–

Ligue des droits humains ASBL och BA, genom C. Forget, avocate,

–

Organe de contrôle de l’information policière (OCIP), genom J. Bosquet, och J.-F. De Bock, advocaten,

–

Belgiens regering, genom P. Cottin, J.-C. Halleux, C. Pochet och A. Van Baelen, samtliga i egenskap av ombud, biträdda av N. Cariat, C. Fischer, B. Lombaert och J. Simba, avocats,

–

Tjeckiens regering, genom O. Serdula, M. Smolek och J. Vláčil, samtliga i egenskap av ombud,

–

Frankrikes regering, av J. Illouz, i egenskap av ombud,

–

Europaparlamentet, genom S. Alonso de León, O. Hrstková Šolcová, P. López-Carceller och M. Thibault, samtliga i egenskap av ombud,

–

Europeiska kommissionen, genom A. Bouchagiar, H. Kranenborg, A.-C. Simon och F. Wilman, samtliga i egenskap av ombud,

1

Begäran om förhandsavgörande avser dels tolkningen av artiklarna 8.3 och 47 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan), dels giltigheten, mot bakgrund av nämnda artiklar i stadgan, av artikel 17 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89; rättelse i EUT L 127, 2018, s. 16).

2

Begäran har framställts i ett mål mellan Ligue des droits humains ASBL och BA, å ena sidan, och Organe de contrôle de l’information policière (OCIP) (tillsynsorganet för polisiär information, Belgien), å andra sidan, angående utövande, genom det organet, av BA:s rättigheter med avseende på personuppgifter som rör denne, vilka behandlats av belgiska polismyndigheter och på grundval av vilka Autorité nationale de sécurité (den nationella säkerhetsmyndigheten, Belgien) avslog en ansökan om säkerhetsgodkännande som framställts av denna person.

3

I skälen 7, 10, 43, 46, 48, 75, 82, 85 och 86 i direktiv 2016/680 anges följande:

…

…

…

…

…

…

…

4

I artikel 1, med rubriken ”Syfte och mål”, i direktivet föreskrivs följande i punkterna 1 och 2:

”1.   I detta direktiv fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

2.   Enligt detta direktiv ska medlemsstaterna

5

Nämnda direktiv innehåller ett kapitel III med rubriken ”Den registrerades rättigheter”, vilket bland annat innefattar artiklarna 13–17. Artikel 13 har rubriken ”Information som ska göras tillgänglig för eller lämnas till den registrerade”. I artikel 13.1 föreskrivs en skyldighet för medlemsstaterna att föreskriva att den personuppgiftsansvarige ska göra en viss minsta information tillgänglig för den registrerade, såsom bland annat den personuppgiftsansvariges identitet och kontaktuppgifter. I artikel 13.2 anges dessutom de ytterligare uppgifter som medlemsstaterna i lag ska föreskriva att den personuppgiftsansvarige ska lämna till den registrerade, för att göra det möjligt för vederbörande att utöva sina rättigheter. I artikel 13.3 och 13.4 föreskrivs följande:

”3.   Medlemsstaterna får anta lagstiftningsåtgärder som gör att informationen till den registrerade enligt punkt 2 senareläggs, begränsas eller utelämnas, i den utsträckning och så länge som en sådan åtgärd är nödvändig och proportionell i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att

4.   Medlemsstaterna får anta lagstiftningsåtgärder för att fastställa kategorier av behandling som helt eller delvis kan omfattas av något av leden i punkt 3.”

6

Artikel 14 i samma direktiv har rubriken ”Den registrerades rätt till tillgång till personuppgifter” och däri föreskrivs följande:

”Med förbehåll för artikel 15 ska medlemsstaterna föreskriva att den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse av huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna …”

7

I artikel 15 i direktiv 2016/680, med rubriken ”Begränsningar av rätten till tillgång”, föreskrivs följande:

”1.   Medlemsstaterna får anta lagstiftningsåtgärder som helt eller delvis begränsar den registrerades rätt till tillgång i den utsträckning och så länge en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att

2.   Medlemsstaterna får anta lagstiftningsåtgärder för att fastställa kategorier av behandling som helt eller delvis kan omfattas av undantagen i punkt 1 a–e.

3.   I de fall som avses i punkterna 1 och 2 ska medlemsstaterna föreskriva att den personuppgiftsansvarige utan onödigt dröjsmål ska informera den registrerade skriftligen om varje vägran eller begränsning av tillgång och om skälen för vägran eller begränsningen. Denna information kan utelämnas om tillhandahållandet skulle undergräva ett ändamål enligt punkt 1. Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska underrätta den registrerade om möjligheterna att lämna in ett klagomål till en tillsynsmyndighet eller begära rättslig prövning.

4.   Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska dokumentera de sakliga och rättsliga grunderna för beslutet. Denna information ska göras tillgänglig för tillsynsmyndigheterna.”

8

I artikel 16 i samma direktiv, med rubriken ”Rätt till rättelse eller radering av personuppgifter och begränsning av behandling”, föreskrivs följande:

”1.   Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att utan onödigt dröjsmål av den personuppgiftsansvarige få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen ska medlemsstaterna föreskriva att den registrerade ska ha rätt att få ofullständiga personuppgifter kompletterade, …

2.   Medlemsstaterna ska kräva att den personuppgiftsansvarige utan onödigt dröjsmål ska radera personuppgifter och ge den registrerade rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få till stånd radering av personuppgifter som rör honom eller henne om behandlingen står i strid med de bestämmelser som antas enligt artiklarna 4, 8 och 10 eller om personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

3.   I stället för radering ska den personuppgiftsansvarige begränsa behandling om

…

4.   Medlemsstaterna ska föreskriva att den personuppgiftsansvarige underrättar den registrerade skriftligen om eventuell vägran att rätta, radera eller begränsa behandlingen och om skälen till vägran. Medlemsstaterna får anta lagstiftningsåtgärder som helt eller delvis begränsar skyldigheten att tillhandahålla sådan information i den utsträckning som en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att

Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska underrätta den registrerade om möjligheterna att lämna in ett klagomål till en tillsynsmyndighet eller begära rättslig prövning.

…”

9

I direktivets artikel 17, med rubriken ”Den registrerades utövande av rättigheter och kontroll genom tillsynsmyndigheten”, anges följande:

”1.   I de fall som avses i artiklarna 13.3, 15.3 och 16.4 ska medlemsstaterna anta bestämmelser om att den registrerades rättigheter även kan utövas genom den behöriga tillsynsmyndigheten.

2.   Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska underrätta den registrerade om hans eller hennes möjlighet att utöva sina rättigheter genom tillsynsmyndigheten enligt punkt 1.

3.   När den rättighet som avses i punkt 1 utövas ska tillsynsmyndigheten åtminstone underrätta den registrerade om att alla nödvändiga kontroller eller en översyn genom tillsynsmyndigheten har ägt rum. Tillsynsmyndigheten ska också informera den registrerade om hans eller hennes rätt att begära rättslig prövning.”

10

Artikel 42 i samma direktiv har rubriken ”Oberoende”. I punkt 1 i den artikeln föreskrivs följande:

”Varje medlemsstat ska föreskriva att varje tillsynsmyndighet ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med detta direktiv.”

11

Artikel 46 i direktiv 2016/680 har rubriken ”Uppgifter”. I punkt 1 i den artikeln föreskrivs följande:

”Varje medlemsstat ska föreskriva att varje tillsynsmyndighet inom sitt territorium ska

…

…”

12

I direktivets artikel 47 med rubriken ”Befogenheter” föreskrivs följande:

”1.   Varje medlemsstat ska i lag säkerställa att varje tillsynsmyndighet har effektiva undersökningsbefogenheter. Dessa befogenheter ska minst inbegripa rätten att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter som behandlas och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter.

2.   Varje medlemsstat ska i lag säkerställa att varje tillsynsmyndighet har effektiva korrigerande befogenheter, till exempel för att:

…

4.   Utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställts i unionsrätten och medlemsstaternas nationella rätt i enlighet med stadgan.

…”

13

Artikel 52 i nämnda direktiv har rubriken ”Rätt att lämna in ett klagomål till en tillsynsmyndighet”. I punkt 1 i den artikeln föreskrivs följande:

”Utan att det påverkar andra administrativa prövningsförfaranden eller rättsmedel ska medlemsstaterna föreskriva att alla registrerade personer som anser att behandling som avser dem står i strid med de bestämmelser som antas i enlighet med detta direktiv har rätt att lämna in ett klagomål till en enda tillsynsmyndighet.”

14

Artikel 53 i direktivet har rubriken ”Rätt till ett effektivt rättsmedel mot en tillsynsmyndighets beslut”. I punkt 1 i den artikeln föreskrivs följande:

”Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska medlemsstater föreskriva att en fysisk eller juridisk person har rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut som avser dem och som meddelats av en tillsynsmyndighet.”

15

I artikel 54, med rubriken ”Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde”, i direktiv 2016/680 föreskrivs följande:

”Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet enligt artikel 52, ska medlemsstaterna föreskriva en rätt till effektiva rättsmedel för registrerade om han eller hon anser att deras rättigheter enligt de bestämmelser som antas enligt detta direktiv har kränkts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med dessa bestämmelser.”

16

Genom loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (lag om skydd av fysiska personer med avseende på behandling av personuppgifter) av den 30 juli 2018 (Moniteur belge, 5 september 2018, s. 68616) (nedan kallad LPD) införlivas, i dess avdelning 2, direktiv 2016/680 med den belgiska rättsordningen. De rättigheter som anges i artiklarna 13–16 i direktivet föreskrivs i kapitel III i nämnda avdelning, närmare bestämt i artiklarna 37–39 i nämnda lag.

17

I artikel 42 LPD anges följande:

”Begäran om att utöva de rättigheter som avses i detta kapitel med avseende på de polismyndigheter … eller Inspection générale de la police fédérale et de la police locale [(inspektionen för den federala och lokala polisen, Belgien)] ska ställas till den tillsynsmyndighet som avses i artikel 71.

I de fall som avses i artiklarna 37 § 2, 38 § 2 [och] 39 § 4 … ska den tillsynsmyndighet som avses i artikel 71 endast meddela den registrerade att den har utfört de nödvändiga kontrollerna.

Oaktat vad som sägs i andra stycket kan den tillsynsmyndighet som avses i artikel 71 delge den berörda personen viss relevant information.

Kungl. Maj:t avgör efter hörande av den tillsynsmyndighet som avses i artikel 71 vilket slag av relevant information som kan delges den berörda personen av denna myndighet.”

18

Enligt Cour d’appel de Bruxelles (Appellationsdomstolen i Bryssel, Belgien), som är hänskjutande domstol i målet vid EU-domstolen, har ingen kunglig förordning antagits för att genomföra artikel 42 fjärde stycket LPD.

19

Artikel 71.1 LPD har följande lydelse:

”Det ska vid representanthuset inrättas en oberoende myndighet för tillsyn i fråga om polisiär information, kallad Organe de contrôle de l’information policière [(tillsynsmyndighet för polisiär information, Belgien)].

…

Den har i uppgift att

1° övervaka tillämpningen av denna avdelning …

2° övervaka behandlingen av de uppgifter och personuppgifter som avses i artiklarna 44/1–44/11/13 i loi du 5 août 1992 sur la fonction de police [(lagen av den 5 augusti 1992 om polisverksamhet)], inbegripet de uppgifter som ingår i de databaser som avses i artikel 44/2 i samma lag,

3° andra uppdrag som organiseras genom eller i enlighet med andra lagar.”

20

Kapitel I avdelning 5 LPD har rubriken ”Förbudsföreläggande”. Artikel 209 som återfinns i detta kapitel har följande lydelse:

”Utan att det påverkar andra rättsmedel, eller andra administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, ska ordföranden för domstolen i första instans interimistiskt fastställa om det föreligger en uppgiftsbehandling som utgör ett åsidosättande av bestämmelser i lagar och föreskrifter om skydd för fysiska personer med avseende på behandling av personuppgifter och i händelse härav utfärda ett förbudsföreläggande.

Ordföranden för domstolen i första instans ska interimistiskt pröva varje ansökan som avser den rätt som ges genom eller i kraft av denna lag angående meddelande av personuppgifter och varje ansökan om rättelse, utplåning eller förbud mot användande av alla personuppgifter som är felaktiga eller, med avseende på syftet med behandlingen, ofullständiga eller irrelevanta eller vars registrering, utlämnande eller lagring är förbjuden, vars behandling den registrerade har motsatt sig eller vars resultat har lagrats under längre tid än vad som är tillåtet.”

21

I artikel 240.4 LPD föreskrivs följande:

”OCIP

…

4° ska där så erfordras hantera klagomål, utreda föremålet för klagomålet och i rimlig tid informera klaganden om hur arbetet med klagomålet fortskrider och vad resultatet blir, särskilt om ärendet kräver ytterligare utredning eller samordning med en annan tillsynsmyndighet. …”

22

Under år 2016 ansökte BA, som då var deltidsanställd hos en förening utan vinstsyfte, om säkerhetsgodkännande vid Autorité nationale de sécurité (den nationella säkerhetsmyndigheten) för att kunna delta i monteringen och nedmonteringen av installationerna i samband med den tionde upplagan av ”Europeiska utvecklingsdagarna” i Bryssel (Belgien).

23

Genom skrivelse av den 22 juni 2016 vägrade nämnda myndighet att utfärda ett säkerhetsgodkännande till BA. Den angav att det framgick av de personuppgifter som hade ställts till myndighetens förfogande att BA hade deltagit i tio demonstrationer mellan åren 2007 och 2016 och att det innebar att det inte var möjligt att ge BA ett sådant godkännande inom ramen för tillämplig lagstiftning, bland annat med hänsyn till statens säkerhet och för att bevara den konstitutionella demokratiska ordningen. Beslutet överklagades inte.

24

Den 4 februari 2020 begärde BA:s ombud att OCIP skulle identifiera de aktuella personuppgiftsansvariga och förelägga dem att ge BA tillgång till samtliga uppgifter som rörde honom för att göra det möjligt för honom att utöva sina rättigheter inom rimlig tid.

25

Genom e‑postmeddelande av den 6 februari 2020 bekräftade OCIP att ansökan hade mottagits. OCIP angav att BA endast hade en indirekt rätt att få tillgång till dessa uppgifter, samtidigt som OCIP försäkrade att den skulle kontrollera lagenligheten av en eventuell behandling av uppgifter i Banque de données nationale générale (den allmänna nationella databasen), det vill säga den databas som används av samtliga nationella polismyndigheter. OCIP förklarade att den var behörig att beordra polisen att vid behov utplåna eller ändra uppgifter och att BA efter kontrollen skulle underrättas om att nödvändiga kontroller har utförts.

26

I ett e‑postmeddelande av den 22 juni 2020 meddelade OCIP BA:s ombud följande:

”…

Jag underrättar er i enlighet med artikel 42 [LPD] om att [OCIP] har utfört de nödvändiga kontrollerna.

Detta innebär att er klients personuppgifter har kontrollerats i polismyndighetens databaser i syfte att säkerställa att en eventuell uppgiftsbehandling är laglig.

Vid behov har personuppgifterna ändrats eller utplånats.

Som jag förklarade för er i mitt e‑postmeddelande av den 2 juni är det i enlighet med artikel 42 LPD inte tillåtet för [OCIP] att lämna ut ytterligare uppgifter.”

27

Den 2 september 2020 ingav Ligue des droits humains och BA, med stöd av artikel 209 andra stycket LPD, en ansökan om interimistiska åtgärder till Tribunal de première instance francophone de Bruxelles (Franskspråkiga förstainstansdomstolen i Bryssel, Belgien).

28

För det första yrkade klagandena i det nationella målet att den domstolen skulle förklara att deras ansökan om interimistiska åtgärder kunde tas upp till prövning och, alternativt, att en begäran om förhandsavgörande skulle inges till EU-domstolen avseende frågan huruvida artikel 47.4 i direktiv 2016/680, mot bakgrund av skälen 85 och 86 i samma direktiv och jämförd med artikel 8.3 och artikel 47 i stadgan, utgör hinder för artiklarna 42 och 71 LPD, eftersom det i dessa inte föreskrivs något rättsmedel mot beslut som fattats av OCIP.

29

För det andra begärde de i sak att få tillgång till samtliga personuppgifter om BA, genom OCIP, och att OCIP skulle identifiera personuppgiftsansvariga och eventuella mottagare av uppgifterna.

30

För det fall den domstol som har att avgöra målet skulle anse att artikel 42.2 LPD gjorde det möjligt att systematiskt begränsa tillgången till de personuppgifter som behandlas av polismyndigheten, yrkade de i andra hand att en begäran om förhandsavgörande skulle inges till EU-domstolen avseende frågan huruvida artiklarna 14, 15 och 17 i direktiv 2016/680, jämförda med artiklarna 8 och 47 samt artikel 52.1 i stadgan, skulle tolkas så, att de utgjorde hinder för en nationell lagstiftning som tillät ett allmänt och systematiskt undantag från rätten till tillgång till personuppgifter, dels när denna rätt utövades genom tillsynsmyndigheten, dels när tillsynsmyndigheten kunde begränsa sig till att upplysa den berörda personen om att myndigheten hade genomfört alla nödvändiga kontroller utan att informera vederbörande om vilka personuppgifter som var föremål för behandling och om mottagarna, och oberoende av det eftersträvade syftet.

31

Genom beslut av den 17 maj 2021 förklarade tribunal de première instance francophone de Bruxelles (Franskspråkiga förstainstansdomstolen i Bryssel) att den saknade behörighet att pröva ansökan om interimistiska åtgärder.

32

Genom ansökan av den 15 juni 2021 till Cour d’appel de Bruxelles (Appellationsdomstolen i Bryssel), överklagade klagandena detta beslut. De upprepade i huvudsak de yrkanden som de framställt i första instans.

33

Den hänskjutande domstolen har i detta sammanhang bland annat påpekat att när en person inte har rätt att personligen utöva de rättigheter som föreskrivs i direktiv 2016/680, kan det förbudsföreläggande som föreskrivs i artikel 209 och följande artiklar LPD inte tillämpas. Ett sådant förbudsföreläggande kan nämligen riktas mot den personuppgiftsansvarige, men inte mot tillsynsmyndigheten själv. Vidare kan den personen, i förevarande fall BA, inte heller vidta denna åtgärd gentemot den personuppgiftsansvarige, eftersom utövandet av dennes rättigheter har anförtrotts nämnda myndighet. Slutligen gör de särskilt kortfattade upplysningar som OCIP lämnat till BA varken det möjligt för BA eller för en domstol att bedöma huruvida tillsynsmyndigheten har utövat den personens rättigheter på ett korrekt sätt. Den hänskjutande domstolen har tillagt att om LPD föreskriver att ett sådant förbudsföreläggande inte påverkar andra rättsmedel, eller andra administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, skulle sådana andra åtgärder som vidtagits av BA ha stött på samma svårigheter.

34

Mot denna bakgrund beslutade Cour d’appel de Bruxelles (Appellationsdomstolen i Bryssel) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

35

Det framgår inledningsvis av begäran om förhandsavgörande att den hänskjutande domstolens frågor avser huruvida det, på grundval av artikel 53.1 i direktiv 2016/680, jämförd med artikel 47 i stadgan, föreligger en skyldighet för medlemsstaterna att föreskriva en rätt till ett effektivt rättsmedel mot den behöriga nationella tillsynsmyndigheten när en nationell bestämmelse om införlivande av artikel 17 i direktivet med den nationella rättsordningen införs, enligt vilken artikel de registrerades rättigheter, i de fall som avses i artiklarna 13.3, 15.3 och 16.4 i det direktivet, kan utövas genom den behöriga tillsynsmyndigheten.

36

Det ska dessutom påpekas att svaret på denna fråga beror på arten och omfattningen av tillsynsmyndighetens uppdrag och befogenheter vid utövandet av den registrerades rättigheter enligt artikel 17 i direktiv 2016/680. Dessa rättigheter preciseras i artiklarna 46.1 g, 47.1 och 47.2 i direktivet och ska bedömas mot bakgrund av artikel 8.3 i stadgan; enligt sistnämnda bestämmelse ska en oberoende myndighet kontrollera att de i artikel 8.1 och 8.2 föreskrivna reglerna om skydd av personuppgifter efterlevs.

37

Den hänskjutande domstolen har således ställt den första frågan för att få klarhet i huruvida artikel 17 i direktiv 2016/680, jämförd med artiklarna 46.1 g, 47.1, 47.2 och 53.1 i direktivet samt med artiklarna 8.3 och 47 i stadgan, ska tolkas så, att när en persons rättigheter med tillämpning av nämnda artikel 17 har utövats genom den behöriga tillsynsmyndigheten så ska denna person ha tillgång till ett effektivt rättsmedel mot myndigheten.

38

EU-domstolen erinrar inledningsvis om att det i artikel 53.1 i direktiv 2016/680 anges att medlemsstaterna ska föreskriva att en fysisk eller juridisk person har rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut som avser dem och som meddelats av en tillsynsmyndighet.

39

Det ska således fastställas huruvida en tillsynsmyndighet antar ett sådant beslut när de registrerades rättigheter enligt direktivet, med tillämpning av artikel 17 i direktivet, utövas genom denna tillsynsmyndighet.

40

Det ska härvidlag framhållas att enligt artikel 17.1 i direktiv 2016/680 ska medlemsstaterna ”[i] de fall som avses i artiklarna 13.3, 15.3 och 16.4” i det direktivet, anta bestämmelser ”om att den registrerades rättigheter även kan utövas genom den behöriga tillsynsmyndigheten”.

41

Såsom framgår av användningen av adverbet ”även” och såsom generaladvokaten har påpekat i punkterna 41 och 42 i sitt förslag till avgörande, utgör det i bestämmelsen föreskrivna indirekta utövandet av den registrerades rättigheter genom den behöriga tillsynsmyndigheten ytterligare en skyddsregel för att den registrerades personuppgifter ska behandlas på ett lagligt sätt, när nationell lagstiftning begränsar det direkta utövandet av rätten till tillgång till ytterligare information från den personuppgiftsansvarige enligt artikel 13.2 i direktiv 2016/680, rätten att få tillgång till dessa uppgifter enligt artikel 14 i direktivet eller rätten till rättelse eller radering av personuppgifter eller begränsning av behandling enligt villkoren i artikel 16.1–16.3 i direktivet.

42

Med hänsyn till den särskilda karaktären hos de ändamål för vilka behandling av uppgifter som omfattas av direktivet utförs, vilket bland annat understryks i skäl 10 i direktivet, ger artikel 13.3 och artikel 15.1 i direktiv 2016/680 den nationella lagstiftaren rätt att begränsa det direkta utövandet dels av rätten till information, dels av rätten till tillgång ”i den utsträckning och så länge som en sådan åtgärd är nödvändig och proportionell i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen” i syfte att ”undvika att hindra officiella eller rättsliga utredningar, undersökningar eller förfaranden”, ”undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder”, ”skydda den allmänna säkerheten”, ”skydda den nationella säkerheten” eller ”skydda andra personers rättigheter och friheter”. I artikel 15.3 i samma direktiv föreskrivs dessutom att den personuppgiftsansvarige får avstå från att informera den registrerade om varje vägran eller begränsning av tillgång och om skälen för vägran eller begränsningen, om ett utlämnande av informationen skulle kunna undergräva något av ovannämnda mål av allmänintresse.

43

På samma sätt tillåter artikel 16.4 i direktivet den nationella lagstiftaren att begränsa den personuppgiftsansvariges skyldighet att ”[underrätta] den registrerade skriftligen om eventuell vägran att rätta, radera eller begränsa behandlingen och om skälen till vägran” med anledning av samma mål av allmänintresse ”i den utsträckning som en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen”.

44

I detta sammanhang ska det, såsom framgår av skäl 48 i samma direktiv, anses vara nödvändigt att indirekt kunna utöva de rättigheter som avses i punkt 41 ovan genom den behöriga tillsynsmyndigheten för att skydda dessa rättigheter, när det visar sig vara svårt eller till och med omöjligt att utöva dem direkt hos den personuppgiftsansvarige.

45

I detta syfte krävs enligt artikel 46.1 g i direktiv 2016/680 att varje behörig nationell myndighet ska ha i uppgift att kontrollera att behandlingen är laglig enligt artikel 17 i detta direktiv, det vill säga efter en begäran som grundar sig på sistnämnda bestämmelse.

46

Det framgår dessutom av bland annat artikel 47.1 och 47.2 i direktivet att varje tillsynsmyndighet enligt nationell lagstiftning inte bara ska ha ”effektiva undersökningsbefogenheter”, utan även ”effektiva korrigerande befogenheter”.

47

Dessa bestämmelser ska tolkas mot bakgrund av kravet i artikel 8.3 i stadgan, enligt vilket ”[e]n oberoende myndighet ska kontrollera” att reglerna om var och ens rätt till skydd av personuppgifter i punkterna 1 och 2 i denna artikel efterlevs, och särskilt kravet i andra meningen i punkt 2 i denna artikel, enligt vilket ”[v]ar och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem”. Det framgår nämligen av fast rättspraxis att inrättandet av en oberoende tillsynsmyndighet syftar till att säkerställa att kontrollen av att skyddet för fysiska personer med avseende på behandling av deras personuppgifter följs är effektiv och tillförlitlig och ska tolkas mot bakgrund av detta syfte (se, för ett liknande resonemang, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 229 och där angiven rättspraxis).

48

När en sådan tillsynsmyndighet agerar för att säkerställa utövandet av den registrerades rättigheter med stöd av artikel 17 i direktiv 2016/680, är dess uppgift helt och hållet förenlig med definitionen i unionens primärrätt av dess roll, eftersom denna definition bland annat innebär en kontroll av att den registrerades rätt till tillgång till information och rätt till rättelse har iakttagits. Härav följer att tillsynsmyndigheten, vid fullgörandet av denna särskilda uppgift, liksom inom ramen för alla andra uppgifter, måste kunna utöva de befogenheter som den tilldelats genom artikel 47 i detta direktiv på ett oberoende sätt, i enlighet med stadgan och såsom anges i skäl 75 i samma direktiv.

49

När den behöriga tillsynsmyndigheten har kontrollerat om behandlingen är laglig ska den enligt artikel 17.3 första meningen i direktivet dessutom ”åtminstone” underrätta den registrerade ”om att alla nödvändiga kontroller eller en översyn genom tillsynsmyndigheten har ägt rum”.

50

Såsom generaladvokaten har påpekat i punkt 65 i sitt förslag till avgörande följer det av samtliga dessa bestämmelser att när den behöriga tillsynsmyndigheten underrättar den registrerade om resultatet av de kontroller som utförts, ges den personen kännedom om det beslut att avsluta kontrollförfarandet som tillsynsmyndigheten har fattat med avseende på vederbörande, vilket med nödvändighet påverkar denna persons rättsliga ställning. Detta beslut utgör således ett ”rättsligt bindande beslut” i förhållande till den personen i den mening som avses i artikel 53.1 i direktiv 2016/680, oberoende av om och i vilken utsträckning denna myndighet har konstaterat att behandlingen av uppgifter om denna person var laglig och vidtagit korrigerande åtgärder.

51

I skäl 86 i direktivet anges för övrigt att begreppet ”rättsligt bindande beslut”, i den mening som avses i direktivet, bör förstås som ett beslut som har rättsliga följder för den behöriga personen. Ett sådant beslut avser särskilt tillsynsmyndighetens utövande av utrednings-, korrigerings- och godkännandebefogenheter eller avvisande av eller avslag på klagomål.

52

Den registrerade ska således kunna få till stånd en domstolsprövning av huruvida ett sådant beslut är välgrundat på grundval av artikel 53.1 i direktiv 2016/680 och, i synnerhet, av det sätt på vilket tillsynsmyndigheten har uppfyllt sin skyldighet enligt artikel 17 i detta direktiv, till vilken det hänvisas i artikel 46.1 g i samma direktiv, att genomföra ”alla nödvändiga kontroller” och, i förekommande fall, att utöva sina korrigerande befogenheter.

53

Denna slutsats stöds för övrigt av skäl 85 i direktiv 2016/680, av vilket det framgår att alla registrerade bör ha rätt till ett effektivt rättsmedel mot en tillsynsmyndighets beslut om denna myndighet ”inte agerar när så är nödvändigt för att skydda den registrerades rättigheter”.

54

En sådan tolkning är slutligen förenlig med artikel 47 i stadgan, eftersom denna rättighet, såsom framgår av fast rättspraxis, ska erkännas varje person som gör gällande rättigheter eller friheter som garanteras i unionsrätten, mot en rättsakt som går denna emot på så sätt att personens rättigheter eller friheter kan inskränkas (se, för ett liknande resonemang, dom av den 26 januari 2023, Ministerstvo na vatreshnite raboti (Polisregistrering av biometriska och genetiska uppgifter), C‑205/21, EU:C:2023:49, punkt 87 och där angiven rättspraxis).

55

Av det anförda följer att den första frågan ska besvaras enligt följande. Artikel 17 i direktiv 2016/680, jämförd med artiklarna 46.1 g, 47.1, 47.2 och 53.1 i direktivet samt med artiklarna 8.3 och 47 i stadgan, ska tolkas så, att när en persons rättigheter med tillämpning av nämnda artikel 17 har utövats genom den behöriga tillsynsmyndigheten, och denna myndighet underrättar nämnda person om resultatet av kontrollerna, så ska denna person ha tillgång till ett effektivt rättsmedel mot myndighetens beslut att avsluta kontrollförfarandet.

56

Den hänskjutande domstolen har ställt sin andra fråga för att få klarhet i huruvida artikel 17.3 i direktiv 2016/680 är giltig mot bakgrund av artiklarna 8.3 och 47 i stadgan, i den mån det i nämnda artikel 17.3 endast föreskrivs att tillsynsmyndigheten ska underrätta den registrerade dels om att alla nödvändiga kontroller eller en översyn genom tillsynsmyndigheten har ägt rum, dels om att den registrerade har rätt att begära rättslig prövning, då sådan information inte möjliggör en domstolsprövning av tillsynsmyndighetens åtgärder och bedömning med beaktande av de uppgifter som behandlats och den personuppgiftsansvariges skyldigheter.

57

EU-domstolen framhåller att unionsrättsakter, enligt allmänna tolkningsprinciper och så långt det är möjligt, ska tolkas på ett sätt som inte påverkar deras giltighet och i överensstämmelse med primärrätten i dess helhet, däribland bestämmelserna i stadgan. När en bestämmelse i unionens sekundärrätt kan tolkas på flera sätt, ska en tolkning som gör bestämmelsen förenlig med primärrätten ges företräde framför en tolkning som gör bestämmelsen oförenlig med primärrätten (dom av den 21 juni 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, punkt 86 och där angiven rättspraxis).

58

Vad beträffar rätten till ett effektivt rättsmedel enligt artikel 47 i stadgan måste den berörda personen vidare ha möjlighet att få kännedom om de skäl som ligger till grund för det beslut som fattats rörande honom eller henne. Detta är nödvändigt för att den berörde ska kunna ta till vara sina rättigheter under bästa möjliga förutsättningar och, med kännedom om samtliga omständigheter, kunna avgöra huruvida det finns anledning att väcka talan vid behörig domstol samt för att behörig domstol fullt ut ska kunna genomföra legalitetskontrollen av det aktuella beslutet (se, för ett liknande resonemang, dom av den 4 juni 2013, ZZ, C‑300/11, EU:C:2013:363, punkt 53 och där angiven rättspraxis).

59

Även om denna rättighet inte utgör en absolut rättighet och den enligt artikel 52.1 i stadgan kan begränsas, får begränsningar endast göras under förutsättning att de föreskrivs i lag, att de är förenliga med det väsentliga innehållet i de aktuella rättigheterna och friheterna och att de, med beaktande av proportionalitetsprincipen, endast görs om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter (dom av den 26 januari 2023, Ministerstvo na vatreshnite raboti (Polisregistrering av biometriska och genetiska uppgifter), C‑205/21, EU:C:2023:49, punkt 89 och där angiven rättspraxis).

60

I förevarande fall framhåller domstolen, vad gäller det beslut som fattats av den behöriga tillsynsmyndigheten och som anges i punkt 50 ovan, att det genom artikel 17.3 i direktiv 2016/680 införs en miniminivå vad gäller informationsskyldigheten för denna tillsynsmyndighet, genom att det däri föreskrivs att myndigheten ”åtminstone” ska underrätta den registrerade om ”att alla nödvändiga kontroller eller en översyn genom tillsynsmyndigheten har ägt rum” och om ”hans eller hennes rätt att begära rättslig prövning”.

61

Av detta följer att denna bestämmelse kan medföra en begränsning av rätten till ett effektivt rättsmedel, som garanteras i artikel 47 i stadgan, eftersom bestämmelsen inte utgör hinder för att tillsynsmyndigheten i vissa fall, i enlighet med de bestämmelser som antagits av den nationella lagstiftaren för att genomföra densamma, kan ha möjlighet, eller till och med skyldighet att begränsa sig till de minimiuppgifter som avses i föregående punkt, utan ytterligare precisering, i synnerhet när dessa genomförandebestämmelser syftar till att undvika att äventyra de mål av allmänt samhällsintresse som anges i artiklarna 13.3, 15.1 och 16.4 i nämnda direktiv, såsom angetts i punkterna 42 och 43 ovan.

62

För det första konstaterar domstolen, trots det nu sagda, att en sådan begränsning uttryckligen föreskrivs i direktiv 2016/680 och att den därigenom uppfyller villkoret i artikel 52.1 i stadgan, enligt vilket varje begränsning i utövandet av en grundläggande rättighet ska vara ”föreskriven i lag”.

63

För det andra innebär inte den omständigheten att artikel 17.3 i direktiv 2016/680 gör det möjligt för medlemsstaterna att i vissa fall begränsa motiveringen av det beslutet till de minimiuppgifter som anges i denna bestämmelse, såsom generaladvokaten har angett i punkt 89 i sitt förslag till avgörande, att det under alla omständigheter är möjligt att begränsa informationen till den berörda personen till att endast avse dessa uppgifter.

64

Direktivets artikel 17.3 ska nämligen tolkas mot bakgrund av artikel 52.1 i stadgan, så att de övriga kriterier som anges i nämnda stadgebestämmelse är uppfyllda. Detta innebär att det ska anses utgöra ett krav enligt artikel 17.3 att medlemsstaterna ser till att de bestämmelser i nationell rätt genom vilka artikel 17.3 genomförs dels är förenliga med det väsentliga innehållet i rätten till ett effektivt domstolsskydd, dels grundar sig på en avvägning mellan de mål av allmänintresse som motiverar en begränsning av denna information samt den berörda personens grundläggande rättigheter och berättigade intressen, med iakttagande av nödvändighets- och proportionalitetsprinciperna, i likhet med den avvägning som den nationella lagstiftaren ska göra vid genomförandet av de begränsningar som föreskrivs i artiklarna 13.3, 15.3 och 16.4 i nämnda direktiv.

65

När skyddet för den berörda personens rätt till ett effektivt rättsmedel mot beslutet att avsluta kontrollförfarandet kräver det och de mål av allmänintresse som avses i artiklarna 13.3, 15.3 och 16.4 i direktiv 2016/680 inte utgör hinder för detta, ankommer det på medlemsstaterna att föreskriva att informationen till den berörda personen får omfatta mer än de minimiuppgifter som föreskrivs i artikel 17.3 i direktivet, så att vederbörande kan tillvarata sina rättigheter och med full kännedom om saken avgöra om det finns anledning att väcka talan vid behörig domstol.

66

På samma sätt ska de nationella åtgärder som genomför sistnämnda direktivbestämmelse så långt det är möjligt ge den behöriga tillsynsmyndigheten, i enlighet med det oberoende som kännetecknar den enligt artikel 8.3 i stadgan, ett visst utrymme för skönsmässig bedömning för att avgöra huruvida det ramverk som fastställts i den nationella lagstiftningen i enlighet med de krav som anges i punkt 65 ovan inte utgör hinder för att den behöriga tillsynsmyndigheten underrättar denna person, åtminstone på ett kortfattat sätt, om resultatet av sina kontroller och, i förekommande fall, de korrigerande åtgärder som myndigheten har vidtagit. Såsom generaladvokaten har framhållit i punkterna 73 och 74 i sitt förslag till avgörande ankommer det på denna myndighet att, med iakttagande av detta nationella ramverk, inleda en konfidentiell dialog med den personuppgiftsansvarige och, efter denna dialog, besluta vilken information som är nödvändig för att den registrerade ska kunna utöva sin rätt till ett effektivt rättsmedel och som myndigheten kan lämna till vederbörande, utan att äventyra de mål av allmänt samhällsintresse som avses i punkt 65 ovan.

67

I de fall där det enligt detta ramverk krävs att den information som tillsynsmyndigheten lämnar är begränsad till vad som föreskrivs i artikel 17.3 i direktiv 2016/680, ankommer det inte desto mindre på medlemsstaterna att inom ramen för sin processuella autonomi vidta nödvändiga åtgärder för att, i enlighet med artikel 53.1 i direktivet, säkerställa en effektiv domstolskontroll såväl av förekomsten och riktigheten av de skäl som motiverat begränsningen av denna information som av att tillsynsmyndigheten på ett korrekt sätt verkställt sin uppgift att kontrollera att behandlingen är laglig. Begreppet ”effektivt rättsmedel” i sistnämnda bestämmelse ska tolkas mot bakgrund av skäl 86 i direktivet, enligt vilket de domstolar vid vilka talan väcks mot en tillsynsmyndighet ”bör ha fullständig behörighet, vilket bör omfatta behörighet att rättsligt eller faktiskt pröva alla frågor som rör de tvister som anhängiggjorts vid dem”.

68

Medlemsstaterna ska särskilt se till att den behöriga domstolen har tillgång till och använder sig av tillvägagångssätt och processuella rättsregler som gör det möjligt att förena, å ena sidan, berättigade hänsyn till de mål av allmänintresse som avses i artiklarna 13.3, 15.3 och 16.4 i direktiv 2016/680, då dessa mål har beaktats i nationell lagstiftning för att begränsa den information som lämnas till den registrerade och, å andra sidan, nödvändigheten av att i tillräcklig utsträckning säkerställa den enskildes processuella rättigheter, såsom rätten att yttra sig och principen om ett kontradiktoriskt förfarande (se, för ett liknande resonemang, dom av den 4 juni 2013, ZZ, C‑300/11, EU:C:2013:363, punkt 57 och där angiven rättspraxis).

69

Inom ramen för domstolsprövningen av om tillsynsmyndigheten har gjort en korrekt tillämpning av artikel 17 i direktivet, åligger det medlemsstaterna att införa regler som gör det möjligt för den behöriga domstolen att få kännedom om de skäl och den bevisning som myndigheten i detta sammanhang har lagt till grund för sin bedömning av huruvida den aktuella behandlingen av uppgifterna är laglig samt de slutsatser som myndigheten dragit därav (se, för ett liknande resonemang, dom av den 4 juni 2013, ZZ, C‑300/11, EU:C:2013:363, punkt 59 och där angiven rättspraxis).

70

I detta avseende ska det, såsom Europaparlamentet har framhållit i sitt yttrande, påpekas att det i artikel 15.4 i direktiv 2016/680 föreskrivs att den personuppgiftsansvarige ska dokumentera de sakliga och rättsliga grunderna för beslutet att helt eller delvis begränsa den registrerades rätt till tillgång och göra denna information tillgänglig för tillsynsmyndigheterna. Såsom Europaparlamentet har föreslagit innebär denna bestämmelse, jämförd med artiklarna 17 och 53 i direktivet och mot bakgrund av artikel 47 i stadgan, såsom den tolkats i den rättspraxis som det erinrats om i punkterna 68 och 69 ovan, att dessa uppgifter även ska göras tillgängliga för den domstol som har att pröva ett överklagande mot tillsynsmyndigheten för att det ska prövas om nämnda artikel 17 tillämpats på ett korrekt sätt.

71

Det framgår således av punkterna 63–70 ovan att den begränsning som föreskrivs i artikel 17 i direktiv 2016/680 är förenlig med innehållet i den registrerades rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut att avsluta det förfarande som föreskrivs i denna bestämmelse samt med nödvändighets- och proportionalitetsprinciperna, i enlighet med artikel 52.1 i stadgan.

72

Av det ovan anförda följer att det vid prövningen av den andra frågan inte har framkommit någon omständighet som kan påverka giltigheten av artikel 17.3 i direktiv 2016/680.

73

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (femte avdelningen) följande: