DOMSTOLENS DOM (Femte Afdeling)

16. november 2023 ( *1 )

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse behandling af personoplysninger – direktiv (EU) 2016/680 – artikel 17 – udøvelse af den registreredes rettigheder gennem tilsynsmyndigheden – kontrol af, om behandling af personoplysninger er lovlig – artikel 17, stk. 3 – forpligtelse til at give den registrerede minimumsoplysninger – rækkevidde – gyldighed – artikel 53 – adgang til effektive retsmidler over for en tilsynsmyndighed – begrebet »juridisk bindende afgørelse« – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 8, stk. 3 – en uafhængig myndigheds tilsyn – artikel 47 – retten til en effektiv domstolsbeskyttelse«

I sag C-333/22,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af cour d’appel de Bruxelles (appeldomstolen i Bruxelles, Belgien) ved afgørelse af 9. maj 2022, indgået til Domstolen den 20. maj 2022, i sagen

Ligue des droits humains ASBL,

BA

mod

Organe de contrôle de l’information policière,

har

DOMSTOLEN (Femte Afdeling),

sammensat af afdelingsformanden, E. Regan, og dommerne Z. Csehi, M. Ilešič, I. Jarukaitis og D. Gratsias (refererende dommer),

generaladvokat: L. Medina,

justitssekretær: fuldmægtig M. Siekierzyńska,

på grundlag af den skriftlige forhandling og efter retsmødet den 29. marts 2023,

efter at der er afgivet indlæg af:

Ligue des droits humains ASBL og BA ved avocate C. Forget,

Organe de contrôle de l’information policière (OCIP) ved advocaten J. Bosquet og J.-F. De Bock,

den belgiske regering ved P. Cottin, J.-C. Halleux, C. Pochet og A. Van Baelen, som befuldmægtigede, bistået af avocats N. Cariat, C. Fischer, B. Lombaert og J. Simba,

den tjekkiske regering ved O. Serdula, M. Smolek og J. Vláčil, som befuldmægtigede,

den franske regering ved J. Illouz, som befuldmægtiget,

Europa-Parlamentet ved S. Alonso de León, O. Hrstková Šolcová, P. López-Carceller og M. Thibault, som befuldmægtigede,

Europa-Kommissionen ved A. Bouchagiar, H. Kranenborg, A.-C. Simon og F. Wilman, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 15. juni 2023,

afsagt følgende

Dom

1

Anmodningen om præjudiciel afgørelse vedrører dels fortolkningen af artikel 8, stk. 3, og artikel 47 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«), dels gyldigheden, henset til de ovennævnte bestemmelser i chartret, af artikel 17 i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT 2016, L 119, s. 89).

2

Anmodningen er blevet indgivet i forbindelse med en tvist mellem på den ene side Ligue des droits humains ASBL og BA og på den anden side Organe de contrôle de l’information policière (OCIP) (kontrolorgan for politiinformationer, Belgien) vedrørende udøvelse gennem dette organ af BA’s rettigheder angående personoplysninger, der vedrører vedkommende, og som behandles af det belgiske politis tjenestegrene, og på grundlag af hvilke Autorité nationale de sécurité (den nationale sikkerhedsmyndighed, Belgien) gav afslag på en ansøgning om sikkerhedsgodkendelse indgivet af denne person.

Retsforskrifter

EU-retten

3

Følgende fremgår af 7., 10., 43., 46., 48., 75., 82., 85. og 86. betragtning til direktiv 2016/680:

»(7)

Det er vigtigt at sikre et ensartet og højt niveau for beskyttelse af personoplysninger om fysiske personer og gøre det lettere at udveksle personoplysninger mellem medlemsstaternes kompetente myndigheder for at sikre et effektivt retligt samarbejde i straffesager og politisamarbejde. Med det formål bør niveauet for beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, være ensartet i alle medlemsstater. For at sikre en effektiv beskyttelse af personoplysninger i hele [Den Europæiske Union] er det nødvendigt at styrke de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler personoplysninger, samt tilsvarende beføjelser til at kontrollere og sikre overholdelsen af reglerne om beskyttelse af personoplysninger i medlemsstaterne.

[…]

(10)

I erklæring nr. 21 om beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde, der er knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabontraktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke regler om beskyttelse af personoplysninger og om fri bevægelighed for personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 i TEUF som følge af disse områders specifikke karakter.

[…]

(43)

En fysisk person bør have ret til indsigt i oplysninger, der er indsamlet om vedkommende, og til let og med rimelige mellemrum at udøve denne ret med henblik på at forvisse sig om og kontrollere en behandlings lovlighed. […]

[…]

(46)

Enhver begrænsning af den registreredes rettigheder skal overholde chartret og [den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, undertegnet i Rom den 4. november 1950] som fortolket i retspraksis henholdsvis ved Domstolen og ved Den Europæiske Menneskerettighedsdomstol og navnlig respekten for det væsentlige indhold i disse rettigheder og frihedsrettigheder.

[…]

(48)

Hvis den dataansvarlige nægter en registreret dennes ret til oplysninger, indsigt i eller berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, bør den registrerede have ret til at anmode om, at den nationale tilsynsmyndighed kontrollerer, at behandlingen af oplysningerne er lovlig. […]

[…]

(75)

Oprettelse af tilsynsmyndigheder i medlemsstaterne, som kan udøve deres hverv i fuld uafhængighed, har afgørende betydning for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger. Tilsynsmyndighederne bør føre tilsyn med anvendelsen af de bestemmelser, der vedtages i henhold til dette direktiv, og bidrage til en ensartet anvendelse i hele Unionen med det formål at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger. […]

[…]

(82)

For at sikre effektiv, pålidelig og ensartet tilsyn med overholdelse og håndhævelse af dette direktiv i hele Unionen i henhold til TEUF som fortolket af Domstolen bør tilsynsmyndighederne i hver medlemsstat have samme opgaver og effektive beføjelser, herunder undersøgelsesbeføjelser, korrigerende beføjelser og rådgivningsbeføjelser, som udgør nødvendige midler for udførelsen af deres opgaver. […]

[…]

(85)

Enhver registreret bør have ret til at indgive klage til en enkelt tilsynsmyndighed og have adgang til effektive retsmidler i overensstemmelse med artikel 47 i chartret, hvis den registrerede finder, at vedkommendes rettigheder i medfør af de bestemmelser, der vedtages i henhold til dette direktiv, er blevet krænket, eller hvis tilsynsmyndigheden ikke reagerer på en klage, delvist eller helt afslår eller afviser en klage eller ikke handler, hvis handling er nødvendig for at beskytte den registreredes rettigheder. […]

(86)

Enhver fysisk eller juridisk person bør have adgang til effektive retsmidler ved den kompetente nationale domstol til prøvelse af en tilsynsmyndigheds afgørelse, som har retsvirkninger for denne person. En sådan afgørelse vedrører navnlig tilsynsmyndighedens udøvelse af undersøgelsesbeføjelser, korrigerende beføjelser og godkendelsesbeføjelser eller afslag eller afvisning af klager. Denne ret omfatter dog ikke andre foranstaltninger truffet af tilsynsmyndigheder, der ikke er juridisk bindende, som f.eks. udtalelser eller rådgivning fra tilsynsmyndigheden. En sag mod en tilsynsmyndighed bør anlægges ved domstolene i den medlemsstat, hvor tilsynsmyndigheden er etableret, og bør føres i henhold til medlemsstatens nationale ret. Disse domstole bør have fuld jurisdiktion, herunder jurisdiktion til at undersøge alle de faktiske og retlige omstændigheder, der er relevante for den tvist, som de får forelagt.«

4

Direktivets artikel 1 med overskriften »Genstand og formål« bestemmer i stk. 1 og 2:

»1.   I dette direktiv fastsættes regler om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller forebygge trusler mod den offentlige sikkerhed.

2.   Medlemsstaterne sikrer i overensstemmelse med dette direktiv:

a)

at fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger, beskyttes, og

b)

at udvekslingen af personoplysninger mellem kompetente myndigheder i Unionen, hvor en sådan udveksling kræves i henhold til EU-retten eller medlemsstaternes nationale ret, hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.«

5

Direktivet indeholder et kapitel III, som har overskriften »Den registreredes rettigheder«, hvilket indeholder bl.a. artikel 13-17 heri. Denne artikel 13 med overskriften »Oplysninger, der skal stilles til rådighed for eller gives til den registrerede« fastsætter i stk. 1 medlemsstaternes forpligtelse til at fastsætte bestemmelser om, at den dataansvarlige som minimum stiller visse minimumsoplysninger til rådighed for den registrerede, såsom navnlig identitet på og kontaktoplysninger for den dataansvarlige. Endvidere opregner den i stk. 2 de yderligere oplysninger, som medlemsstaterne skal fastsætte ved lov, at den dataansvarlige skal give den registrerede, for at vedkommende kan udøve sine rettigheder. Det bestemmes i stk. 3 og 4:

»3.   Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der udsætter, begrænser eller afskærer meddelelse af oplysninger til de registrerede, jf. stk. 2, i det omfang og så længe en sådan foranstaltning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

a)

undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)

undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner

c)

beskytte den offentlige sikkerhed

d)

beskytte statens sikkerhed

e)

beskytte andres rettigheder og frihedsrettigheder.

4.   Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger for at fastsætte de kategorier af behandling, som helt eller delvis er omfattet af ethvert af de litraer, der er anført i stk. 3.«

6

Samme direktivs artikel 14 med overskriften »Den registreredes indsigtsret« har følgende ordlyd:

»Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne […], jf. dog artikel 15.«

7

Artikel 15 i direktiv 2016/680 med overskriften »Begrænsninger af indsigtsretten« har følgende ordlyd:

»1.   Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser den registreredes ret til indsigt, i det omfang og så længe en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

a)

undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)

undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner

c)

beskytte den offentlige sikkerhed

d)

beskytte statens sikkerhed

e)

beskytte andres rettigheder og frihedsrettigheder.

2.   Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger for at fastsætte de kategorier af behandling, som helt eller delvis er omfattet af stk. 1, litra a)-e).

3.   I de i stk. 1 og 2 omhandlede tilfælde fastsætter medlemsstaterne bestemmelser om, at den dataansvarlige uden unødig forsinkelse skal give den registrerede skriftlig meddelelse om ethvert afslag på indsigt i personoplysninger eller begrænsning af indsigten og om begrundelsen for afslaget eller begrænsningen. En sådan meddelelse kan udelades, hvis sådanne oplysninger ville være til skade for et af formålene i stk. 1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om muligheden for at indgive en klage til en tilsynsmyndighed eller adgangen til retsmidler.

4.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal dokumentere den faktiske eller retlige begrundelse, som afgørelsen hviler på. Disse oplysninger stilles til rådighed for tilsynsmyndighederne.«

8

Direktivets artikel 16 med overskriften »Ret til berigtigelse, sletning og begrænsning af behandling« bestemmer:

»1.   Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Medlemsstaterne fastsætter bestemmelser om, at den registrerede under hensyntagen til formålene med behandlingen skal have ret til at få fuldstændiggjort ufuldstændige personoplysninger […].

2.   Medlemsstaterne kræver, at den dataansvarlige sletter personoplysninger uden unødig forsinkelse, og fastsætter bestemmelser om, at den registrerede skal have ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis behandling overtræder de bestemmelser, der vedtages i henhold til artikel 4, 8 eller 10, eller hvis personoplysninger skal slettes for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt.

3.   I stedet for sletning begrænser den dataansvarlige behandling, hvis:

a)

rigtigheden af personoplysningerne bestrides af den registrerede og deres rigtighed eller urigtighed ikke kan konstateres, eller

b)

personoplysningerne skal bevares som bevismiddel.

[…]

4.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal give den registrerede skriftlig meddelelse om ethvert afslag på berigtigelse eller sletning af personoplysninger eller begrænsning af behandling og om begrundelsen for afslaget. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser forpligtelsen til at give sådanne oplysninger, i det omfang en sådan begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

a)

undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)

undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner

c)

beskytte den offentlige sikkerhed

d)

beskytte statens sikkerhed

e)

beskytte andres rettigheder og frihedsrettigheder.

Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om muligheden for at indgive klage til en tilsynsmyndighed eller adgangen til retsmidler.

[…]«

9

Direktivets artikel 17 med overskriften »Den registreredes udøvelse af rettigheder og tilsynsmyndighedens kontrol« fastsætter:

»1.   I de tilfælde, der er omhandlet i artikel 13, stk. 3, artikel 15, stk. 3, og artikel 16, stk. 4, vedtager medlemsstaterne foranstaltninger, der fastsætter, at den registreredes rettigheder også kan udøves gennem den kompetente tilsynsmyndighed.

2.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om dennes mulighed for at udøve sine rettigheder gennem tilsynsmyndigheden i henhold til stk. 1.

3.   Hvis den i stk. 1 omhandlede ret udøves, underretter tilsynsmyndigheden som minimum den registrerede om, at tilsynsmyndigheden har foretaget den nødvendige kontrol eller undersøgelse. Tilsynsmyndigheden underretter også den registrerede om dennes adgang til retsmidler.«

10

Samme direktivs artikel 42 med overskriften »Uafhængighed« bestemmer i stk. 1:

»Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal udføre sine opgaver og udøve sine beføjelser i henhold til dette direktiv i fuld uafhængighed.«

11

Artikel 46 i direktiv 2016/680 med overskriften »Opgaver« bestemmer i stk. 1:

»Hver medlemsstat fastsætter for sit område bestemmelser om, at den enkelte tilsynsmyndighed skal:

a)

føre tilsyn med og håndhæve anvendelsen af de bestemmelser, der vedtages i henhold til dette direktiv, og gennemførelsesbestemmelserne hertil

[…]

f)

behandle klager, der indgives af en registreret […] og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist […]

g)

kontrollere, om en behandling er lovlig i henhold til artikel 17, og i henhold til nævnte artikels stk. 3 underrette den registrerede inden for en rimelig frist om resultatet af undersøgelsen eller om årsagerne til, at undersøgelsen ikke er foretaget

[…]«

12

Direktivets artikel 47 med overskriften »Beføjelser« har følgende ordlyd:

»1.   Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have effektive undersøgelsesbeføjelser. Disse beføjelser skal som minimum indeholde beføjelse til af den dataansvarlige eller databehandleren at få indsigt i alle de personoplysninger, der er under behandling, og alle oplysninger, der kræves til udførelse af myndighedens opgaver.

2.   Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have effektive korrigerende beføjelser såsom f.eks.:

a)

at udstede advarsler til en dataansvarlig eller en databehandler om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med de bestemmelser, der vedtages i henhold til dette direktiv

b)

at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med de bestemmelser, der vedtages i henhold til dette direktiv, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist, navnlig ved at give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling i henhold til artikel 16

c)

midlertidigt eller definitivt at begrænse, herunder forbyde, behandling.

[…]

4.   Udøvelsen af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de fornødne garantier, herunder effektive retsmidler og retfærdig procedure, som fastsat i EU-retten og medlemsstaternes nationale ret i overensstemmelse med chartret.

[…]«

13

Direktivets artikel 52 med overskriften »Ret til at indgive klage til en tilsynsmyndighed« fastsætter i stk. 1:

»Uden at det berører andre administrative klageadgange eller adgang til retsmidler, fastsætter medlemsstaterne bestemmelser om, at enhver registreret skal have ret til at indgive klage til en enkelt tilsynsmyndighed, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder de bestemmelser, der vedtages i henhold til dette direktiv.«

14

Samme direktivs artikel 53 med overskriften »Adgang til effektive retsmidler over for en tilsynsmyndighed« bestemmer i stk. 1:

»Uden at det berører andre administrative eller udenretslige klageadgange, fastsætter medlemsstaterne bestemmelser om, at enhver fysisk eller juridisk person har ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.«

15

Artikel 54 i direktiv 2016/680 med overskriften »Adgang til et effektivt retsmiddel over for en dataansvarlig eller databehandler« har følgende ordlyd:

»Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten til at indgive klage til en tilsynsmyndighed i henhold til artikel 52, fastsætter medlemsstaterne bestemmelser om, at en registreret skal have adgang til effektive retsmidler, hvis vedkommende finder, at vedkommendes rettigheder fastsat i bestemmelser, der er vedtaget i henhold til dette direktiv, er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med dette direktiv.«

Belgisk ret

16

Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (lov om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger) af 30. juli 2018 (Moniteur belge af 5.9.2018, s. 68616, herefter »LPD«) gennemfører i afsnit 2 direktiv 2016/680. De rettigheder, der er fastsat i dette direktivs artikel 13-16, følger af det nævnte afsnits kapitel III, nærmere bestemt i nævnte lovs artikel 37-39.

17

LPD’s artikel 42 bestemmer:

»Anmodningen om at udøve de i dette kapitel omhandlede rettigheder i forhold til politiets tjenestegrene […] eller Inspection générale de la police fédérale et de la police locale [(forbundspolitiets og det lokale politis generalinspektorat)] sendes til den i artikel 71 omhandlede tilsynsmyndighed.

I de i artikel 37, stk. 2, artikel 38, stk. 2, [og] artikel 39, stk. 4 […], omhandlede tilfælde meddeler den i artikel 71 omhandlede tilsynsmyndighed blot den registrerede, at den nødvendige kontrol er foretaget.

Uanset stk. 2 kan den i artikel 71 omhandlede tilsynsmyndighed videregive visse kontekstuelle oplysninger til den registrerede.

Kongen fastsætter efter udtalelse fra den i artikel 71 omhandlede tilsynsmyndighed, hvilken kategori af kontekstuelle oplysninger denne myndighed kan videregive til den registrerede.«

18

Ifølge cour d’appel de Bruxelles (appeldomstolen i Bruxelles, Belgien), den forelæggende ret, er der ikke blevet udstedt nogen kongelig anordning med henblik på at gennemføre LPD’s artikel 42, stk. 4.

19

LPD’s artikel 71, stk. 1, har følgende ordlyd:

»Der oprettes under Chambre des représentants [(det belgiske Repræsentantkammer)] en uafhængig tilsynsmyndighed vedrørende oplysninger om retshåndhævelse benævnt Organe de contrôle de l’information policière [(tilsynsmyndighed for politioplysninger)].

[…]

Den er ansvarlig for:

1° at overvåge anvendelsen af nærværende afsnit […]

2° at føre tilsyn med behandling af oplysninger og personoplysninger, jf. artikel 44/1-44/11/13 i loi du 5 août 1992 sur la fonction de police [(lov af 5.8.1992 om politiet)], herunder dem, der er indeholdt i de databaser, som er omhandlet i samme lovs artikel 44/2

3° enhver anden opgave, der er givet ved eller i medfør af andre love.«

20

Kapitel I under afsnit 5 i LPD har overskriften »Forbud«. Artikel 209, som er indeholdt i dette kapitel, har følgende ordlyd:

»Uden at dette berører enhver anden form for retslig, administrativ eller udenretslig klageadgang, kan præsidenten for retten i første instans i spørgsmål om anvendelse af foreløbige forholdsregler fastslå, at en behandling, der udgør en overtrædelse af love eller administrative bestemmelser om beskyttelse af fysiske personer i forbindelse med behandling af deres personoplysninger, har fundet sted, og udstede et forbud mod en sådan behandling.

Præsidenten for retten i første instans pådømmer i spørgsmål om anvendelse af foreløbige forholdsregler enhver anmodning i tilknytning til den ret, som er indrømmet ved lov eller i henhold til loven til at få indsigt i personoplysninger, samt enhver anmodning om at berigtige, slette eller forebygge enhver unøjagtig brug af personoplysninger eller, henset til formålet med behandlingen, enhver ufuldstændig eller irrelevant brug af personoplysninger eller enhver oplysning, som det er forbudt at registrere, meddele eller opbevare, som den registrerede har modsat sig behandlingen af, eller som er blevet opbevaret ud over det tilladte tidsrum.«

21

LPD’s artikel 240, stk. 4, bestemmer:

»[OCIP]

[…]

4° behandler klager, undersøger genstanden for klagen, når det er nødvendigt, og underretter klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist, navnlig når yderligere undersøgelse eller samarbejde med en anden tilsynsmyndighed er nødvendig. […]«

Tvisten i hovedsagen og de præjudicielle spørgsmål

22

I 2016 ansøgte BA, som på det tidspunkt var deltidsansat i en almennyttig forening, om sikkerhedsgodkendelse hos Autorité nationale de sécurité (den nationale sikkerhedsmyndighed) for at kunne deltage i opsætningen og nedtagningen af anlæg i forbindelse med den tiende udgave af »de europæiske udviklingsdage« i Bruxelles (Belgien).

23

Ved skrivelse af 22. juni 2016 gav denne myndighed afslag på at udstede en sikkerhedsgodkendelse til BA med den begrundelse, at det fremgik af de personoplysninger, der var stillet til rådighed for den, at denne person havde deltaget i ti demonstrationer i perioden 2007-2016, og at disse forhold ikke gjorde det muligt for den at udstede en sådan godkendelse inden for rammerne af den gældende lovgivning, bl.a. af hensyn til statens sikkerhed og opretholdelse af den forfatningsmæssige demokratiske orden. Denne afgørelse var ikke genstand for klage.

24

Den 4. februar 2020 anmodede BA’s juridiske rådgiver OCIP om at identificere de dataansvarlige for behandlingen af de pågældende personoplysninger og pålægge dem at give sin klient adgang til alle de oplysninger, der vedrørte vedkommende, for at gøre det muligt for denne at udøve sine rettigheder inden for de relevante frister.

25

Ved e-mail af 6. februar 2020 bekræftede OCIP modtagelsen af denne anmodning. OCIP anførte, at BA kun havde ret til indirekte adgang til disse oplysninger, samtidig med at OCIP forsikrede, at dette organ selv ville kontrollere, om den eventuelle behandling af oplysninger hos Banque de données nationale générale (den almindelige nationale database), dvs. den database, der anvendes af samtlige nationale polititjenestegrene. OCIP anførte endvidere, at det havde beføjelse til, om nødvendigt, at pålægge politiet at slette eller ændre oplysninger, og at det, når kontrollen var afsluttet, ville underrette BA om, at den nødvendige kontrol var foretaget.

26

Ved e-mail af 22. juni 2020 meddelte OCIP BA’s juridiske rådgiver:

»[…]

Jeg skal informere om, at [OCIP] i henhold til [LPD’s] artikel 42 […] har foretaget den nødvendige kontrol.

Det betyder, at Deres klients personoplysninger i politidatabasen er blevet kontrolleret med henblik på at sikre lovligheden af en eventuel behandling.

Personoplysningerne er blevet ændret eller slettet efter behov.

Som allerede anført i min e-mail af 2. juni tillader LPD’s artikel 42 ikke [OCIP] at fremsende yderligere oplysninger.«

27

Den 2. september 2020 indgav Ligue des droits humains og BA på grundlag af LPD’s artikel 209, stk. 2, en begæring om foreløbige forholdsregler for tribunal de première instance francophone de Bruxelles (den fransksprogede ret i første instans i Bruxelles, Belgien).

28

I første række anmodede sagsøgerne i hovedsagen denne ret om at antage begæringen om foreløbige forholdsregler til realitetsbehandling og, subsidiært, at forelægge Domstolen spørgsmålet i det væsentlige om, hvorvidt artikel 47, stk. 4, i direktiv 2016/680, sammenholdt med 85. og 86. betragtning til dette direktiv og chartrets artikel 8, stk. 3, og artikel 47, er til hinder for LPD’s artikel 42 og 71, for så vidt som disse ikke fastsætter nogen retsmidler over for afgørelser truffet af OCIP.

29

I anden række og vedrørende realiteten nedlagde de påstand om indsigt i samtlige personoplysninger om BA gennem OCIP og sidstnævntes identifikation af de dataansvarlige og de eventuelle modtagere af disse oplysninger.

30

For det tilfælde, at den ret, for hvilken sagen var indbragt, måtte finde, at LPD’s artikel 42, stk. 2, tillader systematisk at begrænse adgangen til personoplysninger, der behandles af politiets tjenestegrene, nedlagde de subsidiært påstand om forelæggelse for Domstolen i det væsentlige vedrørende spørgsmålet om, hvorvidt artikel 14, 15 og 17 i direktiv 2016/680, sammenholdt med chartrets artikel 8, 47 og artikel 52, stk. 1, skulle fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, der tillader en generel og systematisk fravigelse af retten til adgang til personoplysninger, eftersom for det første denne rettighed udøves gennem tilsynsmyndigheden, og for det andet at denne myndighed kunne begrænse sig til at oplyse den registrerede om, at den har foretaget den nødvendige kontrol uden at informere om de personoplysninger, der behandles, samt modtagerne herfor, og uafhængigt af det formål, der forfølges.

31

Ved kendelse af 17. maj 2021 erklærede tribunal de première instance francophone de Bruxelles (den fransksprogede ret i første instans i Bruxelles), at den »savnede kompetence« til at påkende denne begæring om foreløbige retsmidler.

32

Ved processkrift af 15. juni 2021 har sagsøgerne i hovedsagen iværksat appel til prøvelse af denne kendelse for cour d’appel de Bruxelles (appeldomstolen i Bruxelles). De har i det væsentlige gentaget de påstande, som de havde nedlagt i første instans.

33

I denne sammenhæng har den forelæggende ret navnlig og i det væsentlige anført, at i det tilfælde, hvor en person ikke har ret til personligt at udøve de rettigheder, der er fastsat i direktiv 2016/680, kan et søgsmål med påstand om forbud, som er fastsat i LPD’s artikel 209 ff. ikke gennemføres. Indledningsvis kan et sådant søgsmål nemlig anlægges mod den dataansvarlige, men ikke mod tilsynsmyndigheden selv. Dernæst kan retten hertil heller ikke udøves af denne person, i det foreliggende tilfælde BA, mod den dataansvarlige, eftersom udøvelsen af vedkommendes rettigheder er betroet den nævnte myndighed. Endelig gør de meget kortfattede oplysninger, som OCIP har fremlagt for BA, det ikke muligt for sidstnævnte eller en retsinstans at vurdere, om denne tilsynsmyndighed har udøvet nævnte persons rettigheder korrekt. Den forelæggende ret har tilføjet, at selv om LPD fastsætter, at dette søgsmål med påstand om forbud ikke berører andre judicielle, administrative eller udenretslige klageadgange, vil et sådant andet retsmiddel anvendt af BA støde på samme vanskeligheder.

34

På denne baggrund har cour d’appel de Bruxelles (appeldomstolen i Bruxelles) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)

Kræver [chartrets] artikel 47 og artikel 8, stk. 3, […] at der indføres retsmidler over for en uafhængig tilsynsmyndighed som f.eks. [OCIP], når denne udøver den registreredes rettigheder over for den registeransvarlige?

2)

Er artikel 17 i direktiv 2016/680 i overensstemmelse med [chartrets] artikel 47 og artikel 8, stk. 3, […] således som Domstolen har fortolket disse bestemmelser, for så vidt som den nævnte artikel 17 ikke pålægger tilsynsmyndigheden – der udøver den registreredes rettigheder over for den registeransvarlige – at informere denne person om, at »den har foretaget den nødvendige kontrol eller undersøgelse«, og »om adgangen til retsmidler«, når denne information ikke muliggør nogen efterfølgende kontrol af tilsynsmyndighedens indsats og vurdering af den registreredes personoplysninger og de forpligtelser, der påhviler den registeransvarlige?«

Om de præjudicielle spørgsmål

Det første spørgsmål

35

Indledningsvis fremgår det af anmodningen om præjudiciel afgørelse, at den forelæggende rets spørgsmål vedrører spørgsmålet om, hvorvidt der på grundlag af artikel 53, stk. 1, i direktiv 2016/680, sammenholdt med chartrets artikel 47, består en forpligtelse for medlemsstaterne til at fastsætte en adgang til effektive retsmidler over for en national kompetent tilsynsmyndighed, når der er indført en bestemmelse i national ret, der gennemfører dette direktivs artikel 17, hvorefter den registreredes rettigheder i de tilfælde, der er omhandlet i direktivets artikel 13, stk. 3, artikel 15, stk. 3, og artikel 16, stk. 4, kan udøves gennem en sådan tilsynsmyndighed.

36

Det bemærkes endvidere, at besvarelsen af dette spørgsmål afhænger af arten og omfanget af tilsynsmyndighedens opgave og beføjelser i forbindelse med udøvelsen af den registreredes rettigheder, som er fastsat i artikel 17 i direktiv 2016/680. Disse rettigheder er præciseret i direktivets artikel 46, stk. 1, litra g), og artikel 47, stk. 1 og 2, og skal analyseres i lyset af chartrets artikel 8, stk. 3, som kræver, at overholdelsen af reglerne vedrørende beskyttelse af personoplysninger, som er fastsat i stk. 1 og 2 i denne artikel 8, er underlagt en uafhængig myndigheds kontrol.

37

Det må derfor forstås således, at den forelæggende ret med det første spørgsmål nærmere bestemt ønsker oplyst, om artikel 17 i direktiv 2016/680, sammenholdt med dette direktivs artikel 46, stk. 1, litra g), artikel 47, stk. 1 og 2, og artikel 53, stk. 1, samt med chartrets artikel 8, stk. 3, og artikel 47, skal fortolkes således, at når en persons rettigheder i henhold til nævnte artikel 17 er blevet udøvet gennem en kompetent tilsynsmyndighed, skal denne person have adgang til effektive retsmidler over for nævnte myndighed.

38

Indledningsvis bemærkes, at i medfør af artikel 53, stk. 1, i direktiv 2016/680 skal medlemsstaterne fastsætte bestemmelser om, at enhver fysisk eller juridisk person har ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.

39

Det skal således afgøres, om en sådan tilsynsmyndighed vedtager en sådan afgørelse, når de registreredes rettigheder, der er fastsat i dette direktiv, i henhold til direktivets artikel 17 udøves gennem denne tilsynsmyndighed.

40

Det bemærkes i denne henseende, at i henhold til artikel 17, stk. 1, i direktiv 2016/680 har medlemsstaterne pligt til »i de tilfælde, der er omhandlet i artikel 13, stk. 3, artikel 15, stk. 3, og artikel 16, stk. 4«, i dette direktiv, at vedtage foranstaltninger, »der fastsætter, at den registreredes rettigheder også kan udøves gennem den kompetente tilsynsmyndighed«.

41

Som brugen af adverbiet »også« viser, og således som generaladvokaten i det væsentlige har anført i punkt 41 og 42 i forslaget til afgørelse, udgør den indirekte udøvelse af den registreredes rettigheder gennem den kompetente tilsynsmyndighed, som fastsat i denne bestemmelse, en yderligere garanti, der tilbydes den registrerede, for at vedkommendes personoplysninger behandles lovligt, når nationale retsforskrifter begrænser den direkte udøvelse hos den dataansvarlige af retten til at modtage yderligere oplysninger som omhandlet i artikel 13, stk. 2, i direktiv 2016/680, af retten til adgang til disse oplysninger, som er fastsat i direktivets artikel 14, eller af retten til at få en berigtigelse af dem eller begrænsning af behandling på de betingelser, der er fastsat i dette direktivs artikel 16, stk. 1-3.

42

Henset til den særlige karakter af de formål, hvortil behandlingen af oplysninger, der er omfattet af samme direktiv, foretages, og hvilke er fremhævet i navnlig tiende betragtning hertil, tillader artikel 13, stk. 3, og artikel 15, stk. 1, i direktiv 2016/680 således den nationale lovgiver at begrænse den direkte udøvelse af dels retten til oplysninger, dels indsigtsretten, »i det omfang og så længe« en foranstaltning af denne karakter »udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser« for at »undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer«, »undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner«, »beskytte den offentlige sikkerhed«, »beskytte statens sikkerhed« eller »beskytte andres rettigheder og frihedsrettigheder«. Endvidere fastsætter dette direktivs artikel 15, stk. 3, at den dataansvarlige kan undlade at give den registrerede meddelelse om ethvert afslag på indsigt i personoplysninger eller begrænsning af indsigten og om begrundelsen for afslaget eller begrænsningen, hvis meddelelse af disse oplysninger ville være til skade for et af de ovennævnte formål af almen interesse.

43

Tilsvarende tillader direktivets artikel 16, stk. 4, den nationale lovgiver at begrænse den dataansvarliges forpligtelse til »at give den registrerede skriftlig meddelelse om ethvert afslag på berigtigelse eller sletning af personoplysninger eller begrænsning af behandling og om begrundelsen for afslaget« på grundlag af samme formål af almen interesse, »i det omfang en sådan begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser«.

44

I denne sammenhæng, og således som det fremgår af 48. betragtning til samme direktiv, skal den indirekte udøvelse af de rettigheder, der er omhandlet i nærværende doms præmis 41, gennem den kompetente tilsynsmyndighed derfor anses for at være nødvendig for beskyttelsen af disse rettigheder, idet den direkte udøvelse af dem hos den dataansvarlige viser sig at være vanskelig eller endda umulig.

45

Med henblik herpå kræver artikel 46, stk. 1, litra g), i direktiv 2016/680, at den enkelte nationale kompetente myndighed er tillagt den opgave at kontrollere, om en behandling er lovlig, i medfør af dette direktivs artikel 17, dvs. efter en anmodning, der har grundlag i denne sidstnævnte bestemmelse.

46

Det fremgår i øvrigt af bl.a. direktivets artikel 47, stk. 1 og 2, at den enkelte tilsynsmyndighed i medfør af national lovgivning ikke alene skal have »effektive undersøgelsesbeføjelser«, men også »effektive korrigerende beføjelser«.

47

Disse bestemmelser skal læses i lyset af det krav, der er fastsat i chartrets artikel 8, stk. 3, hvorefter overholdelsen af reglerne om enhver persons ret til beskyttelse af personoplysninger, som er fastsat i denne artikels stk. 1 og 2, skal være »underlagt en uafhængig myndigheds kontrol«, og navnlig det, der er fastsat i andet punktum i det nævnte stk. 2, hvorefter »enhver har ret til adgang til indsamlede oplysninger, der vedrører den pågældende, og til berigtigelse heraf«. Således, og hvilket er bekræftet ved fast retspraksis, har oprettelsen af en uafhængig tilsynsmyndighed til formål at sikre et effektivt og pålideligt tilsyn med overholdelsen af reglerne om beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger og skal fortolkes i lyset af dette formål (jf. i denne retning udtalelse 1/15 (PNR-aftalen mellem EU og Canada), af 26.7.2017, EU:C:2017:592, præmis 229 og den deri nævnte retspraksis).

48

Når en sådan tilsynsmyndighed således handler med henblik på at sikre udøvelsen af den registreredes rettigheder på grundlag af artikel 17 i direktiv 2016/680, er dens opgave fuldt ud i overensstemmelse med den primære EU-rets definition af dens rolle, idet denne definition navnlig indebærer tilsyn med overholdelsen af den registreredes indsigtsret og ret til berigtigelse. Det følger heraf, at tilsynsmyndigheden ved udførelsen af denne specifikke opgave som i forbindelse med enhver anden opgave skal være i stand til at udøve de beføjelser, den er tillagt i medfør af direktivets artikel 47, i fuld uafhængighed i overensstemmelse med chartret, og således som det fremgår af 75. betragtning til dette direktiv.

49

Efter at det er kontrolleret, om en behandling er lovlig, skal den kompetente tilsynsmyndighed endvidere i henhold til samme direktivs artikel 17, stk. 3, første punktum, »som minimum« underrette den registrerede om, »at tilsynsmyndigheden har foretaget den nødvendige kontrol eller undersøgelse«.

50

Som generaladvokaten i det væsentlige har anført i punkt 65 i forslaget til afgørelse, må det af samtlige disse bestemmelser udledes, at når den kompetente tilsynsmyndighed underretter den registrerede om resultatet af den foretagne kontrol, gør den vedkommende bekendt med den afgørelse, som den har truffet over for denne, om afslutning af kontrolprocessen, hvilken afgørelse nødvendigvis påvirker den registreredes retsstilling. Denne afgørelse udgør således i forhold til denne »en juridisk bindende afgørelse« som omhandlet i artikel 53, stk. 1, i direktiv 2016/680, uafhængigt af spørgsmålet om, hvorvidt og i hvilket omfang denne myndighed har fastslået, at behandlingen af oplysninger vedrørende den nævnte person er lovlig, og har vedtaget korrigerende foranstaltninger.

51

Endvidere fremgår det af 86. betragtning til dette direktiv, at begrebet »en juridisk bindende afgørelse« i dette direktivs forstand skal forstås som en afgørelse, som har retsvirkning i forhold til den registrerede, navnlig en afgørelse, der vedrører tilsynsmyndighedens udøvelse af undersøgelsesbeføjelser, korrigerende beføjelser og godkendelsesbeføjelser eller vedrørende afslag eller afvisning af klager.

52

Den registrerede skal således kunne opnå en domstolskontrol af en sådan afgørelse på grundlag af artikel 53, stk. 1, i direktiv 2016/680 og navnlig af den måde, hvorpå tilsynsmyndigheden har opfyldt sin forpligtelse, som følger af direktivets artikel 17, og som dette direktivs artikel 46, stk. 1, litra g), henviser til, til at »foretage[…] den nødvendige kontrol«, og i givet fald udøvelsen af dens korrigerende beføjelser.

53

Denne konklusion understøttes i øvrigt af 85. betragtning til direktiv 2016/680, hvoraf det fremgår, at enhver registreret bør have adgang til effektive retsmidler over for en tilsynsmyndighed, hvis denne myndighed »ikke handler, hvis handling er nødvendig for at beskytte den registreredes rettigheder«.

54

Endelig er en sådan fortolkning i overensstemmelse med chartrets artikel 47, idet, og således som det fremgår af fast retspraksis, denne rettighed tilkommer enhver, der gør de rettigheder eller friheder, som er sikret ved EU-retten, gældende i forbindelse med prøvelsen af en bebyrdende afgørelse, som kan gøre indgreb i disse rettigheder eller friheder (jf. i denne retning dom af 26.1.2023, Ministerstvo na vatreshnite raboti (Politiets registrering af biometriske og genetiske data), C-205/21, EU:C:2023:49, præmis 87 og den deri nævnte retspraksis).

55

Henset til samtlige ovenstående betragtninger skal det første spørgsmål besvares med, at artikel 17 i direktiv 2016/680, sammenholdt med dette direktivs artikel 46, stk. 1, litra g), artikel 47, stk. 1 og 2, og artikel 53, stk. 1, samt med chartrets artikel 8, stk. 3, og artikel 47, skal fortolkes således, at når en persons rettigheder i henhold til nævnte artikel 17 er blevet udøvet gennem en kompetent tilsynsmyndighed, og når denne myndighed har underrettet den registrerede om resultatet af den foretagne kontrol, skal denne person have adgang til effektive retsmidler over for denne myndigheds afgørelse om afslutning af kontrolproceduren.

Det andet spørgsmål

56

Med det andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 17, stk. 3, i direktiv 2016/680 er gyldig i forhold til chartrets artikel 8, stk. 3, og artikel 47, for så vidt som denne bestemmelse alene forpligter tilsynsmyndigheden til at underrette den registrerede dels om, at den har foretaget den nødvendige kontrol eller undersøgelse, dels om, at denne registrerede har adgang til retsmidler, idet sådanne oplysninger ikke giver mulighed for en domstolskontrol af tilsynsmyndighedens handling og vurderinger, henset til de behandlede oplysninger og til den dataansvarliges forpligtelser.

57

I denne henseende skal det for det første bemærkes, at ifølge et almindeligt fortolkningsprincip skal en EU-retsakt i videst muligt omfang fortolkes således, at dens gyldighed ikke drages i tvivl, og i overensstemmelse med hele den primære ret og navnlig med chartrets bestemmelser. Når en bestemmelse i den afledte EU-ret kan fortolkes på flere måder, bør den fortolkning, der bringer bestemmelsen i overensstemmelse med den primære ret, således lægges til grund frem for den, som medfører, at bestemmelsen må anses for uforenelig med denne (dom af 21.6.2022, Ligue des droits humains, C-817/19, EU:C:2022:491, præmis 86 og den deri nævnte retspraksis).

58

For det andet kræver retten til adgang til effektive retsmidler, som er sikret ved chartrets artikel 47, principielt, at den pågældende skal kunne få kendskab til begrundelsen for den afgørelse, som er truffet i forhold til den pågældende, såvel for at sætte vedkommende i stand til at forsvare sine rettigheder under de bedst mulige betingelser og at afgøre, om sagen bør prøves af de kompetente retsinstanser, på grundlag af et fuldt kendskab til sagen, som for at sætte sidstnævnte fuldt ud i stand til at udøve en legalitetsprøvelse af denne afgørelse (jf. i denne retning dom af 4.6.2013, ZZ, C-300/11, EU:C:2013:363, præmis 53 og den deri nævnte retspraksis).

59

Selv om denne ret ikke udgør en absolut rettighed, og selv om der i overensstemmelse med chartrets artikel 52, stk. 1, kan indføres begrænsninger heri, er det på betingelse af, at disse begrænsninger er fastlagt i lovgivningen, at de respekterer de omhandlede rettigheders og friheders væsentligste indhold, og at de under iagttagelse af proportionalitetsprincippet er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af EU, eller et behov for beskyttelse af andres rettigheder og friheder (dom af 26.1.2023, Ministerstvo na vatreshnite raboti (Politiets registrering af biometriske og genetiske data), C-205/21, EU:C:2023:49, præmis 89 og den deri nævnte retspraksis).

60

I den foreliggende sag bemærkes, at for så vidt angår den kompetente tilsynsmyndigheds afgørelse angivet i nærværende doms præmis 50 indfører artikel 17, stk. 3, i direktiv 2016/680 i forhold til denne tilsynsmyndighed en minimumsunderretningsforpligtelse, idet det fastsættes, at den »som minimum« underretter den registrerede om, »at tilsynsmyndigheden har foretaget den nødvendige kontrol eller undersøgelse«, og om »dennes adgang til retsmidler«.

61

Det følger heraf, at for så vidt som denne bestemmelse ikke er til hinder for, at tilsynsmyndigheden – i visse tilfælde og i henhold til de regler, som vedtages af den nationale lovgiver til gennemførelse heraf – kan have mulighed for eller eventuelt er underlagt en forpligtelse til at begrænse sig til de minimumsoplysninger, der er omhandlet i den foregående præmis, uden yderligere præcisering, navnlig når disse regler tager sigte på at undgå at være til skade for de formål af almen interesse, der er fastsat i direktivets artikel 13, stk. 3, artikel 15, stk. 1, og artikel 16, stk. 4, således som redegjort for i nærværende doms præmis 42 og 43, kan den nævnte bestemmelse indebære en begrænsning af retten til effektive retsmidler, som er sikret ved chartrets artikel 47.

62

Når dette er sagt, må det for det første fastslås, at en sådan begrænsning udtrykkeligt er fastsat i direktiv 2016/680, og at den derved overholder den betingelse, der er fastsat i artikel 52, stk. 1, ifølge hvilken enhver begrænsning i udøvelsen af en grundlæggende rettighed skal være »fastlagt i lovgivningen«.

63

Den omstændighed, at artikel 17, stk. 3, i direktiv 2016/680 for det andet tillader medlemsstaterne i visse tilfælde at begrænse begrundelsen for denne afgørelse til de minimumselementer, der er fastsat i denne bestemmelse, betyder ikke, således som generaladvokaten i det væsentlige har anført i punkt 89 i forslaget til afgørelse, at det under alle omstændigheder er muligt at begrænse oplysninger til den registrerede til alene disse elementer.

64

Denne bestemmelse skal således fortolkes i lyset af chartrets artikel 52, stk. 1, således at de øvrige kriterier, der er opstillet i sidstnævnte, skal være opfyldt. Dette indebærer, at den må anses for at stille krav om, at medlemsstaterne sikrer, at de nationale retsforskrifter, som gennemfører bestemmelsen, dels overholder det væsentligste indhold af retten til en effektiv domstolsbeskyttelse, dels hviler på en afvejning af formål af almene hensyn, der begrunder en begrænsning af disse oplysninger og af denne persons grundlæggende rettigheder og legitime interesser, under overholdelse af nødvendighedsprincippet og proportionalitetsprincippet, i lighed med den afvejning, som den nationale lovgiver skal foretage, når den gennemfører de begrænsninger, der er fastsat i direktivets artikel 13, stk. 3, artikel 15, stk. 3, og artikel 16, stk. 4.

65

Navnlig når dels beskyttelsen af den registreredes ret til adgang til effektive retsmidler over for en afgørelse om afslutning af kontrolprocessen kræver det, dels de formål af almen interesse, der er omhandlet i artikel 13, stk. 3, artikel 15, st. 3, og artikel 16, stk. 4, i direktiv 2016/680, ikke er til hinder herfor, påhviler det medlemsstaterne at fastsætte bestemmelser om, at oplysninger til den registrerede kan gå ud over de minimumsoplysninger, der er fastsat i dette direktivs artikel 17, stk. 3, således at vedkommende har mulighed for at forsvare sine rettigheder og at afgøre, om sagen – på grundlag af et fuldt kendskab til den – skal prøves af den retsinstans, der har kompetence hertil.

66

Tilsvarende skal de nationale foranstaltninger, der gennemfører denne sidstnævnte bestemmelse, så vidt muligt til den kompetente tilsynsmyndighed og i overensstemmelse med den uafhængighed, som kendetegner den i medfør af chartrets artikel 8, stk. 3, overlade en vis skønsmargen ved afgørelsen af, om den ramme, der er givet ved den nationale lovgivning i henhold til de krav, der er angivet i nærværende doms præmis 65, er til hinder for, at den til denne person, i det mindste kortfattet, meddeler resultatet af dens kontrol og i givet fald de korrigerende beføjelser, som den har udøvet. I denne henseende, og således som generaladvokaten i det væsentlige har anført i punkt 73 og 74 i forslaget til afgørelse, tilkommer det denne myndighed, under overholdelse af denne nationale lovgivningsmæssige ramme, at indlede en fortrolig dialog med den dataansvarlige og efter denne dialog at beslutte, hvilke oplysninger der er nødvendige for den registreredes udøvelse af sin ret til adgang til effektive retsmidler, som myndigheden kan meddele vedkommende uden at underminere de formål af almen interesse, der er omhandlet i nærværende doms præmis 65.

67

I de tilfælde, hvor nævnte ramme kræver, at de oplysninger, der gives af tilsynsmyndigheden, begrænses til det, der er fastsat i artikel 17, stk. 3, i direktiv 2016/680, tilkommer det endvidere ikke desto mindre medlemsstaterne inden for rammerne af deres procesautonomi at gennemføre de nødvendige foranstaltninger for i overensstemmelse med dette direktivs artikel 53, stk. 1, at sikre en effektiv domstolskontrol både af, hvorvidt der foreligger grunde, og om de kan anses for godtgjorte, der begrunder begrænsningen af disse oplysninger, og af tilsynsmyndighedens korrekte udførelse af dens opgave til at kontrollere, om behandlingen er lovlig. I denne henseende skal begrebet »adgang til effektive retsmidler« i denne bestemmelses forstand læses i lyset af 86. betragtning til dette direktiv, hvorefter de domstole, for hvilke der indledes sag mod en tilsynsmyndighed, »bør have fuld jurisdiktion, herunder jurisdiktion til at undersøge alle de faktiske og retlige omstændigheder, der er relevante for den tvist, som de får forelagt«.

68

Navnlig skal medlemsstaterne sikre, at den ret, der har kompetence, har til rådighed og anvender procesretlige fremgangsmåder og bestemmelser, der gør det muligt at forene på den ene side de berettigede hensyn til de formål af almen interesse, der er omhandlet i artikel 13, stk. 3, artikel 15, stk. 3, og artikel 16, stk. 4, i direktiv 2016/680, idet disse formål skal tages i betragtning i den nationale lovgivning for at begrænse de oplysninger, der gives til den registrerede, og på den anden side hensynet til, at den retsundergivne i tilstrækkeligt omfang sikres respekten for sine processuelle rettigheder, såsom retten til at blive hørt og kontradiktionsprincippet (jf. i denne retning dom af 4.6.2013, ZZ, C-300/11, EU:C:2013:363, præmis 57 og den deri nævnte retspraksis).

69

Inden for rammerne af denne domstolsprøvelse af tilsynsmyndighedens korrekte anvendelse af dette direktivs artikel 17, påhviler det medlemsstaterne at fastsætte bestemmelser, der gør det muligt for den ret, som har kompetence, at få kendskab til såvel den fulde begrundelse som de dertil hørende beviser, som denne myndighed i denne sammenhæng har baseret sig på for at kontrollere, om behandlingen af de pågældende oplysninger er lovlig, og de konklusioner, den har udledt heraf (jf. i denne retning dom af 4.6.2013, ZZ, C-300/11, EU:C:2013:363, præmis 59 og den deri nævnte retspraksis).

70

I denne henseende, og således som Europa-Parlamentet har anført i sit skriftlige indlæg, fastsætter artikel 15, stk. 4, i direktiv 2016/680, at den dataansvarlige skal dokumentere den faktiske eller retlige begrundelse, som den afgørelse, med hvilken denne delvist eller i sin helhed begrænser den registreredes indsigtsret, hviler på, og at disse oplysninger stilles til rådighed for tilsynsmyndigheden. Som denne institution har anført, indebærer denne bestemmelse, sammenholdt med dette direktivs artikel 17 og 53 og med chartrets artikel 47, således som fortolket i den retspraksis, der er nævnt i nærværende doms præmis 68 og 69, at disse oplysninger ligeledes skal stilles til rådighed for den retsinstans, for hvilken der er indbragt en sag mod tilsynsmyndigheden angående prøvelsen af den korrekte anvendelse af nævnte artikel 17.

71

Som det fremgår af nærværende doms præmis 63-70, er den begrænsning, der er fastsat i artikel 17 i direktiv 2016/680, således i overensstemmelse med den registreredes ret til adgang til effektive retsmidler over for en afgørelse fra tilsynsmyndigheden om afslutning af den procedure, der er fastsat i denne bestemmelse, og med nødvendighedsprincippet og proportionalitetsprincippet i overensstemmelse med chartrets artikel 52, stk. 1.

72

Henset til samtlige ovenstående betragtninger skal det konkluderes, at behandlingen af det andet spørgsmål intet har frembragt, der kan påvirke gyldigheden af artikel 17, stk. 3, i direktiv 2016/680.

Sagsomkostninger

73

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

 

På grundlag af disse præmisser kender Domstolen (Femte Afdeling) for ret:

 

1)

Artikel 17 i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA, sammenholdt med dette direktivs artikel 46, stk. 1, litra g), artikel 47, stk. 1 og 2, og artikel 53, stk. 1, samt med artikel 8, stk. 3, og artikel 47 i Den Europæiske Unions charter om grundlæggende rettigheder,

skal fortolkes således, at

når en persons rettigheder i henhold til nævnte artikel 17 er blevet udøvet gennem en kompetent tilsynsmyndighed, og når denne myndighed har underrettet den registrerede om resultatet af den foretagne kontrol, skal denne person have adgang til effektive retsmidler over for denne myndigheds afgørelse om afslutning af kontrolproceduren.

 

2)

Behandlingen af det andet spørgsmål har intet frembragt, der kan påvirke gyldigheden af artikel 17, stk. 3, i direktiv 2016/680.

 

Underskrifter


( *1 ) – Processprog: fransk.