This document is an excerpt from the EUR-Lex website
Document 62020CC0175
Opinion of Advocate General Bobek delivered on 2 September 2021.#SIA 'SS' v Valsts ieņēmumu dienests.#Request for a preliminary ruling from the Administratīvā apgabaltiesa.#Case C-175/20.
Förslag till avgörande av generaladvokat M. Bobek föredraget den 2 september 2021.
”SS” mot Valsts ieņēmumu dienests.
Begäran om förhandsavgörande från Administratīvā apgabaltiesa.
Begäran om förhandsavgörande – Skydd för enskilda personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 2 – Tillämpningsområde – Artikel 4 – Begreppet ’behandling’ – Artikel 5 – Principer för behandling av personuppgifter – Ändamålsbegränsning – Uppgiftsminimering – Artikel 6 – Laglig behandling av personuppgifter – Behandling som är nödvändig för att utföra en uppgift av allmänt intresse som utförs av den personuppgiftsansvarige – Behandling som är nödvändig för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarige – Artikel 23 – Begränsningar – Behandling av uppgifter för skatteändamål – Begäran om utlämnande av uppgifter i internetannonser för försäljning av fordon – Proportionalitet.
Mål C-175/20.
Förslag till avgörande av generaladvokat M. Bobek föredraget den 2 september 2021.
”SS” mot Valsts ieņēmumu dienests.
Begäran om förhandsavgörande från Administratīvā apgabaltiesa.
Begäran om förhandsavgörande – Skydd för enskilda personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 2 – Tillämpningsområde – Artikel 4 – Begreppet ’behandling’ – Artikel 5 – Principer för behandling av personuppgifter – Ändamålsbegränsning – Uppgiftsminimering – Artikel 6 – Laglig behandling av personuppgifter – Behandling som är nödvändig för att utföra en uppgift av allmänt intresse som utförs av den personuppgiftsansvarige – Behandling som är nödvändig för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarige – Artikel 23 – Begränsningar – Behandling av uppgifter för skatteändamål – Begäran om utlämnande av uppgifter i internetannonser för försäljning av fordon – Proportionalitet.
Mål C-175/20.
Court reports – general – 'Information on unpublished decisions' section ; Court reports – general
ECLI identifier: ECLI:EU:C:2021:690
FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
MICHAL BOBEK
föredraget den 2 september 2021 ( 1 )
Mål C‑175/20
SIA ’SS’
mot
Valsts ieņēmumu dienests
(begäran om förhandsavgörande från Administratīvā apgabaltiesa (Regionala förvaltningsdomstolen, Lettland))
”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter – Rättslig grund för behandling – Skyldighet enligt nationell lagstiftning för de som tillhandahåller tjänster i form av publicering av annonser på internet, att på begäran av skattemyndigheterna lämna uppgifter om beskattningsbara personer som har använt sig av deras tjänster – Begäran om information som skattemyndigheten framställer till den som tillhandahåller tjänster – Räckvidd – Materiella gränser och tidsgränser som följer av den allmänna dataskyddsförordningen”
I. Inledning
1. |
Förordning (EU) 2016/679 (nedan kallad den allmänna dataskyddsförordningen) ( 2 ) är inte någon smal rättsakt. Dess brett definierade tillämpningsområde, domstolarnas faktiska uteslutande av undantag från den ( 3 ) och dess definitionsgrundade, abstrakta och därmed något vittomfattande tolkning, ( 4 ) har alla bidragit till att förordningens räckvidd har kommit att bli praktiskt taget obegränsad. I det perspektivet är det ganska svårt att nuförtiden hitta en situation där någon inte behandlar några personuppgifter någonstans i något skede. |
2. |
Detta synsätt, baserat på upphöjandet av skyddet av personuppgifter till en allt överskuggande grundläggande (super)rättighet enligt artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna, leder likväl till att skyddet av personuppgifter har börjat få en centripetal verkan på andra rättsområden och tvister inom dessa områden. Ett antal mål börjar plötsligt framställas som att de rör skydd av personuppgifter och de anhängiggörs vid (bland annat) denna domstol som mål som rör tolkningen av den allmänna dataskyddsförordningen. De specifika frågor som aktualiseras i de målen är emellertid inte alltid sådana som förväntas omfattas av en rättsakt som den allmänna dataskyddsförordningen, trots dess tämligen vida tillämpningsområde. |
3. |
Sannolikt är det få som på förhand skulle ha trott att den allmänna dataskyddsförordningen, eller dess föregångare direktiv 95/46/EG, ( 5 ) skulle kunna reglera revisorspraktikanters rätt att få tillgång till sina prov, eventuellt i kombination med rätten att rätta dessa personuppgifter efter att provet har genomförts, ( 6 ) eller hindra polisen från att identifiera en enskild person som orsakat en trafikolycka så att den skadelidande parten inte kan väcka skadeståndstalan vid allmän domstol för den skada som uppkommit på dennes fordon, ( 7 ) eller begränsa möjligheten att lämna uppgifter om skatt som tidigare betalats av ett bolag som försatts i konkurs till det bolagets konkursförvaltare för att återupprätta jämvikten mellan privaträttsliga och offentligrättsliga borgenärer i samband med civilrättsliga återvinningskrav, ( 8 ) för att nämna några av de intressantare exemplen. |
4. |
Förevarande mål utgör ytterligare ett exempel på den allmänna dataskyddsförordningens centripetala verkan. SIA ’SS’ tillhandahåller tjänster i form av publicering av annonser på internet. Inom ramen för den verksamheten inhämtar företaget personuppgifter om personer som annonserar på dess webbplats. Den behöriga nationella skattemyndigheten har uppmanat företaget att lämna vissa uppgifter till den rörande annonser om begagnade bilar som publicerats på webbplatsen för att säkerställa att skatten på försäljning av fordon uppbärs på rätt sätt. Skattemyndigheten har i detalj beskrivit i vilket format den vill ha uppgifterna. Den har också klargjort att denna överföring av uppgifter förväntas ske fortlöpande och som det förefaller utan ekonomisk ersättning. |
5. |
Mot bakgrund av detta undrar den hänskjutande domstolen hur omfattande en sådan begäran om uppgiftsöverföring får vara. Liksom i tidigare mål tycks den allmänna dataskyddsförordningen vara tillämplig i förevarande mål. Personuppgifter behandlas eller kommer att behandlas någonstans av någon och med säkerhet i ett senare skede när överföringen genomförs. De registrerades rättigheter i samband med en sådan behandling bör skyddas, på samma sätt som de berörda personuppgifterna. Det innebär emellertid inte att den allmänna dataskyddsförordningen särskilt reglerar förhållandet mellan en framtida personuppgiftsansvarig (en offentlig myndighet) och en nuvarande personuppgiftsansvarig (ett privat företag). Den allmänna dataskyddsförordningen följer och skyddar uppgifterna vart de än skickas och reglerar därmed på varandra följande dataskyddsansvarigas skyldigheter med avseende på uppgifterna och de registrerade. Med några få uttryckliga undantag reglerar förordningen däremot inte de konkreta detaljerna i det ömsesidiga förhållandet mellan två på varandra följande dataskyddsansvariga. I synnerhet föreskriver den allmänna dataskyddsförordningen inte närmare hur överenskommelsen mellan de dataskyddsansvariga ska se ut, enligt vilken den ena får begära och inhämta uppgifter från den andra. Det gäller oavsett om den bygger på avtalsrätten eller på den offentliga rätten. |
II. Tillämpliga bestämmelser
A. Unionsrätten
6. |
Skäl 31 i den allmänna dataskyddsförordningen har följande lydelse: ”Offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig förpliktelse, t.ex. skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter eller finansmarknadsmyndigheter med ansvar för reglering och övervakning av värdepappersmarknader, bör inte betraktas som mottagare om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild utredning av allmänt intresse, i enlighet med unionsrätten eller medlemsstaternas nationella rätt. Offentliga myndigheters begäranden om att uppgifter ska lämnas ut bör alltid vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman. Dessa offentliga myndigheters behandling av personuppgifter bör ske i överensstämmelse med de bestämmelser för dataskydd som är tillämpliga på behandlingens ändamål.” |
7. |
Skäl 45 i den allmänna dataskyddsförordningen har följande lydelse: ”Behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, bör ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Denna förordning medför inte något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Behandlingens syfte bör också fastställas i unionsrätten eller i medlemsstaternas nationella rätt. Därtill skulle man genom denna grund kunna ange denna förordnings allmänna villkor för laglig personuppgiftsbehandling och precisera kraven för att fastställa vem den personuppgiftsansvarige är, vilken typ av personuppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut, ändamålsbegränsningar, lagringstid samt andra åtgärder för att tillförsäkra en laglig och rättvis behandling. Unionsrätten eller medlemsstaternas nationella rätt bör också reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.” |
8. |
I artikel 2 regleras den allmänna dataskyddsförordningens materiella tillämpningsområde. ”1. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. 2. Förordningen ska inte tillämpas på behandling av personuppgifter
…
…” |
9. |
Artikel 4 innehåller de definitioner som gäller i den allmänna dataskyddsförordningen. ”1) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), … 2) behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring, … 7) personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt, 8) personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning, 9) mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifterna utlämnas, vare sig det är en tredje part eller inte; offentliga myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte, …” |
10. |
Artikel 5 i den allmänna dataskyddsförordningen handlar om principer för behandling av personuppgifter: ”1. Vid behandling av personuppgifter ska följande gälla:
2. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).” |
11. |
I artikel 6 i förordningen föreskrivs följande: ”1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt: …
…
… 2. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX. 3. Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med
Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.” |
12. |
I kapitel III, som har rubriken ”Den registrerades rättigheter”, beskrivs i artiklarna 12–22 dessa rättigheter och motsvarande skyldigheter för personuppgiftsansvariga. Artikel 23 i den allmänna dataskyddsförordningen avslutar det kapitlet. Den har rubriken ”Begränsningar” och har följande lydelse: ”1. Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa …
… 2. Framför allt ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser åtminstone, när så är relevant, avseende
|
B. Lettisk lagstiftning
13. |
Enligt artikel 15.6 i Likums ”Par nodokļiem un nodevām” (lagen om skatter och avgifter), i den lydelse som gällde vid tidpunkten för de faktiska omständigheterna i förevarande mål, är den som tillhandahåller tjänster i form av publicering av annonser på internet, skyldig att på begäran av skattemyndigheten lämna information som den förfogar över om de beskattningsbara personer som har publicerat annonser med hjälp av dessa tjänster och om de annonser som de har publicerat. |
III. Bakgrund, förfarandet vid den nationella domstolen och tolkningsfrågorna
14. |
Den 28 augusti 2018 skickade chefen för Nodokļu kontroles pārvalde (skatteinspektionen) vid Valsts ieņēmumu dienests (skattemyndigheten) (nedan kallad motparten) en begäran om information till SIA ’SS’ (nedan kallad klaganden), i enlighet med artikel 15.6 i lagen om skatter och avgifter. |
15. |
I denna begäran uppmanade motparten klaganden att ge denne förnyad tillgång till information om annonsörernas telefonnummer och chassinumren för de fordon som fanns i annonserna som publicerades på klagandens webbplats (www.ss.com). Motparten uppmanade även klaganden att senast den 3 september 2018 lämna information om de annonser som publicerats under rubriken ”Personbilar” på nämnda webbplats under perioden mellan den 14 juli och den 31 augusti 2018. Klaganden ombads att skicka informationen elektroniskt i ett format där det var möjligt att sålla och välja ut uppgifter. Klaganden uppmanades även att se till att filen innehöll följande information: länk till annonsen, annonstext, bilmärke, modell, chassinummer, pris och säljarens telefonnummer. |
16. |
Om det inte var möjligt att bevilja förnyad tillgång, uppmanades klaganden att ange skälet till detta, och ombads även att regelbundet tillhandahålla informationen i fråga beträffande annonser som publicerats föregående månad, senast den tredje dagen i varje månad. |
17. |
Klaganden begärde omprövning hos motpartens tillförordnade generaldirektör och bestred begäran om information. Enligt klaganden saknade omfattningen av begäran om information, vilken avser personuppgifter i den mening som avses i artikel 4.1 i den allmänna dataskyddsförordningen, stöd i lag. I begäran om information preciseras inte någon konkret krets av berörda och inte heller syftet med eller omfattningen av den planerade behandlingen, eller under hur lång tid skyldigheten att tillhandahålla information ska föreligga. Det innebär att motparten, i egenskap av personuppgiftsansvarig, åsidosatte proportionalitetsprincipen och principen om minimering av behandlingen av personuppgifter som fastställs i den allmänna dataskyddsförordningen, vilken motparten ska iaktta. |
18. |
Genom beslut av den 30 oktober 2018 (nedan kallat det omtvistade beslutet) avslog motparten denna begäran om omprövning och fastställde begäran om information. |
19. |
I skälen till beslutet anges i korthet att skattemyndigheten när den behandlar dessa uppgifter, utövar de uppgifter och befogenheter som lagen föreskriver. Skattemyndigheten har ansvar för uppbörd och övervakning av skatter, avgifter och andra pålagor. Den är enligt lag skyldig att utöva tillsyn över fysiska och juridiska personers ekonomiska och finansiella verksamhet för att säkerställa att dessa pålagor betalas in till statskassan och till unionens budget. För att kunna utföra dessa uppgifter har motparten enligt lag befogenhet att inhämta de handlingar och den information som krävs för att kunna bokföra och registrera beskattningsgrundande händelser och för att övervaka skatter och avgifter. Bland annat anges det i artikel 15.6 i lagen om skatter och avgifter att den som tillhandahåller tjänster i form av publicering av annonser på internet, är skyldig att på begäran av skattemyndigheten lämna information som den förfogar över om de beskattningsbara personer som har publicerat annonser med hjälp av dessa tjänster och om de annonser som de har publicerat. Den konfidentiella information som motparten förfogar över skyddas i lag, bland annat genom förbudet för anställda vid skattemyndigheten att vidarebefordra den. Det innebär enligt skattemyndigheten att begäran om information är rättsenlig. |
20. |
Klaganden överklagade till Administratīvā rajona tiesa (Förvaltningsdomstolen i första instans, Lettland) och yrkade att beslutet skulle upphävas. Klaganden gjorde därvid gällande att det konkreta syftet med behandlingen och kriterierna för att välja ut den begärda informationen med avseende på en specifik krets av identifierbara personer, inte angavs i motiveringen till beslutet. |
21. |
Administratīvā rajona tiesa (Förvaltningsdomstolen i första instans) avslog överklagandet genom dom av den 21 maj 2019. Den instämde i huvudsak med motpartens argument, enligt vilket det inte får föreskrivas några begränsningar avseende den mängd information som skattemyndigheten kan få tillgång till med avseende på någon person, såvida det inte anses att informationen i fråga inte överensstämmer med skattemyndighetens mål. Enligt Administratīvā rajona tiesa (Förvaltningsdomstolen i första instans) var den begärda informationen nödvändig för att kunna identifiera odeklarerad ekonomisk verksamhet. Bestämmelserna i den allmänna dataskyddsförordningen är bara tillämpliga på klaganden i dennes egenskap av tjänsteföretag men inte på skattemyndigheten. |
22. |
Klaganden har överklagat den domen till Administratīvā apgabaltiesa (Regionala förvaltningsdomstolen, Lettland). Klaganden anser att den allmänna dataskyddsförordningen är tillämplig i förevarande mål, eftersom motparten ska anses vara personuppgiftsansvarig i den mening som avses i förordningen, vad beträffar de personuppgifter som samlats in genom begäran om information, och att motparten därför ska uppfylla de krav som föreskrivs i förordningen. Enligt klaganden har motparten emellertid genom utfärdandet av begäran om information åsidosatt proportionalitetsprincipen, eftersom motparten kräver att klaganden varje månad ska tillhandahålla en stor mängd uppgifter rörande ett icke-avgränsat antal annonser, utan att ange några konkreta beskattningsbara personer mot vilka en skattekontroll har påbörjats. Klaganden gör gällande att det i begäran om information inte anges hur länge klagandens skyldighet att tillhandahålla motparten den information som nämns i begäran gäller. Klaganden anser således att motparten har åsidosatt de principer för behandling av personuppgifter som föreskrivs i artikel 5 i den allmänna dataskyddsförordningen (laglighet, korrekthet och öppenhet). Enligt klaganden anges det varken i begäran om information eller i motiveringen till det omtvistade beslutet inom vilken konkret ram som den av motparten planerade behandlingen av informationen ska ske (syfte), eller hur omfattande information som krävs (uppgiftsminimering). Klaganden anser att myndigheten i sin begäran om information bör ange tydligt definierade kriterier som ska ligga till grund för urvalet av den information som myndigheten behöver med avseende på en viss bestämd krets av identifierbara personer. |
23. |
Den hänskjutande domstolen anser att det inte entydigt går att dra slutsatsen att denna begäran om information kan anses vara vederbörligen motiverad och framlagd i ett enskilt fall och att den inte avser all information som finns under rubriken ”Personbilar” på klagandens webbplats, eftersom skattemyndigheten i själva verket vill göra en fortlöpande och uttömmande kontroll. Den hänskjutande domstolen hyser tvivel om huruvida den behandling av personuppgifter som motparten planerar att göra sker i överensstämmelse med de bestämmelser för dataskydd som är tillämpliga med hänsyn till behandlingens ändamål, i den mening som avses i skäl 31 i den allmänna dataskyddsförordningen. Det är således nödvändigt att få klarlagt vilka kriterier som ska ligga till grund för bedömningen av huruvida motpartens begäran om information iakttar de grundläggande rättigheterna och friheterna och huruvida den ifrågavarande begäran om information kan anses vara nödvändig och proportionerlig i ett demokratiskt samhälle, för att värna om viktiga mål på skatte- och budgetområdet som är av allmänt intresse i Europeiska unionen och i Lettland. |
24. |
Enligt den hänskjutande domstolen hänvisas det i den ifrågavarande begäran om information inte till någon ”konkret utredning” som motparten utför i den mening som avses i bestämmelserna i den allmänna dataskyddsförordningen. I den ifrågavarande begäran om information begärs inte information om konkreta personer, utan om alla berörda personer som har publicerat annonser under rubriken ”Personbilar” på webbplatsen. Skattemyndigheten begär dessutom att denna information ska tillhandahållas senast den tredje dagen i varje månad (vilket innebär att klaganden ska tillhandahålla motparten all information som rör annonser som publicerats månaden innan). Mot bakgrund av detta hyser den hänskjutande domstolen tvivel om huruvida detta förfaringssätt från en nationell myndighets sida kan anses uppfylla kraven i den allmänna dataskyddsförordningen. |
25. |
Det är i detta faktiska och rättsliga sammanhang som Administratīvā apgabaltiesa (Regionala förvaltningsdomstolen) har beslutat att vilandeförklara målet och hänskjuta följande frågor till EU-domstolen för förhandsavgörande:
|
26. |
Den belgiska, den grekiska, den spanska och den lettiska regeringen samt Europeiska kommissionen har inkommit med skriftliga yttranden. Klaganden, den belgiska, den spanska och den lettiska regeringen samt kommissionen, har svarat på skriftliga frågor som domstolen ställt i enlighet med artikel 61.1 i domstolens rättegångsregler. |
IV. Bedömning
27. |
Detta förslag till avgörande är uppbyggt på följande sätt. Jag ska börja med att behandla frågan huruvida den allmänna dataskyddsförordningen är tillämplig på en begäran från en offentlig myndighet till en personuppgiftsansvarig om överföring av en viss mängd personuppgifter. Mot bakgrund av de frågor som den hänskjutande domstolen har ställt, behöver två aspekter klargöras redan från början: vem är vem i det nationella förfarandet och vilka särskilda regler tillhandahåller den allmänna dataskyddsförordningen i sådana fall (A). Jag ska därefter ta upp det (tämligen grundläggande) regelverk som bygger på den allmänna dataskyddsförordningen när det gäller offentliga myndigheters begäranden om överföring av uppgifter från privata företag (B). Avslutningsvis ska jag göra ett antal anmärkningar om vad som, åtminstone enligt min uppfattning, utgör den verkligt kvistiga frågan i detta mål, även om den inte uttryckligen har tagits upp av den hänskjutande domstolen (C). |
A. Huruvida den allmänna dataskyddsförordningen är tillämplig
28. |
Den hänskjutande domstolen har ställt nio frågor, vilka alla på ett eller annat sätt handlar om huruvida en begäran (eller begäranden) från en skattemyndighet om överföring av vissa personuppgifter från ett eller flera privata företag för att säkerställa skatteuppbörd och för att upptäcka skatteundandragande, är rättsenlig(a). Personuppgifterna i fråga har inhämtats från de registrerade personerna av det privata företaget inom ramen för dess normala affärsverksamhet. |
29. |
Det framgår emellertid inte tydligt av de nio frågorna vem som närmare bestämt är skyldig att göra vad och på grundval av vilken bestämmelse i den allmänna dataskyddsförordningen. Den oklarheten visar att det finns en betydande osäkerhet när det gäller ramen för målet i åtminstone två avseenden. |
30. |
För det första är det oklart vem som är vem inom ramen för de kategorier som fastställs i den allmänna dataskyddsförordningen. Målet handlar om överföringen, från det privata företaget till den offentliga myndigheten, av vissa uppgifter från en större uppsättning uppgifter som samlats in och kontrolleras av det privata företaget. Det är just den behandlingsåtgärden, i den mening som avses i artikel 4.2 i den allmänna dataskyddsförordningen, som ligger till grund för frågorna till domstolen. |
31. |
Det framgår emellertid också, vad gäller den överföringen av uppgifter, att den hänskjutande domstolen anser att skattemyndigheten (motparten) redan är personuppgiftsansvarig för just den åtgärden. ( 9 ) Det antagandet, som ligger till grund för hela begäran om förhandsavgörande, kommer till tydligt uttryck i frågorna 6 och 9. Detta kräver ett inledande klargörande: Vem är det närmare bestämt som ska iaktta den allmänna dataskyddsförordningen i förevarande mål? Vem är personuppgiftsansvarig för just den behandlingsåtgärden? (2) |
32. |
För det andra finns det på grund av den osäkerheten ytterligare en viktig fråga: Vilka bestämmelser i den allmänna dataskyddsförordningen är det som är tillämpliga på begäranden om uppgiftsöverföringar, och vilka av de bestämmelserna handlar särskilt om vilken typ av uppgifter, och vilken kvantitet, som en offentlig myndighet får begära in från ett privat företag? Det är i det här sammanhanget ganska talande att den hänskjutande domstolen nämner artikel 5.1 i den allmänna dataskyddsförordningen bara i tre av sina frågor. Det är en tvärgående bestämmelse som reglerar principerna för en personuppgiftsansvarigs behandling av personuppgifter. I de övriga frågorna hänvisar den hänskjutande domstolen bara till ”kraven i den allmänna dataskyddsförordningen”, utan att nämna vilka närmare bestämmelser som ska innehålla de kraven. |
33. |
Således krävs det ytterligare ett inledande klargörande vad beträffar den tillämpliga bestämmelsen eller de tillämpliga bestämmelserna i den allmänna dataskyddsförordningen, i synnerhet med avseende på förhållandet mellan klagandeföretaget och den skattemyndighet som är motpart. Hur reglerar den allmänna dataskyddsförordningen närmare bestämt sådana begäranden om överföring av uppgifter och de ömsesidiga rättigheterna och skyldigheterna mellan ett privat företag och en offentlig myndighet? (3) |
34. |
Efter detta klargörande ska jag, innan jag behandlar dessa två frågor, erinra om varför jag anser att tillämpningen och efterlevnaden av den allmänna dataskyddsförordningen inte kan betraktas på ett abstrakt sätt där man tolkar definitioner som inte har något samband med en viss behandlingsåtgärd som ska utgöra utgångspunkt. Först när detta har förklarats är det möjligt att göra en korrekt analys av aktörerna och deras respektive skyldigheter (1). |
1. De abstrakta definitionerna och den allomfattande allmänna dataskyddsförordningen
35. |
I förevarande mål är samtliga berörda parter, däribland den lettiska regeringen, eniga om att om utgångspunkten för analysen bygger på de lagstadgade definitionerna av begreppen personuppgifter och behandling i artikel 4 i den allmänna dataskyddsförordningen, så är den förordningen tillämplig på det nationella målet. |
36. |
För det första utgör de uppgifter som begäran om information rör personuppgifter i den mening som avses i artikel 4.1 i den allmänna dataskyddsförordningen. Den begärda informationen, som de registrerade personernas telefonnummer eller bilarnas chassinummer, utgör en ”upplysning som avser en identifierad eller identifierbar person”. Med hjälp av den informationen kan de som säljer bilar och därmed potentiella skattskyldiga identifieras. |
37. |
För det andra följer det av fast rättspraxis att utlämnande av uppgifter ( 10 ) eller utlämnande av personuppgifter genom överföring, liksom lagring eller tillhandahållande på annat sätt av sådana uppgifter, utgör behandling. ( 11 ) När allt kommer omkring ingår ”utlämning genom överföring” i den beskrivande förteckningen över behandlingsåtgärder i artikel 4.2 i den allmänna dataskyddsförordningen. |
38. |
För det tredje är det uppenbart att den aktuella behandlingen av personuppgifter företas på automatisk väg i den mening som avses i artikel 2.1 i den allmänna dataskyddsförordningen. |
39. |
Dessutom är inget av undantagen, vilka under alla förhållanden ska tolkas restriktivt, ( 12 ) tillämpligt i förevarande mål. Mot bakgrund av domen i målet Österreischischer Rundfunk m.fl., ( 13 ) och särskilt enligt den nyligen meddelade domen i målet om prickning, ( 14 ) kan behandlingen av personuppgifterna i fråga inte anses ha utgjort ”ett led i en verksamhet som inte omfattas av unionsrätten”, i den mening som avses i artikel 2.2 a i den allmänna dataskyddsförordningen. |
40. |
Inte heller tycks undantaget i artikel 2.2 d i den allmänna dataskyddsförordningen aktiveras. Begreppet behöriga myndigheter i den bestämmelsen förefaller syfta på organ som polisen eller åklagarmyndigheten. ( 15 ) Det innefattar inte skattemyndigheter som bedriver uppbörd av skatt och än mindre företag som tillhandahåller tjänster i form av annonsering på internet. Visserligen kan de behöriga skattemyndigheternas behandling av uppgifter i vissa fall slutligen leda till att skattebrott senare uppdagas, men det är bara en hypotetisk möjlighet i det här skedet. ( 16 ) |
41. |
Ett sådant betraktelsesätt leder till slutsatsen att den allmänna dataskyddsförordningen är tillämplig: det finns personuppgifter som behandlas på automatisk väg. Som jag redan nämnt i inledningen till detta förslag till avgörande, skulle ett sådant betraktelsesätt, som bygger på de relevanta begreppen enligt artikel 4 i den allmänna dataskyddsförordningen som ”behandling”, ( 17 )”personuppgifter” ( 18 ) och ”personuppgiftsansvarig” ( 19 ), tolkade i vid mening och oberoende av specifika behandlingsåtgärder, innebära att allt utlämnande av all information skulle omfattas av den allmänna dataskyddsförordningen. |
42. |
För att kunna tolka alla de berörda aktörernas skyldigheter på rätt sätt, bör utgångspunkten för en analys enligt den allmänna dataskyddsförordningen vara en tydlig identifiering av en specifik behandlingsåtgärd. Först därefter kan man gå vidare och göra en bedömning av skyldigheterna enligt den allmänna dataskyddsförordningen med avseende på den specifika åtgärden för de faktiska aktörer som medverkar i den behandlingen. ( 20 ) Det är den specifika behandlingsåtgärden, arbetet med uppgifterna, som regleras. Den allmänna dataskyddsförordningen har en resultat- och processinriktad lagstiftningslogik och inriktning och den är därför av nödvändighet dynamisk. |
2. Vem är vem i förevarande mål?
43. |
Vilken är den specifika behandlingsåtgärden i förevarande mål? För att kunna verkställa sådana begäranden om information som de som är aktuella i det nationella målet, krävs det utan tvekan en behandling av personuppgifter som den allmänna dataskyddsförordningen i princip är tillämplig på. I förevarande mål finns det två olika enheter som behandlar uppgifter i något skede. I sina frågor inriktar sig den hänskjutande domstolen på behandling som utförs av motparten, det vill säga skattemyndigheten. Det framgår emellertid av de faktiska omständigheterna i målet att en behandling först måste utföras av klaganden, det vill säga det privata företaget. |
44. |
I domen i målet Fashion ID ( 21 ) undersökte domstolen de specifika åtgärderna i fråga inom ramen för behandlingen av uppgifter för att identifiera den eller de relevanta registeransvariga. Domstolen fann att begreppet registeransvarig inte nödvändigtvis avser en enda enhet utan att det kan avse flera aktörer som deltar i behandlingen, där var och en av dem omfattas av bestämmelserna om skydd av personuppgifter. ( 22 ) En fysisk eller juridisk person kan emellertid inte anses vara ansvarig för de tidigare eller senare åtgärderna i den övergripande behandlingskedjan, som denna person varken fastställer ändamålen eller medlen för. ( 23 ) |
45. |
I förevarande mål är motparten sannolikt personuppgiftsansvarig så snart denne har mottagit de begärda uppgifterna från klaganden och börjar behandla dem i den mening som avses i artikel 4.2 i den allmänna dataskyddsförordningen. ( 24 ) I det skedet börjar motparten inte bara behandla uppgifterna, utan bestämmer även sannolikt ändamålen och medlen för sin egen behandling i den mening som avses i artikel 4.7 i den allmänna dataskyddsförordningen. När motparten själv utför uppgiftsbehandlingsåtgärder i framtiden, måste behandlingen – under förutsättning att inga begränsningar enligt artikel 23 i den allmänna dataskyddsförordningen har införts av medlemsstaten i det här avseendet – stå i överensstämmelse med de principer om uppgifternas kvalitet som anges i artikel 5 i den allmänna dataskyddsförordningen och svara mot något av de fall som gör att uppgiftsbehandlingen kan tillåtas enligt artikel 6.1 i den allmänna dataskyddsförordningen. ( 25 ) |
46. |
Det framgår emellertid av beslutet att begära förhandsavgörande att man i förevarande mål ännu inte har kommit till det skedet. Skattemyndigheten förfogar inte över de begärda uppgifterna. Den kunde därför inte ha påbörjat någon behandlingsåtgärd med avseende på dessa uppgifter. EU-domstolen har heller inte fått någon information om vad motparten har för avsikt att göra med uppgifterna eller vilken typ av behandling som den kommer att utföra. |
47. |
Det enda som hittills hänt är att skattemyndigheten har begärt att ett privat företag ska lämna vissa uppgifter till myndigheten. Det innebär inte i sig någon behandling av personuppgifter, i synnerhet inte av sådana uppgifter som ännu inte har inhämtats. I ett sådant faktiskt scenario är klaganden, det vill säga det privata företaget, fortfarande personuppgiftsansvarig för uppgifterna, eftersom denne i första hand har inhämtat uppgifterna genom sin egen verksamhet, det vill säga för ändamål och medel som denne själv har bestämt. Så länge som klaganden behandlar de uppgifter som denne förfogar över för att kunna lämna ut uppgifterna till motparten på det villkor som motparten har angett, är klaganden fortfarande personuppgiftsansvarig för den behandlingsåtgärden också. Det är klaganden som utför den fortsatta behandlingen. ( 26 ) |
48. |
I det sammanhanget, och i enlighet med artikel 6.1 c i den allmänna dataskyddsförordningen, säkerställer klaganden därigenom att denne uppfyller en lagstadgad skyldighet som denne har i egenskap av personuppgiftsansvarig, nämligen den skyldighet som anges i artikel 15.6 i lagen om skatter och avgifter. I sin egenskap av personuppgiftsansvarig är klaganden även skyldig att uppfylla bestämmelserna i den allmänna dataskyddsförordningen när denne behandlar personuppgifter och lämnar ut dessa uppgifter till motparten. Den hänskjutande domstolens frågor avser emellertid inte omfattningen av den behandling av uppgifter som krävs från klagandens sida för att verkställa den ifrågavarande begäran. Den har i själva verket inte ställt några frågor som rör eventuella skyldigheter enligt den allmänna dataskyddsförordningen som klaganden ska uppfylla när denne utför den behandlingen. |
49. |
Genom att peka ut motparten som den som förutsätts ha skyldigheter enligt den allmänna dataskyddsförordningen, förefaller den hänskjutande domstolen vara inriktad på (den rättsliga) grunden för behandlingen i den mening som avses i artikel 6.3 i den allmänna dataskyddsförordningen, det vill säga på artikel 15.6 i lagen om skatter och avgifter, som har genomförts ytterligare genom begäranden om information som har utfärdats av motparten. |
50. |
Sammanfattningsvis förefaller huvudfrågan som ligger till grund för samtliga nio frågor från den hänskjutande domstolen handla om omfattningen av och villkoren för överföring av personuppgifter mellan två på varandra följande personuppgiftsansvariga. ( 27 ) Vilka, om några, är de eventuella bestämmelser i den allmänna dataskyddsförordningen som reglerar förhållandet mellan på varandra följande personuppgiftsansvariga? Innehåller den allmänna dataskyddsförordningen några (materiella eller tidsmässiga) begränsningar avseende omfattningen och typen av överföringar av personuppgifter mellan två personuppgiftsansvariga, i förevarande mål ett privat företag och en offentlig myndighet? Alla de frågorna rör egentligen den rättsliga grunden för inhämtandet av personuppgifter och inte behandlingsåtgärden. |
3. Särskilda skyldigheter som följer av den allmänna dataskyddsförordningen?
51. |
Den allmänna dataskyddsförordningen handlar i första hand om skydd för registrerade personers personuppgifter och om förhållandet mellan de registrerade och den enhet som behandlar deras uppgifter. I detta syfte föreskriver den allmänna dataskyddsförordningen de registrerades rättigheter och de berörda personuppgiftsansvarigas skyldigheter när personuppgifter behandlas. |
52. |
I en sådan lagstiftningslogik är uppgifterna och de enheter som får tillgång till dem och arbetar med dem centrala. Det finns mycket få bestämmelser i den allmänna dataskyddsförordningen som direkt och uttryckligen reglerar förhållandet mellan de enheter som behandlar uppgifter. ( 28 ) Visserligen behandlar den allmänna dataskyddsförordningen sådana förhållanden indirekt. Den ålägger alla efterföljande enheter som inhämtar uppgifter att skydda dessa uppgifter och de registrerades rättigheter. Det innebär att den allmänna dataskyddsförordningen föreskriver vissa villkor för utlämnande och överföring av uppgifter. Det betyder emellertid inte att den allmänna dataskyddsförordningen direkt reglerar förhållandena mellan dessa enheter. |
53. |
Om uppgifter skulle betraktas som varor, motsvarar på sätt och vis lagstiftningslogiken i den allmänna dataskyddsförordningen ett särskilt offentligrättsligt regelsystem för vissa typer av (värdefulla, konstnärliga, historiska) varor. Ett sådant regelsystem föreskriver vissa begränsningar när det gäller dessa varor: hur de får tillverkas, hur de ska användas och på vilka villkor de får ändras, lagras, säljas vidare eller förstöras. Ett sådant särskilt regelsystem skyddar varorna och är därmed indirekt bindande för alla efterföljande ägare till eller innehavare av de varorna. Det särskilda regelsystemet i sig förblir emellertid knutet till varorna. Det omfattar varken privaträttsliga avtal om försäljning av sådana varor mellan två enskilda parter, eller villkoren för att dessa varor ska få eller måste övergå från en privat till en offentlig enhet. En reglering av varorna är inte detsamma som en reglering av underliggande äganderätten till eller handeln med dessa varor. |
54. |
Det är bara genom att klargöra den lagstiftningslogiken i den allmänna dataskyddsförordningen och genom att inrikta sig på den specifika behandlingsåtgärden som utgångspunkt för de eventuella skyldigheter som uppkommer enligt förordningen, som den kan tolkas på ett rimligt vis. I annat fall skulle den allmänna dataskyddsförordningen alltid vara tillämplig, samtidigt som det inte skulle finnas någon bestämmelse som reglerar den specifika fråga som ställts, hur kreativt bestämmelsen än tolkas. Resultatet av detta skulle oundvikligen bli att den allmänna dataskyddsförordningen inte utgör hinder för en viss nationell lagstiftning eller praxis. Denna ”avsaknad av hinder” behöver emellertid inte nödvändigtvis bero på att de nationella regelverken i allmänhet är rättsenliga, utan på att frågan helt enkelt inte omfattas av den allmänna dataskyddsförordningen, även om den på ett eller annat sätt berör personuppgifter. |
55. |
Domstolen har i sin rättspraxis behandlat sådana ”felaktigt positiva värden” när det gäller olika skyldigheter att lämna ut uppgifter enligt nationell lag av olika skäl. De flesta av dessa fall rör inte någon pågående behandlingsåtgärd i sig, utan den föregående frågan om den rättsliga grunden för en sådan framtida åtgärd. Det handlar om allt från inledande av civilmål för att beivra intrång i upphovsrätter ( 29 ) till god förvaltning av offentliga medel ( 30 ) eller skydd av den nationella säkerheten. ( 31 ) Exempel som faller under den här rubriken kan även innefatta mål som Rigas satiksme, ( 32 ) Promusicae, ( 33 ) Bonnier ( 34 ) eller J & S Service. ( 35 ) |
56. |
I alla de situationerna var den allmänna dataskyddsförordningen utan tvekan tillämplig med avseende på de registrerades rättigheter i förhållande till den/de personuppgiftsansvariga i samband med särskilda behandlingsåtgärder som just hade ägt rum eller som skulle äga rum. Även här måste emellertid lagstiftningslogiken och själva tillämpningsområdet för den allmänna dataskyddsförordningen följa uppgiftsflödet och säkerställa att personuppgifter skyddas vid behandlingsåtgärder. Den är inte avsedd att reglera varje föregående förhållande mellan olika enheter som kan tänkas ha tillgång till uppgifter, och det inbegriper skälen för och hur de har fått tillgång till dessa uppgifter. Med andra ord garanterar den allmänna dataskyddsförordningen inte en personuppgiftsansvarigs ”rättigheter” i förhållande till en annan personuppgiftsansvarig. |
57. |
Det innebär inte att sådana frågor inte regleras i lag. Det gör de, men det sker genom andra instrument som i första hand rör brottsbekämpning. Det är i de instrumenten som man hittar den rättsliga grund för behandling som i första hand krävs enligt artikel 6.3 i den allmänna dataskyddsförordningen. När det gäller obligatoriska överföringar av personuppgifter, tenderar de överföringarna att föreskrivas just i ”instrument rörande brottsbekämpning”, vilket är ganska logiskt, antingen enligt unionsrätten ( 36 ) eller enligt nationell rätt. När det gäller frivilliga överföringar av personuppgifter, är grunden för de överföringarna, i den mån det är möjligt och tillåtet enligt den offentligrättsliga reglering som den allmänna dataskyddsförordningen är, nationell handelsrätt eller avtalsrätt, mot bakgrund av den typ av avtal som finns mellan de på varandra följande personuppgiftsansvariga. |
58. |
Jag anser att dessa klargöranden visar att målet (ännu) inte handlar om någon behandlingsåtgärd. Det handlar om den rättsliga grunden för behandlingen, vilket är en fråga som den allmänna dataskyddsförordningen bara hänvisar till men inte själv direkt reglerar. För att fullt ut bistå den hänskjutande domstolen, följer emellertid i nästa del av detta förslag till avgörande en beskrivning av den grundläggande ram som kan härledas från den allmänna dataskyddsförordningen och som blir tillämplig på behandlingsåtgärden så snart den utförs av den personuppgiftsansvarige, det privata företaget (B). Syftet med den allmänna dataskyddsförordningen är att skydda den registrerade och inte att skydda ett privat företag mot offentliga ingrepp i dess näringsfrihet eller dess äganderätt i form av utnyttjande av uppgifter. Det innebär inte att en sådan fråga inte kan ge upphov till en berättigad oro, utan snarare att den knappast kan regleras genom den allmänna dataskyddsförordningen (C). |
B. (Rättslig grund för) överföring av personuppgifter till offentliga myndigheter
59. |
Här nedan följer en tämligen allmän diskussion om den rättsliga grunden för den uppgiftsbehandling som klaganden måste utföra för att verkställa motpartens begäran om information. Här är den relevanta bestämmelsen sannolikt artikel 6 i den allmänna dataskyddsförordningen och i synnerhet punkterna 1 och 3 i den artikeln, jämförda med skäl 45. |
60. |
Det är inledningsvis värt att nämna att ingen särskild information har lämnats till EU-domstolen om eventuella ytterligare nationella dataskyddsbestämmelser som är tillämpliga under omständigheter som de i det nationella målet. Domstolen har heller inte fått någon information om huruvida det, utöver artikel 15.6 i lagen om skatter och avgifter, finns andra allmänt tillämpliga rättsakter (exempelvis något dekret eller några riktlinjer för genomförande) som ytterligare reglerar skyldigheten i fråga för den som tillhandahåller tjänster (i form av annonsering på internet) att lämna vissa uppgifter till skattemyndigheter. Vidare finns det mycket lite information om den nationella rättsliga ramen för genomförande av den allmänna dataskyddsförordningen i allmänhet. |
61. |
Det har heller inte klargjorts om artikel 23.1 e i den allmänna dataskyddsförordningen har införlivats med den nationella rätten på något sätt. Frågan huruvida den unionsrättsliga bestämmelsen har införlivats eller inte, är inte avgörande för om begäran om överföring av information är rättsenlig. Den är däremot relevant för att fastställa omfattningen och karaktären av de skyldigheter som en efterföljande personuppgiftsansvarig (en offentlig myndighet) kan ha gentemot de registrerade personerna, och för att fastställa vilka skyldigheter den ursprungliga personuppgiftsansvarige har och vilken information denne ska lämna till de registrerade. |
62. |
Till följd av detta måste diskussionen nedan bli tämligen allmän. Jag ska ta upp de principer som följer av artikel 6 i den allmänna dataskyddsförordningen och som gäller för den framtida behandling som ska utföras av ett privat företag för att verkställa en begäran om uppgifter från en offentlig myndighet, vad beträffar syftet med sådana uppgiftsöverföringar (1) och deras omfattning och varaktighet (2). Jag ska därefter behandla den rättsliga grunden för sådana överföringar, eftersom kraven rörande den grunden blir tydligare när de föregående delfrågorna har behandlats (3). |
1. Syfte
63. |
Generellt sett är det övergripande syftet med skattemyndighetens begäran om utlämnande av personuppgifter i det nationella målet utan tvekan berättigat. Att säkerställa en korrekt skatteuppbörd och uppdaga eventuella åsidosättanden av skyldigheten att betala skatt, faller utan tvekan inom ramen för de legitima målen och syftena med uppgiftsbehandling enligt artikel 6.1 och 6.3 i den allmänna dataskyddsförordningen. ( 37 ) |
64. |
Avgörande för de frågor som har aktualiserats i förevarande mål är på vilken abstraktionsnivå som ett sådant syfte ska anges. Det förefaller i detta sammanhang ske en viss sammanblandning mellan två typer av specifika syften: (i) att söka efter vissa typer av information (för att upptäcka lagbrott), till skillnad från att (ii) verifiera att vissa överträdelser har skett (och begära att specifika uppgifter utlämnas för att få antagandet bekräftat). |
65. |
Dessa båda typer av uppgiftsöverföring skiljer sig av nödvändighet åt till sin beskaffenhet (och därmed till sin omfattning). Syftet att i förväg söka och upptäcka är brett och tämligen obestämt när det gäller exakt vilka registrerade som avses. Om syftet är att upptäcka eventuella lagbrott, måste man söka ganska brett. Syftet att verifiera om lagbrott har skett genom att få relevanta uppgifter utlämnade, kan däremot vara mycket mer nyanserat och fokuserat. Där är syftet i mycket högre grad att i efterhand verifiera vissa misstankar som vanligtvis rör en redan urskiljbar registrerad person. |
66. |
Jag anser att artikel 6 i den allmänna dataskyddsförordningen medger båda dessa scenarier. Artikel 6.3 kräver dock en tydlig rättslig grund för var och en av dessa uppgiftsöverföringar. |
67. |
Jag har emellertid förståelse för den hänskjutande domstolens tvekan i förevarande mål, om lydelsen av artikel 15.6 i lagen om skatter och avgifter beaktas. I den lydelse som till synes gällde när den hänskjutande domstolen hänsköt sin begäran om förhandsavgörande, angavs det att den som tillhandahåller tjänster i form av publicering av annonser på internet, är skyldig att på begäran av skattemyndigheten lämna information om de (berörda) beskattningsbara personerna. |
68. |
Härav följer att syftet med utlämningen i förevarande mål, som anges i den relevanta rättsliga grunden, liknar det andra av de ovan beskrivna scenarierna: att verifiera viss information med avseende på vissa beskattningsbara personer. Den nationella skattemyndigheten förefaller emellertid ha använt sig av den rättsliga grunden för vad som förefaller vara en begäran om (obegränsad) överföring av uppgifter eller till och med en regelrätt datainsamling, för att allmänt söka efter och upptäcka lagbrott, vilket omfattas av det första av de ovan beskriva scenarierna. Det är här man finner den logiska dissonans som tycks ligga till grund för målet på den nationella nivån och som leder till en viss förvirring när det gäller både åtgärdens proportionalitet (2) och dess korrekta rättsliga grund (3). |
2. Räckvidd och varaktighet
69. |
En bedömning av proportionalitet, och minimering också för den delen, innebär att förhållandet mellan det (uppgivna) målet och de (valda) medlen undersöks. Problemet i förevarande mål är att bedömningen av proportionaliteten sannolikt skiljer sig åt beroende på vilket syfte som väljs av de två ovan beskrivna (idealiska ( 38 )) scenarierna. |
70. |
Om syftet är att ”söka och upptäcka”, kommer de offentliga myndigheterna att försöka täcka in så mycket som möjligt för att försäkra sig om att hitta den relevanta informationen. Det kan innebära att en stor mängd uppgifter behandlas. Behovet av att samla in och behandla större uppsättningar uppgifter är en naturlig del av den typen av allmän och obestämd informationssökning. I det fallet kan proportionaliteten och minimeringen av databehandlingen i själva verket bara handla om den typ av uppgifter som begärs och som kan innehålla den nödvändiga informationen. ( 39 ) |
71. |
Om syftet är att ”verifiera”, då de offentliga myndigheterna behöver samla in bevis som rör innehållet i en viss transaktion eller uppsättning transaktioner, kan proportionalitetsbedömningen av naturliga skäl vara mer krävande. Skattemyndigheten kan då bara efterfråga vissa transaktioner, inom en viss tidsram, för att göra kontroller i efterhand som normalt sett rör en eller flera angivna beskattningsbara personer. Det är därför troligt att en begäran om information anpassas till de specifika uppgifter som innehåller den typen av information. |
72. |
Logiken i skäl 31 i den allmänna dataskyddsförordningen, i den mån jag lyckas urskilja någon logik alls, tycks enbart handla om det sistnämnda fallet. I den andra meningen i det skälet, vilken parterna, i synnerhet kommissionen, har hänvisat till och fört en omfattande diskussion kring, anges det att offentliga myndigheters begäranden om att uppgifter ska lämnas ut alltid ska vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman. |
73. |
Jag anser emellertid att det inte går att rycka (en del av ett) skäl i en förordning ur sitt sammanhang, behandla det som en självständig bindande bestämmelse, utan att det återspeglas någon annanstans i den rättsligt bindande delen av det instrumentet ( 40 ) och på grundval av detta slå fast att överföring av personuppgifter till offentliga myndigheter bara får ske på de villkoren. Jag kan helt enkelt inte godta påståendet att en del av skäl 31, taget för sig, förbjuder all överföring av uppgifter i större skala till offentliga myndigheter, även sådan överföring som har en lämplig rättslig grund (i den nationella rätten eller i unionsrätten) och är förenlig med alla bindande bestämmelser i den allmänna dataskyddsförordningen. |
74. |
I förevarande mål har den lettiska regeringen gjort gällande att mängden information som begärts kan anses rimlig, eftersom begäran om utlämning bara innefattar annonser som publicerats under rubriken ”Personbilar”, som bara är en av 112 rubriker på den webbplats som klaganden driver. Den belgiska och den spanska regeringen har tillagt att de anser att det inte är mängden uppgifter som är det viktiga utan vilken typ av uppgifter som begärs. |
75. |
Jag instämmer med dessa iakttagelser. |
76. |
En bedömning av proportionaliteten när det gäller sökning och upptäckt på förhand innebär att det ska göras en ”kvalitetskontroll” med avseende på den typ av uppgifter som begärs. Det är bara för kontroll i efterhand av vissa uppgifter som ”kvantitetskontrollen” kan användas fullt ut. I annat fall skulle de flesta metoder för dataövervakning vara uteslutna. |
77. |
Under förutsättning att det finns en lämplig rättslig grund i unionsrätten eller i den nationella rätten, får en nationell skattemyndighet i princip begära att få tillgång till alla uppgifter som krävs för den typ av undersökning som den behöver göra, utan någon tidsbegränsning. Den enda gränsen som följer av den allmänna dataskyddsförordningen är att det ska föreligga proportionalitet vad gäller den typ av uppgifter som begärs. Såsom den grekiska regeringen med rätta har påpekat, bör en begäran om information bara avse sådana uppgifter som rör skattebetalarnas ekonomiska verksamhet och inte deras privatliv. |
78. |
För att ta ett exempel: om det uppgivna syftet är att upptäcka odeklarerade inkomster från försäljning av begagnade bilar, har skattemyndigheten inte rätt att även begära information om huruvida den person som säljer bilen är rödhårig, har någon särskild kosthållning eller äger en swimmingpool. Därför måste den typ av information som begärs ha ett tydligt samband med den uppgivna sökningen och utredningen. |
79. |
I övrigt ankommer det på den nationella domstolen att bedöma proportionaliteten i vart och ett av de två ovan beskrivna scenarierna, mot bakgrund av de faktiska och rättsliga omständigheterna i varje mål. ( 41 ) Enkelt uttryckt är den fråga man måste ställa sig i förevarande fall huruvida den typ av uppgifter som begärts är lämplig för att motparten ska kunna få fram den information som krävs för att uppnå det angivna syftet? |
3. Rättslig grund (för framtida behandling)
80. |
Avslutningsvis är det först nu som den centrala frågan om den rättsliga grunden kan bedömas på ett användbart sätt mot bakgrund av ovanstående klargöranden. Naturligtvis kräver båda scenarierna som beskrivits i de föregående delarna av detta förslag till avgörande (”söka och upptäcka” och ”verifiera”) en rättslig grund enligt artikel 6.3 i den allmänna dataskyddsförordningen för att klagandens behandling ska kunna ske. Den bestämmelsen möjliggör uttryckligen en särskild anpassning av tillämpningen av de allmänna bestämmelserna i den allmänna dataskyddsförordningen, antingen i enlighet med unionsrätten eller i enlighet med medlemsstaternas nationella rätt. |
81. |
Under alla förhållanden måste emellertid den rättsliga grund som föreskrivs logiskt sett omfatta det specifika syftet och den typ av behandling som ska utföras för det syftet. Exakt hur det ska ske regleras genom särskilda anpassningsbestämmelser som medlemsstaten eller unionen antar enligt artikel 6.3 i den allmänna dataskyddsförordningen. Ju allmännare, större och mer varaktig överföringen av uppgifter är, desto mer robust, detaljerad och uttrycklig måste den lagliga grunden generellt sett vara, eftersom sådana dataöverföringar innebär ett större ingrepp i säkrandet av dataskyddet. Omvänt gäller att ju mer diskret och begränsat utlämnande som begärs – vanligtvis bara med avseende på en eller några få registrerade eller med avseende på en begränsad mängd uppgifter – desto troligare är det att begärandena kan verkställas på nivån med enskilda administrativa begäranden, där den lagstadgade behörighetsgivande klausulen förblir tämligen bred och generell. |
82. |
Med andra ord fungerar de två regleringsnivåer som eventuellt utgör den rättsliga grunden för databehandlingen, nämligen den lagstadgade och den administrativa, tillsammans. Minst en av dem måste vara tillräckligt specifik och anpassad till en viss typ av eller en viss mängd personuppgifter som begärs. Ju mer som finns på den lagstadgade, strukturella nivån för sådana uppgiftsöverföringar, desto mindre behöver det finnas i den enskilda administrativa begäran. Den lagstadgade nivån kan till och med vara så detaljerad och omfattande att den blir heltäckande och tillräcklig i sig. Omvänt gäller att ju mer generell och vag den lagstadgade nivån är, desto mer detaljer måste det finnas på nivån för den enskilda administrativa begäran, däribland ett tydligt angivande av syftet som således avgränsar räckvidden. |
83. |
Denna punkt ger indirekt ett svar på den fråga som den hänskjutande domstolen har tagit upp under rubriken proportionalitet, vilken det i själva verket kan vara bäst att behandla här i samband med att det fastställs huruvida skattemyndigheterna får framställa en begäran om uppgifter utan någon tidsbegränsning. Jag anser att de får göra det enligt den allmänna dataskyddsförordningen. En mer relevant fråga borde emellertid vara huruvida de har en lämplig rättslig grund i nationell rätt för vad som i allt väsentligt är en pågående och varaktig överföring av uppgifter. Så länge sådana överföringar har en tydlig grund, och varaktighet, i nationell rätt, utgör artikel 6.3 i den allmänna dataskyddsförordningen inte något hinder för dem. Skäl 31 i dataskyddsförordningen påverkar inte heller detta i någon nämnvärd mån. ( 42 ) Det är i praktiken knappast meningsfullt att tolka det skälet som att det i själva verket kräver att de administrativa myndigheterna om och om igen (oavsett om det är varje dag, månad eller år) ska utfärda identiska enskilda begäranden för att få tillgång till något som de redan kunde ha fått tillgång till på grundval av den nationella lagstiftningen. |
84. |
I förevarande mål förefaller den rättsliga grunden för behandlingen utgöras av såväl artikel 15.6 i lagen om skatter och avgifter som de specifika begäranden om utlämning av uppgifter som skattemyndigheten utfärdar. Det tycks således finnas en dubbel rättslig grund med en generell behörighetsgivande klausul i lag och en specifik, riktad administrativ tillämpning av den bestämmelsen. |
85. |
På det hela taget förefaller en sådan dubbel rättslig grund vara tillräcklig för att motivera klagandens behandling av personuppgifter i syfte att överföra dem till en offentlig myndighet enligt artikel 6.1 c och 6.3 i den allmänna dataskyddsförordningen. Även om den nationella lagstiftning som ger skattemyndigheterna rätt att begära information snarast är tämligen generell, tycks de specifika begärandena om uppgifter i stort sett vara inriktade på en viss typ av uppgifter, trots att det potentiellt sett kan röra sig om en stor mängd. |
86. |
Det ankommer emellertid i sista hand på den nationella domstolen, som har full kännedom om den nationella rätten, inbegripet eventuella ytterligare nationella tillämpningsbestämmelser som inte har nämnts i förevarande mål, att pröva huruvida den behandling som det begärts att klaganden i det nationella målet ska utföra uppfyller de krav som redovisats i denna del av förslaget till avgörande. |
87. |
Kärnfrågan i den bedömningen, vilken kräver särskild uppmärksamhet, är huruvida artikel 15.6 i lagen om skatter och avgifter, tillsammans med de specifika begärandena om information, uppfyller kravet på förutsebarhet ( 43 ) när den rättsliga grunden prövas. Den lagstiftning som möjliggör överföring av uppgifter måste innehålla klara och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden samt anger minimikrav, så att de personer vars personuppgifter berörs har tillräckliga garantier för att uppgifterna på ett effektivt sätt är skyddade mot riskerna för missbruk. ( 44 ) |
88. |
Den rättsliga grunden i sin helhet (den lagstadgade och den administrativa i kombination) måste därför formuleras med tillräcklig precision för alla berörda personer: för de offentliga myndigheterna när det gäller vad de får begära, för företagen med avseende på vad de får lämna ut och framför allt för de registrerade, så att de får reda på vem som kan få tillgång till deras uppgifter och för vilka syften. Det bör här erinras om att information om databehandling är ett centralt krav i den allmänna dataskyddsförordningen. De registrerade måste få reda på att det sker en sådan behandling och den informationen är en förutsättning för utövandet av ytterligare rättigheter till tillgång eller radering eller rättelse. ( 45 ) |
89. |
Om inte artikel 23 i den allmänna dataskyddsförordningen på något sätt har införlivats med nationell rätt för att begränsa registrerade personers rättigheter enligt kapitel III i den allmänna dataskyddsförordningen, följer det av artiklarna 13 och 14 i nämnda förordning att den personuppgiftsansvarige ska lämna information till den registrerade vid behandlingen. Vid på varandra följande överföringar av uppgifter kan det vara svårt att avgöra vem det är som är skyldig att informera. ( 46 ) Om det inte finns några begränsningar som har antagits med stöd av artikel 23.1 i den allmänna dataskyddsförordningen, vilka i den nationella lagstiftningen måste uppfylla kravet i artikel 23.2 i den allmänna dataskyddsförordningen, kan dessutom i praktiken en offentlig myndighet som inhämtat uppgifterna enligt artikel 14 i den allmänna dataskyddsförordningen vara skyldig att lämna lämplig information till alla registrerade som berörs. Om det inte finns någon tydlig och förutsebar rättslig grund som ytterst gör det möjligt att göra sådana överföringar av uppgifter, kan det knappas förväntas att den personuppgiftsansvarige som har samlat in uppgifterna redan ska ha informerat den registrerade i enlighet med artikel 13 i den allmänna dataskyddsförordningen. |
90. |
Sammanfattningsvis anser jag därför att artikel 6.1 c och 6.3 i den allmänna dataskyddsförordningen inte utgör hinder för att det i nationella bestämmelser föreskrivs en skyldighet utan tidsbegränsning för den som tillhandahåller tjänster i form av annonsering på internet att lämna ut vissa personuppgifter till en skattemyndighet, under förutsättning att det finns en tydlig rättslig grund i den nationella lagstiftningen för en sådan typ av överföring av uppgifter och att de begärda uppgifterna är lämpliga och nödvändiga för att skattemyndigheten ska kunna utföra sina officiella uppgifter. |
C. En avslutande kommentar: den fråga som inte har tagits upp i förevarande mål
91. |
Det är knappast min uppgift att spekulera i parternas verkliga motiv i det nationella målet. Jag får därför förlita mig på att det finns barmhärtiga samariter som osjälviskt står upp för att försvara andra. Varför skulle ett privat företag inte bara kunna försvara rättigheterna för de registrerade personer från vilka de har samlat in personuppgifter? |
92. |
Även om det är minst sagt glädjande när kommersiella företag engagerar sig i frågor om dataskydd, förmodar jag att det finns andra företag som kan ha andra skäl att motsätta sig av offentliga maktorgan ålagda överföringar av personuppgifter som de har samlat in. Ett skäl kan handla om kostnaderna för det. Ska de offentliga myndigheterna få lov att i själva verket lägga ut en del av myndighetsutövningen på entreprenad och därmed tvinga de privata företagen att bära kostnaderna för vad som i allt väsentligt är myndighetsutövning? Den frågan får betydelse vid en varaktig och storskalig överföring av uppgifter som förväntas utföras av privata företag för allmänhetens bästa utan någon ersättning. ( 47 ) Andra skäl kan vara mer affärsrelaterade. Om man för en kort stund antar, självfallet som en ren hypotes, att människor i allmänhet inte tycker om att betala skatt, ligger det nära till hands att även anta att vissa av de människorna kan välja andra vägar för att annonsera ut sina begagnade bilar än en webbplats på internet som senare vidarebefordrar den informationen till skattemyndigheten. |
93. |
Att hitta en balans mellan alla de intressen som finns i en sådan situation är långt ifrån enkelt. Att en myndighet begär uppgifter från privata företag som måste sammanställas och lämnas ut i enlighet med myndighetens noggranna krav, kan anses ligga farligt nära en påtvingad utläggning på entreprenad av myndighetsutövningen. Så kan i synnerhet vara fallet när det gäller uppgifter som annars är fritt tillgängliga och som de offentliga organen skulle ha kunnat samla in själva med begränsade tekniska insatser. Svaret skulle, som den belgiska regeringen träffande underströk då den beskrev den vidare betydelsen av situationen i det nationella målet, möjligen bli något mer nyanserat i situationer där olika former av plattformar används med ett delat ekonomiska ansvar, eller i andra fall där de offentliga myndigheterna begär att få tillgång till uppgifter som är viktiga för det angivna berättigade offentliga syftet, men som inte är fritt tillgängliga och därmed inte kan samlas in av de offentliga myndigheterna själva. Även under sådana omständigheter kvarstår emellertid frågan om en eventuell ersättning. |
94. |
Jag kan säkerligen se sådana frågor skymta i bakgrunden i det nationella målet. Strävan efter en rimlig balans i sådana fall bör emellertid i första hand ske på nationell nivå eller unionsnivå i samband med antagandet av den relevanta lagstiftning som utgör den rättsliga grunden för den typen av överföringar. Detta är inte något som ankommer på domstolarna att göra, i synnerhet inte i ett fall där den hänskjutande domstolen inte ens uttryckligen tagit upp någon sådan fråga. Det finns dessutom ytterligare två skäl till att förevarande mål inte är rätt sammanhang för att gå in i den typen av diskussioner. |
95. |
För det första regleras sådana frågor helt enkelt inte uttryckligen i den allmänna dataskyddsförordningen, i likhet med en rad andra frågor som på något sätt kretsar kring flödet av personuppgifter men som i själva verket inte rör skyddet av de registrerades rättigheter. Frågan om det rättsliga skyddet för personuppgiftsansvariga – för privata företag mot den potentiellt rättsstridiga eller oproportionerliga inskränkningen av deras näringsfrihet, deras eventuella äganderätt ( 48 ) eller till och med deras eventuella rätt till en rimlig ersättning för de överförda uppgifterna – är inte något som regleras i den allmänna dataskyddsförordningen. |
96. |
För det andra förhåller det sig så att så länge som den rättsliga grunden för en sådan överföring av uppgifter inte tillhandahålls av unionsrätten, ( 49 ) kan frågan om en eventuell ersättning för en sådan tvingande överföring av uppgifter knappast heller vara en fråga för unionsrätten. Det innebär som sagt inte att sådana frågor inte kan uppkomma, till och med som en fråga om skydd av grundläggande rättigheter (för de berörda personuppgiftsansvariga). De frågorna skulle emellertid då behöva prövas av domstolarna i medlemsstaterna, som i första hand får ålägga sådana överföringar. Alla sådana mål ska därför snarare tas upp vid en nationell (författnings)domstol. |
V. Förslag till avgörande
97. |
Jag föreslår att domstolen besvarar tolkningsfrågorna från Administratīvā apgabaltiesa (Regionala förvaltningsdomstolen, Lettland) på följande sätt:
|
( 1 ) Originalspråk: engelska.
( 2 ) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1).
( 3 ) Vad beträffar undantagen i direktiv 95/46, började det redan med dom av den 20 maj 2003, Österreichischer Rundfunk m.fl. (C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294, punkt 41), och dom av den 6 november 2003, Lindqvist (C‑101/01, EU:C:2003:596, punkterna 37–48). På senare tid, beträffande dataskyddsförordningen, se dom av den 22 juni 2021, B (Prickning) (C‑439/19, EU:C:2021:504, punkterna 61–72).
( 4 ) Se exempelvis dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punkterna 29–39). Se emellertid dom av den 29 juli 2019, Fashion ID (C‑40/17, EU:C:2019:629, punkt 74).
( 5 ) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).
( 6 ) Dom av den 20 december 2017, Nowak (C‑434/16, EU:C:2017:994, punkterna 18–23).
( 7 ) Dom av den 4 maj 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punkterna 12–17).
( 8 ) Dom av den 10 december 2020, J & S Service (C‑620/19, EU:C:2020:1011, punkterna 15–29).
( 9 ) Till skillnad från den ståndpunkt som domstolen i första instans, det vill säga Administratīvā rajona tiesa, tycks ha intagit. Den ansåg att det var klaganden som var personuppgiftsansvarig i det här skedet av uppgiftsbehandlingen (se punkt 21 ovan i det här förslaget till avgörande).
( 10 ) Se exempelvis dom av den 29 juni 2010, kommissionen/Bavarian Lager (C‑28/08 P, EU:C:2010:378, punkt 69), och dom av den 19 april 2012, Bonnier Audio m.fl. (C‑461/10, EU:C:2012:219, punkt 52).
( 11 ) Se exempelvis dom av den 29 januari 2008, Promusicae (C‑275/06, EU:C:2008:54, punkt 45), och dom av den 6 oktober 2020, Privacy International (C‑623/17, EU:C:2020:790, punkt 41), med avseende på Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37). Se även dom av den 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650, punkt 45), med avseende på överföring av uppgifter till tredjeland.
( 12 ) Se exempelvis dom av den 9 juli 2020, Land Hessen (C‑272/19, EU:C:2020:535, punkt 68)
( 13 ) Dom av den 20 maj 2003, Österreichischer Rundfunk m.fl. (C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294, punkterna 39–47).
( 14 ) Dom av den 22 juni 2021, B (Prickning) (C‑439/19, EU:C:2021:504, punkterna 61–72).
( 15 ) Se, i detta hänseende, artikel 3.7 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89).
( 16 ) Den hypotetiska framtida möjligheten är knappast avgörande för att på förhand fastställa det normativa tillämpningsområdet för ett unionsrättsligt instrument. Se även mitt förslag till avgörande i de förenade målen Ministerul Public – Parchetul de pe lângă Înalta Curte de Casaţie şi Justiţie – Direcţia Naţională Anticorupţie m.fl. (C‑357/19 och C‑547/19, EU:C:2021:170, punkterna 109–115), för ett liknande resonemang rörande tillämpningsområdet för artikel 325.1 FEUF.
( 17 ) Se exempelvis, för ett liknande resonemang, dom av den 11 december 2014, Ryneš (C‑212/13, EU:C:2014:2428, punkt 30), och dom av den 10 juli 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, punkt 51). I det sistnämnda fallet fann domstolen att en insamling av personuppgifter som medlemmarna i ett religiöst samfund ägnade sig åt i samband med sitt predikoarbete genom dörrknackning och den efterföljande behandlingen av de uppgifterna, kan omfattas av den allmänna dataskyddsförordningens materiella tillämpningsområde.
( 18 ) Se exempelvis dom av den 20 december 2017, Nowak (C‑434/16, EU:C:2017:994, punkt 62), i vilken domstolen slog fast att de skriftliga svar som en examinand lämnat på ett prov för yrkesexamen och examinatorns eventuella anteckningar angående nämnda svar utgjorde personuppgifter.
( 19 ) Se exempelvis dom av den 13 maj 2014, Google Spain och Google (C‑131/12, EU:C:2014:317, punkt 34), och dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punkterna 28–44), i vilken domstolen slog fast att begreppet personuppgiftsansvarig infattar en administratör av en fanpage som ett socialt nätverk hyser.
( 20 ) Se dom av den 29 juli 2019, Fashion ID (C‑40/17, EU:C:2019:629, punkterna 72 och 74).
( 21 ) Dom av den 29 juli 2019, Fashion ID (C‑40/17, EU:C:2019:629).
( 22 ) Ibidem, punkt 67.
( 23 ) Ibidem, punkt 74.
( 24 ) För ett aktuellt exempel på offentliga myndigheters behandling, se dom av den 9 juli 2020, Land Hessen (C‑272/19, EU:C:2020:535, punkterna 64 och 65).
( 25 ) Se exempelvis dom av den 16 januari 2019, Deutsche Post (C‑496/17, EU:C:2019:26, punkt 57). Se även, för ett liknande resonemang, dom av den 1 oktober 2015, Bara m.fl. (C‑201/14, EU:C:2015:638, punkt 30), och dom av den 27 september 2017, Puškár (C‑73/16, EU:C:2017:725, punkt 104).
( 26 ) Vilket särskilt föreskrivs i artikel 13.2 i den allmänna dataskyddsförordningen, om än i ett annat sammanhang, nämligen det som rör den information som ska lämnas.
( 27 ) För fullständighetens skull kan det tilläggas att andra fall som förutses i den allmänna dataskyddsförordningen, som att skattemyndigheten och det privata företaget är gemensamt personuppgiftsansvariga under det särskilda skedet av behandlingen (artikel 26), eller förhållandet till ett något konstruerat personuppgiftsbiträde som de facto är personuppgiftsansvarig (artikel 28), förefaller kunna uteslutas på grundval av de faktiska omständigheter som den hänskjutande domstolen har redovisat.
( 28 ) Med de två viktiga undantagen i artiklarna 26 och 28 i den allmänna dataskyddsförordningen som nämns i föregående fotnot, eller till exempel artikel 19 i den allmänna dataskyddsförordningen. Även med avseende på dessa bestämmelser kan emellertid den rättsliga inkluderingen av dessa kategorier fortfarande anses vara en reglering som rör dataskydd och som i första hand säkerställer att den personuppgiftsansvarige inte kan frånsäga sig och undgå ansvar genom att dela uppgifterna eller genom att lägga ut behandlingen av dem på någon annan.
( 29 ) Se exempelvis dom av den 24 november 2011, Scarlet Extended (C‑70/10, EU:C:2011:771).
( 30 ) Dom av den 20 maj 2003, Österreichischer Rundfunk m.fl. (C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294).
( 31 ) Se exempelvis dom av den 21 december 2016, Tele2 Sverige och Watson m.fl. (C‑203/15 och C‑698/15, EU:C:2016:970), och dom av den 6 oktober 2020, La Quadrature du Net m.fl. (C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791).
( 32 ) Dom av den 4 maj 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336).
( 33 ) Dom av den 29 januari 2008, Promusicae (C‑275/06, EU:C:2008:54).
( 34 ) Dom av den 19 april 2012, Bonnier Audio m.fl. (C‑461/10, EU:C:2012:219).
( 35 ) Dom av den 10 december 2020, J & S Service (C‑620/19, EU:C:2020:1011).
( 36 ) Se exempelvis, enligt unionsrätten, artikel 4 i Europarlamentets och rådets tidigare direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, 2006, s. 54), eller artikel 8 i Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (EUT L 119, 2016, s. 132).
( 37 ) Se exempelvis, för ett liknande resonemang, dom av den 27 september 2017, Puškár (C‑73/16, EU:C:2017:725, punkt 108), beträffande en offentlig myndighets upprättande av en förteckning för uppbörd av skatt och bekämpning av skatteundandragande.
( 38 ) Idealiska i betydelsen att de två beskrivna scenarierna representerar två ytterligheter på en tänkt linje, snarare än hermetiskt tillslutna lådor.
( 39 ) Här betonas åter detta måls sanna karaktär, vilken ligger mycket närmare de fall där domstolen hade att pröva olika fall med lagring av uppgifter eller överföring av uppgifter till tredje länder än ett ”egentligt” dataskyddsförordningsmål (se punkterna 56 och 57 ovan i detta förslag till förhandsavgörande samt den rättspraxis som nämns i fotnoterna 11, 31 och 44).
( 40 ) Se exempelvis dom av den 12 juli 2005, Alliance for Natural Health m.fl. (C‑154/04 och C‑155/04, EU:C:2005:449, punkterna 91 och 92), dom av den 21 december 2011, Ziolkowski och Szeja (C‑424/10 och C‑425/10, EU:C:2011:866, punkterna 42 och 43), eller dom av den 25 juli 2018, Confédération paysanne m.fl. (C‑528/16, EU:C:2018:583, punkterna 44–46 och 51).
( 41 ) Se även, för ett liknande resonemang, dom av den 27 september 2017, Puškár (C‑73/16, EU:C:2017:725, punkt 113).
( 42 ) Se ovan, punkterna 72 och 73 i detta förslag till avgörande.
( 43 ) Se exempelvis, för ett liknande resonemang, dom av den 20 maj 2003, Österreichischer Rundfunk m.fl. (C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294, punkterna 77 och 79).
( 44 ) Se exempelvis, på senare tid, dom av den 6 oktober 2020, Privacy International (C‑623/17, EU:C:2020:790), punkt 68.
( 45 ) Se, för ett liknande resonemang, dom av den 1 oktober 2015, Bara m.fl. (C‑201/14, EU:C:2015:638), punkt 33.
( 46 ) Se, för ett liknande resonemang, dom av den 1 oktober 2015, Bara m.fl. (C‑201/14, EU:C:2015:638, punkterna 34–38), och dom av den 16 januari 2019, Deutsche Post (C‑496/17, EU:C:2019:26, punkt 69).
( 47 ) För en liknande fråga i samband med kostnader för lagring av uppgifter, se beslut av den 26 november 2020, Colt Technology Services m.fl. (C‑318/20, ej publicerat, EU:C:2020:969).
( 48 ) I allt mer datastyrda ekonomier är det bara en tidsfråga innan data börjar erkännas som en typ av innehav, eller till och med egendom, på samma sätt som ett antal andra immateriella tillgångar av ekonomiskt värde, såsom olika typer av immateriella rättigheter. Se, för ett liknande resonemang, den redan öppna inställningen till att inkludera olika typer av ”innehav” i tillämpningsområdet för artikel 1 i tilläggsprotokoll nr l i Europadomstolens rättspraxis, vilket till exempel framgår av Europadomstolens dom av den 11 januari 2007, Anheuser-Busch Inc mot Portugal (CE:ECHR:2007:0111JUD007304901, §§ 63–65).
( 49 ) Vilket däremot skulle vara fallet i mål där överföring, lagring eller behandling av uppgifter regleras i ett unionsrättsligt instrument, som i de exempel som nämns i fotnot 36 ovan. Inom parentes föreföll det ursprungliga förslaget till Europaparlamentets och rådets direktiv om lagring av uppgifter som behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster och om ändring av direktiv 2002/58/EG (SEC(2005) 1131), COM/2005/0438 final – COD 2005/0182, som lades fram av kommissionen, indirekt bekräfta detta i det ursprungliga förslaget till artikel 10 och skäl 13. De bestämmelserna behölls emellertid inte i den version av direktivet som slutligen antogs.