1. 

De tolkningsfrågor som Kúria (Ungerns högsta domstol) har ställt har sitt ursprung i en tvist mellan Magyar Adatvédelmi és Információszabadság Hatóság (nedan kallad den ungerska dataskyddsmyndigheten) och ett företag som är registrerat i Slovakien och som driver en webbplats för fastighetsförmedling, på vilken företaget publicerar annonser för fastigheter belägna i Ungern.

2. 

Förevarande mål ger domstolen tillfälle att på nytt uttala sig om fastställande av den lagstiftning som är tillämplig på behandling av uppgifter enligt artikel 4.1 a i direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter, ( 2 ) vilken domstolen tidigare har tolkat i domen i målet Google Spain och Google. ( 3 ) Dessutom aktualiseras i målet vissa frågor som domstolen ännu inte har prövat. De rör fastställande av behörig tillsynsmyndighet, vilken lagstiftning denna myndighet ska tillämpa och vilka befogenheter den har, i synnerhet vad gäller möjligheterna att vidta sanktioner.

3.

I direktiv 95/46 fastställs olika kriterier för att avgöra vilken lagstiftning som ska tillämpas på behandling av personuppgifter. I skäl 18 anges att ”[f]ör att undvika att en enskild person förvägras det skydd som tillkommer honom enligt detta direktiv skall varje behandling av personuppgifter inom gemenskapen ske i enlighet med lagstiftningen i en av medlemsstaterna. Med hänsyn till detta bör behandlingen av uppgifter som utförs av någon som på uppdrag av en registeransvarig som är etablerad i en medlemsstat regleras av den statens lagstiftning.”

4.

Vidare betonas i skäl 19 i direktiv 95/46 att ”[e]tablering på en medlemsstats territorium förutsätter effektiv och faktisk verksamhet med hjälp av en stabil struktur. Härvid har den berörda verksamhetens rättsliga form inte avgörande betydelse, oavsett om det är fråga om en filial eller om ett dotterbolag som är en juridisk person.” I samma skäl anges att ”[o]m den ansvarige är etablerad på flera medlemsstaters territorier, särskilt genom dotterbolag, måste han för att undvika varje kringgående garantera att varje verksamhet uppfyller bestämmelserna i den nationella lagstiftning som gäller för aktiviteterna”.

5.

Artikel 4.1 i direktiv 95/46, i vilken punkt a är relevant i förevarande mål, handlar om vilken lagstiftning som är tillämplig på behandling av uppgifter. Där föreskrivs följande:

”1.   Varje medlemsstat skall tillämpa de nationella bestämmelser som den för genomförandet av detta direktiv antar för behandlingen av personuppgifter när

...”

6.

I artikel 28, vilken handlar om tillsynsmyndigheter inom dataskyddsområdet, föreskrivs följande i punkterna 1, 3, 4 och 6:

”1.   Varje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv.

Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som åläggs dem.

...

3.   Varje tillsynsmyndighet skall särskilt ha

Sådana beslut av tillsynsmyndigheten som går en part emot kan överklagas till domstol.

4.   Var och en kan, på egen hand eller företrädd av en organisation, vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda personen skall informeras om vilka följder hans begäran har fått.

Var och en kan i samband med tillämpningen av de nationella bestämmelser som har antagits med stöd av artikel 13 i detta direktiv till tillsynsmyndigheten ge in en begäran om att få kontrollera om en behandling är tillåten. Den berörda personen skall informeras om vilka följder hans begäran har fått.

...

6.   En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen medlemsstats territorium utöva de befogenheter som i enlighet med punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter.

De övervakande myndigheterna skall i den utsträckning som det behövs samarbeta med varandra, särskilt genom att utbyta användbar information.

...”

7.

Lag nr CXII från år 2011 om självbestämmande på informationsområdet och om informationsfrihet (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011) (nedan kallad informationslagen), är den nationella lag varigenom direktiv 95/46 införlivas.

8.

2 § i informationslagen har följande lydelse:

”(1)   Denna lag ska tillämpas på all behandling av uppgifter och all databehandling som sker i Ungern vad gäller uppgifter om fysiska personer, information till allmänheten eller uppgifter av allmänt intresse.

(2)   Denna lag ska tillämpas på behandling av uppgifter och databehandling oavsett om denna sker genom en automatisk process eller för hand.

(3)   Denna lag ska tillämpas om en behandling av personuppgifter utförs av någon som är etablerad i ett tredjeland om denne i sin verksamhet anlitar en registerförare som har sin registrerade adress, driftsställe, filial, hemvist eller fast bostad i Ungern, eller använder sig av utrustning som befinner sig i Ungern, om inte sådan utrustning endast används för att låta uppgifter passera genom Europeiska unionen. Sådana registeransvariga ska utse en företrädare i Ungern.

9.

I 3 § i informationslagen anges att i denna lag avses med

”(9)   registeransvarig (’adatkezelő’): den fysiska eller juridiska person eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter, fattar beslut angående denna behandling (inbegripet medlen) och själv genomför sådana beslut eller anlitar en registerförare (’adatfeldolgozó’) för att genomföra dem.

(10)   behandling av uppgifter (’adatkezelés’): varje åtgärd eller serie av åtgärder som vidtas beträffande uppgifter, vare sig det sker på automatisk väg eller inte, särskilt insamling, registrering, organisering, lagring, bearbetning eller ändring, användning, återvinning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring, och blockering från fortsatt användning, fotografering, ljud- och videoinspelning samt registrering av fysiska kännetecken i identifikationssyfte (såsom fingeravtryck och handavtryck, DNA-prover och näthinnebilder).

(11)   dataöverföring: tillhandahålla uppgifter till en specifik tredje part.

...

(17)   databehandling (’adatfeldolgozás’): de tekniska operationer som utförs vid behandling av uppgifter, oberoende av vilka metoder eller vilken utrustning som används vid denna behandling och av vilken ort denna behandling sker på, förutsatt att sådana tekniska operationer utförs avseende uppgifterna.

(18)   dataregisterförare (’adatfeldolgozó’): den fysiska eller juridiska person, eller det andra organ som enligt avtal behandlar personuppgifter för den registeransvariges räkning, inbegripet när detta avtal är föreskrivet i lag.

...”.

10.

Denna begäran om förhandsavgörande har framställts med anledning av ett överklagande till Kúria av den dom som Fővárosi Közigazgatási és Munkaügyi Bíróság (förvaltnings- och arbetsdomstol i Budapest) meddelade i förvaltningsmål rörande dataskydd mellan bolaget Weltimmo s.r.o. (nedan kallat Weltimmo) och den ungerska dataskyddsmyndigheten.

11.

Weltimmo är ett bolag som driver en webbplats för fastighetsförmedling och det har sitt säte i Slovakien. Dess verksamhet består i att det förvaltar nämnda webbplats, på vilken det publiceras annonser för fastigheter belägna i Ungern. Annonserna är gratis i en månad, därefter måste annonsörerna betala för dem. Många annonsörer begärde via e-post att deras annonser, och deras personuppgifter, skulle raderas i samband med att gratisperioden upphörde, eftersom de inte ville köpa betaltjänsten. Weltimmo tillmötesgick emellertid inte annonsörernas begäran, utan skickade ut räkningar för betaltjänsten. Efter det att dessa räkningar inte hade betalats lämnade Weltimmo ut annonsörernas personuppgifter till indrivningsföretag.

12.

Efter det att annonsörerna hade klagat till den ungerska dataskyddsmyndigheten, förklarade den att den var behörig att pröva ärendet och att ungersk lag var tillämplig (enligt 3 § 10 i informationslagen utgör insamling av uppgifter behandling av uppgifter), samt ålade Weltimmo att betala 10 miljoner ungerska forint (HUF) i böter. Weltimmo överklagade detta beslut till förvaltnings- och arbetsdomstolen i Budapest, vilken visserligen inte ifrågasatte dataskyddsmyndighetens behörighet eller den tillämpliga lagen, men ändå ogiltigförklarade beslutet på grund av att vissa omständigheter inte hade utretts tillräckligt.

13.

I sitt överklagande yrkade Weltimmo bland annat att Kúria skulle slå fast att ingen ytterligare utredning är nödvändig, eftersom det följer av artikel 4.1 a i direktiv 95/46 att den ungerska dataskyddsmyndigheten inte är behörig att genomföra ett förfarande och tillämpa ungersk rätt när det gäller en tjänsteleverantör som är etablerad i en annan medlemsstat. Weltimmo påpekade särskilt att i enlighet med artikel 28.6 i direktiv 95/45 borde denna myndighet ha anmodat den slovakiska dataskyddsmyndigheten att vidta åtgärder mot klaganden.

14.

Den ungerska dataskyddsmyndigheten har i det nationella målet för att styrka sin behörighet och tillämpligheten av ungersk rätt anfört att Weltimmo har en ”ungersk kontaktperson”, närmare bestämt en ungersk medborgare som är en av ägarna till bolaget. Denne representerade Weltimmo i såväl det administrativa förfarandet som i det nationella domstolsförfarandet. Den ungerska dataskyddsmyndigheten har också påpekat att Weltimmos ägare bor i Ungern. Under alla förhållanden anser myndigheten att det följer av artikel 28.6 i direktiv 95/46 att myndigheten är behörig oavsett vilken lagstiftning som ska tillämpas.

15.

Eftersom Kúria i detta sammanhang anser att de relevanta bestämmelserna i direktiv 95/46 inte är tillräckligt tydliga, meddelade Kúria den 22 april 2014 ett beslut (vilket inkom till domstolen den 12 maj 2014) att hänskjuta följande tolkningsfrågor för förhandsavgörande:

16.

Den ungerska regeringen, den slovakiska regeringen och Förenade kungarikets regering samt den ungerska dataskyddsmyndigheten och Europeiska kommissionen har inkommit med skriftliga yttranden. Den ungerska, den slovakiska och den polska regeringen, samt den ungerska dataskyddsmyndigheten och Europeiska kommissionen var närvarande vid den muntliga förhandlingen som hölls den 12 mars 2015.

17.

De tolkningsfrågor som Kúria har ställt handlar om två problem som visserligen har framställts som om de hängde samman med varandra, men som ändå bör behandlas vart och ett för sig, vilket även avspeglar sig i de skriftliga och muntliga yttrandena i målet vid EU-domstolen. Det handlar dels om vilken lagstiftning som är tillämplig på behandlingen av uppgifter, dels om vilken tillsynsmyndighet som är behörig. Jag ska därför huvudsakligen dela upp mitt resonemang i två delar. Till att börja med ska jag behandla frågan om vilken lagstiftning som är tillämplig på behandlingen av uppgifter och frågan om begreppet etablering, varvid jag ska pröva frågorna 1–6 tillsammans. Därefter ska jag behandla frågan om vilken tillsynsmyndighet som är behörig och vilka befogenheter den har – och samtidigt pröva frågan huruvida det ska göras åtskillnad mellan den behöriga tillsynsmyndigheten och tillämplig lagstiftning (fråga 7). Avslutningsvis ska jag ta mig an den terminologiska frågeställningen i fråga 8.

18.

Genom tolkningsfrågorna 1–6, vilka bör behandlas tillsammans, vill Kúria i korthet få klarlagt om artiklarna 4.1 a och 28.1 i direktiv 95/46 kan tolkas så att de under de omständigheter som är för handen i det nationella målet, gör det möjligt att tillämpa den ungerska dataskyddslagen och att den ungerska dataskyddsmyndigheten får tillämpa denna lag på en webbplatsförvaltare som enbart är etablerad i en annan medlemsstat. Utöver detta undrar Kúria i detta sammanhang vilken inverkan ett antal enskilda faktorer har, som att företagets tjänster är riktade till en annan medlemsstat, den plats från vilken uppgifterna om fastigheterna har laddats upp, de registrerades medborgarskap och den omständigheten att företagets ägare innehar en bostad i Ungern.

19.

I de första två frågorna har Kúria hänvisat till såväl artikel 28.1 som artikel 4.1 a i direktivet. För att besvara Kúrias frågor anser jag emellertid att det är fullt möjligt att avstå från att göra en bedömning av räckvidden av den förstnämnda bestämmelsen. I artikel 28.1 föreskrivs endast att ”[v]arje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv”. Jag anser att denna bestämmelse inte är avgörande för att fastställa tillämplig lagstiftning. För det första återfinns artikel 28 i systematiskt hänseende i kapitel VI i direktivet, vilket innehåller bestämmelser om såväl tillsynsmyndigheter som arbetsgrupper för skydd av enskilda med avseende på behandlingen av personuppgifter, och inte om frågan om tillämplig lagstiftning. För det andra ger själva ordalydelsen av artikel 28.1 i direktivet inte något ytterligare kriterium för att fastställa vilken lagstiftning som är tillämplig på behandlingen av personuppgifter. Sammanfattningsvis innehåller denna bestämmelse inga uppgifter vars tolkning kan leda fram till ett annat svar på frågan om tillämplig lagstiftning än det som följer av de kriterier som anges i artikel 4 i direktivet, vilken specifikt reglerar frågan om tillämplig lag.

20.

Vad gäller artikel 4.1 a i direktivet ska det till att börja med påpekas att parterna såväl i sina muntliga som i sina skriftliga yttranden har understrukit betydelsen av denna bestämmelse för att besvara frågorna rörande tillämplig lagstiftning och att det är särskilt viktigt att fastställa på vilken plats Weltimmo är etablerat.

21.

Problematiken kring tillämplig lagstiftning i gränsöverskridande situationer med databehandling är sedan flera decennier tillbaka en omtvistad fråga på internationell nivå. ( 4 ) Artikel 4 i direktivet, som handlar om tillämplig nationell rätt, blev den första bestämmelsen där det fastställdes en regel för att bestämma tillämplig rätt i detta hänseende. ( 5 ) Denna artikel innehåller olika kriterier för att avgöra huruvida den nationella lagstiftning som har antagits för att införliva direktivet är tillämplig. Därigenom fastställs indirekt (genom att det anges att dessa nationella bestämmelser är tillämpliga) själva direktivets geografiska tillämpningsområde.

22.

Av särskild betydelse för situationer där frågan om tillämplig lagstiftning mellan unionens medlemsstater är relevant är således artikel 4.1 a i direktiv 95/46, i vilken det föreskrivs att ”[v]arje medlemsstat skall tillämpa de nationella bestämmelser som den ( 6 ) för genomförandet av detta direktiv antar för behandlingen av personuppgifter när a) behandlingen utförs som ett led i verksamhet inom den medlemsstats territorium, där den registeransvarige är etablerad”.

23.

Artikel 4.1 a har således dubbla funktioner. Å ena sidan möjliggör den en tillämpning av unionsrätten genom lagstiftningen i en av medlemsstaterna när behandlingen av uppgifter enbart utförs ”som ett led” i en verksamhet vid ett etableringsställe i den medlemsstaten, även om behandlingen av uppgifter ”i egentlig mening” utförs i en tredje stat (vilket var fallet i målet Google Spain och Google ( 7 )). Å andra sidan fungerar denna bestämmelse som den regel som bestämmer tillämplig lagstiftning mellan medlemsstaterna (vilket är den fråga som är aktuell i förevarande mål). I det sistnämnda fallet utgör artikel 4.1 a i direktivet den bestämmelse som fastställer tillämplig lagstiftning, genom att den är en lagvalsregel mellan de olika medlemsstaternas lagstiftningar.

24.

Beträffande detta ska det betonas att den nationella domstolen i sina frågor har angett att de avser en förvaltare av en webbplats med fastighetsannonser som enbart är etablerad i en annan medlemsstat, vilket är ett förhållande som har ifrågasatts av den ungerska tillsynsmyndigheten. Förenade kungariket anser att det är uppenbart att det är lagen i etableringsmedlemsstaten, i detta fall Slovakien, som ska vara tillämplig i förevarande mål och att den ungerska myndigheten inte har möjlighet att tillämpa bestämmelserna i den egna nationella lagstiftningen. På liknande sätt har kommissionen betonat att det visserligen skulle kunna godtas att ungersk lagstiftning tillämpas om det konstateras att klaganden även är etablerad i Ungern, men att Kúria har uppgett att företaget i det här fallet enbart är etablerat i en annan medlemsstat.

25.

Oavsett den bedömning av de faktiska omständigheterna som finns inbakad i tolkningsfrågornas lydelse rörande det verkliga etableringsstället, antyder frågorna 3–6 att Kúria hyser en viss osäkerhet beträffande begreppet etablering, i den mening som avses i direktivet, och att det kanske är ett begrepp som inte enbart är formellt. Av detta skäl anser jag att det för att kunna ge ett användbart svar på frågorna 1–6 krävs att kriterier fastställs som gör det möjligt att avgöra huruvida det i Ungern föreligger en behandling av uppgifter som har utförts ”som ett led i verksamhet inom den medlemsstats territorium, där den registeransvarige är etablerad” i den mening som avses i artikel 4.1 a i direktivet.

26.

För att i förevarande mål kunna avgöra huruvida det är ungersk eller slovakisk lagstiftning som ska tillämpas är det således nödvändigt att göra en prövning i två steg, i enlighet med den metod som domstolen använde sig av i domen i målet Google Spain och Google. ( 8 ) Det ska för det första klarläggas huruvida Weltimmo hade ett etableringsställe i Ungern och för det andra huruvida behandlingen av uppgifter har utförts som ett led i verksamheten i detta etableringsställe. Mot bakgrund av omständigheterna i förevarande mål ska det emellertid påpekas att till skillnad från i målet Google Spain och Google är det här inte omtvistat huruvida behandlingen av uppgifterna har utförts ”som ett led i en verksamhet” i ett etableringsställe. Den avgörande frågan är här huruvida det finns ett etableringsställe i Ungern och/eller i Slovakien. Jag ska således i huvudsak inrikta mig på detta första steg i prövningen.

27.

Beträffande denna fråga har den ungerska regeringen i sitt skriftliga yttrande påpekat att de olika språkversionerna av denna bestämmelse ger stöd för en tolkning av begreppet etablering som inte bara innebär en ren hänvisning till etablering i den mening som avses i bolagsrätten. Den slovakiska regeringen, som också har förespråkat en icke-formalistisk tolkning av begreppet etablering, har påpekat att det i detta sammanhang är lämpligt att se till domstolens praxis rörande etableringsfrihet. Även den ungerska dataskyddsmyndigheten har förespråkat en tolkning av begreppet etablering där den rättsliga formen inte är avgörande och den har påpekat att etableringen kan utgöras av Weltimmos representant i Ungern, i det aktuella fallet Benkö. Denna person, som företrädde företaget i det administrativa förfarandet och i domstolsförfarandet i första instans, har varit i kontakt med de registrerade som framställt klagomål och han är registrerad på en ungersk adress Ungern i det slovakiska bolagsregistret. Myndigheten betonade även vid förhandlingen att Weltimmo har en postbox i Ungern för den löpande verksamheten och att den slovakiska dataskyddsmyndigheten vid en informell förfrågan bekräftade att företaget inte har någon faktisk verksamhet i Slovakien. Det är bara den polska regeringen som i sitt yttrande vid förhandlingen i målet har understrukit att det endast är bolagets registrering i en medlemsstat som ska beaktas, eftersom det är den enda objektiva omständigheten som kan verifieras.

28.

Det är här nödvändigt att peka på skäl 19 i direktivet, vilket utgör ett viktigt tolkningshjälpmedel för att fastställa innehållet i begreppet etablering, i den mening som avses i samma direktiv. I detta skäl förespråkas i själva verket en flexibel tolkning av begreppet och inte ett formalistiskt synsätt som innebär att ett företag enbart ska anses vara etablerat på den plats där det är registrerat. För det första finns i detta skäl ett effektivitetskriterium och en varaktighetsaspekt, eftersom det där anges att ”[e]tablering på en medlemsstats territorium förutsätter effektiv och faktisk verksamhet med hjälp av en stabil struktur”. För det andra erbjuder det en betydande flexibilitet, genom att det anges att ”den berörda verksamhetens rättsliga form inte [har] avgörande betydelse, oavsett om det är fråga om en filial eller om ett dotterbolag som är en juridisk person”.

29.

Denna syn på begreppet etablering överensstämmer med domstolens tolkning av begreppet inom andra områden av unionsrätten. I synnerhet följer det av fast rättspraxis att ”med begreppet etablering avses i fördragets bestämmelser om etableringsfrihet en faktiskt bedriven ekonomisk verksamhet via ett fast driftställe i denna stat för obestämd tid”. ( 9 )”Begreppet förutsätter alltså att det aktuella bolaget verkligen etablerats i värdmedlemsstaten och att det bedrivs en faktisk ekonomisk verksamhet i denna stat.” ( 10 )

30.

Vidare hänvisas i yttrande 8/2010 från artikel 29-arbetsgruppen för skydd av personuppgifter (nedan kallad artikel 29-arbetsgruppen), ( 11 ) till tolkningen av begreppet etablering som kriterium för skattemässig anknytning med avseende på mervärdesskatt. ( 12 ) Domstolens praxis inom detta område är av särskilt intresse – eftersom begreppet etablering fungerar som anknytningskriterium för att avgöra om någon omfattas av en nationell skattelagstiftning – och där behandlas ingående begreppet fast etableringsställe, vilket ”... ska ha en tillräcklig grad av varaktighet och en lämplig struktur avseende personella och tekniska resurser för att kunna ta emot och använda de tillhandahållna tjänsterna för sitt eget behov”. ( 13 ) Vidare talar användningen av begreppet etablering i Romkonventionen ( 14 ) och i Brysselkonventionen ( 15 ) också för en icke-formalistisk tolkning. ( 16 )

31.

Oavsett de uppenbara skillnaderna i sammanhang och syften mellan de områden som ovan återgivna domstolspraxis avser och det som är aktuellt i förevarande mål, är det under alla förhållanden viktigt att unionsrätten inom olika områden betonar ett sätt att se på begreppet etablering som bygger på en effektiv näringsverksamhet och på en viss grad av stabilitet, vilket överensstämmer med påpekandena i skäl 19 i direktiv 95/46.

32.

Mot bakgrund av att det specifika syftet med direktiv 95/46 enligt vad som anges i artikel 1.1 är att ”skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter”, anser jag att såväl graden av stabilitet hos strukturen som effektiviteten med vilken verksamheten bedrivs ska tolkas med beaktande av näringsverksamhetens och de tillhandahållna tjänsternas specifika karaktär.

33.

Såsom den ungerska dataskyddsmyndigheten och den slovakiska regeringen har påpekat, och i enlighet med de kriterier som artikel 29-arbetgruppen har tillhandahållit, ( 17 ) räcker det med ett ensamt ombud för att det ska anses föreligga en stabil struktur om detta ombud handlar med en tillräcklig grad av stabilitet och har tillgång till de resurser som krävs för att tillhandahålla de konkreta tjänsterna i den berörda medlemsstaten.

34.

Som generaladvokaten Jääskinen påpekade i sitt förslag till avgörande i målet Google Spain och Google, ska den berörda aktörens affärsmodell beaktas vid bedömningen av villkoren i artikel 4 i direktiv 95/46. ( 18 ) Det är därför nödvändigt att här beakta den särskilda karaktären hos de företag som uteslutande bedriver verksamhet via internet och vars affärsmodell minskar betydelsen av begreppet fast fysiskt driftställe och även påverkar omfattningen av de personella och materiella resurserna. Under vissa förhållanden kan ett ombud med en varaktig närvaro, utrustad med föga mer än en bärbar dator, utgöra en tillräcklig struktur för att kunna bedriva en effektiv och faktisk verksamhet som kan anses tillräckligt stabil. Mot bakgrund av dessa överväganden är det när en bedömning görs av de personella och tekniska resurserna nödvändigt att noga beakta de särskilda dragen hos de företag som tillhandahåller tjänster via internet och ta hänsyn till omständigheterna i det enskilda fallet.

35.

De specifika dragen hos näringsverksamhet som bedrivs via internet har tidigare beaktats för att bestämma innehållet i begreppet etablering i andra unionsrättsliga instrument. I synnerhet i direktivet om elektronisk handel ( 19 ) anges det i skäl 19 att ”… [f]ör ett företag som tillhandahåller tjänster via en webbplats på Internet är etableringsorten inte den ort där utrustningen för webbplatsen finns eller den ort från vilken det går att nå webbplatsen, utan den ort där det utövar sin näringsverksamhet”. Artikel 29-arbetsgruppen har ansett att denna definition är relevant för att tolka artikel 4 i direktiv 95/46. ( 20 )

36.

Mot bakgrund av dessa överväganden kan slutsatsen dras att Weltimmo visserligen är ett bolag som formellt är registrerat i Slovakien, men att det inte kan uteslutas att detta bolag bedriver en effektiv och faktisk verksamhet i en annan medlemsstat, i det här fallet Ungern, med hjälp av en stabil struktur – vilken kan utgöras av ett ensamt ombud. Om så är fallet är Weltimmo etablerat i Ungern, i den mening som avses i artikel 4.1 a i direktiv 95/46.

37.

De olika ytterligare faktorer som Kúria har pekat på i sina tolkningsfrågor – den plats från vilken uppgifterna har laddats upp, den medlemsstat som tjänsterna är riktade till, de registrerades medborgarskap eller den plats där företagets ägare är bosatta – har i detta hänseende inte någon direkt avgörande betydelse för att fastställa vilken lagstiftning som är tillämplig. ( 21 ) Dessa faktorer återfinns inte i direktivet som relevanta kriterier som gör det möjligt att frångå kriteriet i artikel 4.1 a. ( 22 )

38.

Flera av dessa faktorer skulle emellertid under vissa förhållanden kunna vara tecken på en effektiv och faktiskt verksamhet, för att kunna bestämma etableringsstället och i synnerhet för att kunna avgöra huruvida behandlingen av uppgifter har skett som ett led i verksamheten vid ett etableringsställe tillhörande den registeransvarige.

39.

I synnerhet beträffande den andra faktorn – att behandlingen av uppgifter utförs som ett led i verksamhet vid ett etableringsställe på en medlemsstats territorium – är det lämpligt att se till den tolkning som domstolen slog fast i domen i målet Google Spain och Google. ( 23 ) Där angav domstolen att det enligt artikel 4.1 a i direktiv 95/46 inte krävs ”att behandlingen av personuppgifter utförs 'av' det berörda etableringsstället självt, utan endast att den utförs 'som ett led i verksamhet' vid etableringsstället”. ( 24 ) Med beaktande av syftet med direktivet – tillägger domstolen – ”kan det sistnämnda uttrycket inte ges en restriktiv tolkning”. ( 25 )

40.

Tillämpningen av detta andra kriterium är särskilt viktigt om den hänskjutande domstolen finner att Weltimmo – med tillämpning av de ovannämnda kriterierna – är etablerat i båda de berörda medlemsstaterna. I det fallet måste man, såsom den slovakiska regeringen och kommissionen har betonat i sina skriftliga yttranden, se till just den verksamhet som ett led i vilken behandlingen har utförts och i synnerhet vilken anknytning den har till ett visst etableringsställe. ( 26 ) Andra avgörande faktorer i detta sammanhang har framhållits av artikel 29-arbetsgruppen med anknytning till sökmotorer, varvid det kan vara av betydelse för att avgöra huruvida behandlingen utförs som ett led i verksamheten om etableringsstället är ansvarigt för relationerna med användarna, är involverat i försäljning av målinriktade annonser till invånarna i denna stat eller om det följer en begäran om tillämpning av lagen från behöriga myndigheter i en medlemsstat med avseende på användaruppgifter. ( 27 )

41.

För att i förevarande mål kunna avgöra huruvida ungersk lagstiftning kan tillämpas på Weltimmos verksamhet i Ungern, måste det klarläggas om Weltimmo förfogar över ett etableringsställe i denna medlemsstat och om databehandlingen i fråga har utförts som ett led i verksamheten där. Härvidlag måste det fastställas om det ombud som omnämns i beslutet att begära förhandsavgörande förfogar över en stabil struktur, oberoende av dess rättsliga form, med hjälp av vilken denne bedriver en effektiv och faktiskt verksamhet och där den omtvistade databehandlingen har utgjort ett led i denna verksamhet.

42.

Sammanfattningsvis anser jag att frågorna 1–6 från Kúria tillsammans ska besvaras så, att artikel 4.1 a i direktiv 95/46 utgör hinder för att den ungerska dataskyddsmyndigheten tillämpar ungersk lagstiftning på en registeransvarig som enbart är etablerad i en annan medlemsstat. I detta sammanhang ska begreppet etablering tolkas så att det finns en stabil struktur, oberoende av dess rättsliga form, med hjälp av vilken en effektiv och faktisk verksamhet bedrivs. Ett enda ombud kan anses vara en fast struktur om denne uppvisar en tillräcklig grad av stabilitet genom närvaro av personella och tekniska resurser som krävs för att tillhandahålla tjänsterna i fråga.

Andra faktorer, som den plats från vilken uppgifterna har laddats upp, de registrerades medborgarskap, den plats där det registeransvariga företagets ägare är bosatta eller den omständigheten att den tjänst som tillhandahållits av denne registeransvarige är riktad till en annan medlemsstats territorium, saknar direkt och avgörande betydelse för att fastställa vilken lagstiftning som är tillämplig, även om verksamhetens faktiska och effektiva karaktär kan utgöra indikationer för att fastställa etableringsstället och i synnerhet för att fastställa om databehandlingen har utförts som ett led i verksamheten vid detta etableringsställe.

43.

I sin sjunde fråga undrar Kúria följande: ”Om svaren på föregående frågor leder till att den ungerska dataskyddsmyndigheten kan genomföra ett förfarande, men inte kan tillämpa den nationella lagstiftningen utan måste tillämpa den lagstiftning som gäller i den medlemsstat där den registeransvarige är etablerad, ska artikel 28.6 i dataskyddsdirektivet tolkas så, att den ungerska dataskyddsmyndigheten endast kan utöva de befogenheter som slås fast i artikel 28.3 i dataskyddsdirektivet i enlighet med vad som föreskrivs i lagstiftningen i den medlemsstat som den registreringsansvarige är etablerad i, och därmed saknar befogenhet att besluta om böter?”

44.

Således är denna fråga endast avgörande om den hänskjutande domstolen finner att Weltimmo i enlighet med ovannämnda kriterier inte har något etableringsställe i Ungern utan endast är etablerat i Slovakien. För att kunna ge ett användbart svar på denna tolkningsfråga ska det således– eftersom det inte uttryckligen följer av svaret på de föregående frågorna – först klarläggas huruvida en tillsynsmyndighet i en medlemsstat får vidta åtgärder även om lagstiftningen i en annan medlemsstat ska tillämpas i enlighet med kriterierna i artikel 4.1 a. Om denna fråga besvaras jakande ska det därefter fastställas hur omfattande myndighetens befogenheter är och vilket innehåll de har.

45.

Inledningsvis uppkommer således frågan huruvida artikel 4 om tillämplig lagstiftning, förutom att den innehåller bestämmelser för att fastställa tillämplig lag även innehåller bestämmelser om behörighet och, om så är fallet, vilken betydelse de preciseringar rörande myndigheternas behörighet som finns i artikel 28 har. Allt detta i en situation där unionsrätten på dataskyddsområdet är föremål för omfattande förändringar. ( 28 )

46.

I yttrandena till domstolen förespråkas olika tolkningar av punkterna 1, 3 och 6 i artikel 28 i direktivet. Den ungerska dataskyddsmyndigheten har gjort gällande att den själv är behörig att besluta om böter, även om lagstiftningen i en annan medlemsstat är tillämplig. Av samma mening är den ungerska regeringen, som anser att det är uppenbart att reglerna om tillsynsmyndigheternas ställning och förfarandet för att utöva de befogenheter som återfinns i artikel 28.3 i direktivet, omfattas av den nationella lagstiftningen i den stat där myndigheten har sitt säte, vilket innebär att beslut om sanktioner ska fattas i enlighet med deras egen nationella lagstiftning.

47.

Kommissionen å sin sida anser att tillsynsmyndigheterna i en medlemsstat har rätt att utöva de befogenheter som anges i artikel 28.3 i direktivet, i den mån de får utöva dessa befogenheter inom sin egen medlemsstats territorium, i enlighet med artikel 28.1 och 28.6. Om en befogenhet däremot bara får utövas inom en annan medlemsstats territorium, har denna myndighet enligt kommissionen inget annat val än att framställa en begäran om administrativt samarbete till tillsynsmyndigheten i nämnda medlemsstat. Tillsynsmyndigheten i den första medlemsstaten kan således inte besluta om en sanktion mot en registeransvarig som enbart är etablerad i en annan medlemsstat. På samma sätt anser den slovakiska regeringen att om slovakisk rätt vore tillämplig, skulle den ungerska dataskyddsmyndigheten enligt artikel 28.3 och 28.6 vara behörig att göra en utredning och pröva de klagomål som framställts till den, i enlighet med dess egna förfaranderegler, men den måste framställa en begäran om samarbete till myndigheten i den medlemsstat vars lagstiftning är tillämplig, eftersom det är den myndigheten som ska besluta om eventuella sanktioner. Polen har understrukit att det i direktivet inte föreskrivs någon möjlighet för myndigheterna i en medlemsstat att tillämpa en annan medlemsstats materiella lagstiftning och menar att om lagstiftaren hade velat föreskriva en sådan ambitiös möjlighet, skulle direktivet ha innehållit noggranna bestämmelser för att definiera dess tillämpningsområde. Avslutningsvis anser Förenade kungarikets regering att eftersom slovakisk rätt är tillämplig, saknar den ungerska dataskyddsmyndigheten behörighet.

48.

Det är anmärkningsvärt hur ståndpunkterna i parternas yttranden skiljer sig åt i denna fråga. Det förefaller bara vara Förenade kungariket och Polen som anser att det absolut måste finnas en överensstämmelse mellan den tillämpliga lagstiftningen och tillsynsmyndighetens behörighet – vilket innebär att fastställandet av tillämplig lagstiftning enligt artikel 4.1 b i direktivet även avgör vilken tillsynsmyndighet som är behörig. ( 29 )

49.

Som framgår nedan anser jag att när denna komplicerade fråga ska besvaras, måste man försöka förena direktivets specifika syften med de principer som gäller för tillsynsmyndigheternas verksamhet.

50.

Bakom den problematik som aktualiseras genom denna tolkningsfråga finns en viktig materiell fråga, nämligen huruvida det kan godtas att direktivet begränsar eller till och med upphäver giltigheten av den regel som innebär att myndigheterna i en stat i princip ska handla i enlighet med och tillämpa lagstiftningen i den egna staten. Vad beträffar myndigheternas behörighet, och eftersom det således rör sig om utövande av offentligrättsliga befogenheter, i synnerhet befogenheter att utdöma straff (ius puniendi), är det nödvändigt att utgå från de krav som följer av statens territoriella suveränitet, ( 30 ) legalitetsprincipen och rättsstatsbegreppet, ( 31 ) vilka kräver att det finns en överensstämmelse mellan tillsynsmyndighetens behörighet och den tillämpliga lagstiftningen. ( 32 ) Utövandet av befogenheten att vidta sanktioner – vilket är vad som är aktuellt i förevarande mål – får i princip inte äga rum utanför de rättsliga gränser inom vilka en myndighet får agera enligt den egna nationella rätten. ( 33 ) För att dela upp denna regel förefaller det åtminstone krävas en specifik rättslig grund som tillåter och avgränsar en tillämpning av den offentliga rätten i en annan medlemsstat och som dessutom klart och tydligt gör det möjligt för rättssubjekten att förutse vilken lagstiftning som ska reglera deras handlande och konsekvenserna av det. ( 34 )

51.

I överensstämmelse med vad som ovan anförts, anser jag inte att artikel 28.6 första meningen, vilken ordagrant lyder ”[e]n tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen medlemsstats territorium utöva de befogenheter som i enlighet med punkt 3 åligger den”, är en bestämmelse som är tillräcklig för att få sådana långtgående konsekvenser. ( 35 ) I denna bestämmelse finns inte några närmare uppgifter om det tillämpningsområde, den räckvidd och de garantier som skulle kunna göra det möjligt för myndigheterna i en medlemsstat att tillämpa en annan medlemsstats bestämmelser – i synnerhet avseende sanktioner.

52.

Jag anser inte heller att artikel 28.1 i direktivet utgör en tillräcklig rättslig grund för detta anspråk enbart på grund av den omständigheten, som den ungerska regeringen och den ungerska dataskyddsmyndigheten har anfört, att denna bestämmelse innehåller en pluralform då det föreskrivs att ”[v]arje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv”. ( 36 )

53.

Trots detta tyder dessa bestämmelser på att det är möjligt att det uppstår en viss diskrepens mellan den behöriga myndigheten och den tillämpliga lagstiftningen. Under alla förhållanden medger de möjligheten att myndigheten i en medlemsstat övervakar den verksamhet som bedrivs inom dess territorium, även när en annan medlemsstats lagstiftning är tillämplig.

54.

Så här långt i min bedömning anser jag således att det är möjligt att förena en tolkning av artikel 28.1, 28.3 och 28.6 med de grundläggande principer som gäller för myndigheternas utövande av befogenheter att vidta sanktioner. Detta underlättas om man gemensamt beaktar den första meningen i det första stycket i artikel 28.6 och den andra meningen i samma stycke – i vilken det anges att en myndighet som utövar sina befogenheter inom den egna medlemsstatens territorium ”kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter” – och det andra stycket i samma bestämmelse – där det föreskrivs att ”[d]e övervakande myndigheterna skall [samarbeta med varandra] i den utsträckning som det behövs ... ”.

55.

Den möjlighet som artikel 28.6 ger tillsynsmyndigheterna att agera även när den egna statens lagstiftning inte är tillämplig, måste ges en systematisk tolkning där man beaktar såväl att det föreligger ett tydligt påbud om samarbete mellan myndigheter som att en myndighet får anmodas av en annan att utöva sina befogenheter. En helhetsbedömning av denna bestämmelse pekar således mot en arbetsfördelning mellan de olika tillsynsmyndigheterna, inom ramen för ett samarbete och en ömsesidig hjälp.

56.

Den omständigheten att en viss medlemsstats lagstiftning ska tillämpas berövar inte tillsynsmyndigheterna i andra medlemsstater deras möjligheter att agera, i synnerhet inte om det beaktas att det i vissa situationer, trots att en annan medlemsstats lagstiftning ska tillämpas enligt kriteriet i artikel 4.1 a i direktivet, kan finnas en mängd andra omständigheter som knyter an till territoriet – exempelvis de tekniska resurserna eller i synnerhet de registrerade personerna. För att direktivet ska kunna tillämpas på ett verkningsfullt sätt kräver allt detta att den lokala myndigheten kan utreda och vidta vissa åtgärder, även innan det avgjorts vilket lands lagstiftning som ska tillämpas.

57.

Mer konkret innebär detta att en tillsynsmyndighet som har anmodats att agera genom ett enskilt klagomål eller en enskild begäran som har framställts till den, måste kunna aktivera sin utredningskapacitet inom sitt eget territorium. Detta följer otvivelaktigt av artikel 28.4 i direktivet – i vilken det föreskrivs att tillsynsmyndigheterna är skyldiga att behandla en begäran från en person om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Samtidigt är denna bedömning i överensstämmelse med Europarådets konvention 108 av år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter, ( 37 ) i vilken det i artikel 14 föreskrivs att en person som är bosatt inom en annan parts territorium ”skall ha möjlighet att göra sin framställning genom förmedling av den myndighet som har utsetts av den parten”.

58.

Detta förfaringssätt kan ge ett tillräckligt svar på den oro som den ungerska regeringen gav uttryck för vid förhandlingen, då den påpekade att om den ungerska dataskyddsmyndigheten inte är behörig, kan effektiviteten hos de korrigerande åtgärder som föreskrivs i direktivet försämras om de registrerade personerna är skyldiga att vända sig till utländska myndigheter på språk som de inte behärskar.

59.

Oberoende av vilken materiell lagstiftning som är tillämplig, har tillsynsmyndigheterna de befogenheter att undersöka och ingripa som föreskrivs i artikel 28.3, men bara de som regleras i deras egen nationella rätt, inom deras geografiska verksamhetsområde ( 38 ) och med beaktande av de principer som redovisats i punkt 50 i detta förslag till avgörande.

60.

Det är således uppenbart att en tillsynsmyndighet i en medlemsstat inte har obegränsat handlingsutrymme när en annan stats materiella lagstiftning är tillämplig. Det ska här påpekas att den princip fortfarande gäller som innebär att tillsynsmyndigheten då den utövar sina befogenheter är bunden av de gränser som följer av dess ställning som offentligrättsligt organ som är underkastat lagen i den egna medlemsstaten och att den bara får utöva befogenheterna inom det egna territoriet. I synnerhet måste ett eventuellt konstaterande av en felaktig behandling och ett eventuellt beslut om sanktioner för de överträdelser som den otillåtna behandlingen medför, oundvikligen göras av myndigheten i den medlemsstat vars materiella rätt är tillämplig på behandlingen av uppgifter, i enlighet med kriteriet i artikel 4.1 a.

61.

Även om inget hindrar att befogenheten att besluta om sanktioner kan anses ingå i de befogenheter som avses i artikel 28.3 i direktivet (vars tredje strecksats handlar om tillsynsmyndigheternas ”befogenhet att inleda rättsliga förfaranden när bestämmelser har överträtts”), med beaktande av den samarbetsskyldighet som föreskrivs i artikel 28.6 i direktivet, ska en begäran om detta framställas till myndigheten i den medlemsstat vars lagstiftning är tillämplig på behandlingen av uppgifter så att den sedan eventuellt kan slå fast att en överträdelse har skett i enlighet med den tillämpliga lagstiftningen och eventuellt besluta om sanktioner, på grundval av de uppgifter som inhämtats och i förekommande fall vidarebefordrats av myndigheten i den första medlemsstaten.

62.

Denna tolkning står inte i motsättning till den uppfattning som kommit till uttryck i olika handlingar från artikel 29-arbetsgruppen. Den har för det första i sitt yttrande 8/2010 om tillämplig lagstiftning betonat att syftet med artikel 28.6 just är att ”överbrygga de eventuella klyftor mellan tillämplig lagstiftning och behörighet att utöva tillsyn som kan uppkomma inom området dataskydd på den inre marknaden”. ( 39 ) Även om det i yttrandet uttryckligen anges att ”[n]är en annan medlemsstats dataskyddslagstiftning är tillämplig får tillsynsmyndigheten inom sitt lands territorium fullständigt utöva alla de befogenheter som den har enligt detta lands nationella rättsordning”, uttrycks det samtidigt betydande tvivel vad beträffar omfattningen av tillsynsmyndighetens befogenheter inom detta område. ( 40 ) Genom senare överväganden av artikel 29-arbetsgruppen, på begäran av kommissionen, har den klargjort sin ståndpunkt beträffande frågan om åtskillnad mellan tillämplig lagstiftning och behörighet i sin rapport om det praktiska genomförandet av artikel 28.6. ( 41 ) Om en åtskillnad i själva verket ska göras, drar arbetsgruppen slutsatsen att myndigheten ska tillämpa förfarandereglerna och de administrativa bestämmelserna i den egna rättsordningen, medan de materiella aspekterna av dataskyddet faller på den medlemsstat vars lagstiftning är tillämplig. ( 42 )

63.

Ovanstående överväganden ingår i ett särskilt rättsligt sammanhang där unionsrättens instrument för åtgärder utgörs av ett direktiv, vilket har gjort det möjligt att bibehålla ett betydande spelrum för medlemsstaternas lagstiftningar, i synnerhet vad beträffar tillsynsmyndigheternas reglering och sanktionsmöjligheter. ( 43 ) Det är knappast förenligt med de krav som följer av principen om territoriell suveränitet och legalitetsprincipen, i avsaknad av en tydlig rättslig grund och av garantier som säkerställer ett nära samarbete beträffande tolkningen av överträdelserna och sanktionernas likvärdighet, ( 44 ) att åtskillnaden mellan behörig myndighet och tillämplig lagstiftning antingen leder till att sanktioner vidtas i enlighet med lagstiftningen i den lokala tillsynsmyndighetens medlemsstat – vilka kanske inte föreskrivs i rättsordningen i den stat vars lagstiftning är tillämplig på behandlingen av uppgifter – eller till att en lokal myndighet tillämpar en annan medlemsstats sanktionsrätt.

64.

Den ungerska regeringens och den ungerska tillsynsmyndighetens hänvisning till en analog tillämpning av domstolens dom i målet UPC DTH, ( 45 ) för att motivera myndighetens behörighet att vidta sanktioner i förevarande mål, föranleder avslutningsvis inte någon annan slutsats. I denna dom, vilken rörde tolkningen av vissa instrument i regelverket för elektronisk kommunikation, ( 46 ) slog domstolen fast att ”[f]örfaranden för tillsyn av elektroniska kommunikationstjänster, såsom det som är i fråga i det nationella målet, omfattas av behörigheten för den medlemsstat i vilken mottagarna av nämnda tjänster har hemvist”. ( 47 )

65.

För att bemöta detta påstående är det tillräckligt att påpeka att oberoende av att den tolkningen avsåg en situation med frihet att tillhandahålla tjänster och ingick i en rättslig ram vars syften och uppbyggnad skiljer sig avsevärt från den som är aktuell i förevarande mål, är det viktigaste att dessa överväganden gjordes i en situation där det var oomtvistat vilken lagstiftning som var tillämplig. ( 48 )

66.

Mot bakgrund av det ovan anförda och det rådande rättsläget i unionsrätten, anser jag att Kúrias sjunde tolkningsfråga ska besvaras på följande sätt:

Om den nationella domstolen finner att dess nationella lagstiftning inte är tillämplig enligt kriteriet i artikel 4.1 a i direktiv 95/46, ska artikel 28.6 i nämnda direktiv tolkas så att det ankommer på tillsynsmyndigheten i den medlemsstat vars lagstiftning är tillämplig att vidta sanktioner för de överträdelser som har anknytning till behandlingen av uppgifterna, oberoende av vilken lokal tillsynsmyndighet som får utöva alla de befogenheter som anges i artikel 28.3 inom sitt territorium, på de sätt som föreskrivs i dess nationella lagstiftning.

67.

I sin åttonde tolkningsfråga undrar den hänskjutande domstolen följande: ”Kan begreppet 'datfeldolgozás' [databehandling] som används i såväl artikel 4.1 a som artikel 28.6 i [den ungerska språkversionen av] dataskyddsdirektivet anses vara identiskt med begreppet 'adatkezelés' [behandling av uppgifter] i direktivet?”

68.

Samtliga parter som har yttrat sig i målet är eniga om att den terminologiska skillnad som tagits upp i beslutet att begära förhandsavgörande saknar betydelse.

69.

I bestämmelserna i direktiv 95/46 används genomgående endast begreppet ”[adat]feldolgozás” som motsvarighet till begreppet behandling av uppgifter, såsom det definieras i artikel 2 b i direktivet. Det är bara i informationslagen som det görs skillnad mellan begreppen ”adatkezelés” och ”adatfeldolgozás”, ( 49 ) och med det sistnämnda avses ”de tekniska operationer som utförs vid behandling av uppgifter …”. ( 50 )

70.

Definitionen av begreppet ”[adat]feldolgozás” i artikel 2 b i direktivet, vilket används i såväl artikel 4.1 a som artikel 28.6, är mycket vid och innefattar varje åtgärd som vidtas beträffande personuppgifter, oavsett om det sker på automatisk väg eller inte. Denna vida definition av begreppet behandling innefattar således den mer begränsade definitionen av de tekniska operationer som utförs vid behandling av uppgifter.

71.

Därför föreslår jag att domstolen ska besvara den åttonde tolkningsfrågan på följande sätt:

Begreppet ”adatfeldolgozás” som används i artiklarna 4.1 a och 28.6 i den ungerska språkversionen av direktiv 95/46, ska tolkas så att det innefattar såväl behandling av uppgifter i vid mening som de tekniska operationer som utförs vid behandling av uppgifter.

72.

Mot bakgrund av ovanstående argument föreslår jag att domstolen ska besvara Kúrias tolkningsfrågor på följande sätt: