CONCLUSIE VAN ADVOCAAT-GENERAAL
A. TIZZANO
van 19 september 2002 (1)



Zaak C-101/01



Bodil Lindqvist
tegen
Åklagarkammaren te Jönköping


[verzoek van het Göta hovrätt (Zweden) om een prejudiciële beslissing]

„Richtlijn 95/46/EG – Werkingssfeer”






1. Bij beschikking van 23 februari 2001 heeft het Göta hovrätt (Zweden) het Hof zeven prejudiciële vragen gesteld over de uitlegging van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (2) (hierna: richtlijn 95/46 of richtlijn). Deze vragen betreffen in het bijzonder de werkingssfeer van de richtlijn, het doorgeven van persoonsgegevens aan derde landen, de verenigbaarheid van de richtlijn met de algemene beginselen inzake vrijheid van meningsuiting en de mogelijkheid om op nationaal vlak een restrictievere regeling dan de gemeenschapsregeling in te voeren.

Rechtskader

Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden

2. Voor het hier relevante rechtskader wijs ik in de eerste plaats op de artikelen 8 en 10 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.

3. Het eerste artikel luidt: 1. Eenieder heeft recht op eerbiediging van zijn privé leven, zijn gezinsleven, zijn huis en zijn briefwisseling.2. Geen inmenging van enig openbaar gezag is toegestaan met betrekking tot de uitoefening van dit recht dan voorzover bij de wet is voorzien en in een democratische samenleving nodig is in het belang van 's lands veiligheid, de openbare veiligheid, of het economisch welzijn van het land, de bescherming van de openbare orde en het voorkomen van strafbare feiten, de bescherming van de gezondheid of de goede zeden, of voor de bescherming van de rechten en vrijheden van anderen.

4. Het tweede artikel luidt: 1. Eenieder heeft recht op vrijheid van meningsuiting. Dit recht omvat de vrijheid een mening te koesteren en de vrijheid om inlichtingen of denkbeelden te ontvangen of door te geven, zonder inmenging van overheidswege en ongeacht grenzen. Dit artikel belet niet dat staten radio-omroep-, bioscoop- of televisie-ondernemingen kunnen onderwerpen aan een systeem van vergunningen.2. Daar de uitoefening van deze vrijheden plichten en verantwoordelijkheden met zich brengt, kan zij worden onderworpen aan bepaalde formaliteiten, voorwaarden, beperkingen of sancties, welke bij de wet worden voorzien en die in een democratische samenleving nodig zijn in het belang van 's lands veiligheid, de bescherming van de openbare orde en het voorkomen van strafbare feiten, de bescherming van de gezondheid of de goede zeden, de bescherming van de goede naam of de rechten van anderen om de verspreiding van vertrouwelijke mededelingen te voorkomen of om het gezag en de onpartijdigheid van de rechterlijke macht te waarborgen.

Richtlijn 95/46

5. In het gemeenschapsrecht is richtlijn 95/46 van belang. Deze richtlijn is vastgesteld op basis van artikel 100 A EG-Verdrag (thans, na wijziging, artikel 95 EG) om het vrije verkeer van persoonsgegevens te bevorderen dankzij de harmonisatie van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake de bescherming van natuurlijke personen in verband met de verwerking van deze gegevens.

6. De richtlijn gaat ervan uit dat verschillen in de mate waarin de bescherming van de rechten en vrijheden van personen, inzonderheid van de persoonlijke levenssfeer, op het stuk van de verwerking van persoonsgegevens in de lidstaten is gewaarborgd, het doorzenden van die gegevens van het grondgebied van de ene lidstaat naar dat van een andere kunnen beletten, en dat deze verschillen bijgevolg een belemmering kunnen vormen voor de uitoefening van een reeks economische activiteiten op communautaire schaal, de mededinging kunnen vervalsen en de overheid kunnen beletten haar taak ten aanzien van de toepassing van het gemeenschapsrecht te vervullen (overweging 7 van de considerans). De gemeenschapswetgever was dan ook van mening dat teneinde de belemmeringen voor het verkeer van persoonsgegevens op te heffen, het niveau van de bescherming van de rechten en vrijheden van personen op het stuk van de verwerking van deze gegevens in alle lidstaten gelijkwaardig [moest] zijn. Daartoe achtte hij een communautaire harmonisatiemaatregel noodzakelijk, daar de doelstelling van het vrije verkeer van persoonsgegevens voor de interne markt van fundamenteel belang [was, en] niet [kon] worden bereikt door een optreden van de lidstaten alleen, gezien met name de omvang van de bestaande divergenties tussen de geldende nationale wettelijke regelingen ter zake en de noodzaak om de wetgevingen van de lidstaten op elkaar af te stemmen teneinde voor de grensoverschrijdende stromen van persoonsgegevens tot een samenhangende reglementering te komen die in overeenstemming is met de doelstelling van de interne markt in de zin van artikel 7 A van het Verdrag (overweging 8 van de considerans). Na de vaststelling van een harmonisatiemaatregel mochten de lidstaten evenwel wegens de gelijkwaardige bescherming die voortvloeit uit de onderlinge aanpassing van de nationale wetgevingen, het vrije verkeer van persoonsgegevens tussen de lidstaten niet langer [...] belemmeren om redenen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen, met name het recht op persoonlijke levenssfeer (overweging 9 van de considerans).

7. In dit verband moest volgens de gemeenschapswetgever om een in alle lidstaten gelijkwaardig beschermingsniveau te bepalen, rekening worden gehouden met de noodzaak de fundamentele rechten van personen te beschermen (overweging 3 van de considerans). Zo overwoog hij in het bijzonder dat met de nationale wetgevingen betreffende de verwerking van persoonsgegevens de eerbiediging moet worden gewaarborgd van de fundamentele rechten en vrijheden, en met name van het recht op bescherming van de persoonlijke levenssfeer, dat tevens in artikel 8 van het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en in de algemene beginselen van het Gemeenschapsrecht is erkend. Zijns inziens mag de onderlinge aanpassing van deze wetgevingen niet tot een verzwakking van de aldus geboden bescherming [...] leiden, maar [moet zij] juist erop gericht [...] zijn een hoog beschermingsniveau in de Gemeenschap te waarborgen (overweging 10 van de considerans).

8. Tegen de achtergrond van deze premissen en motieven moet dus artikel 1 van de richtlijn worden gelezen. Dit artikel definieert het onderwerp van de richtlijn als volgt: 1. De lidstaten waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze richtlijn, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer.2. De lidstaten mogen het vrije verkeer van persoonsgegevens tussen lidstaten beperken noch verbieden om redenen die met de uit hoofde van lid 1 gewaarborgde bescherming verband houden.

9. Voor de in artikel 2 van de richtlijn gegeven hoofddefinities herinner ik, voorzover hier van belang, aan de volgende:

a) onder persoonsgegevens wordt verstaan, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna betrokkene te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit;

b) onder verwerking van persoonsgegevens wordt verstaan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

c) onder bestand van persoonsgegevens wordt verstaan elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze;

d) onder voor de verwerking verantwoordelijke wordt verstaan de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

10. Artikel 3 van de richtlijn stelt de werkingssfeer van de richtlijn vast. Volgens artikel 3, lid 1, zijn de bepalingen van de richtlijn van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Volgens artikel 3, lid 2, zijn deze bepalingen niet van toepassing op de verwerking van persoonsgegevens:

die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat (waaronder de economie van de staat, wanneer deze verwerkingen in verband staan met vraagstukken van staatsveiligheid), en de activiteiten van de staat op strafrechtelijk gebied,

of
die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht (3) .

11. Voor deze zaak zijn ook een aantal bepalingen van hoofdstuk II van de richtlijn ( Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens) van belang: om te beginnen artikel 7, dat de gevallen bepaalt waarin de verwerking van persoonsgegevens [...] mag geschieden. Buiten andere hier niet relevante gevallen, mag volgens artikel 7, sub a, een dergelijke verwerking geschieden indien de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend.

12. Artikel 8 voorziet in een bijzondere regeling voor bepaalde categorieën gevoelige gegevens. In het bijzonder bepaalt lid 1, dat de lidstaten [...] de verwerking van persoonlijke gegevens [verbieden] waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen. Volgens lid 2 is, buiten een aantal andere hier niet ter zake doende gevallen, lid 1 niet van toepassing wanneer de betrokkene uitdrukkelijk heeft toegestemd in een dergelijke verwerking, tenzij in de wetgeving van de lidstaat is bepaald dat het in lid 1 bedoelde verbod niet door toestemming van de betrokkene ongedaan kan worden gemaakt.

13. Om de vereisten van de bescherming in verband met de verwerking van persoonsgegevens en de vrijheid van meningsuiting te verzoenen, bepaalt artikel 9 vervolgens: De lidstaten voorzien voor de verwerking van persoonsgegevens voor uitsluitend journalistieke of voor artistieke of literaire doeleinden in uitzonderingen op en afwijkingen van de bepalingen van dit hoofdstuk en van de hoofdstukken IV en VI uitsluitend voorzover deze nodig blijken om het recht op persoonlijke levenssfeer te verzoenen met de regels betreffende de vrijheid van meningsuiting.

14. Nog steeds met betrekking tot de algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens moet voor de onderhavige zaak ook worden opgemerkt dat volgens artikel 18 de verantwoordelijke bij de door de lidstaten in het leven geroepen toezichthoudende autoriteiten aanmelding dient te doen voordat tot verwerkingen van persoonsgegevens wordt overgegaan, behoudens uitzonderingen.

15. Ten slotte wijs ik op artikel 25 van de richtlijn, volgens hetwelk persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na doorgifte te worden verwerkt, slechts naar een derde land mogen worden doorgegeven indien [...] dat land een passend beschermingsniveau waarborgt (lid 1). Het passend karakter van het beschermingsniveau wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken derde land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd (lid 2).

De Zweedse wetgeving

16. Richtlijn 95/46 is in Zweden omgezet bij de Personuppgiftslag (wet inzake persoonsgegevens) (4) . In het kader van de onderhavige zaak is in het bijzonder van belang dat in § 49, lid 1, sub b tot en met d, van deze wet strafbaar worden gesteld: het verzuim een geautomatiseerde gegevensverwerking aan de bevoegde toezichthoudende autoriteit (de Datainspektion) mee te delen; de verwerking van gevoelige gegevens, zoals gegevens betreffende de gezondheid, en de niet-geoorloofde doorgifte aan derde landen van persoonsgegevens die worden verwerkt. Verder was het blijkens de totstandkomingsgeschiedenis van de Personuppgiftslag niet de bedoeling dat deze een andere werkingssfeer zou hebben dan de richtlijn.

Feiten en procesverloop

17. In het najaar 1998 heeft Lindqvist naast haar gewone baan als vrijwilliger catechisatie gegeven in de kerkgemeente Alseda in Zweden. In het kader van deze activiteit heeft zij, om de gemeenteleden gemakkelijk toegang tot de door hen benodigde informatie te geven, een internetpagina gecreëerd met gegevens over haarzelf, haar echtgenoot en zestien geïdentificeerde collega's van de kerkgemeente die naar gelang van het geval alleen bij voornaam of ook bij volledige naam werden genoemd. Meer bepaald beschreef zij in enigszins humoristische bewoordingen de werkzaamheden van haar collega's en hun liefhebberijen; in een aantal gevallen vermeldde zij ook hun gezinssituatie, telefoonnummer en andere persoonsgegevens. Onder andere werd vermeld ─ hetgeen hier in het bijzonder van belang is ─ dat een collega haar voet had bezeerd en met gedeeltelijk ziekteverlof was. Deze internetpagina was bereikbaar via de website van de Kerk van Zweden waarop op verzoek van Lindqvist een link was geplaatst.

18. Lindqvist had haar collega's niet op de hoogte gesteld van het bestaan van de internetpagina en zij hadden dus niet hun toestemming gegeven voor de verwerking van hun gegevens. De creatie van de internetpagina noch de verwerking van de persoonsgegevens was bij de Datainspektion gemeld. De internetpagina kende evenwel slechts een kort bestaan. Toen Lindqvist vernam dat een aantal van haar collega's de internetpagina niet op prijs stelden, heeft zij ze verwijderd.

19. Wegens de creatie van de internetpagina en ondanks de snelle verwijdering ervan is tegen Lindqvist in Zweden strafrechtelijk vervolging ingesteld op basis van § 49, lid 1, sub b tot en met d, van de Personuppgiftslag. In het kader van deze vervolging is haar in het bijzonder ten laste gelegd, persoonsgegevens geautomatiseerd te hebben verwerkt zonder dit vooraf schriftelijk aan de Datainspektion te melden, gevoelige persoonsgegevens, namelijk een voetblessure van haar collega en het daaropvolgende gedeeltelijk ziekteverlof te hebben verwerkt, en verwerkte persoonsgegevens zonder toestemming naar derde landen te hebben doorgegeven.

20. Lindqvist heeft de door het openbaar ministerie aangevoerde feiten erkend, maar ontkent dat deze feiten strafbaar zijn. De geadieerde rechter heeft haar argumenten evenwel verworpen en haar tot een geldboete veroordeeld bij een vonnis waartegen Lindqvist vervolgens bij het Göta hovrätt hoger beroep heeft ingesteld.

21. Daar de verenigbaarheid van de Zweedse wetgeving met de bepalingen van de richtlijn in de loop van de procedure was betwist en moeilijke vragen van uitlegging van deze bepalingen waren gerezen, heeft het Göta hovrätt de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vragen gesteld:

1) Is het vermelden van een persoon ─ met naam of met naam en telefoonnummer ─ op een homepage op het internet een handeling die onder de werkingssfeer van de richtlijn valt? Is er sprake van een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, wanneer op een eigenhandig gecreëerde homepage op het internet een aantal personen worden vermeld met verklaringen en mededelingen omtrent onder meer hun werksituatie of hun hobby's?

2) Bij ontkennend antwoord op de voorgaande vraag: kan het op een homepage op internet creëren van speciale pagina's voor een vijftiental personen, met links tussen die pagina's die zoeken op voornaam mogelijk maken, worden aangemerkt als een niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen in de zin van artikel 3, lid 1? Indien het antwoord op een van deze vragen bevestigend luidt, stelt de hovrätt ook nog de volgende vragen:

3) Kan het opnemen van dergelijke gegevens over collega's op een privé-homepage, die evenwel toegankelijk is voor al degenen die het adres van de homepage kennen, op grond van een van de uitzonderingen van artikel 3, lid 2, worden geacht buiten de werkingssfeer van de richtlijn te vallen?

4) Is de mededeling op een homepage, dat een bij name genoemde collega haar voet heeft bezeerd en met gedeeltelijk ziekteverlof is, een persoonsgegeven over de gezondheid, dat volgens artikel 8, lid 1, niet mag worden verwerkt?

5) De doorgifte van persoonsgegevens naar derde landen is volgens de richtlijn in bepaalde gevallen verboden. Indien iemand in Zweden met behulp van een computer persoonsgegevens op een homepage opneemt, die op een server in Zweden is opgeslagen ─ waardoor die persoonsgegevens voor onderdanen van een derde land toegankelijk worden ─, is dan sprake van doorgifte van gegevens naar derde landen in de zin van de richtlijn? Blijft het antwoord hetzelfde indien, voorzover bekend, geen onderdaan van een derde land feitelijk kennis heeft genomen van de gegevens, of indien de betrokken server zich zuiver fysiek in een derde land bevindt?

6) Vormen de bepalingen van de richtlijn in een geval als het onderhavige een beperking die in strijd is met de algemene beginselen van vrijheid van meningsuiting of andere in de EU geldende vrijheden of rechten, die onder meer overeenkomen met artikel 10 van het Europees verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden? Ten slotte stelt het hovrätt nog de volgende vraag:

7) Kan een lidstaat op de in de voorgaande vragen bedoelde punten voorzien in een verdergaande bescherming van persoonsgegevens of in een ruimere werkingssfeer dan uit de richtlijn voortvloeit, ook wanneer geen sprake is van een van de in artikel 13 bedoelde gevallen?

22. In de procedure voor het Hof hebben naast Lindqvist en het Koninkrijk Zweden het Koninkrijk der Nederlanden, het Verenigd Koninkrijk en de Commissie opmerkingen ingediend.

Juridische analyse

Inleiding

23. Zoals blijkt, stelt de verwijzende rechter het Hof vele vragen over de werkingssfeer van de richtlijn, de uitlegging van de artikelen 8 en 25, de geldigheid van de bepalingen ervan, gelet op algemene beginselen van gemeenschapsrecht, en de bevoegdheid van de lidstaten een hoger beschermingsniveau dan de richtlijn te garanderen.

24. Wat meer bepaald de werkingssfeer van de richtlijn betreft, lijkt de verwijzende rechter er niet aan te twijfelen dat het in casu om een verwerking van persoonsgegevens gaat, hetgeen overigens geen enkele partij die opmerkingen heeft ingediend, in twijfel heeft getrokken. Vaststaat namelijk:

enerzijds dat de informatie over de collega's van Lindqvist (voornaam, naam, telefoonnummer, werkzaamheden, hobby's, enz.) persoonsgegevens zijn: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon valt binnen deze categorie (artikel 2, sub a),

anderzijds dat het opnemen van inlichtingen op een internetpagina zoals hier aan de orde, een verwerking van persoonsgegevens vormt: ook de richtlijn gaat in dit opzicht namelijk uit van een bijzonder ruime betekenis die elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens (artikel 2, sub b) omvat.

25. Niet iedere verwerking van persoonsgegevens valt evenwel binnen de werkingssfeer van de richtlijn. Volgens artikel 3, lid 1, is de richtlijn namelijk van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen . Meer algemeen zijn krachtens lid 2 van dit artikel de bepalingen van de richtlijn niet van toepassing op de verwerking van persoonsgegevens die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt (5) (eerste streepje) of op de verwerking die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht (tweede streepje).

26. Wat de afbakening van de werkingssfeer van de richtlijn door deze bepalingen betreft, wenst de verwijzende rechter met de eerste drie vragen dus te vernemen of:

i) het opnemen van de betrokken informatie op een internetpagina een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens is (eerste vraag) dan wel een niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen (tweede vraag);

ii) een verwerking van persoonsgegevens als de onderhavige hoe dan ook is uitgesloten van de werkingssfeer van de richtlijn, omdat zij met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt , dan wel omdat zij door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht (derde vraag).

27. Ondanks de volgorde waarin de verwijzende rechter de vragen heeft gesteld, dient mijns inziens de derde vraag eerst te worden beantwoord. Gelet op het meer algemene karakter van artikel 3, lid 2, lijkt het mij duidelijk dat ook de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens of de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen, of die bestemd zijn om daarin te worden opgenomen, van de werkingssfeer van de richtlijn zijn uitgesloten, wanneer zij met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt of wanneer zij door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht. Bij een bevestigend antwoord op de derde vraag zouden dan de eerste twee vragen niet meer behoeven te worden beantwoord. Ik zal deze vraag dus eerst bespreken.

De derde vraag

Argumenten van partijen

28. Over deze vraag zijn opmerkingen ingediend door alle partijen die aan de procedure hebben deelgenomen, behalve door het Verenigd Koninkrijk, dat alleen de vijfde en de zesde vraag heeft behandeld.

29. Volgens Lindqvist valt alleen de verwerking van persoonsgegevens in het kader van een economische activiteit binnen de werkingssfeer van de richtlijn, dus niet een verwerking (als de onderhavige) zonder vergoeding en buiten alle economische activiteit om. Anders wordt de geldigheid van de richtlijn volgens Lindqvist problematisch, daar op basis van artikel 95 EG (de rechtsgrondslag van de richtlijn) op gemeenschapsniveau geen activiteiten kunnen worden geregeld die geen enkel verband hebben met het doel de interne markt te verwezenlijken. Zouden voor dergelijke activiteiten regelen worden gesteld bij een op basis van dit artikel vastgestelde harmonisatierichtlijn, dan zou in feite het beginsel van artikel 5 EG dat de Gemeenschap handelt binnen de grenzen van de haar door dit Verdrag verleende bevoegdheden en toegewezen doelstellingen, worden geschonden.

30. Zij het met enige twijfel lijkt de Zweedse regering ook van mening dat de openbaarmaking van persoonsgegevens op een internetpagina van een natuurlijke persoon in het kader van de uitoefening van zijn vrijheid van meningsuiting en zonder enig verband met een beroeps- of handelsactiviteit, niet binnen de werkingssfeer van het gemeenschapsrecht valt. Wat de draagwijdte van artikel 3, lid 2, tweede streepje, betreft, is de Zweedse regering daarentegen van mening dat de verspreiding van persoonsgegevens via Internet niet kan worden gekwalificeerd als activiteit met uitsluitend persoonlijke of huishoudelijke doeleinden, aangezien deze gegevens aan een onbepaald aantal personen worden verstrekt.

31. Volgens de Nederlandse regering valt de betrokken verwerking niet buiten de werkingssfeer van de richtlijn op basis van de beperkingen van artikel 3, lid 2, eerste en tweede streepje. In het bijzonder gaat het hierbij niet om een activiteit met uitsluitend persoonlijke of huishoudelijke doeleinden, aangezien daarbij persoonsgegevens onder een onbepaald en onbeperkt aantal personen worden verspreid.

32. Volgens de Commissie ten slotte dient de werkingssfeer van de richtlijn ruim te worden opgevat, zodat een verwerking als de onderhavige daaronder valt. Wat artikel 3, lid 2, eerste streepje, betreft, wijst de Commissie er in het bijzonder op dat het gemeenschapsrecht niet alleen economische activiteiten regelt en wijst zij met name op de door artikel 6 EU vereiste eerbiediging van de grondrechten, die algemene beginselen van gemeenschapsrecht zijn. Vervolgens, aldus de Commissie, beoogt de richtlijn volgens haar considerans ook bij te dragen tot de sociale vooruitgang en het welzijn van personen en valt overigens niet uit te sluiten dat zij het vrije verkeer van persoonsgegevens in het kader van de integratie en de werking van de interne markt ook bij de uitoefening van een sociale activiteit beoogt te regelen. Volgens de Commissie valt de betrokken activiteit bovendien ook binnen de werkingssfeer van het gemeenschapsrecht aangezien Lindqvist ontvanger is, in de zin van artikel in 49 EG, van de diensten die verband houden met het gebruik van Internet (6) (in het bijzonder telecommunicatiediensten). Ten slotte merkt de Commissie op dat er in casu geen sprake is van een activiteit met uitsluitend persoonlijke of huishoudelijke doeleinden: in de eerste plaats omdat om het even wie, en niet alleen degene die reeds het adres kent, met een zoekmachine toegang heeft tot een internetpagina; in de tweede plaats omdat het bij deze activiteiten per definitie alleen gaat om activiteiten betreffende het privé-leven van degene die de gegevens behandelt.

Beoordeling

33. Zoals meermaals opgemerkt, dient in casu te worden bepaald of een verwerking van persoonsgegevens als de onderhavige krachtens artikel 3, lid 2, buiten de werkingssfeer van de richtlijn valt, omdat zij met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt of omdat zij door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht

34. Ik begin met het tweede aspect. Ik deel de opvatting van de Commissie en van de Zweedse en de Nederlandse regering, dat een verwerking als de onderhavige niet kan worden beschouwd als een activiteit met uitsluitend persoonlijke of huishoudelijke doeleinden. Mijns inziens dekt deze categorie namelijk alleen activiteiten zoals correspondentie en het bijhouden van adressenbestanden (die als voorbeeld in overweging 12 van de considerans worden genoemd), dat wil zeggen duidelijk privé- en vertrouwelijke activiteiten die beperkt blijven tot de persoonlijke of huishoudelijke sfeer van de betrokkenen. Ik denk dan ook niet dat een activiteit met een sterke sociale inslag als de catechisatie-activiteit van Lindqvist binnen de kerkgemeente als een dergelijke activiteit kan worden beschouwd, in het bijzonder niet nu de verwerkte gegevens kennelijk een rol spelen buiten de persoonlijke en huishoudelijke sfeer van Lindqvist aangezien daarbij persoonsgegevens openbaar worden gemaakt op een van overal ter wereld voor iedereen toegankelijke internetpagina, ook door een link op een bij het publiek bekende (en hoe dan ook gemakkelijk met een zoekmachine te vinden) site als die van de Kerk van Zweden.

35. Daarentegen ben ik het met Lindqvist eens dat de betrokken verwerking met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt.

36. Lindqvist heeft de betrokken internetpagina namelijk zonder winstoogmerk en alleen ter ondersteuning van een vrijwillig, buiten iedere arbeidsverhouding met de kerkgemeente om, uitgeoefende catechisatie-activiteit gecreëerd. De hier besproken verwerking van persoonsgegevens is dus verricht in het kader van een niet-economische activiteit die geen enkele band (althans geen directe band) heeft met de uitoefening van de door het Verdrag gegarandeerde fundamentele vrijheden en op gemeenschapsvlak niet is geregeld. Mijns inziens is deze verwerking dus verricht voor de uitoefening van een activiteit die niet binnen de werkingssfeer van het gemeenschapsrecht valt, in de zin van artikel 3, lid 2, van de richtlijn.

37. De opvatting van de Commissie dat de betrokken activiteit binnen de werkingssfeer van het gemeenschapsrecht valt, omdat Lindqvist bij de uitoefening ervan ontvanger zou zijn van tal van diensten in verband met het gebruik van Internet (in het bijzonder telecommunicatiediensten) en dus gebruik zou hebben gemaakt van de door artikel 49 EG verleende rechten, lijkt mij overigens overtrokken. Afgezien van het feit namelijk dat uit de verwijzingsbeschikking of uit het dossier geen enkel grensoverschrijdend element blijkt dat de toepassing van artikel 49 EG op het onderhavige geval (7) kan rechtvaardigen, lijkt het mij overduidelijk dat artikel 3, lid 2, van de richtlijn zinledig zou worden, indien alle, ook niet-economische, activiteiten voor de uitoefening waarvan telecommunicatiediensten of andere diensten worden gebruikt, binnen de werkingssfeer van de richtlijn zouden vallen. Indien die logica werd gevolgd, zouden telkens wanneer van deze diensten gebruik wordt gemaakt voor de uitoefening van activiteiten, ook de activiteiten bedoeld in de titel V en VI van het Verdrag betreffende de Europese Unie onder de richtlijn vallen, terwijl zij in artikel 3, lid 2, juist als voorbeeld worden genoemd van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten.

38. Overtrokken lijkt mij ook de poging van de Commissie om de activiteit van Lindqvist binnen de werkingssfeer van de richtlijn te brengen, omdat zij niet alleen economische doeleinden, maar ook doelstellingen in verband met sociale eisen en de bescherming van de fundamentele rechten zou nastreven.

39. Wat dit aangaat, dient eraan te worden herinnerd dat de richtlijn op basis van artikel 100 A EG-Verdrag is vastgesteld om het vrije verkeer van persoonsgegevens te bevorderen dankzij de harmonisatie van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake de bescherming van natuurlijke personen bij de verwerking van deze gegevens. De gemeenschapswetgever heeft dus een in alle lidstaten gelijkwaardig niveau van bescherming gewenst om de belemmeringen voor het verkeer van persoonsgegevens op te heffen die het gevolg zijn van de verschillen in de mate waarin de bescherming van de rechten en vrijheden van personen, inzonderheid van de persoonlijke levenssfeer (overwegingen 7 en 8 van de considerans). (8) Zodra de harmonisatierichtlijn was vastgesteld, mochten de lidstaten dus wegens de gelijkwaardige bescherming die voortvloeit uit de onderlinge aanpassing van de nationale wetgevingen, het vrije verkeer van persoonsgegevens tussen de lidstaten niet langer [...] belemmeren om redenen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen, met name het recht op persoonlijke levenssfeer (overweging 9 van de considerans).

40. Het is juist dat de gemeenschapswetgever, om het in alle lidstaten gelijkwaardig beschermingsniveau te bepalen, rekening heeft gehouden met de noodzaak de economische en sociale vooruitgang te bevorderen en vooral de fundamentele rechten van personen te beschermen (overwegingen 2 en 3 van de considerans) ten einde een hoog beschermingsniveau te waarborgen (overweging 10 van de considerans). Hij heeft evenwel steeds gehandeld in het kader van en met het oog op de verwezenlijking van de hoofddoelstelling van de richtlijn: het vrije verkeer van persoonsgegevens bevorderen, dat voor de interne markt van fundamenteel belang wordt geacht (overweging 8 van de considerans).

41. De bevordering van de economische en sociale vooruitgang en de bescherming van de fundamentele rechten zijn dus wezenlijke waarden en vereisten waarmee de gemeenschapswetgever rekening heeft gehouden bij de vaststelling van de geharmoniseerde regeling die noodzakelijk was voor de instelling en de werking van de interne markt, maar zijn geen zelfstandige doelstellingen van de richtlijn. Anders zou moeten worden aangenomen dat de richtlijn ook personen bij de behandeling van persoonsgegevens wil beschermen onafhankelijk van het doel om het vrije verkeer van deze gegevens te bevorderen, met als onredelijk gevolg dat ook gegevensverwerkingen in het kader van de uitoefening van activiteiten die een zeker sociaal belang hebben maar geen enkel verband houden met de instelling en de werking van de interne markt, binnen de werkingssfeer ervan worden gebracht.

42. Indien de richtlijn, buiten de doelstelling het vrije verkeer van persoonsgegevens binnen de interne markt te bevorderen, ook nog andere zelfstandige doelstellingen in verband met sociale vereisten en met de bescherming van de fundamentele rechten (in het bijzonder het recht op bescherming van de privésfeer) worden toegeschreven, wordt, zoals Lindqvist heeft beklemtoond, de rechtsgrondslag zelf van de richtlijn problematisch, aangezien deze in dat geval manifest ongeschikt zou zijn. Artikel 100 A van het Verdrag kan namelijk niet als basis dienen voor maatregelen die verder gaan dan de in deze bepaling vermelde specifieke doelstellingen, dat wil zeggen voor maatregelen die niet gerechtvaardigd zouden zijn uit hoofde van de doelstelling van de instelling en de werking van de interne markt.

43. Dienaangaande herinner ik eraan dat het Hof in het arrest waarbij richtlijn 98/43/EG (9) wegens een gebrekkige rechtsgrondslag nietig is verklaard, onlangs nog heeft verklaard dat de in artikel 100 A, lid 1, van het Verdrag bedoelde maatregelen de voorwaarden voor de instelling en de werking van de interne markt dienen te verbeteren. Een uitlegging van dat artikel, volgens welke de gemeenschapswetgever daarin een algemene bevoegdheid wordt verleend om de interne markt te reglementeren, zou niet alleen indruisen tegen de tekst zelf van bovengenoemde bepalingen, maar zou ook onverenigbaar zijn met het in artikel 3 B EG-Verdrag (thans artikel 5 EG) neergelegde beginsel dat het bij de bevoegdheden van de Gemeenschap om toegekende bevoegdheden gaat. (10) Wat specifiek de bescherming van de fundamentele rechten betreft, herinner ik eraan dat het Hof in advies 2/94, dat is uitgebracht na de vaststelling van de richtlijn, uitdrukkelijk heeft verklaard dat geen enkele bepaling van het Verdrag de gemeenschapsinstellingen in algemene zin bevoegd verklaart om regels te stellen op het gebied van de mensenrechten of om internationale akkoorden op dit gebied te sluiten. (11)

44. Gelet op een en ander, geef ik het Hof dan ook in overweging, op de eerste vraag te antwoorden dat een verwerking van persoonsgegevens waarbij zonder winstoogmerk een internetpagina als de onderhavige wordt gecreëerd, die uitsluitend bestemd is als ondersteuning van een vrijwillig en buiten iedere arbeidsverhouding om in de kerkgemeente uitgeoefende catechisatie-activiteit, krachtens artikel 3, lid 2, eerste streepje, van de richtlijn buiten de werkingssfeer van de richtlijn valt.

De andere vragen

45. Gezien mijn conclusie dat een verwerking van persoonsgegevens als de onderhavige buiten de werkingssfeer van de richtlijn valt, behoeven de andere vragen van de verwijzende rechter mijns inziens niet te worden besproken.

Conclusie

46. Mitsdien geef ik het Hof in overweging, de vragen van het Göta hovrätt te beantwoorden als volgt:Een verwerking van persoonsgegevens waarbij zonder winstoogmerk een internetpagina als de onderhavige wordt gecreëerd, die uitsluitend bestemd is als ondersteuning van een vrijwillig en buiten iedere arbeidsverhouding om in de kerkgemeente uitgeoefende catechisatie-activiteit, valt krachtens artikel 3, lid 2, eerste streepje, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, buiten de werkingssfeer van de richtlijn.


1
Oorspronkelijke taal: Italiaans.


2
PB L 281, blz. 31.


3
In overweging 12 van de considerans wordt correspondentie en het bijhouden van adressenbestanden aangehaald als een voorbeeld van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden.


4
. Svensk författningssamling (SFS) 1998, nr. 204.


5
Als voorbeeld noemt de betrokken bepaling activiteiten zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie. Vervolgens voegt zij eraan toe dat de richtlijn niet van toepassing is op verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat (waaronder de economie van de staat, wanneer deze verwerkingen in verband staan met vraagstukken van staatsveiligheid), en de activiteiten van de staat op strafrechtelijk gebied.


6
In dit verband wijst de Commissie naar analogie op in het bijzonder de arresten van 31 januari 1984, Luisi en Carbone (286/82 en 26/83, Jurispr. blz. 377), en 2 februari 1989, Cowan (186/87, Jurispr. blz. 195).


7
Zie laatstelijk onder meer arresten van 9 september 1999, RI.SAN. (C-108/98, Jurispr. blz. I-5219, punt 23), 21 oktober 1999, Jägerskiöld ( C-97/98, Jurispr. blz.I-7319; punt 42), en 11 april 2000, Deliège (C-51/96 en C-191/97, Jurispr. blz. 2549; punt 58).


8
Volgens overweging 7 van de considerans kunnen deze verschillen bijgevolg een belemmering [...] vormen voor de uitoefening van een reeks economische activiteiten op communautaire schaal, de mededinging [...] vervalsen en de overheid [...] beletten haar taak ten aanzien van de toepassing van het gemeenschapsrecht te vervullen.


9
Richtlijn 98/43/EG van het Europees Parlement en de Raad van 6 juli 1998 betreffende de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten op het gebied van reclame en sponsoring voor tabaksproducten (PB L 213, blz. 9).


10
Arrest van 5 oktober 2000, Duitsland/Parlement en Raad (C-376/98, Jurispr. blz.I-8419, punt 83).


11
Advies 2/94 van 28 maart 1996 (Jurispr. blz. I-1759, punt 27).