This document is an excerpt from the EUR-Lex website
Document 62022CC0231
Opinion of Advocate General Medina delivered on 8 June 2023.#État belge v Autorité de protection des données.#Request for a preliminary ruling from the cour d'appel de Bruxelles.#Reference for a preliminary ruling – Approximation of laws – Protection of natural persons with regard to the processing of personal data and free movement of such data (General Data Protection Regulation) – Regulation (EU) 2016/679 – Point 7 of Article 4 – Concept of ‘controller’ – Official journal of a Member State – Obligation to publish as they stand company documents prepared by companies or their legal representatives – Article 5(2) – Successive processing of the personal data contained in such documents by several separate persons or entities – Determination of responsibilities.#Case C-231/22.
Forslag til afgørelse fra generaladvokat L. Medina fremsat den 8. juni 2023.
État belge mod Autorité de protection des données.
Anmodning om præjudiciel afgørelse indgivet af Cour d'appel de Bruxelles.
Præjudiciel forelæggelse – tilnærmelse af lovgivningerne – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) – forordning (EU) 2016/679 – artikel 4, nr. 7) – begrebet »dataansvarlig« – en medlemsstats statstidende – pligt til at offentliggøre selskabsdokumenter som sådanne, der er udarbejdet af disse selskaber eller deres retlige repræsentanter – artikel 5, stk. 2 – flere forskellige personers eller enheders successive behandling af de personoplysninger, der er indeholdt i sådanne dokumenter – fastlæggelse af ansvar.
Sag C-231/22.
Forslag til afgørelse fra generaladvokat L. Medina fremsat den 8. juni 2023.
État belge mod Autorité de protection des données.
Anmodning om præjudiciel afgørelse indgivet af Cour d'appel de Bruxelles.
Præjudiciel forelæggelse – tilnærmelse af lovgivningerne – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) – forordning (EU) 2016/679 – artikel 4, nr. 7) – begrebet »dataansvarlig« – en medlemsstats statstidende – pligt til at offentliggøre selskabsdokumenter som sådanne, der er udarbejdet af disse selskaber eller deres retlige repræsentanter – artikel 5, stk. 2 – flere forskellige personers eller enheders successive behandling af de personoplysninger, der er indeholdt i sådanne dokumenter – fastlæggelse af ansvar.
Sag C-231/22.
ECLI identifier: ECLI:EU:C:2023:468
FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
L. MEDINA
fremsat den 8. juni 2023 ( 1 )
Sag C-231/22
État belge
mod
Autorité de protection des données,
procesdeltager:
LM
(anmodning om præjudiciel afgørelse indgivet af cour d’appel de Bruxelles (appeldomstolen i Bruxelles, Belgien))
»Præjudiciel forelæggelse – forordning (EU) 2016/679 – artikel 4, nr. 7) og 8) – behandling af personoplysninger – begreberne »dataansvarlig« og »databehandler« – afgørelse af formål og hjælpemidler i forbindelse med databehandling – forpligtelse gennem udpegelse i medfør af national ret – statstidende – offentliggørelse af en virksomheds retsakt udfærdiget af en notar – anmodning om tilbagetrækning – skønsbeføjelse – uigenkaldelighed – artikel 5, stk. 2 – flere på hinanden følgende dataansvarlige – individuelle forpligtelser for individuelle enheder«
|
1. |
Acta Diurna var daglige officielle meddelelser i Rom, der blev hugget i sten eller metal og bragt til skue på offentlige pladser som Forum Romanum. I den digitale tidsalder kan nationale myndigheder også have brug for at overveje, om de oplysninger, der er offentliggjort i en given stats statstidende, også i overført betydning er hugget i sten, eller om disse oplysninger kan slettes eller ændres. |
|
2. |
Baggrunden for hovedsagen skal findes i offentliggørelsen af oplysninger foretaget af den belgiske statstidende, Moniteur belge, der offentliggør officielle retsakter og dokumenter i papirudgave og elektronisk. |
|
3. |
Hovedsagen vedrører en tvist mellem État belge (den belgiske stat) og Autorité de protection des données (databeskyttelsesmyndigheden, Belgien). Da en databeskyttelsesrådgiver havde opdaget, at en passage i et selskabs afgørelse, der var undertegnet af en notar, og som ud over de oplysninger, der var påkrævede i medfør af belgisk ret, indeholdt personoplysninger om en fysisk person, som var offentliggjort ved en fejl, anmodede notarens databeskyttelsesrådgiver Moniteur belge om at slette disse oplysninger. Service Public Fédéral Justice (SPF Justice; herefter »justitsministeriet«), som Moniteur belge hører under, afviste dog at imødekomme anmodningen. |
|
4. |
De spørgsmål, der er indgivet af cour d’appel de Bruxelles (appeldomstolen i Bruxelles, Belgien) i dennes anmodning om præjudiciel afgørelse dækker på dette grundlag et forholdsvist snævert område. Den forelæggende ret ønsker nærmere bestemt oplyst, om Moniteur belge eller justitsministeriet skal anses for at være »dataansvarlig« som omhandlet i artikel 4, nr. 7), i forordning (EU) 2016/679 (herefter »databeskyttelsesforordningen«) ( 2 ). Hvis der gives et bekræftende svar på spørgsmålet, ønsker den forelæggende ret tillige afklaring af grænserne for den dataansvarliges forpligtelser, når databehandlingen foretages af flere på hinanden følgende enheder. |
I. Retsforskrifter
A. EU-retten
|
5. |
I databeskyttelsesforordningens kapitel I, der har overskriften »Generelle bestemmelser«, defineres bl.a. følgende begreber i artikel 4: »personoplysninger«, »behandling«, »dataansvarlig« og »databehandler«. |
|
6. |
Databeskyttelsesforordningens artikel 5, 6, 17 og 26 er tillige relevante for den foreliggende sag. |
B. National ret
1. Selskabsloven
|
7. |
Artikel 67:1 og 67:2, i Loi du 7 mai 1999 contenant le Code des sociétés ( 3 ) (lov af 7.5.1999 vedrørende selskabsloven; herefter »selskabsloven«) foreskrev: »1) Bekræftede kopier af retsakter, kopier eller originale udgaver af private dokumenter og uddrag, hvad enten de er i trykt eller elektronisk udgave, der er påkrævede i henhold til de følgende bestemmelser, skal indgives til justitskontoret ved retten i den jurisdiktion, hvori virksomheden har forretningssted. […] 2) Indleverede retsakter skal opbevares i det enkelte selskabs sagsakter ved justitskontoret, og de relevante selskaber skal indføres i registret over juridiske personer, Banque-Carrefour des Entreprises [(centralt virksomhedsregistreringsorgan)].« |
|
8. |
Selskabslovens artikel 71 foreskrev: »Uddrag af selskabers dokumenter skal for så vidt angår retsakter være undertegnet af en notar og for så vidt angår private dokumenter af alle partnere solidarisk eller af den person, der er bemyndiget til at forpligte selskabet.« |
|
9. |
Selskabslovens artikel 73 fastsatte: »Der skal ske offentliggørelse i bilagene til Moniteur belge inden for 15 dage efter indleveringen; i modsat fald betales erstatning for undladelse eller forsinkelse, som kan tilskrives de relevante embedsmænd. […]« |
|
10. |
Selskabslovens artikel 74:1 foreskrev: »Følgende skal indleveres og offentliggøres i overensstemmelse med de foregående bestemmelser: 1) retsakter, der ændrer bestemmelser, som foreskriver offentliggørelser i henhold til denne lov.« |
2. Kongelig anordning af 30. januar 2001
|
11. |
Følgende fremgik af artikel 1 i Arrêté royal du 30 janvier 2001 portant exécution du code des sociétés (kongelig anordning af 30.1.2001 om gennemførelse af selskabsloven) ( 4 ): »[…] Justitskontoret ved den ret, som selskabet hører under, skal modtage de indleverede retsakter, uddrag fra dokumenter, notater og dokumenter, hvis indlevering er foreskrevet i selskabsloven […]« |
|
12. |
Den kongelige anordnings artikel 11 foreskrev: »1) Dokumenter, uddrag af dokumenter og dokumenter, der skal offentliggøres i bilagene til Moniteur belge skal indgives til justitskontoret sammen med en kopi. […] 2) Alle trykte dokumenter, der indleveres, skal opfylde følgende betingelser: […]
[…] 3) Kopier af dokumenter, uddrag fra dokumenter og dokumenter, der henvises til […] i selskabslovens artikel 67, 68, 74 […] med henblik på offentliggørelse i Moniteur belge, skal indgives uden rettelser eller ændringer. […] […]« |
|
13. |
Følgende fremgik af den kongelige anordnings artikel 14: »Registratoren skal senest to arbejdsdage efter indgivelsen sende kopier til Moniteur belges ledelse af de indgivne dokumenter, uddrag af dokumenter og dokumenter […], der skal offentliggøres i bilagene til Moniteur belge. […]« |
|
14. |
Følgende fremgik af den kongelige anordnings artikel 16: »Når offentliggørelse er påkrævet, skal den finde sted i bilagene til Moniteur belge inden for de tidsfrister, der er foreskrevet ved lov.« |
3. Programlov I af 24. december 2002
|
15. |
Artikel 472 i Loi-programme du 24 décembre 2002 (programlov af 24.12.2002) ( 5 ) foreskriver: »Moniteur belge er en officiel publikation, der udgives af Direction du Moniteur belge [(direktoratet for den belgiske statstidende)] og omfatter alle de tekster, der kræves offentliggjort i Moniteur belge.« |
|
16. |
Følgende fremgår af programlovens artikel 474: »Direction du Moniteur belge [(direktoratet for den belgiske statstidende)] sørger for offentliggørelse i tre eksemplarer trykt på papir i Moniteur belge. […] Et eksemplar opbevares elektronisk. Kongen træffer afgørelse om elektronisk opbevaring. […]« |
|
17. |
Programlovens artikel 475 har følgende ordlyd: »Enhver anden offentliggørelse sker via webstedet for den belgiske statstidende. De offentliggørelser, der stilles til rådighed på dette websted, er nøjagtige gengivelser i elektronisk format af de papirkopier, der er omhandlet i artikel 474.« |
|
18. |
Artikel 475a i programloven af 24. december 2002 foreskriver: »Enhver borger kan mod betaling af kostprisen erhverve en kopi fra Moniteur belge af retsakter og dokumenter, der er offentliggjort i Moniteur belge, gennem gratis telefonisk henvendelse til en vejledning. Vejledningen har tillige ansvaret for at yde borgere hjælp med henblik på fremsøgning af dokumenter.« |
|
19. |
Følgende fremgår af programlovens artikel 475b: »Andre foranstaltninger træffes ved kongelig anordning, der behandles i ministerrådet med henblik på at sikre den videst mulige formidling af og adgang til oplysningerne i Moniteur belge.« |
II. De faktiske omstændigheder, tvisten i hovedsagen og de præjudicielle spørgsmål
|
20. |
LM er majoritetsaktionær i Bureau LM, der er et belgisk kapitalselskab. |
|
21. |
Den 23. januar 2019 afholdt selskabet generalforsamling, hvor det blev besluttet at reducere selskabets kapital, hvilket medførte en vedtægtsændring. |
|
22. |
I overensstemmelse med reglerne om offentlighed forberedte den bemyndigede notar et uddrag af denne beslutning. Den 12. februar 2019 blev uddraget indgivet til tribunal de l’entreprise néerlandophone de Bruxelles (den nederlandsksprogede ret i handels- og erhvervsretlige sager i Bruxelles, Belgien) med henblik på offentliggørelse i Moniteur belge (den belgiske statstidende). |
|
23. |
Den 22. februar 2019 blev uddraget offentliggjort i bilagene til Moniteur belge. Uddraget indeholdt navnlig beslutningen om at reducere selskabets kapital, det oprindelige kapitalbeløb, reduktionens størrelse, det nye aktiekapitalbeløb og den nye tekst til vedtægterne. Ud over de oplysninger, der blev offentliggjort som følge af en retlig forpligtelse, indeholdt det omtvistede uddrag navnene på to partnere i den relevante virksomhed, de beløb, der var blevet tilbagebetalt til dem og deres bankkontonumre (herefter »den omtvistede passage«), hvis offentliggørelse ikke var foreskrevet ved lov. |
|
24. |
Da notarens databeskyttelsesrådgiver havde fået kendskab til, at notaren ved en fejl havde inkluderet den omtvistede passage i det offentliggjorte uddrag, anmodede databeskyttelsesrådgiveren med henvisning til databeskyttelsesforordningens artikel 17 justitsministeriet om at slette den omtvistede passage og at offentliggøre uddraget igen, men denne gang uden passagen. |
|
25. |
Den 10. april 2019 afviste justitsministeriet at imødekomme denne anmodning ( 6 ) og tilbød at foretage en ny offentliggørelse af det redigerede uddrag af den omtvistede passage, mens den oprindelige offentliggørelse af 22. februar 2019 blev opretholdt. |
|
26. |
Den 21. januar 2020 indgav LM, en af de to deltagere i selskabet, en klage til databeskyttelsesmyndigheden mod Moniteur belge (justitsministeriet) på grund af tilsidesættelse af databeskyttelsesforordningens artikel 5 (navnlig princippet om dataminimering), artikel 6 (offentliggørelse af personoplysninger) og artikel 17 (ret til sletning). |
|
27. |
Ved afgørelse af 23. marts 2021 gav Autorité de protection des données (databeskyttelsesmyndigheden) klageren medhold og bestemte i det væsentlige, at den omtvistede passage skulle slettes. |
|
28. |
Den 22. april 2021 indgav État belge (den belgiske stat) en klage over denne afgørelse til cour d’appel de Bruxelles (appeldomstolen i Bruxelles) med påstand om annullation af afgørelsen. LM indtrådte i sagen. |
|
29. |
Den forelæggende ret har påpeget, at parterne er uenige om fortolkningen af begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7). Retten har bemærket, at Moniteur belge, efter at have modtaget uddraget fra tribunal de l’entreprise néerlandophone de Bruxelles (den nederlandsksprogede ret i handels- og erhvervsretlige sager i Bruxelles), offentliggjorde teksten, som den forelå, i overensstemmelse med de retsforskrifter, der regulerer tidendens status og opgaver, dvs. uden beføjelse til revision eller ændring. Den forelæggende ret ønsker navnlig afklaring af, hvorvidt begge de på hinanden følgende potentielle dataansvarlige enheder, eller alene en af disse, skal anses for at være »dataansvarlig« som omhandlet i bestemmelsen og dermed ansvarlig i henhold til databeskyttelsesforordningens artikel 5, stk. 2, for overholdelse af principperne i forordningens artikel 5, stk. 1. |
|
30. |
Den forelæggende ret anmoder i den sammenhæng om afklaring af, om et sådant »efterfølgende« eller »successivt« dataansvar er forankret i forordningen. Hvis Moniteur belge anses for at være modtager af oplysningerne som omhandlet i databeskyttelsesforordningens artikel 4, stk. 9, ønsker retten svar på, om tidenden herefter handlede som en »efterfølgende« dataansvarlig for behandlingen. Det synes dog ikke at være tilfældet, da Moniteur belge ikke i henhold til gældende belgisk ret har mulighed for at definere formål og hjælpemidler i forbindelse med dennes egen behandling som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7). |
|
31. |
Det er på denne baggrund, at cour d’appel de Bruxelles (appeldomstolen i Bruxelles) har forelagt følgende præjudicielle spørgsmål for Domstolen:
|
|
32. |
Databeskyttelsesmyndigheden, den belgiske og den ungarske regering samt Europa-Kommissionen har indgivet skriftlige indlæg. |
|
33. |
Databeskyttelsesmyndigheden, den belgiske regering og Kommissionen deltog i retsmødet den 23. marts 2023. |
III. Bedømmelse
A. Det første forelagte spørgsmål
|
34. |
Med sit første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, hvorvidt databeskyttelsesforordningens artikel 4, nr. 7), skal fortolkes således, at en medlemsstats statstidende har status som dataansvarlig. Indledningsvist skal der knyttes to bemærkninger til formuleringen af dette spørgsmål. |
|
35. |
Det fremgår for det første klart af den forelæggende rets afgørelse, at selskaber er retligt forpligtede i medfør af selskabsloven til at offentliggøre en række dokumenter og afgørelser i bilagene til Moniteur belge. Retten har tillige bemærket, at Moniteur belge hører under justitsministeriet, uden at det er uddybet yderligere. Da kompetencefordelingen mellem nationale myndigheder i en medlemsstat hører under national ret, henviser jeg i det foreliggende forslag til afgørelse alene til Moniteur belge. |
|
36. |
For det andet bør det bemærkes, at den forelæggende ret har indsat en passage mellem to tankestreger, der synes at udgøre en uddybning af de beføjelser, som den belgiske lovgiver har tildelt Moniteur belge. |
|
37. |
Spørgsmålet kunne dermed omformuleres således, at den forelæggende ret nærmere bestemt ønsker oplyst, hvorvidt en medlemsstats statstidende, som Moniteur belge, der i henhold til den gældende nationale ret har til opgave at offentliggøre og arkivere officielle dokumenter, kan anses for at være en dataansvarlig, som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), under omstændigheder, hvor offentliggørelsen af dokumenterne, som de foreligger, foranlediges af enheder, som er tredjeparter, der selv har behandlet de personoplysninger, der er indeholdt i dokumenterne, og hvor den statstidende ikke har nogen skønsbeføjelse for så vidt angår indholdet af de dokumenter, der skal offentliggøres, eller vedrørende formål og hjælpemidler i forbindelse med offentliggørelsen. |
|
38. |
Med henblik på at besvare spørgsmålet skal det først bemærkes, at begrebet »dataansvarlig« defineres i databeskyttelsesforordningens artikel 4, nr. 7), som »en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret«. Det kan udledes af denne bestemmelse, sammenholdt med databeskyttelsesforordningens artikel 5, stk. 1, der fastsætter principper for behandling af personoplysninger, at der skal være en dataansvarlig på ethvert stadie af databehandlingen ( 7 ). Når personoplysninger behandles, bør der således altid være en dataansvarlig, der er hovedaktøren ved udmøntningen af databeskyttelseslovgivningen ( 8 ), hvorfor det er afgørende at identificere den dataansvarlige på ethvert stadie af behandlingen ( 9 ). Begrebet »dataansvarlig« omfatter såvel fysiske og juridiske personer samt offentlige myndigheder, instanser og øvrige organer. Klassifikationen af enhedens type medfører dog åbenbart ingen udfordringer i den foreliggende sag. |
|
39. |
Inden jeg tager fat på spørgsmålets kerne, dvs. fastlæggelsen af begrebet »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), er der efter min opfattelse behov for at afklare, om de relevante aktiviteter i den foreliggende sag udgør »behandling« af »personoplysninger« som omhandlet i databeskyttelsesforordningens artikel 4, henholdsvis nr. 2) og 1). |
1. »Behandling« af »personoplysninger«
|
40. |
Indledningsvist skal det erindres, at »personoplysninger« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), udgør »enhver form for information om en identificeret eller identificerbar fysisk person«, hvilket ifølge retspraksis er opfyldt, hvis informationen på grund af sit indhold, formål eller virkning er knyttet til en bestemt person ( 10 ). Det er i den foreliggende sag uomtvistet mellem parterne, at oplysningerne, der er indeholdt i den omtvistede passage, som f.eks. navnene på de to partnere i selskabet og disses bankkontonumre, udgør personoplysninger. Efter min opfattelse er de beløb, der er tilbagebetalt til de to partnere, ikke nødvendigvis personoplysninger i sig selv. Da de optræder sammen med navnene på de personer, som modtog beløbene, skal de dog utvivlsomt anses for at være personoplysninger. |
|
41. |
For det andet defineres »behandling« i databeskyttelsesforordningens artikel 4, nr. 2), som »enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for«, som f.eks. »søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse« af personoplysninger. Definitionerne afspejler, at EU-lovgiver har villet give disse to begreber en bred betydning ( 11 ). |
|
42. |
Domstolen fastslog f.eks. i Google Spain-dommen, at en søgemaskines aktivitet, der består i at finde oplysninger, der er offentliggjort eller lagt på internettet af tredjemand, indeksere disse automatisk, lagre dem midlertidigt og sluttelig gøre dem tilgængelige for internetbrugerne i en vis prioriteret orden, skal kvalificeres som »behandling af personoplysninger« som omhandlet i artikel 2, litra b), i direktiv 95/46/EF ( 12 ) – der i det væsentlige svarer til databeskyttelsesforordningens artikel 4, nr. 2) – når oplysningerne omfatter»personoplysninger« ( 13 ). Domstolen har tillige i Fashion ID-dommen ( 14 ) fastslået, at en behandling af personoplysninger kan bestå af en eller flere operationer, som enkeltvis omfatter en af de forskellige faser, som kan indeholde en behandling af personoplysninger. |
|
43. |
Efter min opfattelse er der tre på hinanden følgende tilfælde af behandling af personoplysninger i den foreliggende sag. Den første behandling er foretaget af notaren, der udfærdigede dokumentet, som skulle offentliggøres i Moniteur belge (og i den sammenhæng begik en fejl ved at inkludere de omtvistede personoplysninger), og indgav det til justitskontoret ved retten i handels- og erhvervsretlige sager. Den anden behandling er foretaget af justitskontoret, der tilføjede dokumentet til selskabets sagsakter og sendte det til Moniteur belge med henblik på offentliggørelse. Den tredje behandling er foretaget af Moniteur belge, der ikke alene omdannede det trykte dokument til et elektronisk dokument, men også indsamlede, registrerede, opbevarede, videregav og formidlede dokumentet. Der er efter min opfattelse ingen tvivl om, at alle tre tilfælde og navnlig de operationer, der blev udført af Moniteur belge, udgør »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2). |
|
44. |
Den omstændighed, at der fandt behandling sted i disse tre tilfælde, medfører dog ikke nødvendigvis, at Moniteur belge handlede som dataansvarlig. Det skyldes, at databeskyttelsesforordningen i medfør af dennes artikel 4, nr. 7) og 8), foreskriver en sondring mellem den dataansvarlige på den ene side og databehandleren på den anden. Mens den dataansvarlige definerer formål og hjælpemidler i forbindelse med behandlingen ( 15 ), behandler databehandleren personoplysninger på den dataansvarliges vegne ( 16 ). Selv om de tre tilfælde utvivlsomt udgør »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), kan det dog ikke udledes heraf, om Moniteur belge – eller en anden enhed, der er involveret i tretrinskæden – har status som dataansvarlig i den foreliggende sag. |
2. Om fastlæggelse af formålene med og hjælpemidlerne til behandling af personoplysninger
|
45. |
Spørgsmålet om, hvorvidt Moniteur belge handlede som »dataansvarlig« afhænger efter min opfattelse af afklaringen af, om Moniteur belge»afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7). |
|
46. |
Indledningsvist skal det fremhæves, at begrebet »dataansvarlig« ifølge Domstolens praksis skal defineres bredt. Domstolen har da også tidligere fastslået, at der i overensstemmelse med formålet med databeskyttelsesforordningens artikel 4, nr. 7), skal foretages en bred fortolkning af begrebet »dataansvarlig« med henblik på at sikre en effektiv og fuldstændig beskyttelse af de registrerede ( 17 ). Begreberne dataansvarlig og databehandler er tillige funktionelle begreber: De har til formål at fordele ansvaret efter parternes egentlige roller ( 18 ). Sagt med andre ord er den »registeransvarlige […] det organ, der beslutter, hvorfor og hvordan personoplysningerne skal behandles« ( 19 ). Fastlæggelsen af den dataansvarliges forpligtelser »er således snarere baseret på en faktuel end en formel analyse« ( 20 ). |
|
47. |
For det andet tilkendegives det gennem udtrykket »alene eller sammen med andre« i databeskyttelsesforordningens artikel 4, nr. 7), at mere end en enhed kan afgøre databehandlingens »hjælpemidler og formål«. Fordelingen mellem to eller flere aktører, der udøver fælles kontrol kan dog antage en række forskellige former ( 21 ), som jeg vil komme ind på under min bedømmelse af det andet forelagte spørgsmål. |
|
48. |
For det tredje skal det påpeges, at Kongeriget Belgien ved vedtagelsen af kongelig anordning af 25. juni 2020 har udpeget justitsministeriet som dataansvarlig som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7) ( 22 ). Begivenhederne i hovedsagen fandt dog sted forud for denne anordnings ikrafttrædelse. Anordningen fandt således ikke tidsmæssig anvendelse i den foreliggende sag. Domstolen er derfor nødt til at undersøge fordelingen af beføjelser og ansvar mellem de nationale enheder forud for ikrafttrædelsen af anordningen. |
|
49. |
Efter disse indledende bemærkninger vil jeg nu undersøge de betingelser, der er fastsat i databeskyttelsesforordningens artikel 4, nr. 7), dvs. afklare, hvilke af de relevante enheder der »afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling« af de omtvistede personoplysninger. |
a) Indirekte udpegelse af en dataansvarlig gennem national ret
|
50. |
Dataansvaret kan defineres ved lov eller kan stamme fra en analyse af de faktiske forhold eller omstændigheder i sagen ( 23 ). Databeskyttelsesforordningens artikel 4, nr. 7), foreskriver, at de specifikke kriterier for udpegelse af den dataansvarlige, hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i medlemsstaternes nationale ret, kan fastsættes i henhold til medlemsstaternes nationale ret. Det følger heraf, at en udpegelse er endelig, når en enhed direkte ved lov er udpeget som dataansvarlig ( 24 ). I den foreliggende sag findes der dog ingen konkret bestemmelse, der udtrykkeligt udpeger en dataansvarlig. |
|
51. |
En enhed kan også udpeges indirekte som dataansvarlig i medfør af national ret ( 25 ). Når national lovgivning f.eks. pålægger den relevante enhed en forpligtelse til at opbevare eller meddele visse oplysninger, vil en sådan enhed blive anset for at være dataansvarlig for den behandling, der er nødvendig for at opfylde forpligtelsen. En sådan indirekte udpegelse gennem national ret finder sted, når det klart kan udledes af rollen, opgaverne og den kompetence, der er overdraget til myndigheden, at denne afgør, til hvilke formål og med hvilke hjælpemidler den pågældende behandling må foretages. I Manni-dommen lagde Domstolen vurderingen af de faktiske omstændigheder til grund, da den fastslog, at »den myndighed, der har ansvaret for at føre selskabsregistret, ved at indføre og opbevare de nævnte oplysninger i registret og ved i givet fald efter anmodning at videregive disse til tredjemand«, foretager en »behandling af personoplysninger«, som den er »registeransvarlig« for som omhandlet i definitionerne i artikel 2, litra b) og d), i direktiv 95/46 ( 26 ). |
|
52. |
Selv om national lovgivning i den foreliggende sag ikke direkte har udpeget en dataansvarlig, foreskriver den, at selskaber er retligt forpligtede til at offentliggøre visse dokumenter i Moniteur belge ( 27 ). Lovgivningen har altså fastsat en retlig forpligtelse til databehandling, der skal udføres af en dataansvarlig. Den nationale lovgiver har udformet en ordning, hvorved tre enheder successivt foretager databehandling; parterne er dog ikke enige om, hvilken af disse tre enheder der faktisk er dataansvarlig ( 28 ). Der er derfor behov for at opnå klarhed over de beføjelser, som de enkelte enheder er tildelt, med henblik på at afklare, hvilken af enhederne der af lovgiver indirekte er udpeget som dataansvarlig på tredje stadie af databehandlingen, dvs. under de operationer, der udføres af Moniteur belge. |
b) En effektiv og fuldstændig beskyttelse af de registrerede
|
53. |
Gennem anvendelsen af verbet »at afgøre« forudsætter databeskyttelsesforordningens artikel 4, nr. 7), at en dataansvarlig udøver sin indflydelse på behandlingen gennem anvendelsen af en beslutningskompetence ( 29 ). I sagen om »synes godt om«-knappen fra Facebook ( 30 ) var der f.eks. behov for at afgøre, om Fashion ID, der er en virksomhed, som sælger modetøj online, og som integrerede det sociale modul »synes godt om« fra det sociale netværk Facebook, sammen med Facebook Ireland fastlagde formålene og hjælpemidlerne ved indsamling og videregivelse gennem transmission af personoplysninger, der vedrørte de besøgende på Fashion ID’s websted. Domstolen fastslog direkte i sagen, at Fashion ID ved at integrere et sådant socialt modul på sit websted på afgørende vis har indflydelse på indsamlingen og transmissionen af webstedets besøgendes personoplysninger til udbyderen af nævnte modul, Facebook Ireland, der ikke ville have fundet sted, såfremt nævnte modul ikke var blevet integreret på webstedet ( 31 ). Det kan udledes heraf, at en afgørende indflydelse på behandlingen af personoplysninger medfører, at enheden, der udøver indflydelsen, anses for at være dataansvarlig. Man kan dog ikke udelukke, at en enhed har status som dataansvarlig, fordi denne ikke har afgørende indflydelse. |
|
54. |
Internettet indebærer som følge af de måder, hvorpå informationen frembringes og udbredes, en eksponentiel forøgelse af risikoen for krænkelse af de grundlæggende rettigheder til privatlivets fred og beskyttelse af personoplysninger ( 32 ). Domstolen har med fuld erkendelse af den risiko anlagt en bred definition of begrebet »dataansvarlig« ( 33 ) med henblik på gennem databeskyttelsesforordningen at sikre en effektiv og fuldstændig beskyttelse af de registrerede, især retten til privatlivets fred ( 34 ). I den sammenhæng fastslog Domstolen i Google Spain-dommen, at det ikke blot vil være i strid med den klare ordlyd af artikel 2, litra d), i direktiv 95/46, der i det væsentlige svarer til databeskyttelsesforordningens artikel 4, nr. 7), men også med bestemmelsens formål, hvis man udelukker en søgemaskineudbyder herfra med den begrundelse, at denne ikke har kontrol over de personoplysninger, som offentliggøres på tredjemands websider ( 35 ). Det fremgår klart, at Domstolen ved at anlægge en så bred fortolkning har haft til hensigt at foretage en formålsfortolkning af bestemmelsen: Definitionen af »dataansvarlig« skal garantere en effektiv og fuldstændig beskyttelse af de registrerede. Det bør tillige påpeges, at en sådan fortolkning alene kan styrkes gennem databeskyttelsesforordningen, der blev vedtaget på grundlag af artikel 16, stk. 1, TEUF, hvorved EU-lovgiver er bemyndiget til at sikre den fundamentale ret til beskyttelse af personoplysninger, der er foreskrevet i artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) ( 36 ). |
|
55. |
Det fremgår tydeligt af den foreliggende sag, at den nationale lovgiver har skabt en ordning med tre forskellige stadier af behandling: En kæde, der indledes med notaren, der udfærdiger og undertegner de relevante dokumenter, efterfølges af justitskontoret ved retten i handels- og erhvervsretlige sager, der føjer dokumenter til selskabets sagsakter og opbevarer dokumenterne, og afsluttes af Moniteur belge, der omdanner dokumenter til digitale versioner og offentliggør disse. Selv om det er korrekt, at Moniteur belge skal offentliggøre det relevante dokument, som det foreligger, er det dog et faktum, at det hverken er notaren eller justitskontoret ved retten i handels- og erhvervsretlige sager, der omdanner dokumentet til at elektronisk dokument med henblik på offentliggørelse; det er alene Moniteur belge, der udfører denne handling og efterfølgende formidler dokumentet via internettet. |
|
56. |
Det bør i særdeleshed påpeges, at den nationale lovgiver ved vedtagelsen af artikel 474-475b, i programloven af 24. december 2002 har tildelt Moniteur belge visse beføjelser. Bestemmelserne medfører, at Moniteur belge ikke alene offentliggør den trykte udgave af de relevante dokumenter, men også gør dokumenterne offentligt tilgængelige i elektronisk udgave via sit websted, opbevarer dem elektronisk, gør dem offentligt tilgængelige for borgere gennem telefonisk vejledning og hjælp til at fremsøge dokumenter og endelig sikrer den størst mulige formidling af og adgang til oplysningerne i Moniteur belge. Man kan således efter min overbevisning udlede af disse bestemmelser, at den nationale lovgiver, ved at give Moniteur belge beføjelser for så vidt angår digital transformation, offentliggørelse, formidling og opbevaring af de relevante dokumenter, har tildelt tidenden beføjelser, der er omfattet af begrebet »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7) ( 37 ). |
|
57. |
Ved at udføre de ovennævnte operationer, som lovgiver har pålagt tidenden, dvs. digital transformation, offentliggørelse og formidling, forøger Moniteur belge eksponentielt risikoen for krænkelse af den relevante persons grundlæggende rettigheder (i sammenligning med en simpel offentliggørelse af dokumentet i trykt udgave). Det er den statstidendes databehandling, der de facto udgør en risiko for en effektiv og fuldstændig beskyttelse af den relevante registrerede. Som konsekvens heraf må Moniteur belge i overensstemmelse med formålet om at sikre en effektiv og fuldstændig beskyttelse af de registrerede og som følge af den potentielle krænkelse, som de registrerede kan blive udsat for i forbindelse med den digitale omdannelse og formidling, efter min opfattelse anses for have status som »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7). |
|
58. |
Endelig skal det, for så vidt angår anvendelsen af retspraksis vedrørende private søgemaskiner over for offentlige enheder som Moniteur belge, bemærkes, at Domstolen i en nylig dom anvendte denne retspraksis med henblik på at fastslå, at anklagemyndigheden har status som »dataansvarlig« ( 38 ). Denne anvendelse er efter min opfattelse i tråd med den brede fortolkning af begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), der har til formål at sikre en effektiv og fuldstændig beskyttelse af de registreredes rettigheder og friheder, der er nedfældet i primær ret ( 39 ), uanset om den dataansvarlige er en offentlig eller privat enhed ( 40 ). Med henblik på at sikre en effektiv og fuldstændig beskyttelse er principperne for beskyttelse af personoplysninger, der påhviler private under anvendelse af søgemaskiner, relevante for såvel private som offentlige enheder, der er underlagt de samme forpligtelser og overordnede principper for databehandling i henhold til databeskyttelsesforordningen, der udgør et konkret eksempel på primær ret. |
c) Spørgsmålet om, hvorvidt en anden enhed er dataansvarlig
|
59. |
Den belgiske regering har i retsmødet anført, at notaren bør anses for at være dataansvarlig, da notaren afgør, til hvilke formål og med hvilke hjælpemidler der må foretages databehandling. |
|
60. |
Hvis notaren blev anset for at være den eneste dataansvarlige, ville det efter min vurdering medføre, at der i praksis ikke ville være en dataansvarlig på det tredje stadie af databehandlingen, dvs. under de operationer, der udføres af Moniteur belge, da lovgiver ikke har givet notaren beføjelse til – som de faktiske omstændigheder i den foreliggende sag afspejler – at udøve nogen afgørende indflydelse på tredje stadie af databehandlingen. De tre relevante enheder kan dog være involveret i behandlingen af personoplysninger på forskellige stadier og i forskellig udstrækning, hvorved de alle kan anses for at være dataansvarlige, men dog på varierende vis som følge af forskelle i niveauer og omfang ( 41 ). Det skal tillige, som Kommissionen har anført i retsmødet, påpeges, at Moniteur belge principielt kunne være udpeget som databehandler ved lov, såfremt flere enheder gennem lovgivning var pålagt en forpligtelse til at udfærdige, opbevare og foretage digital formidling af det relevante dokument. Moniteur belge kan dog alene anses for at være databehandler, hvis betingelserne i databeskyttelsesforordningens artikel 28 er opfyldt, hvilket tydeligvis ikke er tilfældet at dømme ud fra de oplysninger, der er præsenteret for Domstolen, da samtlige relevante enheder er ansvarlige for deres egen del af behandlingen ( 42 ). Moniteur belge kan således ikke anses for at være »databehandler« som omhandlet i bestemmelsen. |
|
61. |
Den belgiske regering har tillige anført, at den nationale lovgiver enten selv handler som dataansvarlig eller udpeger en enhed, der skal fungere som dataansvarlig, mens Moniteur belge alene udøvede de beføjelser, som denne var blevet tildelt. Ifølge den belgiske regering finder retspraksis vedrørende privates anvendelse af søgemaskiner ikke anvendelse for offentlige organer, da Moniteur belge i sin egenskab af offentlig myndighed oprettet ved lov ikke fastlægger egne formål og opgaver. |
|
62. |
Som jeg allerede har påpeget ( 43 ), har den nationale lovgiver i den foreliggende sag indirekte udpeget Moniteur belge som dataansvarlig ved at tildele enheden beføjelse til at udføre en række konkrete opgaver. |
|
63. |
Det er under alle omstændigheder min opfattelse, at en tilgang, hvorved Domstolen kvalificerer den nationale lovgiver som dataansvarlig, når lovgiver udøver sin kompetence til at afgøre, til hvilke formål og med hvilke hjælpemidler en relevant behandling må foretages, vil medføre, at fysiske personer ikke længere vil være sikret en effektiv beskyttelse, og at begrebet dataansvarlig dermed ikke længere vil have effektiv virkning. Den effektive beskyttelse af de registrerede kan da heller ikke sikres, hvis de talrige forpligtelser foreskrevet ved lov, der påhviler en dataansvarlig under enhver behandling af personoplysninger, skal opfyldes af lovgiver selv. Når en offentlig myndighed er tildelt beføjelsen til at behandle personoplysninger, er det efter min opfattelse således ikke lovgiver, der er dataansvarlig, men den myndighed, der udfører de offentlige opgaver, dvs. den enhed, der afgør formål og hjælpemidler i forbindelse med behandlingen ( 44 ). Det fremgår i den foreliggende sag klart af omstændighederne, at den relevante behandling, som jeg har forklaret i punkt 43 i dette forslag til afgørelse, finder sted i forbindelse med gennemførelse af national lovgivning, hvorved man kan afvise hypotesen om, at det – når lovgivning vedtages – er lovgiver selv, der er dataansvarlig for behandling af personoplysninger. |
d) Om den manglende skønsbeføjelse
|
64. |
Det kan i den foreliggende sag udledes af den nationale lovgivning, der er forelagt Domstolen, at Moniteur belge ikke havde nogen beslutningsbeføjelse vedrørende de tekster, som tidenden er forpligtet til at offentliggøre ( 45 ). Som påpeget af den belgiske regering i dennes skriftlige indlæg og i retsmødet havde Moniteur belge da også 15 dage ( 46 ) til at offentliggøre dokumentet, der skulle være en eksakt kopi af det dokument, som notaren havde udfærdiget. I tilfælde af undladelse eller forsinkelse risikerer embedsmanden ved Moniteur belge at blive retsforfulgt med henblik på erstatning ( 47 ). Med henblik på at undgå erstatningskrav tjekker myndigheden ikke, om oplysningerne, som denne er forpligtet til at offentliggøre, er fuldstændige, gyldige eller korrekte. Som anført af den belgiske regering synes Moniteur belge således ikke at have nogen beføjelse til at revidere indholdet af disse dokumenter, herunder de personoplysninger, som dokumenterne indeholder. |
|
65. |
Da lovgiver ikke handler som dataansvarlig, når denne vedtager love, og da ingen anden enhed afgør formål og hjælpemidler i forbindelse med den relevante behandling – dvs. den digitale omdannelse og den digitale formidling af de relevante dokumenter – skal Moniteur belge dog anses for at være dataansvarlig, så man undgår en lakune vedrørende kvalificeringen heraf. Notaren og justitskontoret ved retten i handels- og erhvervsretlige sager har ganske enkelt ikke beføjelser til at udøve indflydelse på dette stadie. Den omstændighed, at Moniteur belge ikke har nogen skønsbeføjelse, kan dog ikke medføre, at de registrerede mister den effektive beskyttelse Det bør derfor fastslås, at Moniteur belge har status som dataansvarlig som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), om end på indirekte grundlag, for behandlingen af personoplysninger, når tidenden offentliggør dokumenter som foreskrevet ved national lovgivning. |
e) Sletning af personoplysninger
|
66. |
Det fremgår af omstændighederne i den foreliggende sag, at notarens databeskyttelsesrådgiver anmodede justitsministeriet (der handlede på vegne af Moniteur belge) om at slette den omtvistede passage – ved at fjerne den fra internettet – og at offentliggøre uddraget uden passagen. Justitsministeriet afviste at imødekomme denne anmodning og tilbød at foretage en ny offentliggørelse af uddraget. Under sådanne omstændigheder har den relevante notar tilsyneladende ingen beføjelse til at kræve, at den omtvistede passage ændres eller trækkes tilbage. Det bør i øvrigt understreges, at der tilsyneladende heller ikke er nogen anden enhed, der har denne beføjelse. |
|
67. |
Den belgiske regering har anført, at den nationale lovgiver havde til hensigt at gøre de dokumenter, der offentliggøres i Moniteur belge, vedvarende uigenkaldelige af hensyn til arkiveringsformål, og at sikre, at den elektroniske udgave of dokumenterne til stadighed er en nøjagtig kopi af den trykte udgave, hvilket er til hinder for en ændring af dokumenterne med tilbagevirkende kraft. Regeringen har tilføjet, at en notar, der ønsker at korrigere en retsakt for en juridisk person, der er offentliggjort i Moniteur belge, er nødt til at indgive et ændringsdokument til justitskontoret ved retten i handels- og erhvervsretlige sager, der herefter må anmode ledelsen for Moniteur belge om at offentliggøre ændringsdokumentet. Det er derimod ikke muligt under belgisk ret at slette det originale dokument i dettes helhed uden at risikere at tilsidesætte princippet om uigenkaldelighed, der gælder for Moniteur belge. |
|
68. |
Efter min vurdering er oplysningerne fortsat offentligt tilgængelige, når den offentlige myndighed afviser at slette passagen, der indeholder de relevante personoplysninger, og at offentliggøre det relevante dokument uden denne passage. Det medfører efter min opfattelse, at myndigheden, når den anvender national lovgivning, agerer som en »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), da myndigheden, når den ikke trækker den omtvistede passage tilbage og lader den være offentligt tilgængelig, afgør formål og hjælpemidler i forbindelse med behandlingen af personoplysninger. Hvis Moniteur belge ikke kan anses for at være dataansvarlig, er der tilsyneladende ingen myndighed, der har den status ( 48 ). |
|
69. |
Efter min opfattelse kan det ikke være afgørende for en status som »dataansvarlig«, at en myndighed som Moniteur belge som følge af national ret ikke er i stand til at efterkomme en anmodning om sletning af data. Når der således er en lakune i den nationale lovgivning, påhviler det de nationale myndigheder, og på dette stadie den nationale ret, under anvendelse af databeskyttelsesforordningen at udpege den enhed, der skal opfylde de forpligtelser, der følger af forordningen. Da oplysningerne i den foreliggende sag behandles, er de fortsat offentligt tilgængelige, men der er ikke i medfør af national ret udpeget en myndighed som dataansvarlig for den del af behandlingen. |
|
70. |
Under sådanne omstændigheder, hvor den nationale lovgiver har skabt en lakune ved at undlade at udpege en dataansvarlig, bør Domstolen tilkendegive, at det påhviler den forelæggende ret på grundlag af de omstændigheder, der er beskrevet for Domstolen, at udpege Moniteur belge (eller justitsministeriet alt efter rettens vurdering) som dataansvarlig. Efter min opfattelse vil alene denne fortolkning være i overensstemmelse med formålet med databeskyttelsesforordningens artikel 4, nr. 7), hvorefter begrebet »dataansvarlig« skal defineres bredt med henblik på at sikre en effektiv og fuldstændig beskyttelse af de registrerede ( 49 ). Dermed kan man undgå smuthuller i lovgivningen og en mulig omgåelse af databeskyttelsesforordningens regler. |
|
71. |
For så vidt angår de konkrete argumenter, der hviler på princippet om uigenkaldelighed for så vidt angår oplysninger, der formidles af Moniteur belge, påhviler det i lyset af forpligtelserne i medfør af bl.a. databeskyttelsesforordningens artikel 5 og 17, den nationale lovgiver at vedtage retsforskrifter, der sikrer beskyttelsen af de registrerede og overholdelsen af princippet. Da risikoen for krænkelse af de registreredes rettigheder forøges eksponentielt i forbindelse med offentliggørelse af personoplysninger, er der behov for innovative løsninger i national ret ( 50 ). |
|
72. |
På grundlag af ovenstående foreslår jeg, at Domstolen i den foreliggende sag fastslår, at Moniteur belge har status som »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), når tidenden afslår at trække den omtvistede passage tilbage fra den offentlige sfære, dvs. når passagen holdes offentligt tilgængelig. |
3. Foreløbig konklusion
|
73. |
I den foreliggende sag er der gennem national ret opstået en forpligtelse til at udpege en dataansvarlig med henblik på at efterleve de forpligtelser, der følger af databeskyttelsesforordningen. For det første bør Moniteur belge for så vidt angår den digitale transformation, offentliggørelsen og formidlingen af de relevante oplysninger anses for at være »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), med henblik på at sikre den relevante persons grundlæggende rettigheder. For det andet er der en lakune i den nationale lovgivning vedrørende de relevante oplysninger, idet ingen af de relevante enheder har lov til at trække oplysningerne tilbage. Under sådanne omstændigheder påhviler det den nationale ret under anvendelse af databeskyttelsesforordningens regler at sikre beskyttelsen af de relevante personers grundlæggende rettigheder ved at udpege en dataansvarlig, der i den foreliggende sag må antages at være Moniteur belge. |
|
74. |
Som følge heraf foreslår jeg Domstolen at besvare det første forelagte spørgsmål med, at databeskyttelsesforordningens artikel 4, nr. 7), skal fortolkes således, at en medlemsstats statstidende, som Moniteur belge, der i medfør af gældende national ret har til opgave at offentliggøre og arkivere officielle dokumenter, kan anses for dataansvarlig som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), med henblik på at sikre en effektiv og fuldstændig beskyttelse af de registrerede under omstændigheder, hvor tredjeparter anmoder om offentliggørelse af disse dokumenter, som de foreligger, idet den nationale lovgiver har tildelt tidenden beføjelse til at afgøre hjælpemidlerne i forbindelse med den digitale transformation, offentliggørelse, formidling og opbevaring af de relevante dokumenter og har fastsat vidtrækkende formål med offentliggørelsen og formidlingen. Da der ikke er udpeget en dataansvarlig, der kan sørge for tilbagetrækning eller sletning af oplysninger, og da de relevante oplysninger fortsat er offentligt tilgængelige, påhviler det den nationale ret at udpege den enhed, der skal opfylde forpligtelserne i medfør af databeskyttelsesforordningen. |
|
75. |
Der er alene behov for besvarelse af det andet forelagte spørgsmål, dvs. spørgsmålet om, hvorvidt Moniteur belge eller den myndighed, som tidenden hører under, er eneansvarlig for opfyldelse af de forpligtelser, der påhviler den dataansvarlige i medfør af databeskyttelsesforordningen, hvis Domstolen tilslutter sig ovennævnte svar på det første spørgsmål. |
B. Det andet forelagte spørgsmål
|
76. |
Med sit andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, hvorvidt databeskyttelsesforordningens artikel 5, nr. 2), skal fortolkes således, at det alene er den relevante statstidende, der skal være ansvarlig for at opfylde de forpligtelser, der påhviler den dataansvarlige i henhold til denne bestemmelse, med udelukkelse af andre offentlige instanser, der tidligere har behandlet de oplysninger, der er indeholdt i de officielle retsakter og dokumenter, hvis offentliggørelse de anmoder om, eller hviler disse forpligtelser kumulativt på hver af de på hinanden følgende dataansvarlige. |
|
77. |
Den dataansvarlige er i henhold til databeskyttelsesforordningens artikel 5, stk. 2, ansvarlig for overholdelse af principperne, der er fastsat i bestemmelsens stk. 1, som f.eks. princippet om dataminimering og princippet om rigtighed ( 51 ), og skal kunne påvise, at principperne er overholdt. Når en fysisk person anmoder om sletning af personoplysninger, hvis offentliggørelse ikke er påkrævet i henhold til national ret, er den forelæggende ret ifølge egen opfattelse nødt til at afklare, om Moniteur belge eller den myndighed, som tidenden hører under, skal anses for eneansvarlig for efterlevelsen af princippet om dataminimering og princippet om rigtighed, eller om de to øvrige enheder tillige er ansvarlige for overholdelse af disse principper. |
|
78. |
Den forelæggende ret, der har konstateret, at parterne i hovedsagen ikke har påberåbt sig det fælles ansvar som omhandlet i databeskyttelsesforordningens artikel 26, er navnlig i tvivl om, hvorvidt samtlige de på hinanden følgende potentielle dataansvarlige, eller alene en af disse, skal anses for »dataansvarlig« som omhandlet i forordningens artikel 4, nr. 7), og dermed være ansvarlig for overholdelsen af de ovennævnte principper. |
1. Flere på hinanden følgende operationer
|
79. |
Som jeg allerede har påpeget ( 52 ), er de relevante personoplysninger i den omtvistede passage, som blev offentliggjort i Moniteur belge, behandlet af flere på hinanden følgende enheder, nemlig notaren, der udfærdigede uddraget, justitskontoret ved tribunal de l’entreprise néerlandophone de Bruxelles (den nederlandsksprogede ret i handels- og erhvervsretlige sager i Bruxelles), der tilføjede uddraget til selskabets sagsakter og endelig Moniteur belge, der offentliggjorde det, som det forelå. |
|
80. |
Med hensyn til denne kæde af hændelser skal det bemærkes, at Moniteur belges behandling af de relevante personoplysninger ikke alene ligger efter den behandling, der er udført af notaren og justitskontoret ved retten i handels- og erhvervsretlige sager, men også teknisk adskiller sig fra og er mere omfattende end den behandling, som er foretaget af disse to enheder. Det bør absolut påpeges, at de operationer, som Moniteur belge udfører i medfør af lov, der navnlig omfatter digital transformation af oplysninger i de uddrag af dokumenter, der er indleveret til tidenden, offentliggørelse, en vid udbredelse til offentligheden og opbevaring af oplysninger, adskiller sig fra og er mere omfattende – end den behandling, der forinden var udført af de øvrige to – og forårsager en forøgelse af risikoen for krænkelse af de grundlæggende rettigheder til privatlivets fred og beskyttelse af personoplysninger ( 53 ). |
|
81. |
Moniteur belge skal således opfylde alle de forpligtelser, der påhviler den dataansvarlige i medfør af databeskyttelsesforordningen under udførelsen af de behandlingsaktiviteter, som Moniteur belge er pålagt gennem national ret. |
2. Om udelukkelsen af et fælles ansvar
|
82. |
Det kan udledes af databeskyttelsesforordningens artikel 4, nr. 7), at mere end én aktør kan afgøre, »til hvilke formål og med hvilke hjælpemidler der må foretages behandling«. Det fremgår af bestemmelsen, at begrebet »dataansvarlig« henviser til det organ, der »alene eller sammen med andre« afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling. En sådan situation er omhandlet i databeskyttelsesforordningens artikel 26, hvorefter flere forskellige enheder kan handle som dataansvarlige i forbindelse med den samme behandling, hvorfor de alle er undergivet de anvendelige bestemmelser om databeskyttelse ( 54 ). |
|
83. |
Det bør erindres, at databeskyttelsesforordningens artikel 26, stk. 1, foreskriver, at i tilfælde hvor to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, er de fælles dataansvarlige. I samme bestemmelse tilføjes, at de fælles dataansvarlige på en gennemsigtig måde skal fastlægge deres respektive ansvar for overholdelse af samtlige forpligtelser i henhold til forordningen, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i bl.a. medlemsstaternes nationale ret, som de dataansvarlige er underlagt. Det er således ikke en nødvendig forudsætning for fælles ansvar for flere dataansvarlige, at der er indgået en kontrakt mellem de enkelte dataansvarlige, eller at de har en intention om fælles ansvar, da et fælles ansvar kan følge af national ret, hvis udpegelsen af flere dataansvarlige og deres respektive forpligtelser i medfør af databeskyttelsesforordningens bestemmelser kan udledes af denne ret. |
|
84. |
Den omstændighed, at flere aktører behandler de samme personoplysninger i en kæde af aktiviteter, medfører ikke nødvendigvis, at de agerer som fælles dataansvarlige ( 55 ). Domstolen har tillige konstateret, at en fysisk eller juridisk person ikke kan anses for at være ansvarlig for tidligere eller efterfølgende aktiviteter i rækken af aktiviteter, hvor personen ikke har indflydelse på hverken formål eller hjælpemidler ( 56 ). I den foreliggende sag synes der således ikke gennem national lovgivning at være udpeget fælles dataansvarlige, da notaren ikke har indflydelse på de handlinger, der udføres af Moniteur belge. |
|
85. |
Jeg er derfor i den foreliggende sag af den opfattelse, at der ikke foreligger fælles ansvar mellem de tre enheder i medfør af national ret, og at fælles ansvar ikke kan udledes af omstændighederne, som de er fremlagt af den forelæggende ret. Det skal med hensyn til omstændighederne i hovedsagen navnlig fremhæves, at de tre enheder i kæden ikke anvender de samme hjælpemidler til behandling, da Moniteur belge udfører digital transformation, offentliggørelse og formidling af de relevante dokumenter. Som følge af de faktiske omstændigheder i hovedsagen vil den relevante fysiske person, der ønsker at benytte sig af sin ret til sletning i henhold til databeskyttelsesforordningens artikel 17, tillige være nødt til at udøve sine rettigheder i henhold til databeskyttelsesforordningen under hensyntagen til og over for den enkelte af de fælles dataansvarlige. Ud fra dette synspunkt er hver enkelt aktør således individuelt ansvarlig for overholdelse af principperne, der henvises til i databeskyttelsesforordningens artikel 5, stk. 1 ( 57 ). |
|
86. |
Efter min opfattelse følger det heraf, at det ikke er muligt at fastsætte et »kumulativt« ansvar for de enkelte dataansvarlige i henhold til databeskyttelsesforordningens artikel 5, stk. 2. Den enkelte aktør, der er involveret i kæden af aktiviteter under databehandlingen, kan alene være individuelt ansvarlig for overholdelse af de principper, der henvises til i forordningens artikel 5, stk. 1, for så vidt angår de behandlingsaktiviteter, den enkelte har udført i overensstemmelse med formål og hjælpemidler for databehandlingen. Da oplysningerne i den foreliggende sag med urette blev offentliggjort af Moniteur belge og ikke notaren, er det min opfattelse, at myndigheden, selv om den ikke selv inkluderede oplysningerne i den omtvistede passage, tillige bør holdes ansvarlig for efterlevelse af de principper, der henvises til i databeskyttelsesforordningens artikel 5, stk. 1. |
|
87. |
Endelig bør det påpeges, at det påhviler den forelæggende ret at afklare, om den nationale lovgivning, der giver mulighed for berigtigelse, men ikke sletning, af de oplysninger, der er offentliggjort i Moniteur belge, er forenelig med databeskyttelsesforordningen. Den nationale lovgivning synes da heller ikke at give Moniteur belge mulighed for at slette oplysninger med tilbagevirkende kraft, når oplysningerne er offentliggjort (herunder i elektronisk udgave). Retten til berigtigelse eller sletning af personoplysninger, der er foreskrevet i databeskyttelsesforordningens artikel 16 og 17, kan ganske vist begrænses i overensstemmelse med databeskyttelsesforordningens artikel 23 gennem national lovgivning. En sådan begrænsning skal dog i henhold til chartrets artikel 52, stk. 1, være fastlagt i lovgivningen, respektere det væsentligste indhold af fysiske personers rettigheder og iagttage proportionalitetsprincippet ( 58 ). |
3. Foreløbig konklusion
|
88. |
Jeg foreslår derfor, at Domstolen besvarer det andet forelagte spørgsmål med, at databeskyttelsesforordningens artikel 5, stk. 2, skal fortolkes således, at den relevante statstidende er forpligtet til at efterleve den dataansvarliges ansvar i henhold til denne bestemmelse for så vidt angår de aktiviteter, som tidenden har udført. Den pågældende behandling medfører ikke fælles ansvar, og Moniteur belge bærer selv ansvaret for de behandlingsaktiviteter, som tidenden er pålagt i medfør af national ret. |
IV. Forslag til afgørelse
|
89. |
På baggrund af det ovenstående foreslår jeg, at Domstolen besvarer de af cour d’appel de Bruxelles (appeldomstolen i Bruxelles, Belgien) forelagte spørgsmål således: »Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en medlemsstats statstidende, som Moniteur belge, der i medfør af gældende national ret har til opgave at offentliggøre og arkivere officielle dokumenter, kan anses for dataansvarlig som omhandlet i artikel 4, nr. 7), i forordning 2016/679 med henblik på at sikre en effektiv og fuldstændig beskyttelse af de registrerede under omstændigheder, hvor tredjeparter anmoder om offentliggørelse af disse dokumenter, som de foreligger, idet den nationale lovgiver har tildelt denne tidende beføjelse til at afgøre hjælpemidlerne i forbindelse med den digitale transformation, offentliggørelse, formidling og opbevaring af de relevante dokumenter og har fastsat vidtrækkende formål med offentliggørelsen og formidlingen. Da der ikke er udpeget en dataansvarlig, der kan sørge for tilbagetrækning eller sletning af oplysninger, og da de relevante oplysninger fortsat er offentligt tilgængelige, påhviler det den nationale ret at udpege den enhed, der skal opfylde forpligtelserne, der følger af forordning 2016/679. Artikel 5, stk. 2, i forordning 2016/679 skal fortolkes således, at den relevante statstidende er forpligtet til at efterleve den dataansvarliges ansvar i henhold til denne bestemmelse for så vidt angår de aktiviteter, som tidenden har udført. Den pågældende behandling medfører ikke fælles ansvar, og Moniteur belge bærer selv ansvaret for de behandlingsaktiviteter, som tidenden er pålagt i medfør af national ret.« |
( 1 ) – Originalsprog: engelsk.
( 2 ) – Europa-Parlamentets og Rådets forordning af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1).
( 3 ) – Moniteur belge, 6.8.1999, s. 29440.
( 4 ) – Moniteur belge, 6.2.2001, s. 3008.
( 5 ) – Moniteur belge, 31.12.2022, s. 58686.
( 6 ) – Justitsministeriet begrundede undtagelsen med databeskyttelsesforordningens artikel 17, stk. 3 og artikel 86.
( 7 ) – I henhold til databeskyttelsesforordningens artikel 4, nr. 2), forstås ved »behandling«»enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse«.
( 8 ) – Jf. dom af 13.5.2014, Google Spain og Google (C-131/12, EU:C:2014:317; herefter »Google Spain-dommen«), og O. Lynskey, »Control over Personal Data in a Digital Age: Google Spain v AEPD and Mario Costeja Gonzalez«, The Modern Law Review, bind 78, nr. 3, 2015, s. 522-534.
( 9 ) – Jf. generaladvokat Ćapetas forslag til afgørelse Norra Stockholm Bygg (C-268/21, EU:C:2022:755, punkt 17). Jf. tillige dom af 10.7.2018, Jehovan todistajat (C-25/17, EU:C:2018:551, præmis 68), og L.A. Bygrave og L. Tosoni, »Article 4(7). Controller«, i C. Kuner, L.A. Bygrave, C. Docksey, L. Drechsler og L. Tosoni (red.), The EU General Data Protection Regulation (GDPR): A Commentary, Oxford University Press, Oxford, 2021, s. 146-150.
( 10 ) – Jf. i denne retning dom af 20.12.2017, Nowak (C-434/16, EU:C:2017:994, præmis 35).
( 11 ) – Ibidem, præmis 34 og dom af 24.2.2022, Valsts ieņēmumu dienests (Behandling af personoplysninger til skatteformål) (C-175/20, EU:C:2022:124, præmis 35).
( 12 ) – Europa-Parlamentets og Rådets direktiv af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31).
( 13 ) – Google Spain-dommen, præmis 41. Jf. tillige dom af 8.12.2022, Google (Fjernelse af links til et angiveligt urigtigt indhold) (C-460/20, EU:C:2022:962, præmis 49).
( 14 ) – Dom af 29.7.2019 (C-40/17, EU:C:2019:629, præmis 72).
( 15 ) – Databeskyttelsesforordningens artikel 4, nr. 7).
( 16 ) – Databeskyttelsesforordningens artikel 4, nr. 8). For så vidt angår ansvaret for en søgemaskine har Domstolen f.eks. fastslået, at en behandling af personoplysninger, der foretages inden for rammerne af en søgemaskines aktiviteter, adskiller sig fra og er mere omfattende end den behandling, som foretages af webstedudgivere, hvis behandling består i at lægge oplysninger ud på et websted, og understreget, at søgemaskineudbyderen udgør den person, som afgør formålet med aktiviteten og hjælpemidlerne til den aktivitet, der udføres gennem søgemaskinen (dom af 8.12.2022, Google (Fjernelse af links til et angiveligt urigtigt indhold), C-460/20, EU:C:2022:962, præmis 44).
( 17 ) – Jf. i denne retning, Google Spain-dommen, præmis 34, og dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, præmis 28).
( 18 ) – Jf. Retningslinjer 07/2020 for begreberne dataansvarlig og databehandler i den generelle forordning om databeskyttelse, Databeskyttelsesrådet, præmis 12.
( 19 ) – Generaladvokat Bots forslag til afgørelse Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2017:796, punkt 46).
( 20 ) – Udtalelse 1/2010 om begreberne »registeransvarlige« og »registerfører«, WP 169, s. 11, vedtaget af »artikel 29-gruppen«, et rådgivende organ nedsat i medfør af artikel 29 i direktiv 95/46, der nu er erstattet af Det Europæiske Databeskyttelsesråd (herefter »Databeskyttelsesrådet«), der er nedsat i henhold til databeskyttelsesforordningens artikel 68.
( 21 ) – B. Van Alsenoy, »Chapter 4. Allocation of Responsibility«, i Data Protection Law in the EU: Roles, Responsibilities and Liability, 1. udg., Intersentia, Mortsel, 2019, s. 43-53.
( 22 ) – Jf. artikel 2 i kongelig anordning af 25.6.2020, der fastlægger den model for offentliggørelse i Moniteur belge, som artikel 1250 i Code judiciaire (retsplejeloven) henviser til. Det skal påpeges, at justitsministeriet i sin egenskab af dataansvarlig som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), ikke alene »sikrer den operationelle forvaltning af offentliggørelsen og stiller de tekniske midler til rådighed for behandlingen«, men at ministeriet tillige skal opfylde de forpligtelser i forbindelse med behandlingen, der er foreskrevet i forordningen (dvs. databeskyttelsesforordningens artikel 5 og 6).
( 23 ) – Retningslinjer 07/2020 for begreberne dataansvarlig og databehandler i den generelle forordning om databeskyttelse, Databeskyttelsesrådet, præmis 20.
( 24 ) – Ibidem.
( 25 ) – Forpligtelsen, der er fastsat i databeskyttelsesforordningens artikel 4, nr. 7), sammenholdt med forordningens artikel 5, stk. 1, litra b), hvorefter der bør fastlægges udtrykkelige og direkte formål forudsætter dog som det absolutte minimum, at enhver indirekte fastlæggelse af formål med behandlingen skal fremgå klart af de retsforskrifter, der regulerer den relevante myndigheds aktivitet.
( 26 ) – Jf. Manni-dommen af 9.3.2017 (C-398/15, EU:C:2017:197, præmis 35).
( 27 ) – Jf. selskabslovens artikel 71 og 73.
( 28 ) – I retsmødet har den belgiske regering tilkendegivet, at notaren i medfør af loven indirekte var udpeget som den dataansvarlige, mens databeskyttelsesmyndigheden har anført, at den snarere udpegede Moniteur belge som sådan.
( 29 ) – Dom af 10.7.2018, Jehovan todistajat (C-25/17, EU:C:2018:551, præmis 68).
( 30 ) – Dom af 29.7.2019, Fashion ID (C-40/17, EU:C:2019:629).
( 31 ) – Ibidem, præmis 78 og 79.
( 32 ) – Som generaladvokat Pitruzzella har påpeget i sit forslag til afgørelse Google (Fjernelse af angiveligt urigtigt indhold) (C-460/20, EU:C:2022:271, punkt 15), hvorefter Domstolen i Google Spain-dommen udtalte, at en behandling af personoplysninger, der foretages inden for rammerne af en søgemaskines aktiviteter, adskiller sig fra og er mere omfattende end den behandling, som foretages af websideudgivere, hvis behandling består i at lægge oplysninger ud på en internetside.
( 33 ) – Dom af 29.7.2019, Fashion ID (C-40/17, EU:C:2019:629, præmis 70).
( 34 ) – Jf. i denne retning dom af 24.9.2019, GC m.fl. (Fjernelse af følsomme oplysninger) (C-136/17, EU:C:2019:773, præmis 37).
( 35 ) – Google Spain-dommen, præmis 34.
( 36 ) – Jf. første betragtning til databeskyttelsesforordningen.
( 37 ) – Jf. punkt 68 nedenfor.
( 38 ) – Dom af 8.12.2022, Inspektor mod Inspektorata kam Visshia sadeben savet (Formål med behandling af personoplysninger – strafferetlig efterforskning) (C-180/21, EU:C:2022:967, præmis 80).
( 39 ) – Jf. punkt 54 ovenfor.
( 40 ) – Dvs. første og fjerde betragtning til og artikel 1, stk. 2, i databeskyttelsesforordningen.
( 41 ) – Jf. i denne retning dom af 10.7.2018, Jehovan todistajat (C-25/17, EU:C:2018:551, præmis 66).
( 42 ) – En databehandlers behandling skal i henhold til databeskyttelsesforordningens artikel 28 og 29, være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige og fastsætter behandlingens karakter. Den nationale lovgiver burde have fastsat regler for behandlingen med henblik på at kvalificere Moniteur belge som databehandler.
( 43 ) – Jf. punkt 55-57 i dette forslag til afgørelse.
( 44 ) – Den belgiske regerings argument strider tillige mod dennes eget argument fremsat i retsmødet, hvorved regeringen hævdede, at Moniteur belge ikke håndhæver loven, men snarere opfylder notarens anmodninger.
( 45 ) – Artikel 474-476 i programloven af 24.12.2002.
( 46 ) – Det er nu ti dage som følge af nye regler.
( 47 ) – Dvs. selskabslovens artikel 73 og 76.
( 48 ) – Problemstillingen, der opstår her, er spørgsmålet om, hvorvidt den belgiske lovgiver har begrænset den dataansvarliges beføjelser på en måde, der er i strid med databeskyttelsesforordningen. Man kunne argumentere for, at et sådan begrænsning ikke alene er problematisk for så vidt angår databeskyttelsesforordningens artikel 17, men tillige artikel 16, stk. 1, TEUF og chartrets artikel 8, stk. 1, og at den potentielt kan skade den effektive virkning af den beskyttelse, der er fastsat ved databeskyttelsesforordningen. Selv om den forelæggende ret vil være nødt til at undersøge disse problemstillinger, falder de afgjort ikke inden for rammerne af den foreliggende anmodning om præjudiciel afgørelse, da den registreredes anmodning er fremsat med henvisning til beskyttelsesforordningens artikel 17.
( 49 ) – Jf. punkt 54 ovenfor.
( 50 ) – I retsmødet har Kommissionen forklaret, at Den Europæiske Unions Tidende f.eks. kan ændres, og at sådanne løsninger forefindes.
( 51 ) – Jf. databeskyttelsesforordningens artikel 5, stk. 1, litra c) og d).
( 52 ) – Jf. punkt 55 ovenfor.
( 53 ) – Som generaladvokat Pitruzzella har påpeget i sit forslag til afgørelse Google (Fjernelse af angiveligt urigtigt indhold) (C-460/20, EU:C:2022:271, punkt 15), hvorefter Domstolen i Google Spain-dommen udtalte, at en behandling af personoplysninger, der foretages inden for rammerne af en søgemaskines aktiviteter, adskiller sig fra og er mere omfattende end den behandling, som foretages af websideudgivere, hvis behandling består i at lægge oplysninger ud på en internetside.
( 54 ) – Dom af 29.7.2019, Fashion ID (C-40/17, EU:C:2019:629, præmis 67). Jf. tillige Retningslinjer 07/2020 for begreberne dataansvarlig og databehandler i den generelle forordning om databeskyttelse, Databeskyttelsesrådet, præmis 29.
( 55 ) – Jf. Retningslinjer 07/2020 for begreberne dataansvarlig og databehandler i den generelle forordning om databeskyttelse, Databeskyttelsesrådet, præmis 67. Som Kommissionen har anført, betyder det forhold, at flere aktører er involveret i den samme behandling, ikke, at de nødvendigvis fungerer som fælles dataansvarlige for en sådan behandling. Ikke alle former for partnerskaber, samarbejde eller gruppearbejde indebærer kvalifikation som fælles dataansvarlige, da sådanne kvalifikationer kræver en analyse fra sag til sag af hver enkelt behandling, der pågår, og hver enkelt enheds præcise rolle i forbindelse med hver behandling. Jeg vil argumentere for, at der foreligger et fælles ansvar, når to enheder udfører de samme behandlingsaktiviteter, der ikke kan adskilles som uafhængige trin i en behandling.
( 56 ) – Jf. i denne retning dom af 29.7.2019, Fashion ID (C-40/17, EU:C:2019:629, præmis 74).
( 57 ) – Det er f.eks. alene justitskontoret ved retten i handels- og erhvervsretlige sager, der kan føje den omtvistede passage til selskabets sagsakter.
( 58 ) – Jf. i denne retning dom af 16.7.2020, Facebook Ireland og Schrems (C-311/18, EU:C:2020:559, præmis 172-176).