Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Document 62023CC0394

Forslag til afgørelse fra generaladvokat M. Szpunar fremsat den 11. juli 2024.


ECLI identifier: ECLI:EU:C:2024:610

Foreløbig udgave

FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

M. SZPUNAR

fremsat den 11. juli 2024 (1)

Sag C-394/23

Association Mousse

mod

Commission nationale de l’informatique et des libertés (CNIL),

SNCF Connect

(anmodning om præjudiciel afgørelse indgivet af Conseil d’État (øverste domstol i forvaltningsretlige sager, Frankrig))

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 6, stk. 1 – princippet om lovlig behandling – artikel 5, stk. 1, litra c) – princippet om dataminimering – tiltaleform – onlinekøb af transportydelse – artikel 21 – ret til indsigelse«






I.      Indledning

1.        Forordning (EU) 2016/679 (2) (herefter »databeskyttelsesforordningen«) har til formål at sikre et højt beskyttelsesniveau for fysiske personer i forbindelse med behandling af deres personoplysninger. I dette øjemed pålægger den de dataansvarlige at overholde en række principper, når de behandler personoplysninger, herunder princippet om såkaldt »dataminimering« og princippet om lovlig behandling.

2.        Disse to principper udgør kernen i den foreliggende sag, der vedrører en tvist mellem en forening og en national tilsynsmyndighed vedrørende et transportselskabs behandling af oplysninger om sine kunders tiltaleform med det erklærede formål at gøre brug heraf i den forretningsmæssige kommunikation med kunderne, og som således giver Domstolen lejlighed til at præcisere rækkevidden heraf.

II.    Retsforskrifter

A.      EU-retten

3.        Følgende fremgår af 4., 10., 39., 40., 44., 47., 69. og 75. betragtning til databeskyttelsesforordningen:

»(4)      Behandling af personoplysninger bør have til formål at tjene menneskeheden. Retten til beskyttelse af personoplysninger er ikke en absolut ret; den skal ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet. Denne forordning overholder alle de grundlæggende rettigheder og følger de frihedsrettigheder og principper, der anerkendes i [Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«)] som forankret i traktaterne, navnlig respekten for privatliv og familieliv, hjem og kommunikation, beskyttelsen af personoplysninger, retten til at tænke frit, til samvittigheds- og religionsfrihed, ytrings- og informationsfrihed, frihed til at oprette og drive egen virksomhed, adgang til effektive retsmidler og til en retfærdig rettergang og kulturel, religiøs og sproglig mangfoldighed.

[...]

(10)      For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for Unionen bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. [...]

[...]

(39)      [...] Personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. [...] Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde. [...]

(40)      For at behandling kan betragtes som lovlig, bør personoplysninger behandles på grundlag af den registreredes samtykke eller et andet legitimt grundlag, der er fastlagt ved lov enten i denne forordning eller i anden EU-ret eller i medlemsstaternes nationale ret, som omhandlet i denne forordning, herunder når det er nødvendigt for overholdelse af de retlige forpligtelser, som påhviler den dataansvarlige, eller behovet for opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til foranstaltninger, der træffes på dennes anmodning forud for indgåelse af en sådan kontrakt.

[…]

(44)      Behandling bør anses for lovlig, når den er nødvendig i forbindelse med en kontrakt eller en påtænkt indgåelse af en kontrakt.

[...]

(47)      En dataansvarligs legitime interesser, herunder en dataansvarlig, som personoplysninger kan videregives til, eller en tredjemands legitime interesser kan udgøre et retsgrundlag for behandling, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor under hensyntagen til registreredes rimelige forventninger på grundlag af deres forhold til den dataansvarlige. For eksempel kan der foreligge sådanne legitime interesser, når der er et relevant og passende forhold mellem den registrerede og den dataansvarlige, f.eks. hvis den registrerede er kunde hos [...] den dataansvarlige. I alle tilfælde kræver tilstedeværelsen af en legitim interesse en nøje vurdering, herunder af, om en registreret på tidspunktet for og i forbindelse med indsamling af personoplysninger med rimelighed kan forvente, at behandling med dette formål kan finde sted. [...] Behandling af personoplysninger, der er strengt nødvendig for at forebygge svig, udgør også en legitim interesse for den berørte dataansvarlige. Behandling af personoplysninger til direkte markedsføring kan anses for at være foretaget i en legitim interesse.

[...]

(69)      Hvis personoplysninger kan behandles lovligt, fordi behandling er nødvendig for at udføre en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, eller af hensyn til en dataansvarligs eller en tredjemands legitime interesse, bør en registreret ikke desto mindre have ret til at gøre indsigelse mod behandling af personoplysninger på baggrund af den pågældendes særlige situation. Det bør være op til den dataansvarlige at påvise, at dennes vægtige legitime interesse har forrang for den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder.

[...]

(75)      Risiciene for fysiske personers rettigheder og frihedsrettigheder, af varierende sandsynlighed og alvor, kan opstå som følge af behandling af personoplysninger, der kan føre til fysisk, materiel eller immateriel skade, navnlig hvis behandlingen kan give anledning til forskelsbehandling [...]«

4.        I henhold til databeskyttelsesforordningens artikel 2, stk. 1, finder denne anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

5.        Databeskyttelsesforordningens artikel 4 med overskriften »Definitioner« bestemmer:

»I denne forordning forstås ved:

1)      »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person [...]

2)      »behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, [...]

[...]

7)      »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; […]

[...]

11)      »samtykke« fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling

[...]«

6.        Databeskyttelsesforordningens artikel 5 med overskriften »Principper for behandling af personoplysninger« fastsætter:

»1.      Personoplysninger skal:

a)      behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

[...]

c)      være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)

d)      være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)

[...]«

7.        Databeskyttelsesforordningens artikel 6 med overskriften »Lovlig behandling« bestemmer i stk. 1:

»Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

a)      Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

b)      Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.

c)      Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den registeransvarlige.

d)      Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

e)      Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

f)      Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

[...]«

8.        Databeskyttelsesforordningens artikel 13 med overskriften »Oplysningspligt ved indsamling af personoplysninger hos den registrerede« bestemmer følgende:

»1.      Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:

[...]

d)      de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f)

[...]«

9.        Databeskyttelsesforordningens artikel 21 med overskriften »Ret til indsigelse« bestemmer i stk. 1:

»Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på artikel 6, stk. 1, litra e) eller f), herunder profilering baseret på disse bestemmelser. Den dataansvarlige må ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.«

10.      Databeskyttelsesforordningens artikel 25 med overskriften »Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger« bestemmer i stk. 2:

»Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. [...]«

B.      Fransk ret

11.      Artikel 8 i loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés, du 6 janvier 1978 (lov 78-17 af 6.1.1978 om informationsteknologi, registre og frihedsrettigheder) (3) bestemmer:

»Den nationale kommission for informationsteknologi og frihedsrettigheder [(CNIL)] er en uafhængig forvaltningsmyndighed.

Den er national tilsynsmyndighed som omhandlet i [databeskyttelsesforordningen] og med henblik på anvendelsen af denne forordning. Den varetager følgende opgaver:

[...]

2°      Den fører tilsyn med, at behandlingen af personoplysninger gennemføres i overensstemmelse med denne lovs bestemmelser og andre bestemmelser om beskyttelse af personoplysninger, som er fastsat i lovgivningsmæssige og administrative tekster, EU-retten og Frankrigs internationale forpligtelser.

Som sådan:

[...]

d)      behandler den klager, anmodninger og anmeldelser indgivet af en registreret eller et organ, en organisation eller en forening, vurderer eller undersøger genstanden for klagen i det nødvendige omfang og oplyser inden for en rimelig frist indgiveren af klagen om, hvor fremskreden behandlingen er, og om resultatet af undersøgelsen, navnlig hvis der er behov for en supplerende undersøgelse eller koordinering med en anden tilsynsmyndighed. [...]«

III. De faktiske omstændigheder, retsforhandlingerne for Domstolen og de præjudicielle spørgsmål

12.      Selskabet SNCF Connect sælger rejsehjemmel til jernbanetransport såsom togbilletter, abonnementer og rabatkort via sit websted og apps. Når selskabets kunder køber denne rejsehjemmel, er det obligatorisk for dem at angive deres tiltaleform ved at sætte kryds ved betegnelsen »hr.« eller »fru«.

13.      Ud fra den vurdering, at betingelserne for indsamlingen og registreringen af oplysninger om kundernes tiltaleform i forbindelse med køb af rejsehjemmel ikke var i overensstemmelse med kravene i databeskyttelsesforordningen, indgav sagsøgeren i hovedsagen, foreningen Mousse (herefter »Mousse«), en klage over SNCF Connect til CNIL. Til støtte for denne klage gjorde Mousse gældende, at indsamlingen af de omhandlede oplysninger ikke var i overensstemmelse med det princip om lovlig behandling, der er fastsat i denne forordnings artikel 5, stk. 1, litra a), eftersom den ikke var baseret på nogen af de grunde, der er anført i forordningens artikel 6, stk. 1. Desuden tilsidesætter en sådan indsamling princippet om dataminimering og princippet om rigtighed, der er fastsat i henholdsvis artikel 5, stk. 1, litra c), og artikel 5, stk. 1, litra d), i samme forordning, samt de forpligtelser til gennemsigtighed og oplysning, der bl.a. følger af forordningens artikel 13. Mousse gjorde i denne forbindelse gældende, at SNCF Connect ikke bør indsamle disse oplysninger, eller at selskabet i det mindste bør give sine kunder yderligere valgmuligheder såsom »neutral« eller »andre«.

14.      Ved afgørelse af 23. marts 2021 afsluttede CNIL klagesagen, idet den fandt, at de forhold, som blev bebrejdet SNCF Connect, ikke udgjorde overtrædelser af de relevante bestemmelser i databeskyttelsesforordningen. CNIL konstaterede, at behandlingen af oplysningerne var lovlig i henhold til denne forordnings artikel 6, stk. 1, litra b), med den begrundelse, at behandlingen var nødvendig af hensyn til opfyldelse af kontrakten om levering af transportydelser. CNIL anførte endvidere, at en sådan behandling, henset til formålet hermed, var i overensstemmelse med princippet om dataminimering, eftersom den omstændighed, at man henvendte sig til kunderne ved anvendelse af den høflige tiltaleform, svarede til praksis inden for civil, forretningsmæssig og forvaltningsmæssig kommunikation.

15.      Den 21. maj 2021 anlagde Mousse sag ved Conseil d’État (øverste domstol i forvaltningsretlige sager, Frankrig) med påstand om annullation af CNIL’s afgørelse af 23. marts 2021. I stævningen gjorde Mousse bl.a. gældende, at forpligtelsen til at vælge betegnelsen »hr.« eller »fru« ved onlinekøb ikke er i overensstemmelse med princippet om lovlighed eller princippet om dataminimering, der er fastsat i henholdsvis artikel 5, stk. 1, litra a), og artikel 5, stk. 1, litra c), i databehandlingsforordningen, idet denne betegnelse ikke er nødvendig for opfyldelse af kontrakten eller med henblik på SNCF Connects legitime interesser. Den omstændighed, at den pågældende betegnelse bruges i forretningskorrespondance, er ikke tilstrækkelig til at nødvendiggøre indsamling af disse oplysninger. Endelig medfører en sådan forpligtelse en tilsidesættelse af retten til at rejse uden at meddele sin tiltaleform, retten til privatliv og retten til frit at fastlægge sit kønsudtryk. Hvad navnlig angår statsborgere fra lande, hvor myndighederne anerkender »neutralt køn«, svarer denne angivelse ikke til virkeligheden og kan derfor være i strid med det princip om rigtighed, der er fastsat i denne forordnings artikel 5, stk. 1, litra d), samtidig med at den frie bevægelighed, som er sikret ved EU-retten, tilsidesættes.

16.      CNIL har nedlagt påstand om frifindelse og gjort gældende, at behandlingen af oplysninger om tiltaleform ligeledes kan anses for »nødvendig« for, at SNCF Connect kan forfølge legitime interesser som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, litra f), og at registrerede – afhængigt af deres særlige situation – kan udøve deres ret til indsigelse som fastsat i denne forordnings artikel 21.

17.      Den forelæggende ret er for det første i tvivl om, hvorvidt der ved vurderingen af, om indsamlingen af oplysninger er tilstrækkelig, relevant og begrænset til, hvad der er nødvendigt, og om behandlingen af oplysningerne er nødvendig, kan tages hensyn til sædvanlig praksis inden for civil, forretningsmæssig og forvaltningsmæssig kommunikation, således at indsamling af oplysninger om kundernes tiltaleform, der er begrænset til betegnelserne »hr.« eller »fru«, kan anses for at være »lovlig og i overensstemmelse med« princippet om dataminimering. Denne ret er for det andet i tvivl om, hvorvidt det med henblik på vurderingen af nødvendigheden af den obligatoriske indsamling og efterfølgende behandling af oplysningerne om kundernes tiltaleform – idet visse kunder ikke anser sig selv for at tilhøre nogen af de to tiltaleformer – skal tages i betragtning, at disse kunder, efter at have afgivet disse oplysninger til den dataansvarlige med henblik på at gøre brug af den tilbudte tjenesteydelse, kan udøve deres ret til at gøre indsigelse mod brugen af sådanne oplysninger med henvisning til deres særlige situation som omhandlet i databeskyttelsesforordningens artikel 21.

18.      På denne baggrund har Conseil d’État (øverste domstol i forvaltningsretlige sager) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)      Kan der ved vurderingen af, om indsamlingen af oplysninger er tilstrækkelig, relevant og begrænset til, hvad der er nødvendigt, som omhandlet i [databeskyttelsesforordningens artikel 5, stk. 1, litra c)], og om behandlingen af oplysningerne er nødvendig som omhandlet i [denne forordnings artikel 6, stk. 1, litra b) og f)], tages hensyn til den sædvanlige praksis inden for civil, forretningsmæssig og forvaltningsmæssig kommunikation, således at indsamlingen af oplysninger om kundernes tiltaleform, som er begrænset til betegnelserne »hr.« eller »fru«, kan anses for at være lovlig, uden at princippet om dataminimering er til hinder herfor?

2)      Skal det for at vurdere nødvendigheden af den obligatoriske indsamling og behandlingen af oplysningerne om kundernes tiltaleform, idet visse kunder ikke anser sig selv for at tilhøre nogen af de to tiltaleformer og anser indsamlingen af denne oplysning for at være irrelevant for dem, tages i betragtning, at disse kunder, efter at have afgivet denne oplysning til den dataansvarlige med henblik på at gøre brug af den tilbudte tjenesteydelse, kan udøve deres ret til at gøre indsigelse mod brugen og lagringen af denne oplysning med henvisning til deres særlige situation ved anvendelse af artikel 21 i den generelle forordning om databeskyttelse?«

19.      Mousse, SNCF Connect, den franske regering og Europa-Kommissionen har indgivet skriftlige indlæg. Disse parter deltog alle i retsmødet, der blev afholdt den 29. april 2024.

IV.    Bedømmelse

A.      Det første præjudicielle spørgsmål

20.      Med sit første præjudicielle spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 5, stk. 1, litra c), og artikel 6, stk. 1, litra b) og f), skal fortolkes således, at behandlingen af personoplysninger vedrørende et transportselskabs kunders tiltaleform skal anses for at være nødvendig af hensyn til opfyldelse af en kontrakt eller foranstaltninger, der træffes forud for kontraktindgåelse, eller nødvendig af hensyn til den dataansvarliges eller en tredjemands legitime interesser, når denne behandling har til formål at muliggøre individuelt tilpasset forretningsmæssig kommunikation ved at sikre iagttagelse af sædvanlig praksis inden for forretningsmæssig kommunikation.

21.      Jeg vil først fremsætte to indledende bemærkninger i denne henseende.

22.      For det første gør jeg opmærksom på, at parterne er enige om, og at der ikke er tvivl om, at oplysninger om et transportselskabs kunders tiltaleform udgør personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), og at SNCF Connects indsamling og registrering heraf i øvrigt skal anses for en behandling som omhandlet i denne forordnings artikel 4, nr. 2), og derfor skal undersøges i lyset af denne forordnings bestemmelser.

23.      For det andet har SNCF Connect og den franske regering gjort gældende, at såfremt det første præjudicielle spørgsmål besvares benægtende, vil dette medføre, at databeskyttelsesforordningen anvendes i en for denne forordning irrelevant sammenhæng, for så vidt som lovgiver med vedtagelsen af forordningen ikke tilsigtede at regulere praksis inden for kommunikation eller spørgsmålet om køn. Selv om jeg i lighed med generaladvokat Bobek medgiver, at reglerne om beskyttelse af privatlivets fred undertiden kan »anvendes under ganske overraskende omstændigheder« (4), anser jeg imidlertid ikke den foreliggende situation for at være et sådant tilfælde. Den omstændighed, at der er tale om oplysninger om identitet, og at de debatter om binær kønsidentitet, der foregår i de nationale retssystemer, derved indirekte afspejles, gør det ikke muligt at se bort fra den omstændighed, at der i den foreliggende sag er tale om et transportselskabs automatiske behandling af sine kunders personoplysninger, som ikke blot objektivt falder ind under databeskyttelsesforordningens anvendelsesområde, men også udgør en databehandling, som det var EU-lovgivers formål at regulere (5).

24.      Jeg vil derfor indlede min analyse af det første præjudicielle spørgsmål med nogle generelle bemærkninger om den betingelse om lovlighed af behandlingen af oplysninger, som de dataansvarlige i henhold til databeskyttelsesforordningen er underlagt, inden jeg vurderer, om denne betingelse i lyset af de nævnte principper skal anses for at være opfyldt for så vidt angår behandlingen af oplysninger om et transportselskabs kunders tiltaleform med det formål at kommunikere med disse kunder ved brug af sædvanlig praksis inden for forretningsmæssig kommunikation.

1.      Lovligheden af behandlingen af personoplysninger

25.      Databeskyttelsesforordningens artikel 5 fastsætter en række principper for behandling af personoplysninger. Denne bestemmelse fastsætter navnlig, at sådanne oplysninger »skal behandles lovligt« (6) og »skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles« (7). Enhver behandling af oplysninger skal med andre ord bl.a. overholde princippet om lovlighed og princippet om dataminimering.

26.      Databeskyttelsesforordningens artikel 6 præciserer rækkevidden af princippet om lovlig behandling af oplysninger. For så vidt som denne forordnings artikel 6, stk. 1, tillader en begrænsning af retten til beskyttelse af personoplysninger (8), opfylder denne bestemmelse betingelserne i chartrets artikel 52, stk. 1, om, at begrænsningen skal være fastlagt i lovgivningen og respektere denne rettigheds væsentligste indhold. Denne begrænsning er desuden nødvendig og svarer til mål af almen interesse, der er anerkendt af Unionen, eller behov for beskyttelse af andres rettigheder og friheder (9).

27.      Lovgiver har således fastsat seks grunde til, at behandling af oplysninger er lovlig, og angivet de mål af almen interesse og de rettigheder og friheder, der kræver beskyttelse, som kan begrunde en begrænsning af retten til beskyttelse af personoplysninger. Databeskyttelsesforordningens artikel 6, stk. 1, fastsætter således »en udtømmende og fuldstændig liste over de tilfælde, hvor behandling af personoplysninger kan anses for at være lovlig« (10).

28.      Databeskyttelsesforordningens artikel 6, stk. 1, opstiller ikke en streng rangorden (11) af grundene til, at behandling af oplysninger skal anses for at være lovlig. Domstolen har således i sin praksis præciseret forholdet mellem disse grunde.

29.      For det første har Domstolen bemærket, at det fremgår af databeskyttelsesforordningens artikel 6, stk. 1, litra a), at »behandling af personoplysninger er lovlig, såfremt og i det omfang den registrerede har givet samtykke til et eller flere specifikke formål«. Domstolen har tilføjet, at »[n]år der ikke foreligger et sådant samtykke, [...] er en sådan behandling alligevel begrundet, hvis den opfylder et af de krav om nødvendighed, der er omtalt i denne forordnings artikel 6, stk. 1, […] litra b)-f)« (12). Desuden har den fastslået, at »[de pågældende] begrundelser [skal] fortolkes indskrænkende, for så vidt som de giver mulighed for at gøre en behandling af personoplysninger, som foretages uden den registreredes samtykke, lovlig« (13). De forhold, der begrunder behandlingen af personoplysninger, som er fastsat i den nævnte forordnings artikel 6, stk. 1, er således ligestillede, og ingen af disse bør anses for at være underordnet en anden.

30.      For det andet har Domstolen præciseret, at de begrundelser, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, ikke er kumulative. Den har således anført, at det, »når det kan fastslås, at en behandling af personoplysninger er nødvendig i lyset af en af de begrundelser, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, […] litra b)-f), [...] ikke er nødvendigt at afgøre, om denne behandling ligeledes henhører under en anden af disse begrundelser« (14). Som jeg allerede havde gjort opmærksom på (15), er behandling af personoplysninger med andre ord lovlig, når den finder sted på grundlag af én af grundene, idet en grund ikke kan anses for at være underordnet en anden.

31.      Lovlighedsprincippet, der er beskrevet i databeskyttelsesforordningen artikel 6, stk. 1, kan dog ikke analyseres isoleret. Domstolen har således konsekvent fastslået, at denne betingelse »skal undersøges sammen med [det såkaldte princip om] »dataminimering« i [denne forordnings] artikel 5, stk. 1, litra c)« (16). Ifølge Domstolens praksis – og som jeg tidligere har fremhævet (17) – er dette princip et udtryk for proportionalitetsprincippet (18), der – som den franske regering har gjort gældende i sine skriftlige indlæg – kræver, at de anvendte foranstaltninger skal være egnede til at nå det tilsigtede mål og ikke må gå ud over, hvad der er nødvendigt for at nå det (19).

32.      Med andre ord indebærer princippet om dataminimering, at det kontrolleres, at de behandlede oplysninger er egnede til at opfylde det formål, der forfølges med behandlingen – af de grunde, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1 – og at de behandlede oplysninger kun er egnede hertil, såfremt formålet med behandlingen ikke med rimelighed kan opfyldes på andre måder. Omfanget af de således behandlede oplysninger er hverken kvantitativt eller materielt mere omfattende end, hvad der er nødvendigt for at nå dette formål (20).

33.      Jeg vil fremsætte en yderligere bemærkning i denne forbindelse. Jeg gør opmærksom på, at Domstolen kun har fortolket princippet om dataminimering sammen med princippet om lovlig behandling i situationer, hvor den omhandlede behandling var baseret på en af de i databeskyttelsesforordningens artikel 6, stk. 1, litra b)-f), omhandlede grunde. Domstolen har med andre ord ikke nærmere præciseret, om princippet om dataminimering ligeledes finder anvendelse, når den registrerede har givet samtykke til behandling af sine personoplysninger. Man kan ganske vist forsvare den opfattelse, at den dataansvarlige kan behandle alle oplysninger, uden at princippet om minimering er til hinder herfor, såfremt den registrerede giver samtykke hertil.

34.      En sådan fortolkning er dog efter min opfattelse hverken forenelig med databeskyttelsesforordningens formål om at sikre et højt beskyttelsesniveau for fysiske personer i forbindelse med behandlingen af deres personoplysninger eller med ordlyden af de omhandlede bestemmelser.

35.      Jeg gør således opmærksom på, at behandling af oplysninger ifølge databeskyttelsesforordningens artikel 6, stk. 1, litra a), er lovlig på den betingelse, at den registrerede »har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål« (21). Det skal i denne henseende fremhæves, at samtykke omfatter »enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse« (22). Der kan med andre ord ikke være tale om et generelt samtykke til behandling af alle oplysninger. Desuden skal det formål, som samtykket til behandlingen af oplysninger vedrører, meddeles den registrerede. Denne forordnings artikel 5, stk. 1, litra c), foreskriver, at de behandlede oplysninger skal være »tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles« (23). Under disse betingelser finder minimeringsprincippet efter min opfattelse også anvendelse i det tilfælde, hvor behandlingen af de pågældende oplysninger finder sted med den registreredes samtykke, og medfører, at det skal kontrolleres, at de pågældende oplysninger faktisk er begrænset til, hvad der er nødvendigt for at opfylde det specifikke formål med behandlingen.

36.      Det er i lyset af disse betragtninger, at SNCF Connects behandling af selskabets kunders oplysninger om tiltaleform skal undersøges på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra b) og f), idet det præciseres, at den forelæggende ret udelukkende har henvist til disse to formål med behandlingen.

2.      Databeskyttelsesforordningens artikel 6, stk. 1, litra b): nødvendigheden af behandling af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt

37.      Databeskyttelsesforordningens artikel 6, stk. 1, litra b), bestemmer, at behandling af personoplysninger er lovlig, hvis behandlingen er »nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt«.

38.      I dommen i sagen Meta Platforms m.fl. præciserede Domstolen rækkevidden af denne bestemmelse. Domstolen fastslog således, at »behandlingen af personoplysninger, for at den kan anses for at være nødvendig af hensyn til opfyldelse af en kontrakt som omhandlet i denne bestemmelse, [skal] være objektivt uundværlig for at gennemføre et formål, som er en integrerende del af den kontraktlige ydelse til den registrerede. Den dataansvarlige skal således kunne påvise, på hvilken måde kontraktens hovedformål ikke vil kunne opfyldes uden den pågældende behandling« (24).

39.      Parterne er enige om, at kontraktens hovedformål defineres som levering af en rejsehjemmel og i sidste ende transport af kunder med jernbane. Det skal således dels undersøges, om kundens oplysninger om tiltaleform behandles med henblik på at gennemføre et formål, som er en integrerende del af transportydelsen, dels om denne behandling er objektivt uundværlig med henblik herpå.

a)      Identifikation af formålet med behandlingen

40.      SNCF Connect og den franske regering har gjort gældende, at der, for at transportkontrakten kan opfyldes, skal kunne kommunikeres med kunden såvel ved reservationen som under og efter den pågældende rejse, og at dette kræver kendskab til den pågældende kundes tiltaleform med henblik på at kommunikere personligt med kunden i overensstemmelse med sædvanlig praksis inden for forretningsmæssig kommunikation.

41.      SNCF Connect har tilføjet, at det med henblik på opfyldelse af transportkontrakten er vigtigt at kende den pågældende persons køn for at kunne tilpasse ydelsen i særlige tilfælde, f.eks. ved assistance til personer med nedsat mobilitet eller adgang til vogne forbeholdt kvinder i nattog. Jeg gør i denne forbindelse opmærksom på, at et sådant formål strengt taget ikke er genstanden for det første præjudicielle spørgsmål, således som det er formuleret af den forelæggende ret, der udtrykkeligt henviser til sædvanlig praksis inden for forretningsmæssig kommunikation. For så vidt som den forelæggende ret har stillet Domstolen et mere generelt spørgsmål vedrørende indsamling af oplysninger om tiltaleform i lyset af princippet om dataminimering og princippet om lovlig behandling af oplysninger, vil jeg dog alligevel undersøge dette argument.

42.      Hvad angår formålet vedrørende kommunikation med kunden er det min opfattelse, at det bør anses for at være en integrerende del af transportkontrakten. En sådan kontrakt forudsætter nemlig, at der leveres en rejsehjemmel, og dermed at der indledes en kontakt med kunden med henblik på at overdrage denne hjemmel til vedkommende. Nødvendigheden af at kommunikere med kunden forekommer mig desuden at vedvare under gennemførelsen af transporten, navnlig for at forhindre vanskeligheder, som har en indvirkning på den pågældendes rejse, og efter transporten, navnlig i tilfælde af en kontakt med kundeservice vedrørende rejsen.

43.      Jeg skal i denne forbindelse præcisere, at den franske regerings argument om, at formålet med behandlingen ikke alene er kommunikation med kunden, men nærmere bestemt, at kommunikationen med kunden foregår ifølge sædvanlig praksis inden for forretningsmæssig kommunikation, må forkastes. For det første er et således defineret formål efter min opfattelse ikke en integrerende del af leveringen af en transportydelse, eftersom der ikke er noget, der tyder på, at den ikke kan gennemføres uden en kommunikation, der følger sædvanlig praksis inden for forretningsmæssig kommunikation. For det andet er dette argument baseret på en cirkelslutning. Det således definerede formål med behandlingen af oplysninger – at kommunikere ifølge sædvanlig praksis inden for forretningsmæssig kommunikation – er nemlig sammenfaldende med de midler, der anvendes til at nå dette formål, nemlig anvendelsen af sædvanlig praksis inden for forretningsmæssig kommunikation.

44.      Hvad angår tilpasningen af transportydelsen til særlige tilfælde, som SNCF Connect har henvist til, finder jeg det ligeledes vanskeligt at bestride, at den er en integrerende del af denne tjenesteydelse, eftersom den netop har til formål at sikre, at den udføres.

45.      Selv om formålene med den omhandlede behandling efter min opfattelse er uadskilleligt forbundet med leveringen af en transportydelse og kan accepteres ifølge databeskyttelsesforordningens artikel 6, stk. 1, litra b), skal behandlingen af personoplysninger imidlertid også være uundværlig med henblik på at gennemføre det påberåbte formål, således at hovedformålet med kontrakten ikke kan nås uden denne behandling, og at der ikke findes andre praktisk gennemførlige og mindre indgribende løsninger med henblik på at nå det samme formål.

46.      Jeg er dog af den opfattelse, at behandlingen af oplysninger om tiltaleform går ud over, hvad der er nødvendigt for at sikre en korrekt opfyldelse af kontrakten.

b)      Spørgsmålet om, hvorvidt behandlingen er nødvendig for at gennemføre de identificerede formål

47.      Hvad for det første angår formålet vedrørende kommunikation kan en korrekt opfyldelse af transportkontrakten ikke afhænge af anvendelsen af tiltaleform i transportselskabets kommunikation med kunderne, heller ikke selv om den dataansvarlige ønsker at kommunikere personligt med sine kunder. Et transportselskab kan således nemt kommunikere personligt med sine kunder uden at gøre brug af deres tiltaleform.

48.      Selv om SNCF Connect i retsmødet har fremhævet nødvendigheden af at bevare et image ved brug af formuleringer, der er sædvanlig praksis inden for forretningsmæssig kommunikation, kan dette resultat lige så vel opnås med andre formuleringer, der viser respekt over for kunden, og som ikke afhænger af tiltaleform.

49.      Dette gælder så meget desto mere, som SNCF Connect i praksis – således som Mousse har gjort gældende og med forbehold for den forelæggende rets efterprøvelse – ikke systematisk anvender sædvanlig praksis inden for forretningsmæssig kommunikation, som indebærer kendskab til kundernes tiltaleform, men anvender andre mere generelle formuleringer såsom »tak, god rejse« eller »goddag«. Den omstændighed, at SNCF Connect ikke systematisk anvender kundernes tiltaleform i sin kommunikation, er efter min opfattelse ikke alene et klart udtryk for, at behandlingen af disse oplysninger ikke er nødvendig for opfyldelse af den omhandlede kontrakt, men også – i lyset af princippet om dataminimering – på, at der er tale om en mere omfattende behandling af oplysninger end, hvad der er nødvendigt.

50.      I tråd hermed gør jeg opmærksom på, at SNCF Connect – adspurgt herom i retsmødet – har medgivet, at en bevidst angivelse af en anden tiltaleform end den pågældende persons faktiske tiltaleform reelt ikke har nogen indvirkning på leveringen af transportydelsen. Under disse omstændigheder må det konstateres, at hovedformålet med kontrakten altid kan nås uden en behandling af de omhandlede oplysninger.

51.      Hvad for det andet angår formålet om tilpasning af transportydelsen er jeg også her af den opfattelse, at behandlingen af oplysninger om tiltaleform går ud over, hvad der er nødvendigt for at muliggøre en sådan tilpasning. Dels er de personoplysninger, der er relevante for at kunne foretage en sådan tilpasning, efter min opfattelse ikke oplysningerne om tiltaleform, som ifølge den franske regering ikke er et element i personers civilstand, men oplysninger om kundernes køn, således som det indgår i personernes civilstand. Dels kan det samme formål opnås ved at undlade at indsamle og behandle disse oplysninger ved alle bestillinger af rejsehjemmel og kun gøre dette i de særlige tilfælde, hvor det er nødvendigt, såsom bestilling af hjemmel til en rejse i en vogn forbeholdt kvinder i nattog eller en anmodning om assistance til en person med nedsat mobilitet.

52.      Under disse omstændigheder er jeg af den opfattelse, at databeskyttelsesforordningens artikel 6, stk. 1, litra b), og denne forordnings artikel 5, stk. 1, litra c), skal fortolkes således, at en systematisk behandling af oplysninger om tiltaleform ikke kan anses for nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt, når denne behandling har til formål at muliggøre en personlig forretningsmæssig kommunikation ved at sikre iagttagelsen af almindelig praksis inden for forretningsmæssig kommunikation eller sikre en tilpasning af transportydelsen på grundlag af den registreredes køn.

3.      Databeskyttelsesforordningens artikel 6, stk. 1, litra f), om nødvendigheden af behandlingen af hensyn til den dataansvarliges eller en tredjemands legitime interesser

53.      I henhold til databeskyttelsesforordningens artikel 6, stk. 1, litra f), er behandling af personoplysninger lovlig, hvis den er »nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn«.

54.      I henhold til Domstolens faste praksis fremgår det af denne bestemmelse, at tre kumulative betingelser skal være opfyldt, for at den i denne bestemmelse omhandlede behandling af personoplysninger er lovlig. For det første betingelsen om, at den dataansvarlige eller en tredjemand forfølger en legitim interesse. For det andet betingelsen om, at behandlingen af personoplysninger er nødvendig for at forfølge den legitime interesse. For det tredje betingelsen om, at den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder ikke går forud for den dataansvarliges eller en tredjemands legitime interesse (25).

55.      Hvad angår den første betingelse om forfølgelse af en legitim interesse har Domstolen i dommen i sagen Meta Platforms m.fl. præciseret, at »det følger af databeskyttelsesforordningens artikel 13, stk. 1, […] litra d), at det påhviler den dataansvarlige ved indsamlingen af personoplysninger hos den registrerede at oplyse den pågældende om de legitime interesser, som forfølges, hvis behandlingen er baseret på denne forordnings artikel 6, stk. 1, første afsnit, litra f)« (26). I samme dom fastslog Domstolen således, at den sidstnævnte bestemmelse skal fortolkes således, at en behandling af personoplysninger »kun kan anses for nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse som omhandlet i denne bestemmelse, på betingelse af, at nævnte operatør har oplyst de brugere, hos hvem oplysningerne er blevet indsamlet, om den legitime interesse, som forfølges med behandlingen heraf« (27).

56.      Med andre ord er sanktionen for manglende overholdelse af den i databeskyttelsesforordningens artikel 13, stk. 1, litra d), fastsatte oplysningspligt, at behandlingen af de pågældende personoplysninger er ulovlig.

57.      Som Kommissionen har gjort gældende, og med forbehold af den forelæggende rets efterprøvelse, anser jeg ikke SNCF Connect for at opfylde denne forpligtelse.

58.      Som Kommissionen har fremhævet, nævner SNCF Connect i sin »privatlivspolitik«, der foreligger på selskabets websted, retsgrundlaget for behandlingen af oplysninger om tiltaleform som »den legitime interesse«. Jeg har to bemærkninger i denne forbindelse. For det første kan den blotte henvisning til den legitime interesse, uden at det præciseres, hvilken legitim interesse der er tale om, ikke opfylde den oplysningspligt, der er fastsat i databeskyttelsesforordningens artikel 13, stk. 1, litra d), som pålægger den dataansvarlige at angive den legitime interesse, som forfølges. For det andet, og under alle omstændigheder, er den generelle henvisning til en legitim interesse i en »privatlivspolitik«, der ganske vist er tilgængelig på den dataansvarliges websted, men som kunden frivilligt skal søge efter, heller ikke i overensstemmelse med denne forordnings artikel 13, stk. 1, litra d). Denne bestemmelse kræver nemlig, at den registrerede underrettes om den legitime interesse, der forfølges, på det tidspunkt, hvor personoplysningerne indsamles, hvilket efter min opfattelse forudsætter, at en sådan oplysning meddeles kunden direkte, når denne afgiver de pågældende oplysninger.

59.      Adspurgt i retsmødet vedrørende oplysningspligten var SNCF Connect i øvrigt ikke i stand til at oplyse, hvorvidt den legitime interesse, der forfølges med behandlingen, faktisk meddeles selskabets kunder på det tidspunkt, hvor oplysningerne om tiltaleform indsamles.

60.      Følgelig er den første betingelse i databeskyttelsesforordningens artikel 6, stk. 1, litra f), om, at der skal foreligge en legitim interesse, fortolket i lyset af den forpligtelse til at meddele denne interesse, der er fastsat i forordningens artikel 13, stk. 1, litra d), ikke opfyldt. Behandlingen af oplysninger om tiltaleform i en sådan situation kan derfor ikke anses for lovlig som omhandlet i denne bestemmelse, idet det ikke er nødvendigt at undersøge, om de to øvrige betingelser i forordningens artikel 6, stk. 1, litra f), er opfyldt.

a)      Konklusion vedrørende fortolkningen af databeskyttelsesforordningens artikel 6, stk. 1, litra f)

61.      Som følge af det ovenfor anførte skal databeskyttelsesforordningens artikel 6, stk. 1, litra f), og samme forordnings artikel 5, stk. 1, litra c), efter min opfattelse fortolkes således, at et transportselskabs behandling af sine kunders oplysninger om tiltaleform ikke kan anses for at være nødvendig af hensyn til de legitime interesser, der forfølges af den dataansvarlige eller af en tredjemand som omhandlet i denne bestemmelse, for så vidt som dette selskab ikke over for de brugere, hos hvem oplysningerne indsamles, har angiet en legitim interesse, der forfølges med behandlingen af disse.

b)      Yderligere bemærkninger

62.      For fuldstændighedens skyld og for det tilfælde, at Domstolen måtte fastslå, at den omhandlede legitime interesse er blevet meddelt i overensstemmelse med databeskyttelsesforordningens artikel 13, stk. 1, litra d), vil jeg alligevel fortsætte analysen af de betingelser, der skal være opfyldt, for at en behandling af personoplysninger kan anses for at være lovlig på grundlag af denne forordnings artikel 6, stk. 1, litra f).

63.      Hvad for det første angår betingelsen om, at der skal foreligge en legitim interesse, har SNCF Connect og den franske regering gjort gældende, at den legitime interesse, der forfølges, er kommunikation med kunden.

64.      Jeg gør opmærksom på, at Domstolen hvad angår begrebet »legitim interesse« har fastslået, at »det – i mangel af en definition af dette begreb i databeskyttelsesforordningen – [skal] fremhæves [...], at en bred vifte af interesser principielt kan anses for at være legitime« (28).

65.      Jeg vil i denne forbindelse minde om, at SNCF Connect er et selskab, der udbyder onlinesalg af rejsehjemmel til jernbanetransport. Som anført (29) forudsætter denne tjenesteydelse en kontakt med kunden, i det mindste for at kunne overdrage den pågældende rejsehjemmel til kunden. Det forekommer mig derfor, at formålet vedrørende kommunikation med kunden kan udgøre en legitim interesse for dette selskab som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, litra f), således at den første betingelse om, at der skal foreligge en sådan legitim interesse, efter min opfattelse bør anses for at være opfyldt.

66.      Hvad for det andet angår betingelsen om, at behandlingen af personoplysninger skal være nødvendig for at forfølge den legitime interesse, anser jeg ikke denne betingelse for at være opfyldt. Som jeg har påvist i min analyse af databeskyttelsesforordningens artikel 6, stk. 1, litra b), går behandlingen af oplysninger om tiltaleform ud over, hvad der er nødvendigt for at opfylde formålet om at kommunikere med kunden, idet denne kommunikation kan finde sted uden brug af disse oplysninger (30).

67.      Hvad for det tredje og sidste angår betingelsen om, at den registreredes interesser, grundlæggende rettigheder og frihedsrettigheder ikke går forud for den dataansvarliges eller en tredjemands legitime interesse, skal det fremhæves, at Domstolen har fastslået, at denne betingelse »indebærer en afvejning af de pågældende modstående rettigheder og interesser, som principielt afhænger af de konkrete omstændigheder i det enkelte tilfælde, og at det følgelig tilkommer den forelæggende ret at foretage denne afvejning under hensyn til disse konkrete omstændigheder« (31). Jeg vil dog fremsætte visse bemærkninger som en vejledning til den forelæggende ret, når den foretager denne vurdering.

68.      Domstolen har således fastslået, at der »i forbindelse med afvejningen af de pågældende modstridende rettigheder og interesser, dvs. henholdsvis den dataansvarliges og den registreredes rettigheder og interesser, [bl.a.] skal […] tages hensyn til den registreredes rimelige forventninger samt til omfanget af den pågældende behandling og behandlingens indvirkning på denne person« (32).

69.      Desuden fremgår det af 47. betragtning til databeskyttelsesforordningen, at »tilstedeværelsen af en legitim interesse [kræver] en nøje vurdering, herunder af, om en registreret på tidspunktet for og i forbindelse med indsamling af personoplysninger med rimelighed kan forvente, at en behandling med dette formål kan finde sted«.

70.      Hvad dette angår kan jeg ikke se, i hvilket omfang en kunde hos et transportselskab med rimelighed kunne forvente, at vedkommendes oplysninger om tiltaleform behandles af selskabet med det formål at kommunikere i forbindelse med et køb af rejsehjemmel.

71.      Under alle omstændigheder er det ikke min opfattelse, at eksistensen af rimelige forventninger i sig selv er tilstrækkelig til at sikre, at den dataansvarliges legitime interesse går forud for den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder. Selv om dette element bestemt er relevant i forbindelse med den afvejning, der skal foretages, kan det derimod ikke medføre, at det systematisk fastslås, at den dataansvarliges legitime interesse har forrang, navnlig når den pågældende behandling af personoplysninger kan gøre indgreb i den registreredes frihed eller en grundlæggende rettighed som sikret ved chartret.

72.      Som Mousse også har hævdet, anser jeg dette for at være tilfældet i den foreliggende sag. Foreningen har således gjort gældende, at behandlingen af oplysninger om tiltaleform medfører en risiko for forskelsbehandling på grundlag af køn, navnlig når der er tale om transkønnede personer eller personer, der er statsborgere i en stat, som anerkender neutralt køn.

73.      Under disse omstændigheder og med forbehold for den forelæggende rets efterprøvelse er jeg af den opfattelse, at den legitime interesse i at kommunikere med kunden ikke kan gå forud for den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder.

B.      Det andet præjudicielle spørgsmål

74.      Med det andet præjudicielle spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 6, stk. 1, litra f), skal fortolkes således, at det for at vurdere nødvendigheden af en behandling af personoplysninger som omhandlet i denne bestemmelse skal tages i betragtning, at den registrerede eventuelt har ret til at gøre indsigelse i henhold til denne forordnings artikel 21, stk. 1.

75.      Databeskyttelsesforordningens artikel 21 bestemmer, at den registrerede til enhver tid har ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på forordningens artikel 6, stk. 1, litra e) eller f), herunder profilering baseret på disse bestemmelser. Den dataansvarlige må ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.

76.      Ifølge fast retspraksis skal der ved fortolkningen af en EU-retlig bestemmelse ikke blot tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori den indgår, og til de mål, der forfølges med den ordning, som den udgør en del af (33).

77.      Hvad angår ordlyden af databeskyttelsesforordningens artikel 21, stk. 1, skal det anføres, at EU-lovgiver fremhæver, at retten til indsigelse vedrører behandling af personoplysninger, der bl.a. er baseret på denne forordnings artikel 6, stk. 1, litra f). Som Mousse og Kommissionen har gjort gældende, forudsætter retten til indsigelse med andre ord, at der foreligger en lovlig behandling, bl.a. på grundlag af den datavarliges legitime interesse. Denne ret kan således først udøves, når den lovlige behandling har fundet sted, med henblik på at bringe den til ophør.

78.      Dette bekræftes efter min opfattelse af databeskyttelsesforordningens artikel 21, stk. 1, andet punktum, der bestemmer, at den dataansvarlige ikke længere må behandle de pågældende oplysninger, såfremt den registrerede gør indsigelse i medfør af denne bestemmelse (34). Med denne formulering er det efter min opfattelse klart underforstået, at behandlingen af de pågældende oplysninger er lovlig ifølge de betingelser, som er anført i denne forordnings artikel 6, stk. 1, litra f), men at disse oplysninger ikke længere må behandles, når der er gjort indsigelse.

79.      Med andre ord finder databeskyttelsesforordningens artikel 21, stk. 1, kun anvendelse, såfremt det er fastslået, at behandlingen er lovlig.

80.      Det følger således af ordlyden af databeskyttelsesforordningens artikel 21, stk. 1, at den omstændighed, at der findes en ret til indsigelse, på ingen måde er relevant for vurderingen af nødvendigheden af en sådan behandling i henhold til denne forordnings artikel 6, stk. 1, litra f), eftersom gennemførelsen af denne forordnings artikel 21, stk. 1, forudsætter, at betingelserne i forordningens artikel 6, stk. 1, litra f), allerede er opfyldt.

81.      Denne ordlydsfortolkning af databeskyttelsesforordningens artikel 21, stk. 1, bekræftes desuden af en analyse i lyset af denne forordnings sammenhæng og formål.

82.      Hvad angår fortolkningen af denne bestemmelse ud fra sammenhængen gør jeg opmærksom på, at de grunde, som behandlingen af personoplysninger kan baseres på, er anført i databeskyttelsesforordningens artikel 6, der omhandler princippet om lovlighed og indgår i denne forordnings kapitel II om de principper, der gælder for behandling af oplysninger. Nævnte forordnings artikel 21 henhører under kapitel III om den registreredes rettigheder. I øvrigt er de i samme forordnings artikel 6 anførte grunde, således som jeg har fremhævet, ifølge fast retspraksis udtømmende (35). Under disse omstændigheder udfylder de to pågældende bestemmelser to forskellige funktioner, og det kan ikke antages, at der kan tages hensyn til databeskyttelsesforordningens artikel 21 ved undersøgelsen af behandlingens lovlighed, som alene er reguleret af denne forordnings artikel 6.

83.      Hvad angår formålsfortolkningen af databeskyttelsesforordningens artikel 6, stk. 1, litra f), og artikel 21 ville en hensyntagen til den omstændighed, at der er ret til at gøre indsigelse, når det vurderes, om en behandling af oplysninger er lovlig efter denne forordnings artikel 6, svare til at anerkende, at en behandling af oplysninger er lovlig, alene på grund af muligheden for, at den registrerede efterfølgende kan gøre indsigelse mod denne behandling. Dette ville således medføre, at de forhold, som gør behandlingen lovlig, blev udvidet ud over de tilfælde alene, der er fastsat i forordningens artikel 6, og at beskyttelsesniveauet for registrerede ville afhænge af, om de gjorde indsigelse mod behandlingen af deres personoplysninger, idet denne behandling ellers ville kunne anses for lovlig. En sådan fortolkning vil således efter min opfattelse kunne skade formålet om at sikre et højt beskyttelsesniveau for fysiske personer i forbindelse med behandling af deres personoplysninger.

84.      Jeg er følgelig af den opfattelse, at det andet præjudicielle spørgsmål skal besvares således, at databeskyttelsesforordningens artikel 6, stk. 1, litra f), skal fortolkes således, at denne bestemmelse er til hinder for, at det i forbindelse med vurderingen af nødvendigheden af en behandling af personoplysninger som omhandlet i denne bestemmelse skal tages i betragtning, at den registrerede eventuelt har ret til at gøre indsigelse i henhold til denne forordnings artikel 21, stk. 1.

V.      Forslag til afgørelse

85.      På baggrund af det ovenfor anførte foreslår jeg, at Domstolen besvarer de præjudicielle spørgsmål, der er forelagt af Conseil d’État (øverste domstol i forvaltningsretlige sager, Frankrig), således:

»Artikel 6, stk. 1, litra b), og artikel 5, stk. 1, litra c), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

skal fortolkes således, at

en systematisk behandling af oplysninger om tiltaleform ikke kan anses for nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt, når denne behandling har til formål at muliggøre en personlig forretningsmæssig kommunikation ved at sikre iagttagelsen af almindelig praksis inden for forretningsmæssig kommunikation eller sikre en tilpasning af transportydelsen på grundlag af den registreredes køn.

Artikel 6, stk. 1, litra f), og artikel 5, stk. 1, litra c), i forordning 2016/679

skal fortolkes således, at

et transportselskabs behandling af sine kunders oplysninger om tiltaleform ikke kan anses for at være nødvendig af hensyn til de legitime interesser, der forfølges af den dataansvarlige eller af en tredjemand som omhandlet i denne bestemmelse, for så vidt som dette selskab ikke over for de brugere, hos hvem oplysningerne indsamles, har angivet en legitim interesse, der forfølges med behandlingen af disse.

Artikel 6, stk. 1, litra f), i forordning 2016/679

skal fortolkes således, at

denne bestemmelse er til hinder for, at det i forbindelse med vurderingen af nødvendigheden af en behandling af personoplysninger som omhandlet i denne bestemmelse skal tages i betragtning, at den registrerede eventuelt har ret til at gøre indsigelse i henhold til denne forordnings artikel 21, stk. 1.«

1 –      Originalsprog: fransk.

2 –      Europa-Parlamentets og Rådets forordning af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, berigtiget i EUT 2018, L 127, s. 2).

3 –      JORF af 7.1.1978, s. 227, som ændret ved ordonnance no 2018-1125, du 12 décembre 2018 (bekendtgørelse 2018-1125 af 12.12.2018) (JORF nr. 288 af 13.12.2018).

4 –      Generaladvokat Bobeks forslag til afgørelse Rīgas satiksme (C-13/16, EU:C:2017:43, punkt 93).

5 –      Den sag, der gav anledning til dom af 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336), vedrørte derimod spørgsmålet om videresendelse til en fysisk person af personoplysninger, der var nødvendige for at anlægge et civilt søgsmål mod en anden person, som angiveligt var ansvarlig for en administrativ lovovertrædelse.

6 –      Databeskyttelsesforordningens artikel 5, stk. 1, litra a).

7 –      Databeskyttelsesforordningens artikel 5, stk. 1, litra c).

8 –      Som fastsat i chartrets artikel 8, stk. 1, og artikel 16, stk. 1, TEUF.

9 –      Jf. vedrørende forbindelsen mellem databeskyttelsesforordningens artikel 6, stk. 1, og chartrets artikel 52, stk. 1, W. Kotschy, »Article 6. Lawfulness of Processing«, The EU General Data Protection Regulation (GDPR), A Commentary, C. Kuner, L.A. Bygrave og C. Docksey (red.), Oxford University Press, Oxford, 2020, s. 325 og 326.

10 –      Dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504, præmis 99), og af 4.7.2023, Meta Platforms m.fl. (Almindelige betingelser for anvendelse af et socialt netværk) (C-252/21, herefter »dommen i sagen Meta Platforms m.fl.«, EU:C:2023:537, præmis 90).

11 –      Jf. W. Kotschy, »Article 6. Lawfulness of Processing«, The EU General Data Protection Regulation (GDPR), A Commentary, op.cit., s. 329.

12 –      Dommen i sagen Meta Platforms m.fl. (præmis 91 og 92).

13 –      Dommen i sagen Meta Platforms m.fl. (præmis 93).

14 –      Dommen i sagen Meta Platforms m.fl. (præmis 94).

15 –      Jf. mit forslag til afgørelse Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2020:1054, punkt 93).

16 –      Dommen i sagen Meta Platforms m.fl. (præmis 109), og dom af 7.12.2023, SCHUFA Holding (Gældssanering) (C-26/22 og C-64/22, EU:C:2023:958, præmis 78).

17 –      Mit forslag til afgørelse Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2020:1054, punkt 109).

18 –      Dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504, præmis 98). Jf. i denne forbindelse ligeledes D. Lubasz, i D. Lubasz (red.), Ochrona danych osobowych, Wolters Kluwer, Warszawa, 2020, punkt 202.

19 –      Jf. f.eks. dom af 9.11.2010, Volker und Markus Schecke og Eifert (C-92/09 og C-93/09, EU:C:2010:662, præmis 74 og den deri nævnte retspraksis).

20 –      Jf. C. Terwangne, »Article 5. Principles relating to Processing of Personal Data«, The EU General Data Protection Regulation (GDPR), A Commentary, op.cit., s. 317.

21 –      Min fremhævelse.

22 –      Databeskyttelsesforordningens artikel 4, nr. 11).

23 –      Min fremhævelse.

24 –      Dommen i sagen Meta Platforms m.fl. (præmis 98). Min fremhævelse.

25 –      Jf. dom af 17.6.2021, M.I.C.M. (C-597/19, EU:C:2021:492, præmis 106), og dommen i sagen Meta Platforms m.fl. (præmis 106).

26 –      Dommen i sagen Meta Platforms m.fl. (præmis 107).

27 –      Dommen i sagen Meta Platforms m.fl. (præmis 126 og domskonklusionen).

28 –      Dom af 7.12.2023, SCHUFA Holding (Gældssanering) (C-26/22 og C-64/22, EU:C:2023:958, præmis 76).

29 –      Jf. dette forslag til afgørelses punkt 42.

30 –      Jf. dette forslag til afgørelses punkt 47 f.

31 –      Dommen i sagen Meta Platforms m.fl. (præmis 110).

32 –      Dommen i sagen, Meta Platforms m.fl. (præmis 116).

33 –      Dom af 11.5.2017, Krijgsman (C-302/16, EU:C:2017:359, præmis 24), af 29.9.2022, LOT (Kompensation pålagt af den administrative myndighed) (C-597/20, EU:C:2022:735, præmis 21), og af 29.2.2024, Eventmedia Soluciones (C-11/23, EU:C:2024:194, præmis 24).

34 –      Jf. den tyske sprogversion (»Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr [...]«), den engelske (»The controller shall no longer process the personal data [...]«) eller den polske (»Administratorowi nie wolno już przetwarzać tych danych osobowych [...]«). Min fremhævelse.

35 –      Jf. dette forslag til afgørelses punkt 27. Jf. desuden dommen i sagen Meta Platforms m.fl. (præmis 90).

Top