EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62021CC0667
Opinion of Advocate General Campos Sánchez-Bordona delivered on 25 May 2023.#ZQ v Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.#Request for a preliminary ruling from the Bundesarbeitsgericht.#Case C-667/21.
Förslag till avgörande av generaladvokat Campos Sánchez-Bordona föredraget den 25 maj 2023.
ZQ mot Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.
Begäran om förhandsavgörande från Bundesarbeitsgericht.
Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 6.1 – Villkoren för laglig behandling – Artikel 9.1 – 9.3 – Behandling av särskilda kategorier av uppgifter – Personuppgifter om hälsa – Bedömning av en anställds arbetskapacitet – Läkartjänst för sjukförsäkring vilken behandlar uppgifter om sina egna anställdas hälsa – Laglighet och villkor för en sådan behandling – Artikel 82.1 – Rätt till ersättning och ansvar – Ersättning för immateriell skada – Kompenserande funktion – Betydelse av fel som begåtts av den personuppgiftsansvarige.
Mål C-667/21.
Förslag till avgörande av generaladvokat Campos Sánchez-Bordona föredraget den 25 maj 2023.
ZQ mot Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.
Begäran om förhandsavgörande från Bundesarbeitsgericht.
Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 6.1 – Villkoren för laglig behandling – Artikel 9.1 – 9.3 – Behandling av särskilda kategorier av uppgifter – Personuppgifter om hälsa – Bedömning av en anställds arbetskapacitet – Läkartjänst för sjukförsäkring vilken behandlar uppgifter om sina egna anställdas hälsa – Laglighet och villkor för en sådan behandling – Artikel 82.1 – Rätt till ersättning och ansvar – Ersättning för immateriell skada – Kompenserande funktion – Betydelse av fel som begåtts av den personuppgiftsansvarige.
Mål C-667/21.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2023:433
FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
MANUEL CAMPOS SÁNCHEZ-BORDONA
föredraget den 25 maj 2023 ( 1 )
Mål C‑667/21
ZQ
mot
Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts
(begäran om förhandsavgörande från Bundesarbeitsgericht (Federala arbetsdomstolen, Tyskland))
”Begäran om förhandsavgörande – Skydd av personuppgifter – Personuppgifter om hälsa – Bedömning av en anställds arbetsförmåga – En medicinsk avdelning vid en sjukförsäkringskassa – Behandling av personuppgifter om anställdas hälsa – Rätt till skadestånd – Betydelsen av graden av vållande”
|
1. |
Förevarande begäran om förhandsavgörande rör tolkningen av förordning (EU) 2016/679 ( 2 ) med avseende på: a) behandling av personuppgifter om hälsa, och b) ersättning för den skada som lidits på grund av en (påstådd) överträdelse av dataskyddsförordningen. |
|
2. |
Även om EU-domstolen redan har uttalat sig om de bestämmelser i dataskyddsförordningen ( 3 ) som rör dessa aspekter, är de tolkningsfrågor som ställs i förevarande begäran nya, med undantag av fråga 4. ( 4 ) |
I. Tillämpliga bestämmelser
A. Unionsrätten. Dataskyddsförordningen
|
3. |
I förevarande mål är skälen 4, 10, 35, 51–54 och 146 i dataskyddsförordningen relevanta. |
|
4. |
I artikel 9 (”Behandling av särskilda kategorier av personuppgifter”) föreskrivs följande: ”1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. 2. Punkt 1 ska inte tillämpas om något av följande gäller: …
…
… 3. Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ. 4. Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.” |
|
5. |
Artikel 82 (”Ansvar och rätt till ersättning”) har följande lydelse: ”1. Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. … 3. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan. …” |
B. Nationell rätt. Sozialgesetzbuch Fünftes Buch ( 5 )
|
6. |
Enligt 278 § stycke 1 första meningen ska i varje delstat inrättas en medicinsk avdelning ( 6 ) vid sjukförsäkringskassorna ( 7 ) i form av ett offentligrättsligt organ. Den har bland annat till uppgift att utfärda utlåtanden för att undanröja tvivel beträffade försäkrades arbetsoförmåga. |
|
7. |
Sjukförsäkringskassorna är enligt 275 § stycke 1 första meningen led 3 b under vissa förhållanden skyldiga att vid sådan arbetsoförmåga hos en försäkrad som intygats av en läkare inhämta ett utlåtande från MDK för att undanröja tvivel beträffande arbetsoförmågan. |
II. Faktiska omständigheter, det nationella målet och tolkningsfrågorna
|
8. |
ZQ har arbetat vid MDK Nordrhein (Tyskland) sedan 1991, som systemadministratör inom IT‑avdelningen samt vid helpdesk. |
|
9. |
MDK utfärdar utlåtanden för sjukförsäkringskassorna om försäkrades arbetsoförmåga. Det kan även avse utlåtanden som rör MDK:s egna anställdas hälsa. |
|
10. |
Behandlingen av uppgifter sker bland annat enligt följande regler som finns i en intern tjänsteinstruktion: ( 8 )
|
|
11. |
Anställda vid ”IT‑avdelningen” vid organisationsenheten för speciella fall kan även efter arkivering få åtkomst till de utlåtanden som har utfärdats genom en beställning av en bedömning som avser MDK:s egna anställda. De anställda vid ”IT‑avdelningen” har en lagstadgad tystnadsplikt. |
|
12. |
ZQ hade oavbrutet varit arbetsoförmögen på grund av sjukdom sedan den 22 november 2017. |
|
13. |
Från och med den 24 maj 2018 ( 10 ) fick ZQ sjukpenning från sin sjukförsäkringskassa. Den 6 juni 2018 gav ZQ:s sjukförsäkringskassa i uppdrag åt MDK att utfärda ett utlåtande för att undanröja tvivel beträffande ZQ:s arbetsoförmåga. |
|
14. |
MDK åtog sig uppdraget och det hänfördes till organisationsenheten för speciella fall. En läkare som var anställd vid MDK och tillhörde organisationsenheten för speciella fall utfärdade ett utlåtande den 22 juni 2018. Detta innehöll ZQ:s diagnos. För att utfärda utlåtandet hade läkaren bland annat talat i telefon med ZQ:s behandlande läkare och inhämtat upplysningar från denne. |
|
15. |
MDK arkiverade utlåtandet elektroniskt. |
|
16. |
ZQ fick genom sin behandlande läkare kännedom om att läkaren vid MDK hade ringt upp denne. |
|
17. |
Den 1 augusti 2018 kontaktade ZQ en kollega vid IT‑avdelningen vid MDK och frågade henne om ett utlåtande om honom fanns lagrat. Efter en sökning i arkivet besvarade kollegan frågan jakande. På begäran av ZQ fotograferade kollegan utlåtandet och skickade bilderna till ZQ. |
|
18. |
Den 15 augusti 2018 krävde ZQ utan framgång att MDK skulle betala ersättning med ett belopp av 20000,00 euro, i enlighet med artikel 82 i dataskyddsförordningen. |
|
19. |
Den 17 oktober 2018 väckte ZQ talan vid Arbeitsgericht Düsseldorf (Arbetsdomstolen i Düsseldorf, Tyskland). Under det förfarandet begärde han dessutom ersättning med ett belopp som motsvarade förlorad arbetsinkomst. ( 11 ) |
|
20. |
Under domstolsförfarandet sade MDK upp ZQ:s anställningsförhållande. |
|
21. |
ZQ:s talan ogillades i såväl första som andra instans. ( 12 ) |
|
22. |
ZQ har överklagat domen i andra instans till Bundesarbeitsgericht (Federala arbetsdomstolen, Tyskland), som har hänskjutit följande frågor till EU-domstolen:
|
III. Förfarandet vid domstolen
|
23. |
Begäran om förhandsavgörande inkom till domstolens kansli den 8 november 2021. |
|
24. |
ZQ, MDK, den irländska och den italienska regeringen samt Europeiska kommissionen har gett in skriftliga yttranden. |
|
25. |
Det ansågs inte nödvändigt att hålla muntlig förhandling. |
|
26. |
I enlighet med domstolens anvisningar kommer detta förslag till avgörande inte att behandla den fjärde tolkningsfrågan. ( 13 ) |
IV. Bedömning
A. Den första tolkningsfrågan
|
27. |
Den hänskjutande domstolen vill veta om artikel 9.2 h i dataskyddsförordningen förbjuder att en medicinsk avdelning behandlar uppgifter om en av dess egna arbetstagares hälsa, när de är nödvändiga för att kunna bedöma arbetstagarens arbetsförmåga. Frågan är således om behandlingen är laglig med tanke på den enhet som behandlar uppgifterna. ( 14 ) |
|
28. |
Artikel 9 i dataskyddsförordningen handlar om särskilda kategorier av uppgifter, exempelvis uppgifter om en persons hälsa. Där föreskrivs ett allmänt förbud mot behandling av ”känsliga” uppgifter (punkt 1) och där finns en uttömmande uppräkning av omständigheter när det allmänna förbudet inte ska tillämpas (punkt 2). |
|
29. |
Bland annat innehåller artikel 9.2 h i dataskyddsförordningen ett undantag (från det allmänna förbudet) rörande behandling av personuppgifter ”som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg”. |
|
30. |
Jag anser att den bestämmelsen ger tillräckligt stöd för det handlande från MDK:s sida som målet rör. ( 15 ) Det saknar betydelse att den personuppgiftsansvarige även är den berörda personens arbetsgivare, eftersom MDK inte handlar som arbetsgivare utan som en medicinsk avdelning vid en sjukförsäkringskassa som den berörda personen var ansluten till. ( 16 ) |
|
31. |
Jag finner ingen grund för att tolka artikel 9.2 h i dataskyddsförordningen så, att den förbjuder att en medicinsk avdelning behandlar uppgifter om sina anställdas hälsa för det ändamål som anges där. De sedvanliga tolkningskriterierna talar snarare för motsatsen (att det inte finns något sådant förbud). |
|
32. |
Sett till ordalydelsen innehåller artikel 9.2 h i dataskyddsförordningen inte något sådant förbud, och där föreskrivs inte heller att den ansvarige ska vara en ”neutral tredje part”. ( 17 ) |
|
33. |
Det framgår inte heller av lagstiftningshistoriken eller av bestämmelsens utveckling att det föreligger något sådant förbud som det som nämns i den första tolkningsfrågan, eller någon avsikt att införa det. ( 18 ) |
|
34. |
Ändamålet med bestämmelserna om behandling av uppgifter om hälsa i dataskyddsförordningen är, såsom domstolen har slagit fast, ( 19 ) att ge de registrerade ett utökat skydd, på grund av att dessa uppgifter är särskilt känsliga för de berörda grundläggande rättigheterna. För detta ändamål införs det allmänna förbudet i artikel 9.1 i dataskyddsförordningen, vilket emellertid inte är absolut. ( 20 ) |
|
35. |
Inom detta område, liksom inom andra områden som rör behandling av personuppgifter, har lagstiftaren efter att ha slagit fast det allmänna förbudet valt att göra följande:
|
|
36. |
Generellt sett finns det inget som hindrar att de ovannämnda särskilda försiktighetsåtgärderna innefattar ett förbud för en MDK att behandla uppgifter om de egna anställdas hälsa. Jag anser emellertid inte att det alternativet (som unionslagstiftaren inte har valt) är nödvändigt för att säkerställa det ovan beskrivna syftet. |
|
37. |
Således anser jag att det förbud som den hänskjutande domstolen frågar om inte är en ofrånkomlig följd av en teleologisk tolkning av artikel 9.2 h i dataskyddsförordningen. |
|
38. |
Jag anser inte heller att en systematisk tolkning av bestämmelsen leder till något annat resultat, av följande skäl:
|
|
39. |
Sammanfattningsvis föreslår jag att den första tolkningsfrågan besvaras nekande (det vill säga att det inte finns något sådant förbud i dataskyddsförordningen som det omtvistade), vilket innebär att nästa fråga kan prövas. |
B. Den andra tolkningsfrågan
|
40. |
Om svaret på den första tolkningsfrågan är nekande (vilket jag föreslår), vill den hänskjutande domstolen veta huruvida ”i ett fall som det förevarande, ytterligare krav i fråga om dataskydd [ska] beaktas utöver dem som anges i artikel 9.3 i dataskyddsförordningen och i förekommande fall vilka krav”. |
|
41. |
Generellt sett bör den frågan inte vara särskilt svår att besvara. ( 26 ) EU-domstolen har klargjort att all behandling av personuppgifter ska stå i överensstämmelse med principerna i artikel 5 i dataskyddsförordningen och med något av villkoren för att behandlingen ska vara laglig i artikel 6. ( 27 ) |
|
42. |
Enligt den hänskjutande domstolen är det inte tillräckligt att tystnadsplikt iakttas (artikel 9.3 i dataskyddsförordningen) för att uppgifterna ska skyddas under sådana förhållanden som de nu aktuella. Den föreslår andra kompletterande åtgärder som den anser är de enda lämpade för det ändamålet. ( 28 ) |
|
43. |
Jag anser inte att artikel 9.3 i dataskyddsförordningen i sig kan ligga till grund för sådana ytterligare åtgärder. Dess tydliga lydelse (som bara syftar till att klargöra en bestämmelse som fanns med redan i direktiv 95/46) ( 29 ) ger inte stöd för den hänskjutande domstolens argument. |
|
44. |
Dessa argument skulle däremot kunna finna stöd i artikel 9.4 i dataskyddsförordningen. Enligt den artikeln får medlemsstaterna införa ”ytterligare villkor, även begränsningar, för behandlingen av … uppgifter om hälsa”. ( 30 ) Av beslutet att begära förhandsavgörande framgår emellertid inte att så skulle ha skett i Tyskland. |
|
45. |
Mot bakgrund av detta och de skäl som jag redogjort för ovan, ska behandlingen av personuppgifter om hälsa bland annat underkastas den princip som föreskrivs i artikel 5.1 f i dataskyddsförordningen och de skyldigheter som följer av den och som redovisas i kapitel IV i samma förordning. |
|
46. |
Den personuppgiftsansvarige ( 31 ) ska dessutom vidta tekniska och organisatoriska åtgärder för att säkerställa att en viss behandling utförs i enlighet med dataskyddsförordningen. Detta föreskrivs generellt i artikel 24.1. |
|
47. |
Artikel 32.1 i dataskyddsförordningen ålägger särskilt den personuppgiftsansvarige att vidta ”lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken” för de personuppgifter som berörs. |
|
48. |
Om de reglerna tillämpas i förevarande mål, innebär den omständigheten att MDK är arbetsgivare för ZQ att MDK har en skyldighet att iaktta en större varsamhet än vanligt vid behandlingen av uppgifterna om ZQ:s hälsa, eftersom riskerna också är större. ( 32 ) |
|
49. |
MDK är medveten om detta. När MDK på uppdrag av en sjukförsäkringskassa som dess anställde är ansluten till utfärdar utlåtanden för att undanröja tvivel om hans arbets(o)förmåga, använder den sig av ett antal tekniska och organisatoriska ad hoc-åtgärder som föreskrivs för att behandlingen av personuppgifter om hälsa ska ske i enlighet med dataskyddsförordningen. ( 33 ) |
|
50. |
Det ankommer på den hänskjutande domstolen att bedöma de åtgärderna och den kan därefter komma fram till att de åtgärder som vidtagits inte var tillräckliga. Det innebär emellertid inte att det från artikel 9 i dataskyddsförordningen kan härledas en skyldighet för MDK att ex officio avböja alla uppdrag rörande medicinska utlåtanden (rörande dess anställda) som kommer från sjukförsäkringskassor. ( 34 ) |
C. Den tredje tolkningsfrågan
|
51. |
För det fall svaret på den första frågan är nekande, undrar den hänskjutande domstolen i sin tredje fråga om det för att göra undantag från förbudet mot att behandla uppgifter om hälsa ”[k]rävs … att minst ett av de villkor som nämns i artikel 6.1 i dataskyddsförordningen ska vara uppfyllt”. |
|
52. |
För att besvara denna fråga behöver man undersöka sambandet mellan artikel 9.2 i dataskyddsförordningen och artikel 6 i samma förordning, vilken rör laglig behandling av personuppgifter. Att det är nödvändigt att beakta den sistnämnda artikeln vid all behandling av uppgifter, framgår av domar som EU-domstol har meddelat och som jag tidigare har hänvisat till. ( 35 ) |
|
53. |
Bland annat tolkade domstolen i mål C‑439/19 ( 36 ) artikel 10 i dataskyddsförordningen, rörande en annan kategori av känsliga personuppgifter (personuppgifter som rör fällande domar i brottmål samt överträdelser), ( 37 ) och slog fast att artikel 6 i förordningen är kumulativt tillämplig med artikel 10. |
|
54. |
Kan detta uttalande tillämpas på sådana personuppgifter som avses i artikel 9 i dataskyddsförordningen? |
|
55. |
Artiklarna 9 och 10 är uppbyggda på olika sätt. Artikel 10 innehåller en uttrycklig hänvisning till artikel 6.1 i dataskyddsförordningen, vilket artikel 9 inte gör. |
|
56. |
Inte heller innehållet i artikel 9.2 i dataskyddsförordningen är jämförbart med innehållet i artikel 10 i förordningen. I artikel 10 anges bara en subjektiv begränsning för behandlingen, medan artikel 9.2, liksom artikel 6.1, anger ändamål (eller omständigheter). |
|
57. |
Likheterna mellan artiklarna 6.1 och 9.2 i dataskyddsförordningen är så stora att de omständigheter som räknas upp i den sistnämnda artikeln vid första anblick förefaller vara specificeringar av de villkor som finns i den förstnämnda: de preciseras, samtidigt som de görs strängare. |
|
58. |
Historiken bakom och utvecklingen av artikel 9 i dataskyddsförordningen gör emellertid att det kan ifrågasättas om förhållandet mellan den artikeln och artikel 6 kan beskrivas som ett förhållande mellan ”speciallag” och ”allmän lag”. |
|
59. |
Det framgår att vissa medlemsstaters delegationer också gjorde den tolkningen. ( 38 ) Dokument rörande förhandlingarna kring artikel 9 visar emellertid att det inte förelåg några meningsskiljaktigheter när det gällde hänvisningen till artikel 6, ( 39 ) utan endast vad gällde dess räckvidd (bara till punkt 1 i den artikeln eller även till andra punkter?). ( 40 ) I slutändan togs hänvisningen till artikel 6 i artikel 9 bort ( 41 ) och man valde att i inledningen behålla ett stycke som liknar det nuvarande skäl 51 i dataskyddsförordningen. ( 42 ) |
|
60. |
Tanken om kumulation, eller komplementaritet, mellan de två bestämmelserna delas av Europeiska dataskyddsstyrelsen ( 43 ) och den förespråkades även av Artikel 29-gruppen ( 44 ) beträffande artikel 8 i direktiv 95/46. ( 45 ) Det är emellertid inte någon oomtvistad tolkning i doktrinen eller i andra relevanta forum. ( 46 ) |
|
61. |
Ser man till de olika leden i artikel 9.2 i dataskyddsförordningen får man intrycket av att det inte finns något entydigt svar när det gäller förhållandet mellan den bestämmelsen och artikel 6. Följande kan konstateras:
|
|
62. |
För att den behandling av känsliga uppgifter som får ske enligt artikel 9.2 h i dataskyddsförordningen ska vara laglig, måste det således klarläggas vilket av villkoren i artikel 6.1 som motiverar behandlingen i varje enskilt fall. |
|
63. |
Den hänskjutande domstolen ifrågasätter inte att det förhåller sig så. Den utgår i stället från detta och inriktar sig på att visa att den behandling som MDK har gjort inte är motiverad enligt artikel 6. ( 48 ) |
|
64. |
Vid första anblick tycks det inte finnas någon företrädesordning mellan de rättsliga grunder som föreskrivs i den bestämmelsen. En djupare analys skulle kunna visa att det finns ett behov av att nyansera detta. ( 49 ) En sådan analys skulle emellertid gå utöver vad som är nödvändigt för att besvara denna tolkningsfråga. ( 50 ) |
|
65. |
Sammanfattningsvis bör svaret på den tredje tolkningsfrågan klargöra för den hänskjutande domstolen att det för att göra undantag från förbudet mot att behandla uppgifter om hälsa krävs att minst ett av de villkor som nämns i artikel 6.1 i dataskyddsförordningen ska vara uppfyllt. |
D. Den femte tolkningsfrågan
|
66. |
Den hänskjutande domstolen vill veta om det ”för bedömningen av omfattningen av den ideella skada som ska ersättas enligt artikel 82.1 i dataskyddsförordningen [har] betydelse i vilken grad den personuppgiftsansvarige eller personuppgiftsbiträdet har varit vållande” och om det ”till fördel för den personuppgiftsansvarige eller personuppgiftsbiträdet, i synnerhet [får tas] hänsyn … till att denne inte har varit vållande eller varit vållande i ringa omfattning”. |
|
67. |
Utgångspunkten här är att det har skett en överträdelse av dataskyddsförordningen ( 51 ) och att den har begåtts av den som framstår som personuppgiftsansvarig. Frågan gäller om det vid bedömningen av omfattningen av den skada som uppstått till följd av överträdelsen, har betydelse i vilken grad den personuppgiftsansvarige har varit vållande. Enligt den hänskjutande domstolen är det inte säkert att den omständigheten att den personuppgiftsansvarige inte har varit vållande eller varit vållande i ringa omfattning är till fördel för denne. |
|
68. |
Ser man till frågans ordalydelse, handlar den om ersättningens omfattning. De medföljande förklaringarna till frågan gav emellertid upphov till viss förvirring, eftersom det inte var uppenbart om den avsåg vållandet som villkor för att tillskriva ansvar eller som faktor för att bestämma ersättningens storlek. |
|
69. |
När den hänskjutande domstolen uppmanades av EU-domstolen att klargöra detta, angav den att frågan handlar om båda dessa aspekter. Den preciserade dock inte närmare vilken koppling frågan har till det nationella målet. |
|
70. |
Mot bakgrund av det svaret, kommer jag att besvara den hänskjutande domstolens frågor efter att (även) ha beaktat de frågor som tas upp av MDK rörande den registrerades eventuella medvållande till skadan. ( 52 ) Min redogörelse kommer att innehålla tre steg:
|
1. Grunden för skadeståndsansvar i artikel 82 i dataskyddsförordningen
|
71. |
Den hänskjutande domstolen anser att det enligt artikel 82.1 i dataskyddsförordningen inte krävs att det föreligger uppsåt eller oaktsamhet, eller att uppsåt eller oaktsamhet kan styrkas, för att det ska föreligga skadeståndsansvar (för den som ansvarar ( 54 ) för behandlingen). Den menar vidare att punkt 3 i samma artikel inte ger stöd för någon annan lösning. |
|
72. |
Jag medger att det inte är uppenbart vilken modell för skadeståndsansvar som har valts i dataskyddsförordningen och att det a priori går att göra flera olika tolkningar. ( 55 ) En av dessa är den hänskjutande domstolens tolkning och jag anser att den är korrekt. |
|
73. |
En tolkning av artikel 82.1 i dataskyddsförordningen som innebär att den innehåller ett system för skadeståndsansvar som inte bygger på den personuppgiftsansvariges vållande, vilken jag tror är förenlig med dess ordalydelse, har direkt stöd i förarbetena och gynnar framför allt bestämmelsens ändamål. Den är godtagbar mot bakgrund av andra punkter i den bestämmelsen och systemet som helhet. |
a) Argument grundat på ordalydelsen
|
74. |
Den hänskjutande domstolens ståndpunkt är förenlig med lydelsen av artikel 82.1 i dataskyddsförordningen. Ordagrant är rätten att få ersättning från den personuppgiftsansvarige utan vidare knuten till den skada som personen har lidit till följd av en överträdelse av dataskyddsförordningen. |
|
75. |
De övriga punkterna i artikel 82 talar inte för något annat svar. ( 56 ) Jag skulle i synnerhet inte våga mig på att härleda något krav på vållande från uttrycket ”som kan tillskrivas ansvar” (”imputable”) i punkt 3 i artikel 82. Det uttrycket används bara i vissa språkversioner av dataskyddsförordningen. I andra används i stället ordet ”ansvarig”. I den tyska versionen, används varken i artikel 82 eller i skälen facktermen för att tillskrivas ansvar på grund av vållande (”Verschulden”). ( 57 ) |
|
76. |
En jämförelse mellan olika bestämmelser i dataskyddsförordningen visar att den terminologi som används inte alltid är enhetlig och man måste därför vara försiktig när man drar slutsatser utifrån dess ordalydelse. I den engelska versionen används till exempel ordet ”responsible” i flera olika betydelser. ( 58 ) |
|
77. |
Avsaknaden av hänvisningar till den personuppgiftsansvariges uppsåt eller oaktsamhet i artikel 82 i dataskyddsförordningen, kan jämföras med vad som föreskrivs i artikel 83 rörande administrativa sanktionsavgifter: ”Vid beslut om huruvida administrativa sanktionsavgifter ska åläggas och om avgiftsbeloppet i varje enskilt fall” ska vederbörlig hänsyn tas till om överträdelsen av förordningen skett med uppsåt eller genom oaktsamhet. ( 59 ) |
|
78. |
Även om skillnaderna mellan olika versioner minskar betydelsen av en bokstavstolkning, bekräftar den åtminstone att varken uppsåt eller oaktsamhet nämns i artikel 82 i dataskyddsförordningen och att denna avsaknad är medveten och inte beror på ett förbiseende från lagstiftarens sida. |
b) Förarbeten
|
79. |
Diskussionen kring den grund för tillskrivande av ansvar som slutligen fördes in i dataskyddsförordningen fördunklas av det sammanhang i vilket diskussionen fördes inom rådet. Den rörde nämligen fall där flera personer medverkar i en och samma behandling. |
|
80. |
Den diskussionen blandades med processuella överväganden och byggde inte på en begreppsapparat som gör det möjligt att skilja mellan vållandet som grund för tillskrivande av ansvar, å ena sidan, och avsaknaden av vållande som grund för att undgå ansvar, på orsakssambandsnivå, å den andra. |
|
81. |
Under alla förhållanden anser jag att förarbetena ger stöd för att tolka artikel 82.1 i dataskyddsförordningen så, att den personuppgiftsansvarige inte behöver ha varit vållande för att det ska föreligga skadeståndsansvar. |
|
82. |
Kommissionens förslag följde direktiv 95/46 och där nämndes inte oaktsamhet. I rådets handlingar anges att det ansvar som föreskrivs är ”strict liability”. ( 60 ) |
|
83. |
En ändring som föreslogs i Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor skulle ha gett punkt 1 i artikel 82 (dåvarande artikel 77) ett innehåll där ansvaret knöts till uppsåtet eller oaktsamheten. ( 61 ) Utskottet fick dock inte gehör för förslaget. ( 62 ) |
|
84. |
I rådet skedde överläggningarna rörande artikel 77 och grunden för tillskrivande av ansvar i anslutning till tillskrivande och fördelning av ansvar när flera personer medverkar i en och samma behandling av uppgifter. I det sammanhanget föreslog ordförandeskapet ett val mellan två alternativ: ( 63 )
|
|
85. |
Den kompromisstext som ordförandeskapet lade fram för godkännande som allmän inriktning ( 71 ) följer det första alternativet, även om den framhäver ansvarsbefrielsens exceptionella karaktär och svårigheten att styrka den genom lydelsen av artikel 77.3: ”… if it [den personuppgiftsansvarige eller personuppgiftsbiträdet] proves that it is not in any way responsible …”. ( 72 ) Denna lydelse och den artikel som slutligen antogs överensstämmer med varandra. |
|
86. |
Sammanfattningsvis talar granskningen av den lagstiftningshistorik som ledde fram till den slutliga lydelsen av dataskyddsförordningen för att det ansvar som nämns i artikel 82.1 inte är knutet till den personuppgiftsansvariges vållande. |
c) Ändamål
|
87. |
Genom dataskyddsförordningen införs ett system som syftar till att säkra en hög skyddsnivå för fysiska personer och till att undanröja hindren för flödena av personuppgifter. ( 73 ) I detta system syftar artikel 82 till att ge rätt till ersättning för skada, samtidigt som den i andra hand ska ha en avskräckande verkan eller förhindra ageranden som strider mot bestämmelserna i förordningen. ( 74 ) |
|
88. |
Att säkerställa rätten till ersättning är ett mål i sig. Detta följer av den betydelse som lagstiftaren tillmäter det och som framgår av förordningens lydelse. Enligt dataskyddsförordningen har den registrerade rätt att få ersättning när han eller hon har vållats skada. Begreppet skada ska ges en vid tolkning och ersättningen ska vara full och effektiv. |
|
89. |
Ersättningen har samband med strävan att stärka tilliten hos medborgarna i den digitala miljön, vilket är ett allmänt mål som nämns i skäl 7 i dataskyddsförordningen. Syftet med att säkerställa att den registrerade inte utan vidare behöver bära den skada som en olaglig behandling av hans eller hennes uppgifter har gett upphov till, är att främja denna tillit: han eller hon drabbas inte ekonomiskt och i processuellt hänseende är det lättare att kräva ersättning. |
|
90. |
Detta resonemang är förenligt med att det i artikel 82.1 i dataskyddsförordningen inte finns någon koppling mellan ersättningsskyldigheten och en underlåtenhet att uppfylla en omsorgsplikt. En sådan plikt åläggs, genom beslut av lagstiftaren, den som har en viss ställning som väktare eller garant i förhållandet och just med hänsyn enbart till den omständigheten. |
|
91. |
Det skulle kunna uttryckas så att det som är viktigt i dataskyddsförordningen är situationen för den som drabbas av skadan till följd av överträdelsen, när det saknas bestämmelser om att den skadelidande ska tåla den. |
|
92. |
För den som drabbas saknar det betydelse huruvida skadan har uppkommit på grund av oaktsamhet hos den som orsakade den. Det avgörande är att den personuppgiftsansvarige har orsakat den drabbade en materiell eller immateriell skada till följd av den överträdelse av dataskyddsförordningen som den har gjort sig skyldig till. |
|
93. |
Det är lättare att uppnå de beskrivna målen i en modell som syftar till att den styrkta skadan
|
|
94. |
Med tanke på anpassningen till den digitala revolutionen ( 75 ) anser jag att den här lösningen är konsekvent. Vid de vanligaste databehandlingsaktiviteterna som sker online, kräver den snabba tekniska utvecklingen att avsaknaden av uppsåt eller oaktsamhet inte hindrar att skador ersätts som inte skulle ha ersatts på något annat sätt. |
d) Systematik
|
95. |
Den tolkning som jag föreslår är den som överensstämmer bäst med systematiken i dataskyddsförordningen. Inom ramen för artikel 82 framgår detta av punkt 3: Den personuppgiftsansvarige ska undgå ansvar om ”den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan”. |
|
96. |
Här bör särskild uppmärksamhet fästas vid formuleringen ”inte på något sätt”, som ger intryck av att modellen inte bygger på vållande (inte ens vållande i mycket ringa omfattning) med omvänd bevisbörda. |
|
97. |
Tolkningen att en förutsättning för ersättning inte är att den personuppgiftsansvarige har varit oaktsam, innebär att artikel 82 får en egen betydelse i kapitel VIII och, i slutändan, i dataskyddsförordningen som helhet. |
|
98. |
Unionslagstiftaren utgår från att behandling av personuppgifter kan medföra risker. Den som behandlar uppgifter åläggs att bedöma dessa risker och att vidta och uppdatera åtgärder som är ägnade att förebygga och minimera de risker som har konstaterats. ( 76 ) |
|
99. |
Det har gjorts gällande att en modell för skadeståndsansvar som bygger på vållande främjar omsorg och därmed skyddet mot risker, medan den alternativa modellen, där ingen hänsyn tas till hur den som behandlat uppgifterna har agerat, kan avhålla denne från att vara försiktig (eftersom han eller hon under alla förhållanden måste ersätta skadan om det föreligger en sådan). |
|
100. |
Jag anser att det resultatet ( 77 ) är rimligt i dataskyddsförordningen. Artikel 82 ingår i en komplicerad normativ struktur, med offentligrättsliga och privaträttsliga instrument för att skydda personuppgifter. I denna struktur har oaktsamhet (och uppsåt) betydelse när det gäller administrativa sanktioner. Jag anser inte att de även måste ha betydelse när det gäller skadeståndsansvar, ( 78 ) vilket skulle strida mot syftena med artikel 82 och dessutom i praktiken göra det rättsmedel som föreskrivs där mindre lockande. |
2. Betydelsen av den registrerades medverkan
|
101. |
Frågorna om huruvida den personuppgiftsansvarige måste ha handlat oaktsamt knyts i förevarande mål samman med de eventuella följderna av den registrerades medverkan. ( 79 ) |
|
102. |
För att underlätta förståelsen av nedanstående bör det klargöras att omständigheterna i målet har betraktats utifrån två olika scenarier:
|
|
103. |
Jag anser under alla förhållanden att man måste se till artikel 82.3 för att avgöra vilken (eventuell) betydelse den registrerades medverkan i den överträdelse som gav upphov till skadan har, vilket även tycks vara den hänskjutande domstolens uppfattning. ( 82 ) |
|
104. |
I den bestämmelsen anges inte ens några exempel på grunder för befrielse från skadeståndsansvar. Det görs inte heller i skäl 146. ( 83 ) |
|
105. |
Uppenbarligen skiljer sig dataskyddsförordningen i det här avseendet från direktiv 95/46, i vilket det i artikel 23.2 fanns en regel som liknade ( 84 ) den nuvarande artikel 82.3 i dataskyddsförordningen. I skäl 55 i direktiv 95/46 angavs som exempel på grunder för ansvarsbefrielse, att fel begåtts av den registrerade eller att det föreligger force majeure. ( 85 ) Några sådana exempel finns inte i dataskyddsförordningen. |
|
106. |
Av förarbetena till dataskyddsförordningen framgår inte, såvitt jag inte misstar mig, att det skulle ha förts någon diskussion kring de här två exemplen, vilka däremot fanns med i kommissionens förslag ( 86 ) och vidhölls av parlamentet. ( 87 ) |
|
107. |
Bortfallet av dessa exempel och uppkomsten av formuleringen ”inte på något sätt” sker inom ramen för den ovannämnda diskussionen om hur ansvaret ska regleras när det finns flera personuppgiftsansvariga eller personuppgiftsbiträden. ( 88 ) |
|
108. |
Av de tillgängliga handlingarna ( 89 ) framgår att enligt den slutgiltiga lydelsen ska den personuppgiftsansvarige undgå ansvar om han kan visa att han inte alls är ansvarig (”responsible”) för skadan (”0 % responsibility”). Samma sak gäller för personuppgiftsbiträdet. ( 90 ) |
|
109. |
Mot bakgrund av detta anser jag inte att bortfallet av de två exemplen i inledningen, parallellt med tillägget av formuleringen ”inte på något sätt” i samma inledning och i artikel 82.3 i dataskyddsförordningen, får till följd (eller har som syfte) att undanta den registrerades agerande från grunderna för ansvarsbefrielse. ( 91 ) |
|
110. |
Det förefaller snarare som att den registrerades agerande fortfarande, allt efter omständigheterna, kan bryta det nödvändiga sambandet mellan ”händelsen” (det ordet används i artikel 82.3 i dataskyddsförordningen) och den personuppgiftsansvariges vållande. Även om det betonas att undantagsregeln är begränsad, hindrar det inte att ett visst agerande från den registrerades sida i sig kan ge upphov till skadan och därmed till att den personuppgiftsansvarige undgår ansvar. |
|
111. |
En systematisk tolkning talar för att den registrerades medverkan i uppkomsten av skadan ska beaktas när det gäller ansvaret för den. I dataskyddsförordningens systematik är enskilda individer involverade i skyddet av sina uppgifter och för detta ändamål tilldelas de instrument som i sig utgör rättigheter. |
|
112. |
I teleologiskt hänseende anser jag att dataskyddsförordningen syftar till att ge ett starkt skydd, men inte så starkt att den personuppgiftsansvarige ska vara skyldig att ersätta skador som är en följd av händelser eller handlingar som kan tillskrivas den registrerade. ( 92 ) |
3. Beräkning av ersättning. Betydelsen av graden av vållande hos den som är ansvarig för skadan
|
113. |
Den hänskjutande domstolen har bekräftat att den femte tolkningsfrågan omfattar frågan huruvida den personuppgiftsansvariges grad av vållande påverkar beräkningen av ersättningen. Närmare bestämt är frågan huruvida det till fördel för den personuppgiftsansvarige får tas hänsyn till att denne inte har varit vållande eller varit vållande i ringa omfattning. |
|
114. |
I artikel 82 i dataskyddsförordningen nämns inte mycket, eller inget alls, om viktiga aspekter av ersättningen som påverkar beräkningen av dess storlek. Där ges ingen vägledning om dess beståndsdelar, ( 93 ) kriterierna för att värdera dessa beståndsdelar (omvandla dem till belopp) ( 94 ) eller de faktorer som kan påverka ersättningens storlek. ( 95 ) |
|
115. |
Trots det anser jag att dataskyddsförordningen ger den registrerade rätt till ersättning och att ersättningens storlek fastställs med hänsyn till den skada som han eller hon faktiskt har lidit. När det belopp har fastställts som objektivt sett kompenserar för skadan, bör det inte påverkas av i vilken mån den personuppgiftsansvarige har handlat oaktsamt. |
|
116. |
Som stöd för min ståndpunkt hänvisar jag, i tillämpliga delar, till det jag anfört när det gäller tillskrivandet av ansvar för den personuppgiftsansvarige, oavsett dennes vållande, i systematiken i artikel 82 i dataskyddsförordningen. Ur den skadelidandes synvinkel, vars (materiella och immateriella) tillgångar inte ska minska till följd av skadan, måste han eller hon kompenseras utan att det knyts till den personuppgiftsansvariges vållande, oavsett hur allvarligt det är. ( 96 ) |
|
117. |
Jag anser att samma slutsats kan dras om det beaktas att artikel 82 i dataskyddsförordningen (vars förarbeten inte ger stöd för någon av ståndpunkterna) ( 97 ) skiljer sig från andra unionsrättsliga instrument, som uttryckligen skiljer mellan om medverkan i överträdelsen har varit ”avsiktlig” eller inte vid fastställandet av skadeståndsbeloppet. ( 98 ) |
|
118. |
Jag anser att det finns ytterligare två argument som talar för denna slutsats:
|
V. Förslag till avgörande
|
119. |
Mot bakgrund av ovanstående överväganden föreslår jag att domstolen besvarar Bundesarbeitsgericht (Federala arbetsdomstolen, Tyskland) på följande sätt: Artikel 9.2 h och 9.3, samt artikel 82.1 och 82.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), ska tolkas enligt följande: De utgör inte hinder för att en medicinsk avdelning vid en sjukförsäkringskassa behandlar sin arbetstagares uppgifter om hälsa, när uppgifterna är nödvändiga för att denna arbetstagares arbetskapacitet ska kunna bedömas. De medger att undantag görs från förbudet mot att behandla personuppgifter om hälsa, när behandlingen är nödvändig för att bedöma arbetstagarens arbetskapacitet, om principerna i artikel 5 iakttas genom behandlingen och den uppfyller något av de villkor för laglig behandling som föreskrivs i artikel 6 i förordning. Den personuppgiftsansvariges eller personuppgiftsbiträdets grad av vållande saknar betydelse för uppkomsten av ansvar för dem och för fastställandet av den immateriella skada som ska ersättas enligt artikel 82.1 i förordning 2016/679. Den registrerades medverkan i den händelse som ligger till grund för skadeståndsskyldigheten kan, allt efter omständigheterna, medföra att den personuppgiftsansvarige eller personuppgiftsbiträdet undgår ansvar enligt artikel 82.3 i förordning 2016/679. |
( 1 ) Originalspråk: spanska.
( 2 ) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).
( 3 ) Och om artikel 8 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31), som var direkt föregångare till artikel 9 i dataskyddsförordningen.
( 4 ) Fråga 4 är i allt väsentligt identisk med fråga 1 i mål C‑300/21, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), i vilket jag föredrog mitt förslag till avgörande den 6 oktober 2022 (EU:C:2022:756) (nedan kallat förslaget till avgörande i mål C‑300/21) och EU-domstolen meddelande dom den 4 maj 2023 (EU:C:2023:370).
( 5 ) Volym 5 i lagen om social trygghet.
( 6 ) Medizinischer Dienst der Krankenversicherung (nedan kallad MDK).
( 7 ) Krankenversicherung (nedan kallade sjukförsäkringskassorna).
( 8 ) ”PM om skydd av sociala uppgifter rörande [MDK:s] anställda och deras familjemedlemmar”, vilken sammanfattas i punkt 6 och följande punkter i beslutet att begära förhandsavgörande.
( 9 ) I det databehandlingssystem som MDK använder sig av internt har det upprättats en virtuell organisationsenhet benämnd ”speciella fall”, vilken endast de anställda vid den enheten har åtkomst till.
( 10 ) Efter det att rätten till bibehållen lön från MDK vid sjukfrånvaro hade upphört (enligt lag).
( 11 ) Han ansåg att om en överträdelse av skyddet för hans personuppgifter inte hade skett skulle han ha kunnat återuppta sitt arbete hos MDK från och med december 2018.
( 12 ) ArbG Düsseldorf, Urteil vom 22.02.2019 - 4 Ca 6116/18, respektive LAG Düsseldorf (12. Kammer), Urteil vom 11.03.2020 - 12 Sa 186/19.
( 13 ) Beträffande dess innehåll hänvisar jag till domen av den 4 maj 2023 i mål C‑300/21, Österreichische Post (Ideell skada på grund av behandling av personuppgifter) (C‑300/21, EU:C:2023:370).
( 14 ) Det som följer påverkar inte svaret på den tredje tolkningsfrågan.
( 15 ) Jag anser att det är lämpligare att använda den här bestämmelsen än artikel 9.2 b i dataskyddsförordningen. Det förefaller inte som att behandlingen var nödvändig (varken beträffande MDK som arbetsgivare eller beträffande ZQ som anställd) för att fullgöra förpliktelser eller utöva rättigheter inom ramen för anställningsförhållandet.
( 16 ) En behandling av känsliga uppgifter i egenskap av arbetsgivare (det vill säga för ändamål som har anknytning till anställningsförhållandet) är bara laglig om den uppfyller de villkor som föreskrivs i dataskyddsförordningen för att uppgifter ska få behandlas för andra ändamål än det som föranledde insamlingen av dem.
( 17 ) Punkt 22 i beslutet att begära förhandsavgörande. I dataskyddsförordningen föreskrivs däremot att denne ska ha andra egenskaper, enligt artikel 9.3: beträffande dess räckvidd, se punkt 40 och följande punkter nedan.
( 18 ) Artikel 9 i dataskyddsförordningen har sin föregångare i artikel 8 i direktiv 95/46. I kommissionens förslag (Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) COM(2012) 11 final, av den 25 januari 2012) (nedan kallat kommissionens förslag) reglerades behandlingen av personuppgifter om en registrerads hälsotillstånd i artikel 81, i vilken det föreskrevs motiveringar och angavs att behandlingen skulle ske på grundval av unionslagstiftning eller medlemsstaternas nationella lagstiftning. Medlemsstaterna skulle föreskriva åtgärder för att skydda den registrerades berättigade intressen. Innehållet i artikel 81 kom att föras in i artikel 9.2 h och 9.4, vilket framgår av dokument nr 14270/14, rådets ordförandeskap till arbetsgruppen för skydd av uppgifter, av den 16 oktober 2014.
( 19 ) Dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter) (C‑136/17, EU:C:2019:773, punkt 44): ”… de särskilda krav … vad gäller behandling av de särskilda kategorier av uppgifter som avses där … [syftar till att] säkerställa ett utökat skydd mot sådan behandling som, på grund av att dessa uppgifter är särskilt känsliga, kan utgöra ett synnerligen allvarligt ingrepp i den grundläggande rätten till respekt för privatlivet och skyddet för personuppgifter, vilka garanteras genom artiklarna 7 och 8 i stadgan, såsom även framgår av skäl 33 i [direktiv 95/46] och skäl 51 i förordningen”.
( 20 ) Den grundläggande rätten till skydd för personuppgifter väger inte automatiskt tyngre än andra rättigheter, inte ens när de särskilda kategorierna i artikel 9.1 i dataskyddsförordningen berörs: dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter) (C‑136/17, EU:C:2019:773, punkterna 66–68).
( 21 ) Artikel 9.3 i dataskyddsförordningen.
( 22 ) Enligt artikel 88 i dataskyddsförordningen får medlemsstaterna alltså fastställa ”mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden”. Beträffande tolkningen av dem hänvisar jag till domen av den 30 mars 2023 i målet Hauptpersonalrat der Lehrerinnen und Lehrer (C‑34/21, EU:C:2023:270).
( 23 ) Så tycks den hänskjutande domstolen uppfatta det. Själv hänvisar jag till fotnot 15 ovan.
( 24 ) Jag anser liksom kommissionen att ”det andra stycket [i artikel 9 i dataskyddsförordningen] inte föreskriver någon särskild hierarki eller något eventuellt beroendeförhållande mellan undantagen, vilka existerar parallellt på lika villkor” (punkt 13 i dess skriftliga yttrande).
( 25 ) Det krävs inte, som i direktiv 95/46, att uppgifterna behandlas ” uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som … är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt” (min kursivering). Det krävs dock att uppgifterna behandlas av någon som har tystnadsplikt.
( 26 ) Vad beträffar uppgifter som är ”särskilt känsliga med hänsyn till grundläggande rättigheterna och friheter”, anges i skäl 51 i dataskyddsförordningen att ”[u]töver de särskilda kraven för sådan behandling, bör de allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för laglig behandling”.
( 27 ) Dom av den 16 januari 2019, Deutsche Post (C‑496/17; EU:C:2019:26, punkt 57 och där angiven rättspraxis). Vad beträffar känsliga uppgifter, dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter) (C‑136/17, EU:C:2019:773, punkt 64), och dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning för överträdelser av trafikregler) (C‑439/19, EU:C:2021:504, punkterna 96, 99, 100 och 102).
( 28 ) Beslutet att begära förhandsavgörande, punkterna 25–27. Den hänskjutande domstolen nämner inrättandet av två självständiga grupper för ”särskilda fall” och av separata IT-enheter när det rör sig om utlåtanden om anställda vid IT-enheter (som ZQ). Det yttersta målet skulle då vara att ingen av MDK:s anställda faktiskt ska kunna få tillgång till uppgifter om en kollegas hälsa och inte heller om att det gjorts en prövning av dennes arbetsförmåga.
( 29 ) Artikel 8.3. Som jag nämnt har den krets av personer som får behandla uppgifterna utökats i dataskyddsförordningen.
( 30 ) Punkt 4 fördes in i artikel 9 i dataskyddsförordningen till följd av ett förslag från Tyskland: dokument nr 6834/15, ordförandeskapet till rådet, av den 9 mars 2015.
( 31 ) Den hänskjutande domstolen anger att MDK är personuppgiftsansvarig (punkt 16 i beslutet att begära förhandsavgörande). Jag kommer därför inte att nämna personuppgiftsbiträdet nedan, utom om det är lämpligt i något sammanhang. I princip kan övervägandena rörande den personuppgiftsansvarige tillämpas på personuppgiftsbiträdet.
( 32 ) Den hänskjutande domstolen befarar särskilt att ZQ:s kollegor ska få kännedom om hans hälsotillstånd om säkerheten åsidosätts, vilket skulle kunna leda till spekulationer om hans prestationsförmåga. Den hänskjutande domstolen anger vidare att information om att det föreligger ett medicinskt utlåtande rörande arbetsoförmåga i sig är känslig, eftersom det kan uppstå en möjlighet att simulera denna oförmåga (punkt 26 i beslutet att begära förhandsavgörande).
( 33 ) Se punkt 10 ovan.
( 34 ) Punkt 27 i beslutet att begära förhandsavgörande.
( 35 ) Se fotnot 27 ovan. Beträffande sambandet mellan artikel 6 och artikel 9 i dataskyddsförordningen se även mål C‑252/21, Meta Platforms m.fl. (Allmänna villkor för användning av ett socialt nätverk). Generaladvokat Rantos förslag till avgörande föredrogs den 20 september 2022 (C‑252/21, EU:C:2022:704).
( 36 ) Dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning för överträdelser av trafikregler) (EU:C:2021:504), punkterna 96, 99, 100 och 102.
( 37 ) Innehållet i artikel 10 i dataskyddsförordningen fanns i artikel 8 i direktiv 95/46. Den sistnämnda artikeln innehöll alla särskilda kategorier av uppgifter, även om behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder särskildes och behandlades i punkt 5. Den formella uppdelningen i dataskyddsförordningen beror inte på att lagstiftaren skulle ha ändrat uppfattning om att personuppgifter som rör fällande domar i brottmål eller lagöverträdelser är ”känsliga”.
( 38 ) Dokument nr 17072/4/14 Rev 4, rådet till Ständiga representanternas kommitté, av den 4 mars 2015, fotnot 60.
( 39 ) Vilken liksom i den slutliga versionen rörde laglig behandling av personuppgifter.
( 40 ) Dokument nr 17072/4/14 Rev 4, rådet till Ständiga representanternas kommitté, av den 4 mars 2015, artikel 9.2 (”Paragraph 1 shall not apply if one of the following applies and Article 6(1) is complied with …”) och fotnot 60.
( 41 ) Från och med dokument nr 6834/15, ordförandeskapet till rådet, av den 9 mars 2015.
( 42 ) Vilket visserligen inte ledde till att alla delegationernas tvivel skingrades. Se exempelvis dokument nr 7466/15, ordförandeskapet till delegationerna, av den 26 mars 2015, fotnot 38.
( 43 ) Riktlinjerna 03/2020 om databehandling som rör hälsa för vetenskaplig forskning i samband med covid-19-utbrottet, april 2020, stycke 15.
( 44 ) ”Advice paper on special categories of data”, Ares(2011)444105 - 20/04/2011, s. 5.
( 45 ) Detta är även den uppfattning som kommissionen offentligt har gett uttryck för: Minutes of the second meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, vilket hölls den 10 oktober 2016, s. 2, och Minutes of the meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, vilket hölls den 20 februari 2018, s. 2.
( 46 ) En kumulation eller komplementaritet har till exempel förespråkats av T. Petri, ”Art. 9”, i Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, marg. 26, som emellertid medger att det är en uppfattning som inte delas av alla. En motsatt ståndpunkt intas i Handbok om den europeiska lagstiftningen om skydd av personuppgifter från Europeiska unionens byrå för grundläggande rättigheter, 2018, punkt 4.1.1.
( 47 ) Den registrerade har uttryckligen lämnat sitt samtycke, behandlingen är nödvändig för att skydda en persons grundläggande intressen, när denne är fysiskt eller rättsligt förhindrad att ge sitt samtycke, respektive behandlingen är nödvändig av skäl som grundar sig på allmänintresset.
( 48 ) Punkterna 30 och 31 i beslutet att begära förhandsavgörande.
( 49 ) Till exempel om den registrerades samtycke, som rättslig grund som är förenad med det bemyndigande som föreskrivs i artikel 9.2 h, ska vara uttryckligt så som föreskrivs i den artikeln, eller om det räcker med ett samtycke enligt artikel 6.1 a.
( 50 ) En annan, mer begränsad, fråga är huruvida det mot bakgrund av den hänskjutande domstolens resonemang avseende artikel 6.1, är lämpligt att klargöra innebörden av de villkor som anges där, i synnerhet villkoren i led c och e. I det här sammanhanget hänvisar jag till EU-domstolens rättspraxis: beträffande bestämmelserna i direktiv 95/46, dom av den 16 december 2008, Huber (C‑524/06, EU:C:2008:724, punkt 62), och dom av den 30 maj 2013, Worten (C‑342/12, EU:C:2013:355, punkt 37); beträffande dataskyddsförordningen, dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punkt 66 och följande punkter).
( 51 ) Den hänskjutande domstolen är benägen att göra bedömningen att det skett en överträdelse av artiklarna 9 och 6 i dataskyddsförordningen, till följd av MDK:s behandling. I punkt 32 i beslutet om hänskjutande anges att överträdelsen i sig ger rätt till ersättning. I punkt 33 betonas att överträdelsen automatiskt innebär en skada (”överträdelsen av dataskyddsförordningen ger upphov till en immateriell skada som ger rätt till ersättning”). Av de skäl som jag redogjorde för i mitt förslag till avgörande i målet C‑300/21 delar jag inte denna uppfattning.
( 52 ) Punkterna 78–80 i MDK:s yttrande. Enligt MDK vållade den registrerade sig själv skadan, eftersom han inte begärde att få tillgång till handlingarna och inte utövade sin rätt att få tillgång till dem i enlighet med artikel 15 i dataskyddsförordningen, utan vände sig till en kollega vid samma enhet och bad henne att söka efter de omtvistade uppgifterna. Se även den dom i andra instans som meddelades av LAG Düsseldorf (12. Kammer), Urteil vom 11.03.2020 - 12 Sa 186/19], punkt 4.3.4.3.
( 53 ) Den anställda, som arbetade på samma avdelning som den registrerade, beredde sig tillgång till uppgifterna på ett sätt som låg utanför hennes befogenheter, det vill säga för ändamål som inte ingick i de arbetsuppgifter som hon var anställd för att utföra.
( 54 ) Jag kommer i fortsättningen att använda uttrycket ”den som ansvarar” som synonym till ”den ansvarige”.
( 55 ) Om man bortser från de som anser att det rör sig om en aspekt som inte har reglerats, skiljer sig uppfattningarna åt mellan de som förespråkar att system med strikt ansvar och de som förespråkar culpaansvar med omvänd bevisbörda. Liksom är fallet med andra system för (skadestånds)ansvar inom olika sektorer, anser jag i själva verket att dataskyddsförordningen inte helt och hållet motsvarar något av de två huvudsakliga teoretiska paradigmen och att gränserna mellan dem inte heller är särskilt tydliga. Så som förordningen är formulerad kan den innefattas i båda, med vissa nyanseringar som i slutändan gör att modellerna blandas ihop: i det förstnämnda paradigmet, på grund av den höga grad av omsorg som måste styrkas för att undgå ansvar; i det sistnämnda, på grund av att det förs in bedömningar av omsorg/oaktsamhet i skälen för undantag, eller när överträdelsen slås fast, beroende på vilken typ av bestämmelse det rör sig om.
( 56 ) I punkt 2, som kan uppfattas som spegelbilden av punkt 1 eftersom den behandlar ansvar från de ansvarigas sida, nämns inte heller något krav på vållande.
( 57 ) I den spanska versionen finns däremot ordet ”imputable” i artikel 47.2 f i dataskyddsförordningen, vilken handlar om den information som krävs för att bindande företagsbestämmelser ska godkännas och om undantagande från skyldighet i koncerner som är etablerade inom och utanför unionen. I den tyska versionen har man använt sig av en omskrivning (”dem betreffenden Mitglied nicht zur Last gelegt werden kann”).
( 58 ) Till exempel i artiklarna 82.3, 68.4 och 75.6.
( 59 ) Artikel 83.2 b och artikel 83.3. Om tolkningen av den uttalade jag mig i mitt förslag till avgörande i mål C‑807/21, Deutsche Wohnen (EU:C:2023:360).
( 60 ) Bland annat dokument nr 17831/13, rådets ordförandeskap till arbetsgruppen för skydd av uppgifter, av den 16 december 2013, fotnot 542.
( 61 ) Ändringsförslag nr 2819, förslag från S. Ilchev, Draft Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), dokument PE501.927v04-00, Amendments (9): ”Any person who has suffered damage as a result of an unlawful processing operation or of an action incompatible with this Regulation shall have the right to receive compensation from the controller or the processor for the damage suffered unless the controller or processor proves that they are not responsible for the damage either by intent or negligence.” Min kursivering.
( 62 ) Se den text som utgör bilaga till lagstiftningsresolution av den 12 mars 2014 om kommissionens förslag (EUT C 378, 2017, s. 399).
( 63 ) Dokument nr 9083/15, ordförandeskapet till RIF-medlemmar i arbetsgruppen för skydd av uppgifter, av den 27 maj 2015. Skillnaden mellan de två alternativen handlar om artikel 77.3–77.6. Punkt 1, där principen om den personuppgiftsansvariges och personuppgiftsbiträdets ansvar slås fast, och punkt 2, där det materiella tillämpningsområdet för deras ansvar fastställs, och personuppgiftsbiträdets ansvar avgränsas, sammanföll med varandra.
( 64 ) A.a., punkt 5.
( 65 )
( 66 ) Eller, när det gäller personuppgiftsbiträden, har agerat i strid med den personuppgiftsansvariges anvisningar som är förenliga med dataskyddsförordningen.
( 67 ) Med senare regressrätt: artikel 77.6, i det första alternativet.
( 68 ) Dokument nr 9083/15, ordförandeskapet till RIF-medlemmar i arbetsgruppen för skydd av uppgifter, av den 27 maj 2015, punkt 7. Ett culpaansvar hade öppet formulerats av Förenade kungarikets delegation. Mot bakgrund av dess argument ställdes en fråga med den innebörden till de övriga (dokument nr 7722/15, ordförandeskapet till arbetsgruppen för skydd av uppgifter, av den 13 april 2015, punkterna 10 och 11). Det alternativ som slutligen föreslogs tycks följa den kompromiss som den tyska delegationen hade pekat på (dokument nr 8150/1/15 Rev 1, av den 6 maj 2015), där skillnad gjordes mellan det område som rörde förhållandet mellan den personuppgiftsansvarige/personuppgiftsbiträdet och den registrerade, och det som rörde förhållandet mellan de två förstnämnda, och det slogs fast att den sistnämndes ansvar skulle bygga på uppsåt eller oaktsamhet: ”liability follows fault, meaning that a party is only liable if he/she has intentionally or negligently acted contrary to his duties laid down in this Regulation”. Vad beträffar den registrerade skulle denne inte hållas ansvarig om det inte förelåg någon oaktsamhet.
( 69 ) A.a., punkt 6, som slutar på följande sätt: ”In other words, the mere fact that an entity was involved in a non-compliant processing operation which caused damage suffices for it to be held liable for the full amount of damages.”
( 70 ) Artikel 77.4a, i det här alternativet. ”If a data subject is not able to bring a claim for compensation against the controller …”
( 71 ) Dokument nr 9565/15, ordförandeskapet till rådet, av den 11 juni 2015.
( 72 ) Min kursivering. Parallellt med detta tillägg tas exemplen på grunder för undantag från ansvar i skäl 118 bort: se nedan, punkt 104 och följande punkter.
( 73 ) Skäl 10 i dataskyddsförordningen.
( 74 ) Jag hänvisar till mitt förslag till avgörande i mål C‑300/21. Som jag påpekade där vill lagstiftaren främja en privat tillämpning av reglerna om skydd av personuppgifter. I detta syfte har instrument ställts till förfogande för den registrerade i kapitel VIII i dataskyddsförordningen. Skadestånd är ett sådant instrument, men det har inte någon bestraffande funktion.
( 75 ) Detta var ett av argumenten i kommissionens förslag för att gå längre än direktiv 95/46.
( 76 ) Skäl 77 och följande skäl i dataskyddsförordningen.
( 77 ) De bör emellertid klargöras att ansvaret får en preventiv funktion om det påverkar personens beslut om vilken verksamhetsnivå som han eller hon ska välja. Den tolkning som jag föreslår gör det möjligt att knyta artikel 82 i dataskyddsförordningen till principer för behandlingen av personuppgifter som ändamålsbegränsning, uppgiftsminimering och korrekthet (artikel 5.1 b, c och d i förordningen).
( 78 ) Vilket skulle innebära att oaktsamheten blir kriteriet för tillskrivning av ansvar.
( 79 ) Se fotnot 52 ovan.
( 80 ) Detta är den hänskjutande domstolens ståndpunkt (se fotnot 51 ovan). Enligt den hänskjutande domstolen bör den registrerades medverkan i form av en begäran om sökning på hans uppgifter inte ha någon betydelse för tillskrivandet av ansvar. Den skulle däremot kunna ha det när det gäller fastställandet av ersättningens storlek.
( 81 ) Detta är MDK:s och appellationsdomstolens ståndpunkt (se fotnot 52 ovan). I själva verket skulle det kunna hävdas att inslaget av ”skada” saknas i det här scenariet: volenti non fit iniuria.
( 82 ) Punkt 40 i beslutet att begära förhandsavgörande.
( 83 ) Till skillnad från vad som är fallet inom andra områden (till exempel när det gäller ansvar för felaktiga produkter), har preciseringen av grunderna för ansvarsbefrielse inte formen av en uttömmande uppräkning i dataskyddsförordningen.
( 84 )
( 85 ) Den registeransvarige ”kan befrias från skadeståndsansvar om han kan visa att han inte är ansvarig för skadan, särskilt i fall då han kan påvisa att ett fel begåtts av den registrerade eller i fall av force majeure”. Min kursivering.
( 86 ) Skäl 118 i kommissionens förslag.
( 87 ) Skäl 118 i den text som åtföljer parlamentets lagstiftningsresolution av den 12 mars 2014 om kommissionens förslag.
( 88 ) Se ovan, punkt 84 och följande punkter. Exemplen finns med i handlingarna rörande förhandlingarna i rådet, men inte i kompromisstexten, dokument nr 9565/15 av den 11 juni 2015.
( 89 ) Jag hänvisar i första hand till dokument nr 9083/15, ordförandeskapet till RIF-medlemmar i arbetsgruppen för skydd av uppgifter, av den 27 maj 2015.
( 90 ) Med hänsyn till sammanhanget (den särskilda uppmärksamheten på flera personuppgiftsansvariga och personuppgiftsbiträden), kan slutsatsen dras att en sådan möjlighet skulle kunna vara att den personuppgiftsansvarige styrker att skadan enbart uppkom på grund av personuppgiftsbiträdets agerande och vice versa.
( 91 ) Inte heller force majeure, som var den andra grunden som uttryckligen angavs i skäl 55 i direktiv 95/46 (se punkt 105 ovan).
( 92 ) Jag föregriper naturligtvis inte medverkan av tredje parter. I detta avseende, se förslag till avgörande av generaladvokaten Pitruzzella föredraget den 27 april 2023 i målet Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353).
( 93 ) För att undanröja de oklarheter som förekom i direktiv 95/46, klargörs i dataskyddsförordningen att den omfattar immateriella skador. I skäl 146 nämns ”all skada” och där betonas att begreppet ”skada” bör tolkas brett, mot bakgrund av domstolens rättspraxis. Den exakta omfattningen av påpekandet är fortfarande inte helt klar.
( 94 ) Där anges inte huruvida man ska använda sig av tariffer eller totalbelopp eller andra beräkningssystem vid preciseringen av skadan i det enskilda fallet.
( 95 ) Dessa faktorer skulle eventuellt kunna innefatta: a) den som den hänskjutande domstolen har föreslagit, b) förekomsten av oaktsamhet från den registrerades sida, vilken MDK har pekat på i punkt 80 i sitt skriftliga yttrande, c) andra faktorer, som införandet av beloppsgränser för ersättningen, för att inte på ett omotiverat sätt avskräcka från behandling av uppgifter eller ekonomisk verksamhet som bygger på den.
( 96 ) Se ovan, punkt 87 och följande punkter.
( 97 ) I direktiv 95/46 föreskrevs inget rörande detta. Jag har i förarbetena till dataskyddsförordningen inte hittat något som tyder på att det fördes någon diskussion kring detta.
( 98 ) Rådets förordning (EG) nr 2100/94 av den 27 juli 1994 om gemenskapens växtförädlarrätt (EGT L 227, 1994, s. 1), artikel 94.2, eller Europaparlamentets och rådets direktiv 2004/48/EG av den 29 april 2004 om säkerställande av skyddet för immateriella rättigheter (EUT L 157, 2004, s. 45), artikel 13 och skäl 26.
( 99 ) Artikel 83.2 b och skäl 148 i dataskyddsförordningen. Där beaktas proportionalitetskriteriet, inte bara med avseende på händelsen, utan även med beaktande av huruvida sanktionsavgiften innebär en oproportionell börda för en fysisk person. Den irländska regeringen föreslår i punkt 54 i sitt skriftliga yttrande att det kriteriet ska tillämpas på skadeståndet. Det saknas även här stöd i lydelsen av artikel 82 för att det ska anses utgöra en del av den artikeln. Det finns inte heller stöd i förarbetena eller bestämmelsens ändamål eller dess funktion i förordningen som helhet.
( 100 ) En effektiv ersättning ska vara ägnad att säkerställa rätten till uppgiftsskydd.
( 101 ) De är alla skadeståndsskyldiga enligt punkterna 2 och 3 i artikel 82 i dataskyddsförordningen. De är fullt ansvariga oberoende av i vilken grad de har bidragit till skadan.
( 102 ) Jag utesluter inte att det kan finnas andra omständigheter som kan motivera en sänkning av beloppet: jag tänker till exempel på avvägningen, i konkreta fall, mellan rätten till ersättning (och därigenom skyddet av uppgifter) och andra tillgångar eller rättigheter som har samma ställning. I dataskyddsförordningen syftar adjektivet full även till att säkerställa täckning för en viss kategori av skador (immateriella), förhindra att ersättningen begränsas till indirekta skador (den bör omfatta andra skador, vilket domstolen har slagit fast inom andra områden) och säkerställa att tillgången till ersättning inte försvåras om flera personer medverkar i behandlingen, utan tvärtom förenklas.