FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
M. CAMPOS SÁNCHEZ-BORDONA
fremsat den 20. april 2023 ( 1 )
Sag C-548/21
C.G.
mod
Bezirkshauptmannschaft Landeck
(anmodning om præjudiciel afgørelse indgivet af Landesverwaltungsgericht Tirol (den regionale forvaltningsdomstol i Tyrol, Østrig))
»Præjudiciel forelæggelse – telekommunikation – beskyttelse af personoplysninger – direktiv (EU) 2016/680 – strafferetspleje – de offentlige myndigheders forsøg på at få adgang til oplysninger lagret på en mobiltelefon uden godkendelse fra en domstol eller et uafhængigt forvaltningsorgan«
1. |
Denne anmodning om præjudiciel afgørelse drejer sig i det væsentlige om de betingelser, som politimyndigheder skal overholde for at skaffe sig adgang til data, der er lagret på en mobiltelefon tilhørende den person, som en strafferetlig efterforskning er rettet mod. |
2. |
Som jeg vil forsøge at forklare, er den præjudicielle forelæggelse behæftet med betydelige mangler med hensyn til formaliteten. Såfremt Domstolen alligevel beslutter at foretage en realitetsbehandling, vil den skulle udtale sig om de respektive anvendelsesområder for direktiv 2002/58/EF ( 2 ) og direktiv (EU) 2016/680 ( 3 ). |
I. Retsforskrifter
A. EU-retten
1. Forordning (EU) 2016/679 ( 4 )
3. |
Artikel 2 (»Materielt anvendelsesområde«), stk. 2, bestemmer: »Denne forordning gælder ikke for behandling af personoplysninger: […]
|
2. Direktiv 2016/680
4. |
Anden betragtning lyder som følger: »Principperne og reglerne for beskyttelse af fysiske personer i forbindelse med behandling af deres personoplysninger bør […] respektere deres grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger. Dette direktiv har til formål at bidrage til skabelsen af et område med frihed, sikkerhed og retfærdighed.« |
5. |
Følgende fremgår af 46. betragtning: »Enhver begrænsning af den registreredes rettigheder skal overholde chartret og EMRK som fortolket i retspraksis henholdsvis ved Domstolen og ved Den Europæiske Menneskerettighedsdomstol [ ( 5 )] og navnlig respekten for det væsentlige indhold i disse rettigheder og frihedsrettigheder.« |
6. |
49. betragtning har følgende affattelse: »Hvis personoplysningerne behandles under en strafferetlig efterforskning og strafferetssag, bør medlemsstaterne kunne fastsætte bestemmelser om, at udøvelsen af retten til oplysninger, indsigt i og berigtigelse eller, sletning af personoplysninger og begrænsning af behandling skal udføres i henhold til de nationale retsplejeregler.« |
7. |
Artikel 1 (»Genstand og formål«) bestemmer: »1. I dette direktiv fastsættes regler om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller forebygge trusler mod den offentlige sikkerhed. 2. Medlemsstaterne sikrer i overensstemmelse med dette direktiv:
[…] 3. Dette direktiv forhindrer ikke medlemsstaterne i at fastsætte højere standarder end dem, der er fastsat i dette direktiv, for beskyttelse af den registreredes rettigheder og frihedsrettigheder med hensyn til kompetente myndigheders behandling af personoplysninger.« |
8. |
Artikel 2 (»Anvendelsesområde«), stk. 1, bestemmer: »Dette direktiv finder anvendelse på kompetente myndigheders behandling af personoplysninger med henblik på artikel 1, stk. 1.« |
9. |
Artikel 3 (»Definitioner«) bestemmer: »I dette direktiv forstås ved: […]
[…]
[…]« |
10. |
Artikel 4 (»Principper for behandling af personoplysninger«), stk. 1, foreskriver: »Medlemsstaterne fastsætter bestemmelser om, at personoplysninger
[…]
|
11. |
Artikel 8 (»Lovlig behandling«) bestemmer: »1. Medlemsstaterne fastsætter bestemmelser om, at behandling kun er lovlig, hvis og i det omfang denne behandling er nødvendig, for at en kompetent myndighed kan udføre en opgave med henblik på artikel 1, stk. 1, og at den sker på grundlag af EU-retten eller medlemsstaternes nationale ret. 2. Medlemsstaternes nationale ret, der regulerer behandling inden for dette direktivs anvendelsesområde, skal som minimum angive målene med behandling, de personoplysninger, der skal behandles, og formålene med behandlingen.« |
12. |
Artikel 13 (»Oplysninger, der skal stilles til rådighed for eller gives til den registrerede«) bestemmer: »1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige som minimum stiller følgende oplysninger til rådighed for den registrerede: […]
[…] 3. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der udsætter, begrænser eller afskærer meddelelse af oplysninger til de registrerede, jf. stk. 2, i det omfang og så længe en sådan foranstaltning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:
[…]« |
13. |
Artikel 15 (»Begrænsninger af indsigtsretten«), stk. 1, bestemmer: »Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser den registreredes ret til indsigt, i det omfang og så længe en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:
|
14. |
Artikel 27 (»Konsekvensanalyse vedrørende databeskyttelse«) bestemmer: »1. Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, fastsætter medlemsstaterne bestemmelser om, at den dataansvarlige forud for behandlingen foretager en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. 2. Den i stk. 1 omhandlede analyse skal mindst omfatte en generel beskrivelse af de planlagte behandlingsaktiviteter, en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder, de foranstaltninger, der påtænkes for at imødegå disse risici, garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af dette direktiv, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.« |
15. |
Artikel 28 (»Forudgående høring af tilsynsmyndigheden«) har følgende ordlyd: »1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige eller databehandleren skal høre tilsynsmyndigheden inden behandling af personoplysninger, der vil indgå som en del af et nyt register, der skal oprettes, såfremt:
[…]« |
16. |
Artikel 54 (»Adgang til et effektivt retsmiddel over for en dataansvarlig eller databehandler«) bestemmer: »Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten til at indgive klage til en tilsynsmyndighed i henhold til artikel 52, fastsætter medlemsstaterne bestemmelser om, at en registreret skal have adgang til effektive retsmidler, hvis vedkommende finder, at vedkommendes rettigheder fastsat i bestemmelser, der er vedtaget i henhold til dette direktiv, er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med dette direktiv.« |
B. National ret
17. |
§ 18 i Strafprozessordnung ( 6 ) tildeler kriminalpolitiet opgaver inden for strafferetsplejen (stk. 1). Kriminalpolitiets efterforskninger henhører under sikkerhedsmyndighedernes ansvar (stk. 2). De offentlige sikkerhedstjenesters organer varetager kriminalpolitiets udøvende funktion, som består i at efterforske og retsforfølge strafbare handlinger (stk. 3). |
18. |
I henhold til strafferetsplejelovens § 99 efterforsker kriminalpolitiet ex officio eller på grundlag af en anmeldelse og skal følge anklagemyndighedens og retternes anordninger (stk. 1). Når en efterforskningsforanstaltning kræver en anordning fra anklagemyndigheden, kan kriminalpolitiet udøve den pågældende beføjelse, selv uden en sådan anordning, i tilfælde af fare for, at formålet forspildes. I så fald skal kriminalpolitiet straks anmode om tilladelse (stk. 2). |
19. |
Når oplysninger, der er lagret på medier, skal gøres til genstand for indsamling af oplysninger, har enhver person i henhold til strafferetsplejelovens § 111, stk. 2, pligt til at give adgang til disse oplysninger, og, efter anmodning, til at udlevere et elektronisk datamedie med et almindeligt anvendt filformat eller tillade, at der oprettes et sådant medie. Den pågældende accepterer desuden, at der oprettes en sikkerhedskopi af de oplysninger, der er lagret på medierne. |
II. De faktiske omstændigheder, tvisten i hovedsagen og de præjudicielle spørgsmål
20. |
C.G. er en tysk statsborger, der arbejder og bor i Østrig. |
21. |
Den 23. februar 2021 blev en pakke adresseret til C.G., som indeholdt 85 gram cannabis, beslaglagt af medarbejdere ved toldkontoret i Innsbruck (Østrig) i forbindelse med en narkotikakontrol. |
22. |
Den 6. marts 2021 udspurgte to polititjenestemænd C.G. om afsenderen af pakken og foretog en ransagning af hans bopæl. I forbindelse med denne ransagning blev C.G.’s mobiltelefon (som indeholdt et SIM- og et SD-kort) beslaglagt, og C.G. modtog en beslaglæggelsesrapport. |
23. |
C.G. blev opfordret til at give adgang til sin mobiltelefons forbindelsesdata, hvilket han udtrykkeligt afviste, og han afslog også opfordringen til at oplyse adgangskoden til telefonen. |
24. |
Det lykkedes ikke kredspolitikommandoen i Landeck (Østrig) at låse mobiltelefonen op. Mobiltelefonen blev videregivet til Bundeskriminalamt (forbundskriminalpolitiet) i Wien (Østrig), som igen forgæves forsøgte at låse telefonen op og læse de data, der var lagret på den. |
25. |
Da disse foranstaltninger blev truffet af politiet, var de hverken omfattet af en anordning fra anklagemyndigheden eller en domstolsafgørelse. |
26. |
Den 31. marts 2021 anlagde C.G. sag ved Landesverwaltungsgericht Tirol (den regionale forvaltningsdomstol i Tyrol, Østrig) til prøvelse af den tvangsforanstaltning, som var blevet pålagt i form af beslaglæggelsen af hans mobiltelefon. Mobiltelefonen blev givet tilbage til C.G. den 20. april 2021. |
27. |
C.G. blev ikke underrettet om forsøgene på at bearbejde mobiltelefonens indhold; han fik kendskab til denne kendsgerning, idet den politibetjent, der havde gennemført beslaglæggelsen og herefter indledt den digitale bearbejdning, blev afhørt som vidne under sandhedspligt. Disse forsøg blev ikke dokumenteret i kriminalpolitiets sagsakter. |
28. |
På denne baggrund har Landesverwaltungsgericht Tirol (den regionale forvaltningsdomstol i Tyrol) forelagt Domstolen følgende præjudicielle spørgsmål:
|
III. Retsforhandlingerne for Domstolen
29. |
Anmodningen om præjudiciel afgørelse indgik til Domstolen den 6. september 2021. |
30. |
Den 20. oktober 2021 anmodede Domstolen den forelæggende ret om at vurdere, om direktiv 2016/680 kunne være relevant for sagen. |
31. |
Den 11. november 2021 svarede den forelæggende ret, at direktiv 2016/680 skal anvendes i hovedsagen. |
32. |
Den tyske, den østrigske, den cypriotiske, den danske, den estiske, den franske og den ungarske regering, Irland, den nederlandske, den norske, den polske og den svenske regering samt Europa-Kommissionen har afgivet skriftlige indlæg. |
33. |
Retsmødet er blevet afholdt den 16. januar 2023 med deltagelse af de aktører, der har afgivet skriftlige indlæg i denne sag, med undtagelse af den tyske, den ungarske og den polske regering, samt med deltagelse af den finske regering. Ovenstående parter er af Domstolen blevet anmodet om i deres argumenter at fokusere på direktiv 2016/680 og om at svare mundtligt på visse spørgsmål i forbindelse med dette direktiv. |
IV. Bedømmelse
A. Afvisning
34. |
Den forelæggende ret forelagde indledningsvist spørgsmål, hvormed den alene ønskede en fortolkning af direktiv 2002/58. Næsten alle procesdeltagerne er imidlertid enige om, at dette direktiv ikke finder anvendelse, og at fortolkningen heraf således ikke er nødvendig for at træffe afgørelse i sagen. |
35. |
I henhold til dets artikel 3 finder direktiv 2002/58 anvendelse på »[…] behandling af persondata i forbindelse med, at offentligt tilgængelige elektroniske kommunikationstjenester stilles til rådighed via offentlige kommunikationsnet i [EU], herunder offentlige kommunikationsnet med dataindsamlings- og identifikationsudstyr«. |
36. |
Domstolen har fastslået, at »[n]år medlemsstaterne direkte vedtager foranstaltninger, der fraviger kravet om fortrolighed i forbindelse med elektronisk kommunikation, uden at pålægge de udbydere, der tilbyder denne form for kommunikation, behandlingsforpligtelser, henhører beskyttelsen af de pågældende personoplysninger […] ikke under direktiv 2002/58, men udelukkende under national ret, dog med forbehold af anvendelsen af [direktiv 2016/680]« ( 7 ). |
37. |
I den foreliggende sag blev forsøget på at få adgang til oplysningerne foretaget direkte af politimyndighederne i forbindelse med en strafferetlig efterforskning. Udbyderne af elektroniske kommunikationstjenester, som ikke blev anmodet om at videregive personoplysninger, var ikke indblandet. Direktiv 2002/58 finder således ikke anvendelse. |
38. |
Den EU-retlige bestemmelse, der finder anvendelse på denne situation, er direktiv 2016/680, hvis artikel 2, stk. 1, bestemmer, at dette direktiv finder anvendelse på kompetente myndigheders behandling af personoplysninger »med henblik på at […] efterforske […] strafbare handlinger«. |
39. |
Det ovenstående er tilstrækkeligt til, at anmodningen om præjudiciel afgørelse, således som den nationale ret har udformet den, efter min opfattelse bør afvises, eftersom den EU-retlige bestemmelse, der ønskes fortolket, ikke finder anvendelse på sagen. |
40. |
Det forholder sig imidlertid således, at Domstolen i henhold til artikel 267 TEUF kan omformulere de forelagte præjudicielle spørgsmål eller angive andre EU-retlige bestemmelser, der eventuelt er relevante, med henblik på at give den nationale ret et hensigtsmæssigt svar ( 8 ). |
41. |
Domstolen har anmodet den forelæggende ret om at tage stilling til den mulige indvirkning af direktiv 2016/680. Den forelæggende ret har således fået mulighed for selv at supplere eller omformulere sine spørgsmål. I stedet for at gøre dette har den forelæggende ret blot anført, at »bestemmelserne i direktiv 2016/680 under alle omstændigheder skal overholdes i den foreliggende sag«, men har hverken angivet bestemmelser i sidstnævnte, som den nærer tvivl om, eller gjort sig andre materielle overvejelser ( 9 ). |
42. |
Domstolen har gentagne gange fastslået, at det, »[s]om det fremgår af procesreglementets artikel 94, litra c), er […] nødvendigt, at anmodningen om præjudiciel afgørelse indeholder en kortfattet fremstilling af grundene til, at den forelæggende ret finder, at der er tvivl om fortolkningen eller gyldigheden af visse EU-retlige bestemmelser, samt af sammenhængen mellem disse bestemmelser og den nationale lovgivning, som finder anvendelse på tvisten i hovedsagen« ( 10 ). |
43. |
Med hensyn til denne forelæggelse er det tydeligt, at kravene i procesreglementets artikel 94 ikke er opfyldt, således som det fremgår af det ovenstående. Selv når Domstolen har mulighed for en vis fleksibilitet i denne henseende, må samarbejdet med den forelæggende ret være gensidigt: Som følge af den forelæggende rets (ugrundede) manglende samarbejde med henblik på at gøre rede for sin tvivl om fortolkningen af den EU-lovgivning, som efter dens opfattelse finder anvendelse (direktiv 2016/680 i dette tilfælde), er det efter min opfattelse logisk at afvise anmodningen om præjudiciel afgørelse ( 11 ). |
44. |
Dertil kommer følgende:
|
45. |
Frem for en omformulering af den forelæggende rets spørgsmål ville Domstolen på denne baggrund skulle foretage en egentlig rekonstruktion af den præjudicielle forelæggelse, som desuden delvist ville være baseret på hypotetiske overvejelser frem for godtgjorte faktiske omstændigheder. Dette, skal jeg gentage, er efter, at den forelæggende ret har haft lejlighed til selv at supplere eller omformulere sine spørgsmål. |
46. |
Jeg foreslår derfor, at anmodningen om præjudiciel afgørelse afvises, således som flere af de deltagende stater har foreslået. |
47. |
Denne afvisning må også følge af den omstændighed, som er blevet fremhævet i retsmødet, at der for den forelæggende ret ikke længere verserer en egentlig retstvist, der kræver en fortolkning af EU-retlige bestemmelser. |
48. |
Den østrigske regering (som de politimyndigheder, der deltog i efterforskningen, henhører under) har nærmere bestemt fastslået, at disse myndigheders handlinger var ulovlige og krænkede den berørte persons rettigheder. Eftersom sagsøgerens påstand for forvaltningsdomstolen ifølge forelæggelsesafgørelsen netop var rettet mod de politimæssige foranstaltninger, som den sagsøgte forvaltning anser for at være ulovlige, er den tvist, der er indbragt for den forelæggende ret, bortfaldet. |
49. |
I det tilfælde, at Domstolen ikke er af samme opfattelse som mig, vil jeg i det følgende under alle omstændigheder subsidiært behandle de materielle spørgsmål, som de præjudicielle spørgsmål rejser. |
50. |
Inden da er det efter min opfattelse imidlertid nødvendigt at fastslå, at en anden formalitetsindsigelse, som nogle af procesdeltagerne har rejst, ikke kan tiltrædes ( 14 ). Eftersom direktiv 2016/680 vedrører beskyttelsen af fysiske personer med hensyn til behandlingen af deres oplysninger, finder dette direktiv efter deres opfattelse ikke anvendelse på tilfælde som dette, hvor der ikke foreligger en behandling, men derimod blot et forsøg på adgang til oplysninger, som i sidste ende ikke kunne tilgås. |
51. |
Ifølge Kommissionen bør den effektive virkning af direktiv 2016/680 derimod føre til en fortolkning af dets genstand, som ikke er begrænset til behandlingen af oplysninger i snæver forstand, men som også omfatter spørgsmål, der er direkte forbundet hermed. Et af disse spørgsmål vedrører forsøget på adgang til de oplysninger, der ønskes behandlet ( 15 ). |
52. |
Idet det ikke er nødvendigt at overskride grænserne for anvendelsesområdet for direktiv 2016/680 ( 16 ), er det efter min opfattelse begrundet at anvende dette direktiv i dette tilfælde, ikke fordi der er sket beslaglæggelse af mobiltelefonen ( 17 ), men derimod på grund af politimyndighedernes efterfølgende handlinger med henblik på at tilgå visse personoplysninger om den pågældende, i hvilken forbindelse de forsøgte at låse telefonen op og skaffe sig adgang til dens indhold. |
53. |
De aktiviteter, der defineres som »behandling« i artikel 3, nr. 2), i direktiv 2016/680, omfatter »enhver anden form for overladelse« af personoplysninger i forbindelse med en strafferetlig efterforskning. Jeg er af den opfattelse, at en politimyndighed, når den beslaglægger en telefon, hvorpå disse oplysninger lagres, og manipulerer den med henblik på at trække disse oplysninger ud af den, foretager en »behandlingsaktivitet«, selv om den er forgæves på grund af tekniske årsager vedrørende kryptografisk sikkerhed. |
54. |
Et forgæves forsøg på adgang til personoplysninger, der er lagret på en mobiltelefon, i forbindelse med en strafferetlig efterforskning er omfattet af direktiv 2016/680 af tilsvarende grunde som dem, der bevirkede, at Domstolen fastslog, at direktiv 2002/58 fandt anvendelse på et (ligeledes forgæves) forsøg på at opnå en retskendelse med henblik på at skaffe sig adgang til bestemte personoplysninger om den mistænkte, som en udbyder af elektroniske kommunikationstjenester var i besiddelse af ( 18 ). |
55. |
Hvis den forelæggende ret skal tage stilling til, om politiindsatsen var ulovlig (hvilket den østrigske regering som nævnt har medgivet), kan dens bedømmelse i denne forbindelse afhænge af lovligheden af det formål, der forfølges hermed, såvel hvis foranstaltningen var vellykket, som hvis den blot forgæves blev forsøgt iværksat. |
B. Realiteten
1. Det første præjudicielle spørgsmål
56. |
Den forelæggende ret ønsker oplyst, om artikel 15, stk. 1 (eventuelt sammenholdt med artikel 5), i direktiv 2002/58 i lyset af chartrets artikel 7 og 8 skal fortolkes således, at »offentlige myndigheders adgang til data, der er lagret på en mobiltelefon, indebærer et indgreb i de grundlæggende rettigheder vedrørende disse data, der er fastsat i de nævnte artikler i chartret, som er så alvorligt, at denne adgang skal begrænses til forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser med henblik på bekæmpelse af grov kriminalitet«. |
57. |
Såfremt anmodningen om præjudiciel afgørelse kan antages til realitetsbehandling, kræver den omstændighed, at direktiv 2002/58 ikke finder anvendelse, at det første spørgsmål omformuleres, således at Domstolen i sit svar fortolker direktiv 2016/680. |
58. |
Med dette spørgsmål bør det dernæst afklares, om der kan tales om indgreb i tilfælde som det i hovedsagen omhandlede, og, såfremt der foreligger et indgreb, om direktiv 2016/680 kræver, at adgangen til oplysningerne er begrænset til tilfælde af bekæmpelse af grov kriminalitet. |
59. |
Behandlingsaktiviteter vedrørende personoplysninger kan pr. definition gribe ind i retten til respekt for privatliv (chartrets artikel 7) og retten til beskyttelse af personoplysninger (chartrets artikel 8). De offentlige myndigheder skal således overholde betingelserne i chartrets artikel 52, stk. 1, for at begrunde deres indgreb i udøvelsen af disse grundlæggende rettigheder. |
60. |
Et indgreb i de rettigheder, der er beskyttet ved chartrets artikel 7 og 8, er desto mere omfattende, når det: a) har til formål at give adgang til følsomme oplysninger, der som regel registreres på mobiltelefoner, og hvis kendskab kan afsløre aspekter af deres indehaveres liv, som ikke bør komme til tredjemands kendskab, og b) muliggør adgang til indholdet af kommunikation. |
61. |
Generelt og i betragtning af dets indhold kan direktiv 2016/680 imidlertid ikke fortolkes således, at den behandling af oplysninger, som det omhandler, udelukkende er begrænset til tilfælde af bekæmpelse af grov kriminalitet. |
62. |
Direktiv 2016/680 omfatter enhver behandlingsaktivitet ( 19 ) vedrørende personoplysninger foretaget af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge alle former for strafbare handlinger. |
63. |
Det fremgår ikke af de principper, som direktiv 2016/680 fastsætter på området for behandling af personoplysninger med henblik på dette formål (artikel 4), eller af betingelserne for lovlig behandling (artikel 8), at der som hovedregel kun kan foretages behandling af oplysninger i tilfælde af grov kriminalitet. |
64. |
En begrænsning til tilfælde af bekæmpelse af grov kriminalitet kan heller ikke begrundes i en overførsel uden videre af Domstolens praksis med hensyn til direktiv 2002/58 ( 20 ) på tilfælde som det i hovedsagen omhandlede. |
65. |
Det forholder sig efter min opfattelse således, fordi denne praksis, med forbehold af det nedenstående, vedrører generel og udifferentieret lagring af personoplysninger fra en generel og uafgrænset gruppe, som er foretaget systematisk af udbydere af elektroniske kommunikationstjenester. Omfanget af det indgreb, som denne form for lagring udgør for samfundet som helhed, forklarer, hvorfor Domstolen har været meget omhyggelig med at forbyde det og fastlægge undtagelserne til dette forbud. |
66. |
Det forholder sig ikke på samme måde, når den ønskede adgang ikke berører hele befolkningen eller store grupper af denne (dvs. personoplysninger om en generel og uafgrænset gruppe), men derimod oplysninger lagret på en enkelt mobiltelefon i forbindelse med en ligeledes enkeltstående strafferetlig efterforskning, i hvilken forbindelse direktiv 2016/680 specifikt finder anvendelse. |
67. |
Direktiv 2016/680 omfatter kun kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger. Dvs. alle former for strafbare handlinger og ikke blot grove strafbare handlinger. |
68. |
Idet der ikke er nogen angivelse af grovheden af de strafbare handlinger i direktiv 2016/680, ville dette direktiv i øvrigt, således som nogle af procesdeltagerne i den præjudicielle procedure har fremhævet, ikke kunne anvendes ensartet i medlemsstaterne, eftersom der er mærkbare forskelle på vurderingerne i de enkelte nationale lovgivninger af, om en strafbar handling er mere eller mindre grov ( 21 ). |
69. |
Sammenfattende fastsætter direktiv 2016/680 ikke en betingelse for lovlig behandling af de deraf omfattede personoplysninger, hvorefter en sådan behandling kun kan foretages med henblik på bekæmpelse af grov kriminalitet. |
70. |
Det ovenstående er ikke til hinder for, at den behandling af oplysninger, som de kompetente myndigheder ønsker at foretage i henhold til direktiv 2016/680, under anvendelse af proportionalitetsprincippet og i det enkelte tilfælde bør tilpasses i forhold til: a) karakteren af de strafbare handlinger, der retsforfølges, og b) karakteren af de personoplysninger, som denne behandling er rettet mod. |
71. |
I denne sammenhæng tilslutter jeg mig nogle af den tyske regerings argumenter om en begrænsning af adgangen til data på beslaglagte telefoner, når de gør det muligt at udarbejde en omfattende profil af indehaverens personlighed ved hjælp af telefonernes digitale indhold. Ifølge den tyske regering bør denne adgang være begrænset til oplysninger, der er nødvendige som bevismateriale i et konkret tilfælde, og er ikke nødvendigvis passende i forbindelse med faktorer såsom »den mindre grove karakter af den strafbare handling, som er genstand for efterforskningen, eller den ringe bevisværdi af de oplysninger, der ønskes indsamlet« ( 22 ). |
72. |
Direktiv 2016/680 indebærer således i teorien ikke, at det er ulovligt systematisk at skaffe sig adgang til personoplysninger lagret på en mobiltelefon med henblik på at fremme en efterforskning af adfærd, der kan falde ind under generel eller almen kriminalitet. Spørgsmålet, om denne adgang bør gives i det konkrete tilfælde, skal vurderes af den pågældende myndighed i det enkelte tilfælde på grundlag af nødvendigheden af adgangen og kravet om forholdsmæssighed som nævnt ovenfor. |
73. |
Dette følger efter min opfattelse af de bestemmelser i direktiv 2016/680, der fastsætter betingelserne for gyldigheden af behandlingen af personoplysninger i forbindelse med bekæmpelse af kriminalitet:
|
2. Det andet præjudicielle spørgsmål
74. |
Den forelæggende ret ønsker med sit andet præjudicielle spørgsmål oplyst, om artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, »er til hinder for en national lovgivning som § 18, sammenholdt med § 99, stk. 1, i [strafferetsplejeloven], hvorefter sikkerhedsmyndighederne i forbindelse med en strafferetlig efterforskning uden godkendelse fra en domstol eller et uafhængigt forvaltningsorgan skaffer sig omfattende og ukontrolleret adgang til alle de digitale data, der er lagret på en mobiltelefon«. |
75. |
Spørgsmålets ordlyd indeholder en vis tvetydighed. Den forelæggende ret:
|
76. |
Den østrigske regering har fremlagt en version af den nationale lovgivning, der ikke stemmer overens med den version, der fremgår af forelæggelsesafgørelsen. Den østrigske regering har navnlig anført, at såvel beslaglæggelsen af telefonen (undtagen i hastende tilfælde) som bearbejdningen af data lagret herpå i henhold til national ret kun er mulig på grundlag af en tilladelse fra anklagemyndigheden ( 23 ). Uden en anordning fra anklagemyndigheden er politiets bearbejdning af de oplysninger, der var lagret på denne telefon, ulovlig. |
77. |
Det tilkommer den forelæggende ret at efterprøve ordlyden af den nationale lovgivning. Inden for rammerne af proceduren i artikel 267 TEUF har Domstolen ikke kompetence til at fortolke national ret, og det tilkommer alene den nationale ret at fastlægge den nøjagtige rækkevidde af nationale retsregler og administrative forskrifter ( 24 ). |
78. |
Uden at indgå i diskussionen om fortolkningen af den østrigske lovgivning er det efter min opfattelse vanskeligt at udlede den konsekvens, som den forelæggende ret selv har udledt, alene af de bestemmelser, som den har angivet (strafferetsplejelovens § 18, sammenholdt med samme lovs § 99, stk. 1). Som nævnt er dette imidlertid et spørgsmål, som kun den forelæggende ret kan afklare. |
79. |
Under alle omstændigheder er den forelæggende ret af den opfattelse, at retspraksis efter Prokuratuur-dommen ( 25 ) om en forudgående kontrol foretaget af en domstol eller en uafhængig myndighed af adgangen til de lagrede data kan overføres på en situation som den i hovedsagen omhandlede. |
80. |
Ifølge den nederlandske regering skal denne retspraksis imidlertid ses i sammenhæng med en national lovgivning, hvorefter de kompetente myndigheder havde generel adgang til alle lagrede trafikdata og lokaliseringsdata. Dette forklarer kravet om en forudgående judiciel tilladelse, som imidlertid ikke nødvendigvis er begrundet i forbindelse med en adgang til oplysningerne på en enkelt mobiltelefon. |
81. |
Den norske regering har i samme retning anført, at de forskellige garantier, der er fastlagt i direktiv 2016/680 ( 26 ), ikke udtrykkeligt omfatter kravet om en forudgående tilladelse fra en judiciel myndighed eller en uafhængig administrativ myndighed. |
82. |
Kommissionen, som har lagt til grund, at bestemmelserne i direktiv 2016/680 skal fortolkes i lyset af chartret, har anført, at den pligt, som medlemsstaterne er pålagt i henhold til dette direktivs artikel 8, stk. 1 (betingelserne for lovlig behandling), indebærer et krav om at overholde de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8. |
83. |
Jeg er enig med Kommissionen i, at de nationale lovgivere, under overholdelse af disse bestemmelser i chartret, har pligt til at fastlægge de regler, der er nødvendige for at sikre, at adgangen til disse oplysninger er begrundet i hvert enkelt tilfælde og er begrænset til det, der er strengt nødvendigt og forholdsmæssigt. |
84. |
Sådanne nationale regler skal imidlertid ikke nødvendigvis være specifikke for adgangen til personoplysninger, der er lagret på en mobiltelefon, således som det er tilfældet her, men kan derimod være regler, der er fastlagt i den nationale lovgivning generelt med hensyn til indhentning af beviser. |
85. |
I denne forbindelse har jeg gengivet præmis 103 i dommen i sagen La Quadrature du Net med hensyn til medlemsstaternes foranstaltninger, der påvirker fortroligheden i forbindelse med elektronisk kommunikation uden at pålægge de udbydere, der tilbyder denne form for kommunikation, behandlingsforpligtelser ( 27 ). |
86. |
Eftersom det derfor ikke er nødvendigt at udlede specifikke regler af processuel karakter af direktiv 2016/680 for at sikre en lovlig adgang til oplysninger lagret på en mobiltelefon ( 28 ), finder de nationale bestemmelser, der regulerer udøvelsen af ransagnings- og beslaglæggelsesbeføjelser i forbindelse med strafferetlige efterforskninger, anvendelse ( 29 ). |
87. |
Henvisningen til nationale bestemmelser med henblik på at sikre en lovlig adgang i henhold til direktiv 2016/680 er desuden i overensstemmelse med Menneskerettighedsdomstolens praksis. Netop i forbindelse med en sag, der omhandlede Republikken Østrig, i forbindelse med EMRK’s artikel 8 (retten til respekt for privatliv og familieliv samt hjem og korrespondance), fastslog Menneskerettighedsdomstolen, at den østrigske lovgivning om beslaglæggelse af genstande, nærmere bestemt dokumenter, finder anvendelse på ransagning og beslaglæggelse af oplysninger lagret på datamedier ( 30 ). |
88. |
Hvis politimyndighederne ikke har beføjelser til at tilgå oplysninger lagret på en bestemt mobiltelefon uden anklagemyndighedens tilladelse, således som den østrigske regering har anført med henvisning til Obersten Gerichtshofs (øverste domstol, Østrig) praksis, mister det andet præjudicielle spørgsmål en stor del af sin betydning. |
89. |
Svaret på dette spørgsmål kan under alle omstændigheder ikke udelukke, at adgangen til personoplysningerne på den beslaglagte telefon fører til, at »der rekonstrueres et yderst detaljeret og dybtgående billede af næsten alle aspekter af [den berørte persons] privatliv[…]« ( 31 ). Eftersom dette er tilfældet, kunne politimyndighederne ikke se bort fra den forudgående tilladelse, som Prokuratuur-dommen henviste til. |
90. |
Ved første øjekast passer denne konstatering tilsyneladende ikke med, at direktiv 2002/58 (som fortolkes i Prokuratuur-dommen) ikke finder anvendelse i dette tilfælde, således som jeg tidligere har anført. Jeg er imidlertid af den opfattelse, at denne doms begrundelse taler for den samme løsning. |
91. |
Selv om adgangen fandt sted ved at indhente data (metadata) fra udbyderne af elektroniske kommunikationstjenester, omhandlede den tvist, der gav anledning til Prokuratuur-dommen, ligesom den foreliggende tvist, en enkelt strafferetlig efterforskning, der var rettet mod en bestemt person. Det blev forsøgt at indhente »data om flere telefonnumre […] og forskellige internationale identiteter for mobiludstyr« ( 32 ). |
92. |
I Prokuratuur-dommen kan der efter min opfattelse sondres mellem to niveauer: a) et niveau, hvor der rejses tvivl om en medlemsstats generelle lovgivning om generel og udifferentieret lagring og efterfølgende adgang til data, som tjenesteudbyderne er i besiddelse af, og b) et niveau, der omhandler den forudgående kontrol, i et enkeltstående tilfælde, af adgangen til disse metadata, når de gør det muligt at udarbejde en præcis profil af en person privatliv. |
93. |
Den omstændighed, at de oplysninger, der afslører privatlivet, i den foreliggende sag ikke er i tjenesteudbydernes besiddelse og indsamles (eller forsøges indsamlet) fra en enkelt beslaglagt telefon, er efter min opfattelse af underordnet betydning i forhold til begrundelsen for kravet om en forudgående kontrol, som fremgår af Prokuratuur-dommen. |
94. |
Denne forudgående kontrol har i sidste ende sit grundlag i den beskyttelse, der er sikret ved chartrets artikel 7 og 8. Den myndighed, der foretager denne kontrol, skal være »i stand til at sikre en rimelig ligevægt mellem dels de interesser, der er forbundet med, hvad der er nødvendigt af hensyn til efterforskningen i forbindelse med bekæmpelsen af kriminalitet, dels den grundlæggende ret til respekt for privatlivet og beskyttelsen af personoplysninger for så vidt angår de personer, hvis oplysninger er berørt af adgangen« ( 33 ). |
3. Det tredje præjudicielle spørgsmål
95. |
Med det tredje præjudicielle spørgsmål ønsker den forelæggende ret oplyst, om chartrets artikel 47 (eventuelt sammenholdt med artikel 41 og 52) er til hinder for en lovgivning såsom den østrigske ( 34 ), der »muliggør, at en mobiltelefon [bearbejdes] digitalt, uden at den berørte person forinden eller i det mindste efter iværksættelsen af foranstaltningen underrettes herom«. |
96. |
Efter min opfattelse kan spørgsmålet i denne affattelse være unødvendigt med henblik på sagens afgørelse, fordi den berørte person kan udøve den ret, der er fastsat i chartrets artikel 47, og nedlægge påstand ved den forelæggende ret om, at det fastslås, at politiets foranstaltning i forhold til den beslaglagte telefon, som omfattede den efterfølgende (forgæves) bearbejdning af de derpå lagrede data, er ugyldig. |
97. |
Med hensyn til disse to tidspunkter i politiindsatsen må der foretages følgende sondring:
|
98. |
Med hensyn til bearbejdningen af oplysningerne og den registreredes kendskab hertil er der således visse tvetydigheder, som den forelæggende ret som nævnt burde have afklaret i forelæggelsesafgørelsen, og som er til hinder for, at der kan gives et brugbart svar på det tredje præjudicielle spørgsmål. |
99. |
For det tilfælde, at Domstolen ikke afviser dette spørgsmål, vil jeg under alle omstændigheder tale stilling til det. I så fald, og idet direktiv 2002/58 ikke finder anvendelse, må dette spørgsmål omformuleres i lyset af direktiv 2016/680, hvis artikel 13, 15 og 54 indeholder ledetråde med henblik på besvarelsen. |
100. |
I henhold til direktiv 2016/680 er de oplysninger, der skal gives til den registrerede, oplysninger, der bl.a. er nødvendige for: a) at indgive en klage til en tilsynsmyndighed [artikel 13, stk. 1, litra d)] og b) at få adgang til effektive retsmidler, hvis rettigheder fastsat i bestemmelser, der er vedtaget i henhold til direktiv 2016/680, er blevet krænket, uden at det berører andre tilgængelige administrative eller udenretslige klageadgange (artikel 54). |
101. |
Det bør imidlertid fremhæves, at såvel artikel 13, stk. 3, som artikel 15, stk. 1, i direktiv 2016/680 tillader, at medlemsstaterne vedtager lovgivningsmæssige foranstaltninger,
|
102. |
Spørgsmålet, om behandlingen af oplysningerne er lovlig, afhænger under alle omstændigheder ikke af, at de kompetente myndigheder har opfyldt de (efterfølgende) pligter, som de er pålagt i henhold til artikel 13 i direktiv 2016/680, men derimod af lovligheden af det formål, som begrunder behandlingen; dvs. at disse administrative myndigheder har beføjelse til at behandle personoplysningerne. |
103. |
Ud fra dette perspektiv er den omstændighed, at den registrerede er blevet oplyst om politiets forsøg på at skaffe sig adgang til oplysninger lagret på den telefon, som vedkommende fik beslaglagt, i sig selv et aspekt, der ikke vedrører spørgsmålet, om politiindsatsen er lovlig af materielle grunde. Den dataansvarliges adfærd, som eventuelt er i strid med de forpligtelser, som den pågældende er pålagt i henhold til artikel 13 i direktiv 2016/680, kan have andre konsekvenser, men jeg gentager, at den i sig selv ikke har betydning for spørgsmålet, om denne behandling er lovlig eller ulovlig. |
104. |
Det tilkommer den forelæggende ret at afklare, om den nationale lovgivning gør det muligt for den berørte person effektivt at udøve disse rettigheder. |
V. Forslag til afgørelse
105. |
På baggrund af det ovenstående foreslår jeg, at Domstolen afviser den anmodning om præjudiciel afgørelse, der er indgivet af Landesverwaltungsgericht Tirol (den regionale forvaltningsdomstol i Tyrol, Østrig). Subsidiært foreslår jeg, at Domstolen svarer på denne anmodning således:
|
( 1 ) – Originalsprog: spansk.
( 2 ) – Europa-Parlamentets og Rådets direktiv af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37).
( 3 ) – Europa-Parlamentets og Rådets direktiv af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT 2016, L 119, s. 89).
( 4 ) – Europa-Parlamentets og Rådets forordning af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1) (herefter »databeskyttelsesforordningen«).
( 5 ) – Herefter »Menneskerettighedsdomstolen«.
( 6 ) – Strafferetsplejeloven (herefter »strafferetsplejeloven«). BGBl nr. 631/1975 i den affattelse, der finder anvendelse på tidspunktet for de faktiske omstændigheder (BGBl I nr. 24/2021).
( 7 ) – Dom af 6.10.2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791, herefter »dommen i sagen La Quadrature du Net«, præmis 103).
( 8 ) – Jf. bl.a. dom af 28.4.2016, Oniors Bio (C-233/15, EU:C:2016:305, præmis 30).
( 9 ) – Domstolen har set sig nødsaget til at anmode parterne om at angive, »de bestemmelser, der efter deres opfattelse er relevante i direktiv 2016/680, i betragtning af hvilke Domstolen i givet fald bør omformulere de tre præjudicielle spørgsmål, som den forelæggende ret har forelagt« (det fjerde spørgsmål til mundtlig besvarelse i retsmødet).
( 10 ) – Dom af 6.10.2021, Consorzio Italian Management og Catania Multiservizi (C-561/19, EU:C:2021:799, præmis 69).
( 11 ) – Jeg er enig med den franske regering (punkt 36-41 i dens skriftlige indlæg) om denne bedømmelse.
( 12 ) – Jf. affattelsen af det andet præjudicielle spørgsmål.
( 13 ) – Den forelæggende ret har anført, at »med hensyn til trafikdata kan næsten alle kontakter rekonstrueres på grundlag af kommunikationens hyppighed, tidspunkt og varighed, og med hensyn til kommunikation gennem SMS og andre messenger-tjenester kan også indholdet rekonstrueres; gennem bearbejdning af lagrede fotos og browserforløb kan der også opnås et særdeles intimt indblik i den berørte persons privatliv«.
( 14 ) – Jeg henviser konkret til den østrigske, den franske, den nederlandske og den norske regering.
( 15 ) – Ifølge Kommissionen »er det uden betydning, om forsøgene er vellykkede eller ej. Den omstændighed, at det var tekniske vanskeligheder, der forhindrede forsøgene på adgang, er ikke kendt på forhånd og berører ikke risiciene for beskyttelsen af personoplysninger«.
( 16 ) – Det er efter min opfattelse navnlig unødvendigt at henvise til artikel 27 og 28 i direktiv 2016/680, således som Kommissionen har foreslået i sit skriftlige indlæg. »Konsekvensanalyse[n] vedrørende databeskyttelse« i henhold til dets artikel 27 henviser generelt til »en type behandling« og ikke til konkrete eller særlige behandlinger. Dette fremgår af 58. betragtning til direktiv 2016/680: »Konsekvensanalyser bør omfatte behandlingsaktiviteters relevante systemer og processer, men ikke enkeltsager« (min fremhævelse). Kommissionen har i retsmødet nuanceret sin henvisning til disse bestemmelser, idet den blot havde til formål at fremhæve, at direktiv 2016/680 også omfatter situationer forud for den egentlige behandling af oplysninger.
( 17 ) – Direktiv 2016/680 omfatter ikke beslaglæggelse af en telefon som bevismiddel inden for rammerne af en strafferetlig efterforskning.
( 18 ) – Dom af 2.10.2018, Ministerio Fiscal (C-207/16, EU:C:2018:788).
( 19 ) – Opregningen af »aktiviteter« i artikel 3, nr. 2), i direktiv 2016/680 er meget vidtrækkende. Gengivet i punkt 9 i dette forslag til afgørelse.
( 20 ) – Dommen i sagen La Quadrature du Net og dom af 21.12.2016, Tele2 Sverige og Watson m.fl. (C-203/15 og C-698/15, EU:C:2016:970, herefter »dommen i sagen Tele2 Sverige og Watson«), af 2.10.2018, Ministerio Fiscal (C-207/16, EU:C:2018:788), af 6.10.2020, Privacy International (C-623/17, EU:C:2020:790), og af 2.3.2021, Prokuratuur (Betingelser for adgang til data vedrørende elektronisk kommunikation) (C-746/18, EU:C:2021:152, herefter »Prokuratuur-dommen«).
( 21 ) – Den franske regering har som eksempel nævnt overtrædelser vedrørende narkotikabesiddelse og ‑handel, hvis grovhed kvalificeres forskelligt i de strafferetlige bestemmelser i Østrig og Frankrig. Den svenske regering har udtalt sig i samme retning.
( 22 ) – Den tyske regerings skriftlige indlæg, punkt 20.
( 23 ) – Punkt 19 i den østrigske regerings skriftlige indlæg. Den østrigske regering har henvist til Oberster Gerichtshofs (øverste domstol) afgørelse af 13.10.2020 (sag nr. 11 Os 56/20z), hvori det fastslås, at kriminalpolitiets analyse af oplysninger på en mobiltelefon uden anklagemyndighedens tilladelse er ulovlig, for så vidt som den krænker den berørte persons subjektive rettigheder.
( 24 ) – Jf. bl.a. dom af 28.4.2022, SeGEC m.fl. (C-277/21, EU:C:2022:318, præmis 21).
( 25 ) – Prokuratuur-dommen, præmis 51: »[Det er] afgørende, at de kompetente nationale myndigheders adgang til de lagrede data er undergivet en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed, og at denne domstols eller enheds afgørelse skal træffes på grundlag af en begrundet anmodning, som navnlig fremsættes af disse myndigheder inden for rammerne af procedurer med henblik på forebyggelse, afsløring eller strafferetlig forfølgning.«
( 26 ) – De i artikel 4 og 8 omhandlede garantier samt garantierne i kapitel III (»Den registreredes rettigheder«), IV (»Dataansvarlig og databehandler«), VI (»Uafhængige tilsynsmyndigheder«) og VIII (»Retsmidler, ansvar og sanktioner«).
( 27 ) – Jf. punkt 36 i dette forslag til afgørelse.
( 28 ) – Et vanskeligt foretagende, hvilket Kommissionens bestræbelser i punkt 34-39 i dens skriftlige indlæg på at bidrage til en definition af klare og præcise regler med henblik på fastsættelse af passende grænser og garantier i forbindelse med adgang til oplysninger på en telefon er et godt eksempel på.
( 29 ) – Hvilke bestemmelser, som f.eks. den danske regering og Irland har mindet om, falder uden for EU-rettens anvendelsesområde, men kan anvendes til at overholde et krav, der følger af EU-retten.
( 30 ) – Menneskerettighedsdomstolens dom af 16.10.2007, Wieser og Bicos Beteiligungen mod Østrig (CE:ECHR:2007:1016JUD007433601, § 54): »the Austrian Code of Criminal Procedure does not contain specific provisions for the search and seizure of electronic data. However, it contains detailed provisions for the seizure of objects and, in addition, specific rules for the seizure of documents. It is established in the domestic courts’ case-law that these provisions also apply to the search and seizure of electronic data«.
( 31 ) – Jf. den forelæggende rets argumenter, der er gengivet i punkt 44 i dette forslag til afgørelse.
( 32 ) – Prokuratuur-dommen, præmis 17.
( 33 ) – Prokuratuur-dommen, præmis 52.
( 34 ) – Her henvises atter til strafferetsplejelovens § 18, sammenholdt med § 99.
( 35 ) – Punkt 37 i den østrigske regerings skriftlige indlæg.
( 36 ) – Jf. i denne retning dommen i sagen Tele2 Sverige og Watson, præmis 121. Domstolens praksis vedrørende direktiv 2002/58 kan overføres på direktiv 2016/680 i forbindelse med retten til retsbeskyttelse af rettighederne for indehavere af oplysninger, der er genstand for behandling.