande kontrollera den tilltalades identitet och höra honom angående de omständigheter som anges i denna bestämmelse.

19. På grundval av det identitetskort som den tilltalade uppvisade förvissade sig avdelningsordföranden om att personen framför honom var den person som åtalet avsåg. Ordföranden underlät emellertid att till den tilltalade ställa de frågor om den tilltalades identitet som föreskrivs i artikel 272.1 NPK och målet vilandeförklarades.

20. Den hänskjutande domstolen anmodade Konstitutsionen sad (Författningsdomstolen, Bulgarien) att fastställa att artikel 272.1 NPK inte är förenlig med vissa bestämmelser i Konstitutsia na Republika Bulgaria (Republiken Bulgariens konstitution).( 8 ) Eftersom författningsdomstolen beslutade att inte avgöra målet i sak, beslutade den hänskjutande domstolen att framställa förevarande begäran om förhandsavgörande.

21. Den hänskjutande domstolen har påpekat att även om den, såsom den gjorde vid den första förhandlingen, med tillräcklig säkerhet kan identifiera den tilltalade genom att granska dennes identitetshandling, som innehåller alla nödvändiga individualiserande uppgifter, är den förfrågan om identifieringsuppgifter som föreskrivs i artikel 272.1 NPK användbar för att öka vissheten om att den person som har inställt sig genom sina svar bekräftar att han eller hon verkligen är den tilltalade, det vill säga att den identitetshandling som används inte tillhör någon annan eller är förfalskad. Den hänskjutande domstolen har dock uppgett att det räcker att be den person som har inställt sig att uppge fullständigt namn, födelsedatum och personligt identifieringsnummer för att identifiera personen.

22. Den hänskjutande domstolen vill följaktligen få klarhet i huruvida den, genom att vid offentlig förhandling fråga ut den person som har inställt sig vid domstolen om de ytterligare upplysningar som avses i artikel 272.1 NPK – nämligen födelseort, kulturell identitet, nationalitet, hemvist, utbildning, familjeförhållanden och anmärkningar i belastningsregistret – och anteckna de muntliga svaren i domstolsprotokollet, åsidosätter kravet i direktiv 2016/680 att behandlingen av personuppgifter ska vara nödvändig. Dessa ytterligare upplysningar är inte nödvändiga för en tillförlitlig och fullständig identifiering av den tilltalade, och insamlingen av dessa är därför för omfattande i förhållande till syftet med artikel 272.1 NPK, nämligen att identifiera den tilltalade.

23. Den hänskjutande domstolen har påpekat att en del av de personuppgifter som avses i artikel 272.1 NPK kan användas för andra ändamål. Uppgiften om hemvist kan användas för att fastställa den adress till vilken kallelsen till den tilltalade ska skickas, och uppgifter om att den tilltalade har anmärkningar i belastningsregistret kan också vara viktiga för individualiseringen av påföljden.

24. Den hänskjutande domstolen har emellertid framhållit att dessa uppgifter, vilka samlas in redan innan förundersökningen inleds, inte avser fastställandet av den tilltalades identitet. Det räcker inte heller att fråga ut den tilltalade och registrera hans svar för att fastställa dessa omständigheter på ett tillförlitligt sätt. Enligt nationell rätt kan slutligen information som blir känd vid fastställandet av identiteten på den person som har inställt sig inte användas för att fatta avgörandet i sak. Domstolen fastställer först identiteten på den person som har inställt sig vid domstolen och informerar först därefter personen om dennes rättigheter. Dessa upplysningar (kulturell identitet, anmärkningar i belastningsregistret, folkbokföringsuppgifter, utbildningsnivå) har följaktligen inte något bevisvärde.

25. Den hänskjutande domstolen är följaktligen tveksam till huruvida artikel 272.1 NPK uppfyller kraven i artiklarna 4.1 c och 8.1 i direktiv 2016/680. Den hänskjutande domstolen anser att insamlingen och registreringen i domstolsprotokollet och den efterföljande lagringen i domstolshandlingarna av personuppgifter, som avser födelseort, kulturell identitet, nationalitet, hemvist, utbildning, familjeförhållanden och anmärkningar i belastningsregistret, är för omfattande i förhållande till syftena med det straffrättsliga förfarandet. Den är även tveksam till huruvida artikel 272.1 NPK är förenlig med artikel 10 i direktiv 2016/680, såvitt bestämmelsen avser uppgifter om den tilltalades kulturella identitet, eftersom dessa uppgifter avslöjar personens etniska ursprung.

26. Mot denna bakgrund beslutade Sofiyski gradski sad (Stadsdomstolen i Sofia) att vilandeförklara målet och ställa följande tolkningsfråga till EU-domstolen:

”Är en nationell bestämmelse, såsom artikel 272.1 [NPK], enligt vilken personuppgifter om födelseort, kulturell identitet, nationalitet, hemvist, utbildning, familjeförhållanden och anmärkningar i belastningsregistret ska behandlas (samlas in, registreras och lagras) för att fastställa den tilltalades identitet, förenlig med artiklarna 4.1 [c], 8.1 och 10 … i direktiv 2016/680, om de sålunda insamlade personuppgifterna inte på något sätt är nödvändiga för det straffrättsliga förfarandet?”

27. Skriftliga yttranden har inkommit från Europeiska kommissionen, vilken även yttrade sig muntligen vid den offentliga förhandlingen den 3 december 2025.

Bedömning

28. Även om det framgår av begäran om förhandsavgörande att den hänskjutande domstolen anser att det är utrett att den omtvistade nationella bestämmelsen omfattas av tillämpningsområdet för direktiv 2016/680, så är det lämpligt, innan den hänskjutande domstolens tolkningsfråga prövas i sak, att analysera frågan huruvida direktiv 2016/680 är tillämpligt, en fråga som för övrigt en stor del av förhandlingen ägnades åt.

Huruvida direktiv 2016/680 är tillämpligt

29. Först och främst ska det påpekas att frågan huruvida det är fråga om ”behandling av personuppgifter” inte är aktuell i det nationella målet. Det framgår nämligen av begäran om förhandsavgörande att de aktuella personliga identifieringsuppgifterna samlas in, registreras i domstolsprotokollet och lagras i akten i målet. Även om det skulle anses att uppgifterna har samlats in tidigare av den behöriga myndigheten enligt nationell rätt,( 9 ) är för övrigt begreppet behandling omfattande och innefattar granskning och lagring av den hänskjutande domstolen. Villkoret om att det ska föreligga en ”behandling av personuppgifter” är således uppfyllt.

30. Vidare framgår det av lydelsen i artikel 2.1 i direktiv 2016/680, jämförd med artikel 1.1 i direktivet, att det uppställs två villkor för att en behandling av personuppgifter ska omfattas av direktivets tillämpningsområde. För det första ska behandlingen utföras av en behörig myndighet , i den mening som avses i artikel 3.7 i direktivet och, för det andra, ska behandlingen utföras för ett av de ändamål som anges i artikel 1.1 i direktiv 2016/680, det vill säga för att ”förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten”. Dataskyddsförordningen, vilken utgör lex generalis i fråga om behandling av personuppgifter, utesluter omvänt behandling av personuppgifter som ”behöriga myndigheter” utför för dessa ändamål från sitt tillämpningsområde,( 10 ) då direktiv 2016/680 utgör tillämplig lex specialis på området.( 11 )

31. Vad, för det första, beträffar frågan huruvida en domstol kan ingå i den personkrets på vilken direktiv 2016/680 är tillämpligt ( ratione personae ), är svaret enligt min mening jakande. Artikel 3.7 a i direktivet kan nämligen, med uttrycket ”offentlig myndighet som har behörighet”, syfta på inte bara polismyndigheter, utan även nationella brottmålsdomstolar.( 12 ) Även om ett sådant konstaterande inte följer uttryckligen av definitionen av begreppet ”offentlig myndighet som har behörighet”, följer den logiskt sett av det sammanhang som denna bestämmelse ingår i, och i synnerhet av flera bestämmelser i direktiv 2016/680.

32. I artikel 32.1 i direktivet föreskrivs nämligen att medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska utnämna ett dataskyddsombud och att medlemsstaterna får undanta domstolars och andra oberoende rättsliga myndigheters ”dömande verksamhet” från denna skyldighet. Artikel 45.2 i direktivet, jämförd med skäl 80 i direktivet,( 13 ) omfattar på samma sätt uttryckligen de nationella domstolarna genom att utesluta all behörighet för tillsynsmyndigheten när det gäller ”domstolar som behandlar personuppgifter inom ramen för sin dömande verksamhet”,( 14 ) för att inte kollidera med de särskilda reglerna för det straffrättsliga förfarandet och med domstolsväsendets oavhängighet.

33. Dessa bestämmelser bekräftar att domstolar, inom ramen för sin dömande verksamhet, omfattas av de skyldigheter som uppställs i direktiv 2016/680, då deras oavhängighet och opartiskhet bevaras inom denna ram.( 15 )

34. Vidare omnämns rättsliga myndigheter uttryckligen i skäl 11 i direktiv 2016/680, där det anges att ”[s]ådana behöriga myndigheter kan omfatta … offentliga myndigheter såsom rättsliga myndigheter …”. Skälen 20, 49 och 107 och artikel 18 i detta direktiv( 16 ) hänvisar även till ”domstolars och andra rättsliga myndigheters” behandling av personuppgifter, ”särskilt när det gäller personuppgifter som ingår i ett domstolsbeslut eller i protokoll avseende straffrättsliga förfaranden”.( 17 )

35. De nationella domstolarna ska följaktligen anses utgöra ”offentliga myndigheter som har behörighet”, i den mening som avses i direktiv 2016/680, och anses omfattas av direktivets bestämmelser när de behandlar personuppgifter i ett domstolsbeslut eller i protokoll avseende straffrättsliga förfaranden.( 18 )

36. För det andra uppkommer den mer känsliga frågan huruvida en behandling som utförs av en domare inom ramen för ett straffrättsligt domstolsförfarande kan anses ingå i det materiella tillämpningsområdet ( ratione materiae ) för direktiv 2016/680. Denna fråga – som såvitt jag vet är ny( 19 ) – innebär att det ska utrönas huruvida denna behandling syftar till ett av de ändamål som anges artiklarna 1.1 och 3.7 a i direktiv 2016/680, och i synnerhet ändamålet att ”lagföra brott” på det straffrättsliga området.

37. Det ska erinras om att domstolen redan har slagit fast, i domen Inspektor v Inspektorata kam Visshia sadeben savet (Ändamålen med behandlingen av personuppgifter – Brottsutredning),( 20 ) att de ändamål som omnämns i artikel 1 i direktiv 2016/680 utgör lika många olika ändamål för att ”förebygga”, ”förhindra”, ”utreda”, ”avslöja”, ”lagföra” brott och ”verkställa straffrättsliga påföljder”. Den domen har således gjort det möjligt att klargöra att unionslagstiftaren har haft för avsikt att anta regler som motsvarar de särdrag som kännetecknar de verksamheter som de behöriga myndigheterna bedriver på det område som omfattas av direktivet, med beaktande av att de utgör skilda verksamheter med särskilda ändamål.( 21 )

38. Som generaladvokaten Campos Sánchez-Bordona påpekade i sitt förslag till avgörande syftar visserligen begreppet ”lagföra brott”, utom i den spanska språkversionen av det nämnda direktivet, på en verksamhet som föregår domstolsförfarandet.( 22 ) Med förbehåll för de skillnader som finns i medlemsstaternas rättsordningar, avser detta uttryck i allmänhet samtliga handlingar som vidtas och förfaranden som inleds av allmänna åklagarmyndigheten (åklagarmyndigheten eller åklagaren) mot en person som misstänks ha begått ett brott, i syfte att ställa personen inför rätta för att få fastställt huruvida personen är skyldig eller oskyldig.( 23 )

39. För att fastställa det materiella tillämpningsområdet ( ratione materiae ) för direktiv 2016/680, anser jag emellertid att det är mer relevant att förstå begreppet ”lagföra brott” utifrån ändamålet med lagföring av brott, istället för att försöka skilja mellan den ”lagförande myndighetens” roll och domarens roll inom ramen för det straffrättsliga domstolsförfarandet. Direktivets bestämmelser är nämligen tillämpliga med avseende på behandling av personuppgifter ”för att” lagföra brott.

40. En sådan teleologisk betydelse förutsätter enligt min mening en vid tolkning av begreppet ”lagförande verksamhet”, som kan omfatta viss verksamhet vid brottmålsdomstolar som sker inom ramen för ett domstolsförfarande. Behandling av personuppgifter som utförs av en domare inom ramen för ett straffrättsligt domstolsförfarande kan nämligen, under vissa omständigheter som är avhängiga av i synnerhet de nationella processrättsliga systemen,( 24 ) anses göra det möjligt att styrka att de handlingar som läggs den tilltalade till last är tillräckligt övertygande och att den straffrättsliga kvalificeringen av handlingarna är riktig, för att slutligen leda till en dom.( 25 ) I det avseendet kan behandlingen av uppgifter av den domstol som är personuppgiftsansvarig anses ha utförts ”för att lagföra brott”, i den mening som avses i de relevanta bestämmelserna i direktiv 2016/680.

41. I det sammanhanget kan ”lagförande” verksamhet omfatta inte bara den utredning som görs av polisen och åklagarens beslut att eventuellt väcka åtal, utan även förundersökningen, väckande av åtal vid en domstol och, i förekommande fall, ett sådant straffrättsligt domstolsförfarande som det som är i fråga i målet vid den nationella domstolen.

42. Jag vill för övrigt påpeka att i förevarande fall, såsom framgår av begäran om förhandsavgörande, har den hänskjutande domstolen, vid vilken åklagaren väckte åtal, efter polisens utredning fortsatt med förfarandet och själv bedrivit utredningsverksamhet,( 26 ) vilken inleds med en kontroll av den tilltalades identitet enligt artikel 272 NPK och fortsätter med ett avgörande i sak av samma domstol. Sistnämnda domstol har således till uppdrag att ”genomföra domstolsförfarandet i samband med lagföring av brott efter det att åklagaren har väckt åtal”. Enligt den hänskjutande domstolen rör det sig om rättegångsfasen i det straffrättsliga förfarande som inletts för att lagföra brott. I det sammanhanget får begreppet ”lagförande verksamhet” som bedrivs inom ramen för det straffrättsliga domstolsförfarande sin fulla innebörd.

43. Jag vill tillägga att detta vida synsätt på begreppet ”lagförande verksamhet”, förutom att det har fördelen av att inte inverka på de olika nationella systemen på det straffrättsliga området, inte strider mot principen att undantagen från tillämpningen av dataskyddsförordningen, som är lex generalis , ska tolkas restriktivt.( 27 ) Detta synsätt leder nämligen inte till att det straffrättsliga domstolsförfarandet undgår lagstiftningen om skydd för personuppgifter, utan att förfarandet omfattas av lex specialis på området, som särskilt föreskrivs i artikel 2.2 d i dataskyddsförordningen.

44. Slutligen anser jag att det teleologiska synsättet på begreppet ”lagförande verksamhet” följer av tillkomsthistorien bakom direktiv 2016/680 och överensstämmer med direktivets mål.

45. Vad, för det första, beträffar direktivets tillkomsthistoria, vill jag påpeka att med ikraftträdandet av Lissabonfördraget framstod artikel 16 FEUF som den relevanta rättsliga grunden för att revidera rambeslut 2008/977/RIF.( 28 ) I skäl 10 i direktiv 2016/680 anges det att i förklaring nr 21 om skydd av personuppgifter på området för straffrättsligt samarbete och polissamarbete, fogad till slutakten från den regeringskonferens som antog Lissabonfördraget,( 29 ) bekräftade konferensen att det med hänsyn till dessa områdens särart kan komma att bli nödvändigt att anta särskilda regler om skydd av personuppgifter och om det fria flödet av personuppgifter på områdena för straffrättsligt samarbete och polissamarbete med stöd av artikel 16 FEUF. Kommissionen föreslog därför två rättsakter, en allmän rättsakt i form av en förordning som kom att bli dataskyddsförordningen och en annan specifik rättsakt som avsåg uppgiftsskydd på det straffrättsliga området,( 30 ) vilket ansågs vara känsligare och som således blev föremål för ett direktiv som krävde införlivande från medlemsstaternas sida, vilken kom att bli direktiv 2016/680, som är tillämpligt på alla handlingar som kan vidtas av straffrättsliga aktörer, oavsett huruvida dessa handlingar har en gränsöverskridande dimension eller ej.( 31 )

46. Unionens förhållningssätt har således bestått i att särskilja behandling av uppgifter i polisiära och straffrättsliga sammanhang från annan behandling av personuppgifter, för att beakta den särskilda arten av det område som omfattas av direktiv 2016/680, nämligen skydd av personuppgifter på området för straffrättsligt samarbete och polissamarbete, såsom framgår av skälen 10 och 11 i detta direktiv.

47. Vad, för det andra, beträffar målen med direktiv 2016/680, syftar direktivet bland annat, såsom framgår av skälen 4, 7 och 15 i direktivet, till att säkerställa en enhetlig och hög skyddsnivå för fysiska personers personuppgifter och att underlätta utbytet av sådana uppgifter mellan behöriga myndigheter i medlemsstaterna för att säkerställa ett effektivt straffrättsligt samarbete och polissamarbete.

48. Jag vill påpeka att det dubbla systemet för uppgiftsskydd kan, såsom har framhållits i doktrinen, ge upphov till icke försumbara svårigheter att fastställa vilken rättsakt som är relevant av dataskyddsförordningen eller direktiv 2016/680.( 32 )

49. Det är följaktligen ännu viktigare att behandlingen av personuppgifter, inom ramen för samma straffrättsliga förfarande, inte omfattas av två olika rättsakter, enbart på grund av att dessa behandlingar har utförts av olika brottsbekämpande myndigheter i olika skeden av samma förfarande. Om de brottmålsdomstolar som dömer i det straffrättsliga förfarandet var undantagna från tillämpningsområdet för direktiv 2016/680, skulle det – såsom kommissionen framhöll vid förhandlingen – leda till ett fragmenterat regelverk där två rättsakter skulle kunna vara tillämpliga i ett och samma straffrättsliga förfarande, beroende på det aktuella skedet i förfarandet.

50. Ett sådant förhållningssätt skulle enligt min mening strida inte bara mot rättssäkerhetsprincipen,( 33 ) utan även mot det enhetliga och konsekventa skyddet för personuppgifter.

51. I vissa fall har dessutom de brottsbekämpande myndigheterna större flexibilitet vid utövandet av sina uppgifter inom ramen för direktiv 2016/680 än vad de skulle ha haft inom ramen för dataskyddsförordningen.( 34 ) I synnerhet ska behandling av ”särskilda kategorier av personuppgifter”, vilka innefattar så kallade känsliga uppgifter, vara tillåten endast om det är absolut nödvändigt enligt artikel 10 i direktivet, medan sådan behandling är förbjuden enligt artikel 9.1 i dataskyddsförordningen, om inte annat föreskrivs i artikel 9.2 i förordningen. I artikel 4.1 c i direktiv 2016/680, som avser principen om uppgiftsminimering, föreskrivs likaså att personuppgifter ska vara adekvata, relevanta och inte för omfattande, medan det i artikel 5.1 c i dataskyddsförordningen föreskrivs att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

52. Tillämpningen av direktiv 2016/680 under hela det straffrättsliga förfarandet är således än mer motiverad då bestämmelserna om skydd av personuppgifter kan skilja sig från bestämmelserna i dataskyddsförordningen i vissa avseenden.

53. Slutligen är det svårt att förena ett fragmenterat förhållningssätt i förhållande till det straffrättsliga förfarandet med målet, som anges i skäl 7 i direktiv 2016/680, att underlätta utbytet av personuppgifter mellan behöriga myndigheter i medlemsstaterna för att säkerställa ett effektivt straffrättsligt samarbete och polissamarbete.

54. Av det ovan anförda följer att behandling av personuppgifter som utförs av en nationell domstol i samband med prövningen av ett brottmål omfattas av tillämpningsområdet för direktiv 2016/680 i egenskap av behandling som utförs av en behörig myndighet för att lagföra brott.

Prövning i sak

55. Den hänskjutande domstolen vill i huvudsak få klarhet i huruvida artiklarna 4.1 c, 8.1 och 10 i direktiv 2016/680 utgör hinder för en nationell bestämmelse som föreskriver att en brottmålsdomstol systematiskt ska kontrollera samtliga uppgifter som avses i artikel 272.1 NPK, endast i syfte att identifiera den tilltalade inom ramen för ett straffrättsligt domstolsförfarande.( 35 )

56. Jag vill erinra om att de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter, vilka garanteras i artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan), inte utgör några absoluta rättigheter. Begränsningar får således göras under förutsättning att de, i enlighet med artikel 52.1 i stadgan, är föreskrivna i lag och är förenliga med det väsentliga innehållet i de grundläggande rättigheterna och med proportionalitetsprincipen.( 36 )

57. Principen om uppgiftsminimering, som föreskrivs i artikel 4.1 c i direktiv 2016/680, och principen om laglig behandling av personuppgifter, som föreskrivs i artikel 8.1 i direktivet, ålägger således medlemsstaterna att föreskriva att berörda personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas, och att behandlingen ska vara nödvändig med hänsyn till de syften som eftersträvas, enligt proportionalitetsprincipen.

58. Artikel 10 i direktiv 2016/680, vilken utgör en särskild bestämmelse som reglerar behandlingen av särskilda kategorier av personuppgifter, bland annat uppgifter som avslöjar ras eller etniskt ursprung, syftar dessutom till att säkerställa ett utökat skydd för den registrerade, eftersom de aktuella uppgifterna, på grund av att de är särskilt känsliga och det sammanhang i vilket de behandlas, kan – såsom anges i skäl 37 i direktivet – innebära betydande risker för de grundläggande rättigheterna och friheterna, såsom rätten till respekt för privatlivet och rätten till skydd för personuppgifter, vilka garanteras genom artiklarna 7 och 8 i stadgan.( 37 )

59. I förevarande fall har den hänskjutande domstolen till uppgift att genomföra domstolsförfarandet i samband med lagföring av brott efter det att åklagaren har väckt åtal. För att kunna fullgöra detta uppdrag, måste nämnda domstol formellt fastställa identiteten på den person som har inställt sig vid domstolen och i synnerhet kontrollera att det verkligen rör sig om den tilltalade som anklagelsen avser.( 38 ) I syfte att kontrollera den tilltalades identitet kräver artikel 272.1 NPK att den hänskjutande domstolen systematiskt ska begära att den person som inställer sig i varje enskilt mål ska uppge ett visst antal personuppgifter, nämligen fullständigt namn, födelsedatum och födelseort, kulturell identitet, nationalitet, hemvist, utbildning, familjeförhållanden och personligt identifieringsnummer samt anmärkningar i belastningsregistret.

60. Målet med kontrollen av den tilltalades identitet är som sådant legitimt och kan utgöra ett allmänt samhällsintresse som erkänns av unionen, i den mening som avses i artikel 52.1 i stadgan, särskilt att undvika alla eventuella misstag vad beträffar den person som inställer sig inför domstol.

61. Den hänskjutande domstolen ska således kontrollera, för det första, huruvida kravet på insamling av de aktuella uppgifterna är ägnat att bidra till förverkligandet av målet att kontrollera den tilltalades identitet, för det andra, huruvida kravet är nödvändigt, vilket innebär att det inte finns några alternativa åtgärder som i mindre utsträckning inskränker rätten till respekt för skyddet för personuppgifter, men som är lika effektiva för att uppnå det åberopade målet,( 39 ) och, för det tredje, huruvida kravet står i proportion till detta mål, vilket innebär att en balanserad avvägning ska göras mellan, å ena sidan, det mål av allmänt samhällsintresse som avses och, å andra sidan, rättigheterna för den person vars personuppgifter samlas in.( 40 ) EU-domstolen är därvid behörig att ge den hänskjutande domstolen användbara uppgifter om tolkningen.

62. Jag vill påpeka att den fråga som har ställts inte avser insamlingen av vissa folkbokförings- och identifieringsuppgifter, såsom namn, födelsedatum och personligt identifieringsnummer. För övrigt utgör dessa uppgifter traditionellt sett identifieringsuppgifter, däribland enligt den bulgariska lagstiftningen om folkbokföring och identitetshandlingar.( 41 )

63. Den hänskjutande domstolen vill däremot få klarhet i huruvida den systematiska insamlingen av vissa uppgifter är proportionerlig, såsom uppgifter om, för det första, födelseort och nationalitet, för det andra, hemvist, utbildning, familjeförhållanden och anmärkningar i belastningsregistret och, för det tredje, kulturell identitet. Dessa ska prövas i tur och ordning.

64. För det första utgör vissa av dessa uppgifter, såsom födelseort och nationalitet, ”de viktigaste folkbokföringsuppgifterna”.( 42 ) De gör det således möjligt att kontrollera identiteten på den person som åtalet avser och undvika varje misstag. Det ingrepp i rätten till privatliv och till skydd för personuppgifter som insamlingen av sådana uppgifter innebär framstår inte heller, efter en avvägning mellan de aktuella intressena, som oproportionerligt i förhållande till det eftersträvade målet att kontrollera identiteten.

65. Vad, för det andra, beträffar insamlingen av ytterligare uppgifter om utbildning, familjeförhållanden, hemvist och anmärkningar i belastningsregistret, kan en sådan insamling vara relevant för andra ändamål än identifiering, såsom den hänskjutande domstolen och kommissionen har påpekat i sina skriftliga yttranden. Utbildning och familjeförhållanden kan nämligen ha betydelse för individualiseringen av påföljden. Hemvist kan spela en roll för överförande av straffverkställighet till en annan stat. På samma sätt kan belastningsregistret göra det möjligt att fastställa huruvida det är fråga om återfall i brott. Såsom framgår av de bulgariska processuella reglerna kan emellertid dessa uppgifter, vilka har samlats in av avdelningsordföranden i detta skede av kontrollen av identiteten på den person som har inställt sig vid domstolen, inte användas för att fatta avgörandet i sak och de har inte något bevisvärde. Å andra sidan räcker det under alla omständigheter inte att fråga ut den tilltalade och registrera personens svar för att fastställa att dessa uppgifter är tillförlitliga. Officiella handlingar, såsom utdrag ur belastningsregistret eller folkbokföringen eller ett utbildningsbevis, ska granskas eller inges.

66. Under dessa omständigheter anser jag att en bestämmelse som, utan åtskillnad och generellt, föreskriver att varje tilltalad systematiskt ska frågas ut om dessa ytterligare uppgifter och att svaren därefter ska registreras i domstolsprotokollet, kan gå utöver vad som är nödvändigt för att uppnå enbart syftet att identifiera den tilltalade. Kravet på identifiering innebär enligt min mening inte att samtliga förtecknade kategorier av uppgifter måste behandlas systematiskt, utan endast de som, med hänsyn till de konkreta omständigheterna, är nödvändiga för att skingra rimliga tvivel om identiteten på den person som har inställt sig, vilket det ankommer på den nationella domstolen att bedöma.

67. Även om det vidare skulle antas att man godtar att vissa uppgifter om utbildning, familjeförhållanden, hemvist och anmärkningar i belastningsregistret i vissa fall kan vara nödvändiga för att identifiera den tilltalade, innebär proportionalitetsprincipen även att det ska göras en avvägning av samtliga relevanta omständigheter och att betydelsen av det mål av allmänt samhällsintresse som eftersträvas ska vägas mot hur allvarligt ingreppet i de grundläggande rättigheterna och i skyddet för den registrerades personuppgifter är.( 43 ) Den omständigheten att dessa uppgifter systematiskt efterfrågas, tillsammans med det faktum att denna insamling sker i samband med en offentlig förhandling, att dessa uppgifter registreras i domstolsprotokollet och sedan lagras i akten som är tillgänglig för parterna, kan utgöra ett ingrepp som går utöver vad som krävs för identifiering i detta inledande skede av det straffrättsliga förfarandet.

68. Vad, för det tredje, beträffar uppgiften om ”kulturell identitet”, ska det erinras om att det i artikel 10 i direktiv 2016/680 föreskrivs att behandling av känsliga uppgifter ska vara tillåten ”endast om det är absolut nödvändigt”. Detta krav utgör ett förstärkt villkor för att behandlingen av sådana uppgifter ska vara tillåten och innebär bland annat en särskilt strikt kontroll av efterlevnaden av principen om uppgiftsminimering, som följer av artikel 4.1 c i direktivet, varvid detta krav utgör en specifik tillämpning på sådana känsliga uppgifter.( 44 ) Användningen av adverbet ”endast” framför uttrycket ”om det är absolut nödvändigt” understryker att behandling av dessa särskilda kategorier av uppgifter endast kan anses vara tillåten i ett begränsat antal fall, medan den omständigheten att behovet av en sådan behandling ska vara ”absolut” kräver en särskilt strikt bedömning.( 45 )

69. En systematisk fråga, som vid en offentlig förhandling ställs till varje tilltalad, om personens ”kulturella identitet” och som således avser personens etniska ursprung, uppfyller inte alls kraven i artikel 10 i direktiv 2016/680.( 46 ) Identifieringen av den tilltalade kan nämligen i allmänhet säkerställas genom de folkbokföringsuppgifter och de identifieringsuppgifter som redan finns tillgängliga, bland annat genom identitetshandlingar, utan att man behöver använda en uppgift som avser den tilltalades etniska ursprung. Kravet på att det ska vara absolut nödvändigt innebär vidare att det på grundval av konkreta omständigheter ska visas att det eftersträvade målet inte kan uppnås på ett likvärdigt sätt, i avsaknad av denna särskilda uppgift. En generell och odifferentierad skyldighet att samla in en sådan personuppgift, vilken uppställs i detta skede av förfarandet för att identifiera den tilltalade och som inte är avhängig av någon särskild svårighet som är knuten till denna identifiering, strider enligt min mening principiellt mot kravet på ”absolut nödvändighet” som uppställs i artikel 10 i direktivet.( 47 )

70. Av det ovan anförda följer att jag anser att den hänskjutande domstolen ska ges följande svar. Artiklarna 4.1 c, 8.1 och 10 i direktiv 2016/680 ska tolkas så, att de utgör hinder för en nationell bestämmelse, såsom artikel 272.1 NPK, i den mån den föreskriver att personuppgifter om den tilltalades hemvist, utbildningsnivå, familjeförhållanden, anmärkningar i belastningsregistret och kulturella identitet systematiskt ska behandlas (samlas in, registreras och lagras) när denna persons identitet kontrolleras i samband med ett brottmål, trots att dessa uppgifter inte är nödvändiga för det syftet, vilket det ankommer på den hänskjutande domstolen att kontrollera.

Förslag till avgörande

71. Mot bakgrund av det ovan anförda anser jag att direktiv 2016/680 är tillämpligt och föreslår att domstolen ska besvara den tolkningsfråga som ställts av Sofiyski gradski sad (Stadsdomstolen i Sofia, Bulgarien) på följande sätt:

Artiklarna 4.1 c, 8.1 och 10 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF

ska tolkas så,

att de utgör hinder för en nationell bestämmelse, såsom artikel 272.1 i Nakazatelno-protsesualen kodeks (den bulgariska straffprocesslagen), i den mån den föreskriver att personuppgifter om den tilltalades hemvist, utbildningsnivå, familjeförhållanden, anmärkningar i belastningsregistret och kulturella identitet systematiskt ska behandlas (samlas in, registreras och lagras) när denna persons identitet kontrolleras i samband med ett brottmål, trots att dessa uppgifter inte är nödvändiga för det syftet, vilket det ankommer på den hänskjutande domstolen att kontrollera.

1 Originalspråk: franska.

i Förevarande mål har getts ett fiktivt namn. Detta namn är inte någon av rättegångsdeltagarnas verkliga namn.

2 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89).

3 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).

4 DV nr 86 av den 28 oktober 2005, i dess ändrade och kompletterade lydelse enligt DV nr 39 av den 1 maj 2024.

5 DV nr 67 av den 27 juli 1999, i dess ändrade och kompletterade lydelse enligt DV nr 85 av den 8 oktober 2024.

6 DV nr 93 av den 11 augusti 1998, i dess ändrade och kompletterade lydelse enligt DV nr 67 av den 4 augusti 2023.

7 DV nr 64 av den 7 augusti 2007, i dess ändrade och kompletterade lydelse enligt DV nr 67 av den 9 augusti 2024.

8 DV nr 56 av den 13 juli 1991.

9 Det kan således diskuteras huruvida det är den hänskjutande domstolen själv som samlar in uppgifterna eller huruvida uppgifterna redan har samlats in tidigare av den behöriga myndigheten (se, i det avseendet, artikel 138.2 NPK).

10 Se artikel 2.2 d i dataskyddsförordningen.

11 Dataskyddsförordningen är i alla händelser tillämplig på behandling av personuppgifter som utförs av en ”behörig myndighet” i den mening som avses i artikel 3.7 i direktiv 2016/680, när den handlar för andra ändamål, avseende till exempel anställning, utbildning av personal, arkivering, forskning eller statistik. Se, för ett liknande resonemang, dom av den 21 juni 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, punkt 72 och där angiven rättspraxis). Se även Leiser, M. och Custers, B., ”The Law Enforcement Directive: Conceptual Challenges of EU Directive 2016/680”, European Data Protection Law Review , volym 5, nr 3, 2019, s. 367–378, särskilt s. 371.

12 Jag anser däremot att artikel 3.7 b i direktiv 2016/680 inte avser domstolar, utan den syftar, med uttrycket ”annat organ eller annan enhet som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder …”, till att omfatta privata organ. Man kan här tänka sig privata polisstyrkor eller fängelser som drivs av en privat enhet. Se, i det avseendet, Purtova, N., ”Between the GDPR and the Police Directive: navigating through the maze of information sharing in public–private partnerships”, International Data Privacy Law , volym 8, nr 1, februari 2018, s. 52–68. Se även De Hert, P. och Sajfert, J., ”Chapter 10: Variety, velocity and volume of personal data in criminal investigations and proceedings: the limits drawn by the purpose limitation and data minimization principles in Directive (EU) 2016/680”, i Research Handbook on EU Criminal Law , utgiven av Mitsilegas, V., Bergström, M. och Quintel, T., (red.), Edward Elgar Publishing, 2024, 2:a upplagan, s. 212–228.

13 I nämnda skäl anges att ”[d]etta direktiv är visserligen tillämpligt på nationella domstolars och andra rättsliga myndigheters verksamheter, men tillsynsmyndigheterna bör inte ha behörighet att övervaka behandling av personuppgifter inom ramen för domstolars dömande verksamhet. Syftet är att garantera domarnas oberoende när de utför sina rättsliga uppgifter”.

14 Se, analogt, beträffande den motsvarande bestämmelsen i dataskyddsförordningen, dom av den 24 mars 2022, Autoriteit Persoonsgegevens (C‑245/20, EU:C:2022:216, punkt 26). Den domen avsåg ett förvaltningsrättsligt mål rörande behandling som genomfördes av en domstol i samband med att handlingar som härrörde från ett domstolsförfarande och som innehöll personuppgifter tillfälligt ställdes till journalisters förfogande, en behandling som ansågs omfattas av domstolens dömande verksamhet i den mening som avses i dataskyddsförordningen.

15 Se, i det avseendet, Tosconi, L. och Bygrave, L.A., ”Article 3 – Definitions”, i The EU Law Enforcement Directive (LED): A Commentary , utgiven av Kosta, E. och Boehm, F., (red.), Oxford University Press, 2024, s. 79–132, särskilt s. 104, fotnot 7.2.4, vari även citeras protokollet från det 12:e mötet i kommissionen expertgrupp för dataskyddsförordningen och direktiv 2016/680, den 2 oktober 2017, vari omnämns medlemsstaternas överenskommelse för att direktivet ska tillämpas på brottmålsdomstolar (dokumentet finns tillgängligt på följande adress: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=fr&groupID=3461).

16 Särskilt artikel 18 i det nämnda direktivet, med rubriken ”Den registrerades rättigheter i brottsutredningar och straffrättsliga förfaranden”, avser utövandet av rätten till information, rätten till tillgång till personuppgifter, rätten till rättelse och radering av personuppgifter, och i artikeln föreskrivs att dessa rättigheter ska utövas i enlighet med medlemsstaternas nationella rätt om personuppgifterna ingår ”i ett domstolsbeslut eller ett rättsligt protokoll eller ärende som behandlas i samband med brottsutredningar och straffrättsliga förfaranden”.

17 Se skäl 20 i direktiv 2016/680.

18 Det ska tilläggas att detta, såsom anges i skäl 20 i direktivet, inte fråntar medlemsstaterna möjligheten att i nationell straffprocesslagstiftning ange den behandling och de förfaranden för behandling som berörs.

19 Även om tillämpningsområdet för direktiv 2016/680 har varit föremål för domar från EU-domstolen, avser dessa inte denna fråga. Till exempel, även om lufttrafikföretag är skyldiga enligt lag att överföra passageraruppgiftssamlingar (PNR-uppgifter), kan dessa operatörer inte anses vara behöriga myndigheter i den mening som avses i artikel 3.7 i direktiv 2016/680 (se dom av den 21 juni 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, punkt 81). Se även förslag till avgörande av generaladvokaten Pikamäe i målet Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2021:991, punkt 28), beträffande Vyriausioji tarnybinės etikos komisija (Etikkommittén för högre tjänstemän, Litauen) på vilken dataskyddsförordningen tillämpades (se dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601) (nedan kallad domen Vyriausioji tarnybinės etikos komisija). På samma sätt är Ceļu satiksmes drošības direkcija (styrelsen för säkerhet i vägtrafiken, Lettland) inte en ”behörig myndighet” i den mening som avses i direktiv 2016/680 vid utövandet av den verksamhet som var aktuell i det nationella målet – det vill säga att, i trafiksäkerhetssyfte, lämna ut personuppgifter avseende prickning till allmänheten (se dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 71).

20 Dom av den 8 december 2022 (C‑180/21, EU:C:2022:967) (nedan kallad domen Inspektor). I den domen aktualiserades frågan huruvida personuppgifter som hade erhållits när personen i fråga framstod som offer för det brott som utredningen avsåg, därefter kunde behandlas med avseende på denna person i egenskap av misstänkt person eller tilltalad, när uppgifterna ursprungligen hade samlats in och behandlats för andra ändamål, nämligen för att utreda och avslöja ett brott. Det var mot den bakgrunden som domstolen slog fast att när personuppgifter har samlats in för att ”utreda” och ”avslöja” brott och senare behandlas för att ”lagföra” brott, har nämnda insamling och nämnda behandling olika ändamål (punkt 44), och att bedömningen av huruvida den personuppgiftsansvariges behandling är proportionerlig ska ske med beaktande av vart och ett av de särskilda och olika ändamålen (punkt 56).

21 Domen Inspektor (punkt 59).

22 Se förslag till avgörande av generaladvokaten Campos Sánchez-Bordona i målet Inspektor v Inspektorata kam Visshia sadeben savet (Ändamålen med behandlingen av personuppgifter – Brottsutredning) (C‑180/21, EU:C:2022:406, fotnot 15). Så är fallet med bland annat den tyska, den franska, den engelska, den italienska och den nederländska språkversionen av direktiv 2016/680, med undantag av den spanska språkversionen, som hänvisar till ” enjuiciamiento ” (domstolsförfarandet) i egentlig mening, vilket uteslutande är förbehållet domstolarna.

23 Angående skillnaderna i de nationella systemen och att domarens och åklagarmyndighetens respektive funktioner kompletterar varandra, se gemensamt utlåtande från det rådgivande rådet för europeiska domare (CCJE) och det rådgivande rådet för europeiska åklagare (CCPE) om förhållandena mellan domare och åklagare (1075:e mötet) (CM(2009)192). Se även, för en jämförelse, Pradel, J., Droit pénal comparé , Dalloz, Paris, 2016, 4:e upplagan , särskilt fotnot 145 och följande fotnoter. Se även, angående införlivandet av direktiv 2016/680 i olika medlemsstater, Franssen, V. och Corhay, M., ”Article 18 – Rights of the data subject in criminal investigations and proceedings”, i The EU Law Enforcement Directive (LED): A Commentary , a.a., s . 321–330, särskilt underrubriken B.3. ”Nationell lagstiftning”, s. 325–328.

24 I sitt yttrande nr 6/2015, A further step towards comprehensive EU data protection , av den 28 oktober 2015, har Europeiska dataskyddsstyrelsen (EDPB) själv, i punkt VI rörande tillsynsmyndigheternas befogenheter, framhållit betydelsen av skillnaderna i medlemsstaternas nationella system och den omständigheten att det inte alltid står klart om och när åklagare utgör ”oberoende rättsliga myndigheter” och i vilken utsträckning deras verksamhet utgör rättskipande verksamhet. Se även protokollet från det 15:e mötet i kommissionens expertgrupp för dataskyddsförordningen och direktiv 2016/680, den 20 februari 2018. I punkt 5 i protokollet nämns svårigheterna att införliva direktivet i det avseendet, då vissa medlemsstater framhåller att deras åklagare har samma grad av oberoende som deras domare (tillgängligt på följande adress: https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=en&meetingId=3656&fromExpertGroups=true).

25 Se domen Inspektor (punkt 53), där domstolen framhöll att ”[i] samband med behandling av personuppgifter för att ’lagföra’ brott syftar dessa uppgifter … till att styrka att de handlingar som läggs de tilltalade till last är tillräckligt övertygande och att den straffrättsliga kvalificeringen av handlingarna är riktig, så att den behöriga domstolen kan avgöra målet”.

26 Såsom uppgavs vid förhandlingen finns det inte någon undersökningsdomare i bulgarisk straffrätt, utan en ”domstolsutredning” eller ”förundersökning” som följer efter polisutredningen.

27 Se, beträffande den restriktiva tolkningen av undantagen från tillämpningen av dataskyddsförordningen, domen Inspektor (punkt 78), av vilken det framgår att när åklagarmyndigheten agerar för att försvara staten inom ramen för en talan om administrativt ansvar, har den inte till syfte att säkerställa åklagarmyndighetens uppgifter för de ändamål som anges i artikel 1.1 i direktiv 2016/680, och det är således dataskyddsförordningen som är tillämplig. När skattemyndigheten i en medlemsstat samlar in personuppgifter som förekommer i annonser för försäljning av fordon som publicerats på en ekonomisk aktörs webbplats omfattas likaså denna verksamhet av dataskyddsförordningen materiella tillämpningsområde, om dessa uppgifter inte har samlats in i det särskilda syftet att vidta straffrättsliga åtgärder eller i samband med statens verksamhet inom det straffrättsliga området (se dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkterna 44–46).

28 Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, 2008, s. 60). Rambeslutets tillämpningsområde var begränsat till gränsöverskridande behandling av personuppgifter.

29 Konferensen mellan företrädarna för medlemsstaternas regeringar, Slutakt, antagen i Bryssel den 3 december 2007 (CIG 15/07), tillgänglig på följande adress: https://data.consilium.europa.eu/doc/document/CG-15–2007-INIT/sv/pdf.

30 Förslag till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter, den 25 januari 2012 (COM(2012)0010).

31 Se De Hert, P. och Papakonstantinou, V., ”The New Police and Criminal Justice Data Protection Directive. A First Analysis”, New Journal of European Criminal Law , volym 7, nr 1, 2016, s. 7–19, och Brière, C., ”Défaut de transposition de la directive sur la protection des données dans le domaine pénal: vers une application ordinaire de l’article 260, paragraphe 3, TFUE. CJUE (8 e ch.), 25 février 2021, Commission européenne/Royaume d’Espagne (Directive données à caractère personnel – Domaine pénal), aff. C‑658/19, EU:C:2021:138”, Revue des affaires européennes , volym 1, 2021, s. 223–233.

32 Se, i det avseendet, Sajfert, J. och Quintel, T., ”Data Protection Directive (EU) 2016/680 for Police and Criminal Justice Authorities”, SSRN Electronic Journal , 2017, särskilt underbruken I.1 ”Meandering between the Directive and the GDPR”, enligt vilken skillnaden mellan tillämpningsområdet för dataskyddsförordningen respektive för direktiv 2016/680 inte är uppenbar. De nämner som exempel en polisman som behandlar personuppgifter för arkivändamål och som i det fallet omfattas av dataskyddsförordningen, men de uppger att det är mindre tydligt vilken rättsakt som är tillämplig när denna polisman handlar för att fastställa personers identitet på området för migration och gränskontroll: att olagligen passera en Schengengräns kan ibland anses utgöra ett brott, men om en irreguljär migrant ansöker om asyl, kan behandlingen omfattas av dataskyddsförordningen eller av en annan relevant sektorsspecifik ram, trots det straffrättsliga förfarande som har inletts. Detta visar hur komplext det är för de behöriga myndigheterna att tillämpa två olika regelverk beroende på ändamålet med behandlingen. Se även Vogiatzoglou P., ”Article 2 – Scope”, i The EU Law Enforcement Directive (LED): A Commentary , a.a., s. 67–78, särskilt underrubriken C.2. ”Between the LED and the GDPR”, s. 74 och 75. Se även Purtova, N., ”Between the GDPR and the Police Directive: navigating through the maze of information sharing in public–private partnerships”, a.a.

33 Rättssäkerhetsprincipen kräver att tillämpningen av rättsregler är förutsebar för de enskilda (se dom av den 4 oktober 2024, Bezirkshauptmannschaft Landeck (Försök att bereda sig tillgång till personuppgifter som finns lagrade i en mobiltelefon), C‑548/21, EU:C:2024:830, punkt 76).

34 Se, i det avseendet, Sajfert, J. och Quintel, T., ”Data Protection Directive (EU) 2016/680 for Police and Criminal Justice Authorities”, a.a., särskilt underrubriken I.4 ” Croquis of the Directive”, s. 7, vilka anser till exempel att en personuppgiftsansvarig har fler möjligheter att begränsa rätten till tillgång och rätten att få information om en eventuell vägran att rätta, radera eller begränsa behandlingen enligt artiklarna 13.3, 15.3 och 16.4 i direktiv 2016/680 än inom ramen för artikel 23 i dataskyddsförordningen. Det rör sig nämligen om att ”undvika att hindra officiella eller rättsliga utredningar, undersökningar eller förfaranden” och att undvika menlig inverkan på bland annat lagföring av brott (se artikel 13.3 a och b i direktivet). Se även Purtova, N., ”Between the GDPR and the Police Directive: navigating through the maze of information sharing in public–private partnerships”, a.a., särskilt s. 60, och De Hert, P., och Sajfert, J., ”Chapter 10: Variety, velocity and volume of personal data in criminal investigations and proceedings: the limits drawn by the purpose limitation and data minimization principles in Directive (EU) 2016/680”, a.a., s. 222.

35 Det ska upplysningsvis påpekas att den hänskjutande domstolen har uppgett att den anmodade Konstitutsionen sad (Författningsdomstolen) att fastställa att den nationella bestämmelse som är i fråga i det nationella målet inte är förenlig med Konstitutsia na Republika Bulgaria (Republiken Bulgariens konstitution). Denna anmodan avvisades dock på grund av att den hänskjutande domstolen inte hade beaktat det åttonde kapitlet i Zakon za zashtita na lichnite danni (lagen om skydd av personuppgifter) av den 1 januari 2002 (DV nr 1 av den 4 januari 2002), i dess ändrade och kompletterade lydelse enligt DV nr 70 av den 20 augusti 2024) (nedan kallad ZZLD), varigenom direktiv 2016/680 har införlivats. Den hänskjutande domstolen anser dock att regleringen i ZZLD är allmän och att artikel 272.1 NPK fortsätter att vara tillämplig, eftersom den utgör en speciallag. Jag vill erinra om att den hänskjutande domstolen är behörig att tolka sin nationella rätt (se dom av den 30 april 2024, M.N (EncroChat) (C‑670/22, EU:C:2024:372, punkt 76)), och jag anser därför att frågan, såsom den har ställts, ska besvaras, eftersom den presumeras vara relevant (se dom av den 26 januari 2023, Ministerstvo na vatreshnite raboti (Polisens registrering av biometriska och genetiska uppgifter) (C‑205/21, EU:C:2023:49, punkt 54, nedan kallad domen Ministerstvo na vatreshnite raboti).

36 Se dom av den 30 januari 2024, Direktor na Glavna direktsia ”Natsionalna politsia” pri MVR – Sofia (C‑118/22, EU:C:2024:97, punkt 39) (nedan kallad domen Direktor na Glavna direktsia).

37 Se domen Ministerstvo na vatreshnite raboti (punkt 116 och där angiven rättspraxis). Beträffande begreppet ”etniskt ursprung” i ett annat sammanhang, se dom av den 18 december 2025, Slagelse Almennyttige Boligselskab, Afdeling Schackenborgvænge (C‑417/23, EU:C:2025:1017, punkt 71 och följande punkter), vad gäller rådets direktiv 2000/43/EG av den 29 juni 2000 om genomförandet av principen om likabehandling av personer oavsett deras ras eller etniska ursprung (EGT L 180, 2000, s. 22).

38 Det är här inte fråga om insamling av uppgifter av polisen under en utredning i syfte att underlätta framtida identifiering av den tilltalade eller jämförelse av spår såsom var fallet i exempelvis det mål som avgjordes genom dom av den 20 november 2025, Policejní prezidium (Lagring av biometriska och genetiska uppgifter) (C‑57/23, EU:C:2025:905, punkt 84).

39 Se, analogt, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) (C‑439/19, EU:C:2021:504, punkterna 109 och 110).

40 Se, analogt, domen Vyriausioji tarnybinės etikos komisija (punkt 98 och där angiven rättspraxis). Se även domen Direktor na Glavna direktsia (punkt 62).

41 Se punkterna 12–15 i förevarande förslag till avgörande.

42 Se artikel 8.1 ZGR, vars innehåll anges i punkt 12 i förevarande förslag till avgörande.

43 Se, analogt, domen Vyriausioji tarnybinės etikos komisija (punkt 98 och där angiven rättspraxis). Se även domen Direktor na Glavna direktsia (punkt 62).

44 Se domen Direktor na Glavna direktsia (punkt 48 och där angiven rättspraxis).

45 Se domen Ministerstvo na vatreshnite raboti (punkt 118 och följande punkter), och dom av den 20 november 2025, Policejní prezidium (Lagring av biometriska och genetiska uppgifter) (C‑57/23, EU:C:2025:905, punkt 78). Se även förslag till avgörande av generaladvokaten Szpunar i målet Comdribus (C‑371/24, EU:C:2025:631, punkt 43 och följande punkter).

46 Jag ställer mig för övrigt frågande till vad syftet är med denna fråga rörande ”kulturell identitet”, vilken kan orsaka problem med hänsyn till unionens värden i den mening som avses i artikel 2 FEU.

47 Se, för ett liknande resonemang, domen Ministerstvo na vatreshnite raboti (punkterna 128 och 129); Simon, D., ”Données personnelles – Traitement des données sensibles dans les procédures pénales”, Revue Europe , LexisNexis, nr 3, 2023, kommentar nr 112.