–

VS, genom V. Harizanova,

–

Inspektor v Inspektorata kam Visshia sadeben savet, genom S. Mulyachka,

–

Bulgariens regering, genom M. Georgieva och T. Mitova, i egenskap av ombud,

–

Tjeckiens regering, genom O. Serdula, M. Smolek och J. Vláčil, samtliga i egenskap av ombud,

–

Nederländernas regering, genom M.K. Bulterman och J.M. Hoogveld, båda i egenskap av ombud,

–

Europeiska kommissionen, genom H. Kranenborg och I. Zaloguin, båda i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av artikel 1.1 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89) och av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s.1) (nedan kallad dataskyddsförordningen), särskilt dess artikel 6.1.

2

Begäran har framställts i ett mål mellan VS och Inspektor v Inspektorata kam Visshia sadeben savet (inspektör vid Högsta rättsrådets tillsynsmyndighet, Bulgarien) (nedan kallad tillsynsmyndigheten), angående lagligheten av den behandling av personuppgifter avseende VS som utförts av distriktsåklagarmyndigheten i Petrich (Bulgarien).

3

I skälen 19, 45 och 47 i dataskyddsförordningen anges följande:

…

…

4

Artikel 2 i dataskyddsförordningen har rubriken ”Materiellt tillämpningsområde”. I punkterna 1 och 2 i denna artikel föreskrivs följande:

”1.   Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.   Denna förordning ska inte tillämpas på behandling av personuppgifter som

…

5

I artikel 4 i dataskyddsförordningen, med rubriken ”Definitioner”, föreskrivs följande:

”I denna förordning avses med

…

…”

6

Artikel 5 i dataskyddsförordningen har rubriken ”Principer för behandling av personuppgifter”. I punkt 1 i denna artikel föreskrivs följande:

”Vid behandling av personuppgifter ska följande gälla:

…

…”

7

Artikel 6 i dataskyddsförordningen, med rubriken ”Laglig behandling av personuppgifter”, har följande lydelse:

”1.   Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

…

…

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

…

3.   Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. …”

8

Artikel 21 i dataskyddsförordningen har rubriken ”Rätt att göra invändningar”. I punkt 1 i denna artikel föreskrivs följande:

”Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f … Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.”

9

Artikel 23 i dataskyddsförordningen har rubriken ”Begränsningar”. I punkt 1 i denna artikel anges att det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionerlig åtgärd i ett demokratiskt samhälle i syfte att säkerställa bland annat vissa av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse.

10

I skälen 8–12, 27 och 29 i direktiv 2016/680 anges följande:

…

…

11

Artikel 1 i direktivet har rubriken ”Syfte och mål”. I punkt 1 i denna artikel föreskrivs följande:

”I detta direktiv fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.”

12

Definitionerna av begreppen ”personuppgifter” och ”behandling” i artikel 3.1 respektive 3.2 i direktivet, med rubriken ”Definitioner”, återger de definitioner som anges i artikel 4 led 1 och 4 led 2 i dataskyddsförordningen.

13

Artikel 3.7 a och 3.8 i direktiv 2016/680 har följande lydelse:

”I detta direktiv avses med

…

7.   behörig myndighet:

…

8.   personuppgiftsansvarig: en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskriv[a]s i unionsrätten eller medlemsstaternas nationella rätt”.

14

Artikel 4 i direktiv 2016/680 har rubriken ”Principer för behandling av personuppgifter”. I punkt 1 i denna artikel anges följande:

”Medlemsstaterna ska föreskriva att personuppgifter ska

…

…”

15

I artikel 4.2 i direktiv 2016/680 föreskrivs följande:

”Behandling som utförs av samma eller en annan personuppgiftsansvarig för något annat ändamål som anges i artikel 1.1 än det för vilket personuppgifterna samlas in ska tillåtas om

16

Artikel 6 i direktiv 2016/680, med rubriken ”Åtskillnad mellan olika kategorier av registrerade”, har följande lydelse:

”Medlemsstaterna ska föreskriva att den personuppgiftsansvarige, i tillämpliga fall och så långt det är möjligt, ska göra en klar åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, såsom

…”

17

Artikel 9 i direktiv 2016/680 har rubriken ”Särskilda villkor för uppgiftsbehandling”. I punkterna 1 och 2 i denna artikel föreskrivs följande:

”1.   Personuppgifter som samlas in av behöriga myndigheter för de ändamål som anges i artikel 1.1. ska inte behandlas för andra ändamål än de som anges i artikel 1.1 såvida inte sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt. När personuppgifter behandlas för andra ändamål ska [dataskyddsförordningen] tillämpas, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten.

2.   Om de behöriga myndigheterna enligt medlemsstaternas nationella rätt anförtros utförandet av andra uppgifter än de som utförs för de ändamål som anges i artikel 1.1, ska [dataskyddsförordningen] vara tillämplig på behandlingen för dessa ändamål, … såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten.”

18

I artikel 127 i Republiken Bulgariens författning föreskrivs följande:

”Åklagarmyndigheten ska se till att lagar följs på följande sätt:

1.   Myndigheten ska leda utredningen och kontrollera att den genomförs på ett lagenligt sätt,

2.   Myndigheten får genomföra en utredning,

3.   Den tillskriver personer ansvar för brott som de begått och för åtal i brottmål som omfattas av allmänt åtal.

…”

19

Zakon za zashtita na lichnite danni (lagen om skydd av personuppgifter) (DV nr 1, av den 4 januari 2002) (nedan kallad dataskyddslagen) syftar, enligt artikel 1 i lagen, till att säkerställa skyddet för fysiska personer med avseende på behandling av personuppgifter som omfattas av dataskyddsförordningen samt med avseende på behöriga myndigheters behandling av dessa uppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och den allmänna ordningen.

20

Enligt artikel 17.1 i dataskyddslagen ska tillsynsmyndigheten säkerställa kontrollen och efterlevnaden av dataskyddsförordningen, dataskyddslagen och åtgärder som rör skydd av personuppgifter med avseende på behandling av sådana uppgifter som utförs av bland annat åklagarmyndigheten och de utredande myndigheterna när de utövar sina rättsliga funktioner, för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. För det fall den berörda personens rättigheter åsidosätts, av bland annat dessa myndigheter, har vederbörande, enligt artikel 38b i dataskyddslagen, rätt att inge ett överklagande till tillsynsmyndigheten.

21

Genom artikel 42.2 och 42.3, artikel 45.2 och artikel 47 i dataskyddslagen genomförs bestämmelserna i artikel 9.1 och 9.2, artikel 4.2 respektive artikel 6 i direktiv 2016/680.

22

I artikel 191 i Nakazatelno-protsesualen kodeks (straffprocesslagen) (DV nr 86, av den 28 oktober 2005), i den lydelse som är tillämplig i det nationella målet, föreskrivs följande:

”En förundersökning ska genomföras i ärenden som rör allmänt åtal.”

23

I artikel 192 i straffprocesslagen, i den lydelse som är tillämplig i det nationella målet, föreskrivs följande:

”Förundersökningen innefattar en utredning och åtgärder som åklagaren vidtar efter det att utredningen har avslutats.”

24

Genom artiklarna 8 och 9 i Grazhdanski protsesualen kodeks (civilprocesslagen) (DV nr 59, av den 20 juli 2007), i den lydelse som är tillämplig i det nationella målet, genomförs principerna om kontradiktoriskt förfarande respektive likställdhet i processen.

25

Artikel 154 i civilprocesslagen, i den lydelse som är tillämplig i det nationella målet, med rubriken ”Bevisbörda”, har en punkt 1 i vilken det föreskrivs följande:

”Varje part är skyldig att styrka de omständigheter på vilka den grundar sina yrkanden eller invändningar.”

26

I artikel 2ter i Zakon za otgovornostta na darzhavata i obshtinite za vredi (lagen om statens och kommunernas skadeståndsansvar) (DV nr 60 av den 5 augusti 1988) föreskrivs följande:

”1)   Staten ska svara för de skador som medborgarna och juridiska personer vållas genom åsidosättande av rätten att få saken prövad och avgjord inom skälig tid i enlighet med artikel 6.1 i [Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, som undertecknades i Rom den 4 november 1950].

2)   Talan som avses i punkt 1 ska prövas i enlighet med civilprocesslagen, i samband med vilket domaren ska ta hänsyn till förfarandets totala tidsåtgång och föremål, dess faktiska och rättsliga komplexitet, parternas och deras processuella eller rättsliga företrädares uppträdande, de övriga parternas uppträdande i förfarandet och de behöriga myndigheternas uppträdande samt andra omständigheter som är av betydelse för ett korrekt avgörande av målet.

…”

27

År 2013 inledde distriktsåklagarmyndigheten i Petrich förundersökning nr 252/2013 mot en okänd gärningsman för att ha begått ett sådant brott som avses i artikel 325.1 i Nakazatelen Kodeks (strafflagen), jämförd med artikel 20.2 i samma lag, vid en händelse som hade inträffat i en bar. Klaganden i det nationella målet, VS, deltog i detta förfarande i egenskap av offer för detta brott.

28

Till följd av flera klagomål avseende bland annat VS, upprättade distriktsåklagarmyndigheten i Petrich år 2016 flera akter som innehöll uppgifter om denna person, dock utan att inleda någon förundersökning, eftersom det inte fanns några misstankar om att ett brott skulle ha begåtts.

29

I samband med förundersökning nr 252/2013 åtalade åklagaren, år 2018, samtliga personer som hade deltagit i den händelse som den undersökningen avsåg, däribland VS.

30

VS väckte i ett tvistemål talan mot åklagarmyndigheten i Republiken Bulgarien vid Okrazhen sad Blagoevgrad (Regiondomstolen i Blagoevgrad, Bulgarien) och yrkade ersättning för den påstådda skadan till följd av att förundersökning nr 252/2013 hade tagit orimligt lång tid. För att tillvarata försvaret av nämnda åklagarmyndighet begärde en åklagare vid distriktsåklagarmyndigheten i Petrich, i egenskap av företrädare för åklagarmyndigheten, vid förhandlingen den 15 oktober 2018 att de akter som distriktsåklagarmyndigheten hade upprättat år 2016, vilka nämns i punkt 28 ovan, skulle inges inom ramen för nämnda talan. Det framgår av beslutet om hänskjutande att den åklagaren därmed avsåg att visa att de hälsoproblem som klaganden i det nationella målet gjorde gällande inte var hänförliga till nämnda förundersökning, vilket klaganden påstod, utan hade orsakats av de kontroller som polisen och distriktsåklagarmyndigheten i Petrich hade utfört i nämnda ärenden. Vid samma förhandling ålade Okrazhen sad Blagoevgrad (Regiondomstolen i Blagoevgrad) nämnda distriktsåklagarmyndighet att inge bestyrkta kopior av de aktuella akterna, vilket denna myndighet gjorde.

31

Den 12 mars 2020 ingav VS ett överklagande till tillsynsmyndigheten genom vilket han gjorde gällande att distriktsåklagarmyndigheten i Petrich hade åsidosatt bestämmelserna om skydd av personuppgifter. Som första grund gjorde han gällande att den åklagarmyndigheten rättsstridigt hade använt personuppgifterna om honom, vilka hade samlats in medan han ansågs vara brottsoffer, för att lagföra honom i samma förfarande och för samma gärningar. Han gjorde genom sin andra grund gällande att det var rättsstridigt att, såsom samma åklagarmyndighet gjorde, behandla de personuppgifter som hade samlats in inom ramen för de akter som nämns i punkt 28 ovan i samband med den skadeståndstalan som han hade väckt mot åklagarmyndigheten i Republiken Bulgarien. Tillsynsmyndigheten avslog överklagandet genom beslut av den 22 juni 2020.

32

Den 31 juli 2020 överklagade VS detta beslut till den hänskjutande domstolen och gjorde gällande dels att behandlingen av personuppgifterna om honom inom ramen för förundersökning nr 252/2013 strider mot bland annat principerna i direktiv 2016/680, dels att behandlingen av de uppgifter som samlats in inom ramen för de akter som nämns i punkt 28 ovan, efter det att åklagarmyndigheten beslutat att inte inleda ett utredningsförfarande, strider mot principerna i dataskyddsförordningen.

33

Den hänskjutande domstolen anser, mot bakgrund av EU-domstolens praxis, att det nationella målet avser behandling av personuppgifter i samband med verksamhet som omfattas av tillämpningsområdet för dataskyddsförordningen och direktiv 2016/680. Den hänskjutande domstolen vill därför få klarhet i vilka gränser som fastställs i unionsrätten när det gäller senare behandling av personuppgifter som den personuppgiftsansvarige ursprungligen samlat in för att utreda och avslöja ett brott.

34

Den hänskjutande domstolen vill särskilt få klarhet i, för det första, huruvida, för det fall åklagarmyndigheten i Republiken Bulgarien, i egenskap av ”behörig myndighet”, i den mening som avses i artikel 3.7 a i direktiv 2016/680, och i egenskap av ”personuppgiftsansvarig”, i den mening som avses i artikel 3.8 i direktivet, för att utreda och avslöja ett brott har samlat in personuppgifter om en person som vid tidpunkten för insamlingen ansågs ha utsatts för nämnda brott, den senare behandlingen av dessa uppgifter av samma myndighet för att lagföra denna person motsvarar ett ändamål som omfattas av direktivet, men som är ett annat ändamål än det för vilket de aktuella uppgifterna samlats in, i den mening som avses i artikel 4.2 i direktiv.

35

Den hänskjutande domstolen har, för det andra, konstaterat att hänvisningen, i samband med VS skadeståndstalan, till uppgifter om denna person i de akter som distriktsåklagarmyndigheten i Petrich hade upprättat år 2016 har ett annat ändamål än det för vilket dessa uppgifter samlats in och har påpekat att åklagarmyndigheten, i egenskap av motpart, i samband med denna talan inte agerar för att förebygga, förhindra, utreda, avslöja eller lagföra brott. Den hänskjutande domstolen undrar emellertid om enbart den omständigheten att det för den behöriga tvistemålsdomstolen anges att nämnda akter rör VS och att samtliga eller vissa av dessa uppgifter överförs till den domstolen utgör ”behandling” av ”personuppgifter”, i den mening som avses i artikel 4.1 och 4.2 i dataskyddsförordningen, som enligt dess artikel 2.1 omfattas av förordningens tillämpningsområde.

36

Den hänskjutande domstolen anser dessutom att det nationella målet ger upphov till frågan om avvägningen mellan skyddet av personuppgifter och en parts rätt till ett rättsligt förfarande, när uppgifterna har samlats in av denna part i egenskap av personuppgiftsansvarig, i den mening som avses i artikel 3.8 i direktiv 2016/680, särskilt mot bakgrund av artikel 6.1 första stycket led f i dataskyddsförordningen, som avser att behandlingen ska vara nödvändig för ändamål som rör den personuppgiftsansvariges berättigade intressen.

37

Den hänskjutande domstolen anser nämligen att de övriga skäl enligt vilka behandling av personuppgifter anses laglig, vilka anges i artikel 6.1 första stycket i dataskyddsförordningen, inte är relevanta i det nationella målet. I synnerhet anser den hänskjutande domstolen att det varken är nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning att åklagarmyndigheten tillhandahåller den behöriga domstolen uppgifter, om de straffrättsliga akter som åklagarmyndigheten upprättat, för att tillvarata sitt försvar i ett tvistemål.

38

Mot denna bakgrund beslutade Administrativen sad – Blagoevgrad (Förvaltningsdomstolen i Blagoevgrad, Bulgarien) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

39

Det ska inledningsvis påpekas att även om den hänskjutande domstolen formellt sett har begränsat sin första fråga till att avse tolkningen av artikel 1.1 i direktiv 2016/680, utgör denna omständighet inte hinder för att EU-domstolen tillhandahåller den hänskjutande domstolen alla uppgifter om unionsrättens tolkning som kan vara användbara vid avgörandet av det nationella målet, genom att från samtliga uppgifter som den hänskjutande domstolen har lämnat, och i synnerhet utifrån skälen i beslutet om hänskjutande, identifiera de delar av unionsrätten som behöver tolkas med hänsyn till saken i målet (se, för ett liknande resonemang, dom av den 22 april 2021, Profi Credit Slovakia, C‑485/19, EU:C:2021:313, punkt 50 och där angiven rättspraxis).

40

Av detta följer att den hänskjutande domstolen har ställt sin första fråga för att få klarhet i huruvida artikel 1.1 i direktiv 2016/680, jämförd med artikel 4.2 och artikel 6 i direktivet, ska tolkas så, att en behandling av personuppgifter har ett annat ändamål än det för vilket uppgifterna samlats in, när insamlingen av sådana uppgifter har skett för att utreda och avslöja ett brott och den registrerade vid tidpunkten för insamlingen ansågs vara brottsoffer, medan nämnda behandling sker för att lagföra denna person efter den aktuella brottsutredningen och, i förekommande fall, huruvida denna behandling är tillåten.

41

Enligt fast rättspraxis ska vid tolkningen av en unionsbestämmelse inte bara lydelsen beaktas, utan också sammanhanget och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i. Även en unionsbestämmelses tillkomsthistoria kan ge relevanta upplysningar för tolkningen av bestämmelsen (se, för ett liknande resonemang, dom av den 1 oktober 2019, Planet49, C‑673/17, EU:C:2019:801, punkt 48 och där angiven rättspraxis).

42

För det första ska det påpekas att det genom lydelsen av artikel 1.1 i direktiv 2016/680, som rör direktivets syfte, uttryckligen görs åtskillnad mellan olika kategorier av aktiviteter som kan motsvara en behandling av personuppgifter som omfattas av denna bestämmelse. Det framgår härvidlag av de olika språkversionerna av denna bestämmelse, däribland den bulgariska, den spanska, den tyska, den grekiska, den engelska och den italienska versionen, att de olika ändamål som avses i artikel 1.1 består i att ”förebygga”, ”förhindra”, ”utreda”, ”avslöja” eller ”lagföra” brott eller ”verkställa straffrättsliga påföljder” och att ”skydda” mot samt ”förebygga och förhindra””hot mot den allmänna säkerheten”.

43

Genom lydelsen av artikel 4.2 i direktivet, i vilken det anges att behandling för ”något annat ändamål som anges i artikel 1.1 [i direktivet] än det för vilket personuppgifterna samlas in” ska tillåtas, med förbehåll för att de krav som anges i denna bestämmelse iakttas, bekräftas vidare uttryckligen att de termer som räknas upp i artikel 1.1, nämligen ”förebygga”, ”förhindra”, ”utreda”, ”avslöja”, ”lagföra”, ”verkställa straffrättsliga påföljder””skydda mot” samt ”förebygga och förhindra””hot mot den allmänna säkerheten”, avser flera olika ändamål för behandling av personuppgifter som omfattas av direktivets tillämpningsområde.

44

Det följer således av själva ordalydelsen i artikel 1.1 i direktiv 2016/680, jämförd med artikel 4.2 i direktivet, att, när personuppgifter har samlats in för att ”utreda” och ”avslöja” brott och senare behandlas för att ”lagföra” brott, nämnda insamling och nämnda behandling har olika ändamål.

45

Det ska slutligen påpekas att medlemsstaterna enligt artikel 6 i samma direktiv är skyldiga att föreskriva att den personuppgiftsansvarige, i tillämpliga fall och så långt det är möjligt, ska göra en klar åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, såsom bland annat de personuppgifter som nämns i leden a, b och c i denna artikel, nämligen personer avseende vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott, personer som dömts för brott, brottsoffer eller personer avseende vilka det finns vissa omständigheter som ger anledning att anta att de kan vara brottsoffer.

46

En person vars personuppgifter behandlas för att lagföra honom eller henne ska följaktligen anses ingå i den kategori av personer avseende vilken det finns tungt vägande skäl att anta att han eller hon har begått brott, i den mening som avses i led a i artikel 6 i direktiv 2016/680. Av detta följer att om denna person, såsom i det fall som avses i den första frågan, ursprungligen ansågs vara brottsoffer, i den mening som avses i led c i artikel 6 i direktivet, återspeglar denna behandling således en ändring av kategorin för nämnda person, vilket det ankommer på den personuppgiftsansvarige att beakta enligt det krav på tydlig åtskillnad mellan uppgifter om olika kategorier av personer som anges i denna artikel.

47

Det kan emellertid konstateras att det varken i artikel 1.1 i direktiv 2016/680 eller i artikel 4.2 i direktivet hänvisas till artikel 6 i direktivet eller till innehållet i denna artikel, för att fastställa ändamålet med en behandling av personuppgifter som omfattas av direktivets tillämpningsområde.

48

Såsom generaladvokaten påpekade i punkt 62 i sitt förslag till avgörande, framgår det för övrigt tydligt av uttrycket ”i tillämpliga fall och så långt det är möjligt” i artikel 6 i direktiv 2016/680 att det inte nödvändigtvis är möjligt att göra en tydlig åtskillnad mellan sådana uppgifter, bland annat när uppgifterna, såsom i förevarande fall, samlas in för att ”utreda” eller ”avslöja” brott, eftersom en och samma person kan omfattas av flera kategorier av personer som avses i artikel 6 i direktivet och eftersom fastställandet av de aktuella kategorierna kan utvecklas under förundersökningen, i takt med att processen med att klarlägga de faktiska omständigheterna framskrider.

49

Av detta följer att artikel 6 innehåller en skyldighet som skiljer sig från den som föreskrivs i artikel 4.2 och, såsom generaladvokaten påpekade i punkterna 61–64 i sitt förslag till avgörande, att nämnda skyldighet inte är relevant för att avgöra huruvida en behandling av personuppgifter har ett annat ändamål än det för vilket uppgifterna samlats in, i den mening som avses i sistnämnda bestämmelse.

50

Vad för det andra avser de aktuella föreskrifternas sammanhang, ska det påpekas att det i artikel 4.1 b och c i direktiv 2016/680 föreskrivs dels att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som står i strid med dessa ändamål, dels att dessa uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas. Dessa båda krav anges i huvudsak i samma ordalag i artikel 5.1 b och c i dataskyddsförordningen, där det preciseras att de motsvarar principerna om ändamålsbegränsning och uppgiftsminimering.

51

Mot bakgrund av skäl 29 i direktivet ska det emellertid påpekas att artikel 4.2 i direktivet tillåter senare behandling av personuppgifter för ett annat ändamål än det för vilket uppgifterna samlats in, när detta ändamål ingår bland de som anges i artikel 1.1 i samma direktiv och behandlingen uppfyller de båda villkor som föreskrivs i artikel 4.2 a och b. För det första ska den personuppgiftsansvarige i enlighet med unionsrätten eller medlemsstaternas nationella rätt vara bemyndigad att behandla sådana personuppgifter för ett sådant ändamål. För det andra ska behandlingen vara nödvändig och stå i proportion till detta andra ändamål.

52

I synnerhet kan personuppgifter som samlats in för att ”förebygga, förhindra” och ”utreda” eller ”avslöja” brott, i förekommande fall, senare behandlas av olika behöriga myndigheter för att ”lagföra” brott eller ”verkställa straffrättsliga påföljder”, när ett brott har identifierats och därför kräver en brottsbekämpande åtgärd.

53

I samband med insamling av personuppgifter för att ”utreda” och ”avslöja” brott ska de behöriga myndigheterna emellertid inhämta alla uppgifter som kan vara relevanta för fastställandet av de handlingar som utgör det aktuella brottet i ett skede där dessa ännu inte har fastställts. I samband med behandling av personuppgifter för att ”lagföra” brott syftar dessa uppgifter däremot till att styrka att de handlingar som läggs de tilltalade till last är tillräckligt övertygande och att den straffrättsliga kvalificeringen av handlingarna är riktig, så att den behöriga domstolen kan avgöra målet.

54

För det första kommer följaktligen inte de personuppgifter som är nödvändiga för att ”utreda” och ”avslöja” brott att systematiskt vara nödvändiga för att ”lagföra” brott. För det andra kan följderna av behandlingen av personuppgifter för de registrerade skilja sig avsevärt, särskilt vad gäller graden av ingrepp i deras rätt till skydd för dessa uppgifter och verkningarna av denna behandling på deras rättsliga ställning inom ramen för det aktuella straffrättsliga förfarandet.

55

Det ska dessutom påpekas att tillämpningsområdet för nämnda artikel 4.2 inte är begränsat till behandling av personuppgifter som sker i samband med samma brott som det brott för vilket uppgifterna samlats in. Såsom anges i skäl 27 i direktiv 2016/680 tar direktivet hänsyn till behovet för de myndigheter som är behöriga att bekämpa brott att behandla personuppgifter för ett annat ändamål än det som ledde till insamlingen av dessa uppgifter, bland annat i syfte att utveckla förståelsen för kriminell verksamhet och göra kopplingar mellan olika upptäckta brott.

56

Av det ovan anförda följer att för att uppfylla de krav som avses i artikel 4.2 a och b i direktiv 2016/680, så ska bedömningen av huruvida dessa krav uppfylls av en behandling av personuppgifter, av samma eller en annan personuppgiftsansvarig, för något annat ändamål som anges i artikel 1.1 än det för vilket personuppgifterna samlats in, ske med beaktande av vart och ett av de särskilda och olika ändamål som anges i denna artikel 1.1.

57

Vad för det tredje avser de aktuella föreskrifternas mål ska det påpekas att unionslagstiftaren, såsom framgår av skälen 10 och 11 i direktiv 2016/680, har haft för avsikt att anta regler som tar hänsyn till särarten hos det område som omfattas av direktivet.

58

Det anges i detta hänseende i skäl 12 att polisens och andra brottsbekämpande myndigheters verksamhet främst är inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott, inbegripet polisverksamhet där man inte på förhand vet om det inträffade utgör ett brott eller inte.

59

Av detta följer att unionslagstiftaren har haft för avsikt att anta regler som motsvarar de särdrag som kännetecknar de verksamheter som de behöriga myndigheterna bedriver på det område som omfattas av detta direktiv, med beaktande av att de utgör skilda verksamheter med särskilda ändamål.

60

Denna tolkning, företagen mot bakgrund av den aktuella bestämmelsens sammanhang och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i stöds av dess förarbeten, i synnerhet rådets motivering: Rådets ståndpunkt (EU) nr 5/2016 vid första behandlingen inför antagandet av Europaparlamentets och rådets direktiv om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter, och om upphävande av rådets rambeslut 2008/977/RIF (EUT C 158, s. 2016, s. 46). I denna motivering förklarar rådet nämligen varför nämnda bestämmelse infördes i direktiv 2016/680 genom att ange att den ”gör det möjligt för exempelvis en åklagare att behandla samma personuppgifter vid lagföring av ett brott som polisen behandlade för att upptäcka ett brott, förutsatt att båda ändamålen i exemplet täcks av artikel 1.1. [i direktivet]”.

61

Det ankommer således på den hänskjutande domstolen, vid avgörandet av det nationella målet, att fastställa huruvida den behandling av personuppgifter avseende VS som distriktsåklagarmyndigheten i Petrich företog för att lagföra denna person kunde tillåtas med hänsyn till villkoren i artikel 4.2 i direktiv 2016/680, genom att kontrollera dels huruvida bulgarisk straffrätt gjorde det möjligt för myndigheten att utföra behandlingen, dels huruvida behandlingen var nödvändig och proportionerlig i förhållande till det ändamål som den var avsedd att uppnå.

62

Det ska härvidlag påpekas att den hänskjutande domstolen, vid bedömningen av huruvida en sådan behandling är nödvändig och proportionerlig, i förekommande fall kan beakta den omständigheten att den myndighet som är ansvarig för denna lagföring ska kunna grunda sig på uppgifter som samlats in under utredningen såsom bevis för de handlingar som utgör brottet, bland annat uppgifter om de personer som är inblandade i brottet, i den mån dessa uppgifter är nödvändiga för att identifiera dessa personer och för att fastställa deras inblandning.

63

Mot bakgrund av det ovan anförda ska den första frågan besvaras enligt följande. Artikel 1.1 i direktiv 2016/680, jämförd med artikel 4.2 och artikel 6 i direktivet, ska tolkas så, att en behandling av personuppgifter har ett annat ändamål än det för vilket uppgifterna samlats in, när insamlingen av sådana uppgifter har skett för att utreda och avslöja ett brott, medan nämnda behandling sker för att lagföra en person efter den aktuella brottsutredningen, oberoende av att denna person vid tidpunkten för insamlingen ansågs vara brottsoffer, och att en sådan behandling är tillåten enligt artikel 4.2 i detta direktiv, förutsatt att den uppfyller de villkor som föreskrivs i denna bestämmelse.

64

Den hänskjutande domstolen har ställt sin andra fråga för att få klarhet i dels huruvida artikel 3.8, artikel 9.1 och 9.2 i direktiv 2016/680 samt artikel 2.1 och 2.2 i dataskyddsförordningen ska tolkas så, att denna förordning är tillämplig på behandling av personuppgifter som åklagarmyndigheten i en medlemsstat utför för att utöva sin rätt till försvar i samband med en skadeståndstalan mot staten, för det fall åklagarmyndigheten informerar den behöriga domstolen om att det finns akter om en fysisk person som är part inom ramen för nämnda talan, vilka upprättats för ändamål som anges i artikel 1.1 i detta direktiv, och nämnda myndighet överför dessa akter till den domstolen, dels, vid jakande svar, huruvida artikel 6.1 första stycket led f i nämnda förordning ska tolkas så, att en sådan behandling av personuppgifter kan anses laglig för ändamål som rör den personuppgiftsansvariges berättigade intressen, i den mening som avses i denna bestämmelse.

65

Tillsynsmyndigheten har i sitt skriftliga yttrande ifrågasatt huruvida den andra frågan kan tas upp till prövning, eftersom den hänskjutande domstolen har ställt den inom ramen för prövningen av en grund som hade åberopats av VS och som avvisades genom det beslut som är föremål för talan i det nationella målet, på grund av att den lagstadgade fristen för att åberopa grunden hade löpt ut.

66

Enligt domstolens fasta praxis presumeras nationella domstolars frågor om tolkningen av unionsrätten vara relevanta. Dessa frågor ställs mot bakgrund av den beskrivning av omständigheterna i målet och tillämplig lagstiftning som den nationella domstolen på eget ansvar har lämnat och vars riktighet det inte ankommer på EU-domstolen att pröva. En begäran från en nationell domstol kan bara avvisas då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågeställningen är hypotetisk eller EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den (se, bland annat, dom av den 27 september 2017, Puškár, C‑73/16, EU:C:2017:725, punkt 50 och där angiven rättspraxis).

67

Såsom generaladvokaten påpekade i punkterna 76 och 77 i sitt förslag till avgörande är den hänskjutande domstolen, i förevarande fall, ensam behörig att avgöra frågan huruvida de grunder som VS anförde i samband med sitt överklagande till tillsynsmyndigheten kan tas upp till prövning. Den hänskjutande domstolen har för övrigt i beslutet om hänskjutande angett att den anser att den andra frågan är relevant, trots att tillsynsmyndigheten avvisade den grund som nämns i punkt 65 ovan. Det ankommer under alla omständigheter inte på EU-domstolen att göra en ny prövning av den bedömningen.

68

Av detta följer att den andra frågan kan tas upp till prövning.

69

För det första ska det fastställas huruvida den omständigheten att åklagarmyndigheten i en medlemsstat använder uppgifter om en fysisk person som myndigheten har samlat in och behandlat för ändamål som omfattas av artikel 1.1 i direktiv 2016/680, för att utöva sin rätt till försvar i ett tvistemål, utgör ”behandling” av ”personuppgifter”, i den mening som avses i artikel 4.1 och 4.2 i dataskyddsförordningen.

70

Det ska inledningsvis erinras om att ”varje upplysning som avser en identifierad eller identifierbar fysisk person” utgör en ”personuppgift”, i den mening som avses i artikel 4 led 1 i dataskyddsförordningen. Enligt rättspraxis är denna definition tillämplig om de aktuella uppgifterna på grund av deras innehåll, syfte och verkan är knutna till en bestämd person (se, för ett liknande resonemang, dom av den 20 december 2017, Nowak, C‑434/16, EU:C:2017:994, punkt 35). Enligt artikel 4 led 2 i dataskyddsförordningen definieras begreppet ”behandling” dessutom som ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej”, såsom bland annat ”läsning”, ”användning”, ”utlämning genom överföring”, ”spridning” eller ”tillhandahållande på annat sätt”. Dessa definitioner visar att unionslagstiftaren har haft för avsikt att ge dessa båda begrepp en omfattande räckvidd (se, för ett liknande resonemang, dom av den 20 december 2017, Nowak, C‑434/16, EU:C:2017:994, punkt 34, och dom av den 24 februari 2022, Valsts ieņēmumu dienests (behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkt 35).

71

Den omständigheten att svaranden i ett tvistemålsförfarande, även kortfattat, i sina inlagor eller vid förhandlingen informerar den behöriga domstolen om att akter har upprättats om den fysiska person som inlett detta förfarande, bland annat för att ”utreda” eller ”avslöja” ett brott, innebär först att svaranden har ”läst”, ”använt” och ”överfört” eller ”lämnat ut””personuppgifter”, i den mening som avses i artikel 4 led 1 och 4 led 2 i dataskyddsförordningen. Dessa uppgifter är således såväl genom deras innehåll som genom deras syfte och verkan knutna till en bestämd person, som är identifierbar av både den part som lämnat ut uppgifterna och den domstol till vilken de överförs.

72

För det andra innebär den omständigheten att samma svarande, på begäran av den behöriga domstolen, inger akterna i förfaranden avseende nämnda fysiska person i vart fall ”användning” och ”utlämning genom överföring” av ”personuppgifter”, i den mening som avses i artikel 4 led 1 och 4 led 2 i dataskyddsförordningen.

73

Det ska därefter erinras om att artikel 2.1 i dataskyddsförordningen innehåller en vid definition av förordningens materiella tillämpningsområde (dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 61), vilken omfattar varje ”behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register”. Följden av denna vida definition är att de undantag från tillämpningen av dataskyddsförordningen som räknas upp i artikel 2.2 i dataskyddsförordningen ska tolkas restriktivt. Detta gäller särskilt undantaget i punkt 2 led d i denna artikel som avser behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder (se, för ett liknande resonemang, dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkterna 40 och 41 och där angiven rättspraxis).

74

Domstolen har i detta avseende slagit fast att detta undantag, såsom framgår av skäl 19 i förordningen, motiveras av att de behöriga myndigheternas behandling av personuppgifter för de ändamål som anges i artikel 2.2 led d i dataskyddsförordningen regleras av en särskild unionsakt, nämligen direktiv 2016/680, vilket antogs samma dag som dataskyddsförordningen (se, för ett liknande resonemang, dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkt 42 och där angiven rättspraxis).

75

Såsom framgår av skäl 12 i direktiv 2016/680 har unionslagstiftaren, i artikel 9 i direktivet, föreskrivit regler om behandling av personuppgifter för andra ändamål än de som anges i artikel 1.1 i direktivet, för vilka uppgifterna samlats in.

76

I artikel 9.1 i direktiv 2016/680 föreskrivs dels att sådan behandling av personuppgifter i princip inte får ske, såvida den inte är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, dels att dataskyddsförordningen ska tillämpas, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten. Enligt artikel 9.2 i direktivet ska dataskyddsförordningen, såvida inte behandlingen utförs som ett led i en sådan verksamhet som inte omfattas av unionsrätten, dessutom vara tillämplig på den behandling som de behöriga myndigheterna utför inom ramen för deras andra uppgifter än de som utförs för de ändamål som anges i artikel 1.1 i direktivet.

77

I de fall som avses i punkterna 71 och 72 ovan utgör den insamling och behandling av personuppgifter som åklagarmyndigheten i en medlemsstat utför för att ”förebygga”, ”förhindra”, ”utreda”, ”avslöja” eller ”lagföra” brott säkerligen behandling av personuppgifter för de ändamål som anges i artikel 1.1 i direktiv 2016/680, i den mening som avses i artikel 9.1 och 2 i direktivet.

78

Skadeståndstalan som väcks mot staten kan visserligen grundas på de fel som åklagarmyndigheten antas ha begått i ett straffrättsligt förfarande, såsom, i förevarande fall, påstådda åsidosättanden av rätten att få sin sak prövad inom skälig tid. Statens försvar inom ramen för en sådan talan har emellertid inte i sig till syfte att säkerställa åklagarmyndighetens uppgifter för de ändamål som anges i artikel 1.1 i direktiv 2016/680.

79

Med hänsyn till principen om att undantagen från tillämpningen av dataskyddsförordningen ska tolkas restriktivt, kan sådan behandling av personuppgifter inte heller anses ha utförts som ”ett led i en verksamhet som inte omfattas av unionsrätten”, i den mening som avses i artikel 2.2 led a i dataskyddsförordningen och artikel 9.1 och 9.2 i direktiv 2016/680. Det följer härvidlag av rättspraxis att detta uttryck endast är avsett att från dataskyddsförordningens tillämpningsområde utesluta behandling av personuppgifter som statliga myndigheter utför som ett led i en verksamhet som syftar till att upprätthålla nationell säkerhet eller en verksamhet som kan placeras i samma kategori. En myndighets deltagande i ett tvistemålsförfarande i egenskap av svarande i samband med en skadeståndstalan mot staten syftar inte till att upprätthålla nationell säkerhet och kan inte heller placeras i samma verksamhetskategori (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkterna 66–68 och där angiven rättspraxis).

80

För det tredje ska åklagarmyndigheten, vid tillämpningen av dataskyddsförordningen på sådan behandling av uppgifter som avses i punkterna 71 och 72 ovan, anses som ”personuppgiftsansvarig”, i den mening som avses inte bara i artikel 4 led 7 i dataskyddsförordningen, utan även i artikel 3 led 8 i direktiv 2016/680, genom att åklagarmyndigheten ”ensam eller tillsammans med andra bestämmer ändamålen och medlen” för sådan behandling, i den mening som avses i sistnämnda bestämmelse. Det är nämligen denna myndighet, i egenskap av part i förfarandet, som informerar den behöriga domstolen om att det har upprättats straffrättsliga akter avseende den andra parten och överför dessa akter till den domstolen. Åklagarmyndighetens egenskap av ”personuppgiftsansvarig” är, med hänsyn till den vida definitionen av detta begrepp, som syftar till att säkerställa ett effektivt och fullständigt skydd för de berörda personerna, oberoende av graden av myndighetens inblandning och ansvarsnivå, vilka kan skilja sig från de som gäller för den behöriga domstolen, på vilken det ankommer att tillåta eller till och med besluta om sådan behandling (se, analogt, dom av den 29 juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, punkterna 66–70).

81

Oberoende av frågan huruvida sådan behandling av uppgifter som avses i punkt 80 ovan omfattas av punkt 1 eller av punkt 2 i artikel 9 i direktiv 2016/680, framgår det av lydelsen av dessa punkter och deras uppbyggnad att dataskyddsförordningen är tillämplig på all behandling av personuppgifter som samlats in för de ändamål som anges i artikel 1.1 i direktivet, för andra ändamål än dessa, såvida inte den aktuella behandlingen inte omfattas av unionsrätten, inbegripet när ”den personuppgiftsansvarige”, i den mening som avses i artikel 3 led 8 i direktivet, är en behörig myndighet, i den mening som avses i artikel 3 led 7 punkt a i direktivet, och utför andra uppgifter än de som utförs för de ändamål som anges i artikel 1.1 i direktivet.

82

Mot bakgrund av det ovan anförda finner EU-domstolen att dataskyddsförordningen är tillämplig på behandling av personuppgifter som åklagarmyndigheten i en medlemsstat utför för att utöva sin rätt till försvar i samband med en skadeståndstalan mot staten, dels när åklagarmyndigheten informerar den behöriga domstolen om att det finns akter om en fysisk person som är part inom ramen för nämnda talan, vilka upprättats för de ändamål som anges i artikel 1.1 i direktiv 2016/680, dels när åklagarmyndigheten överför dessa akter till den domstolen.

83

Det ska erinras om att artikel 6 i dataskyddsförordningen på ett begränsande sätt räknar upp de situationer där en behandling av personuppgifter kan anses laglig (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 99).

84

Bland dessa fall föreskrivs i artikel 6.1 första stycket led e i dataskyddsförordningen det fall där behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, och i artikel 6.1 första stycket led f i dataskyddsförordningen avses det fall där behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter. Enligt artikel 6.1 andra stycket i förordningen ska artikel 6.1 första stycket led f i förordningen inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

85

Det ska påpekas att det, såsom Europeiska kommissionen korrekt har påpekat i sitt skriftliga yttrande, klart framgår av ordalydelsen i artikel 6.1 andra stycket i dataskyddsförordningen att behandling av personuppgifter som en myndighet utför vid fullgörandet av sina uppgifter inte kan omfattas av tillämpningsområdet för artikel 6.1 första stycket led f i denna förordning såvitt avser behandling av personuppgifter som är nödvändig för ändamål som rör den personuppgiftsansvariges berättigade intressen. Såsom följer av skäl 47 i dataskyddsförordningen och såsom kommissionen har gjort gällande kan sistnämnda bestämmelse inte tillämpas på sådan behandling av uppgifter, eftersom lagstiftaren måste tillhandahålla den rättsliga grunden för sådan behandling. Av detta följer att när den behandling som en myndighet utför är nödvändig för att utföra ett uppdrag av allmänt intresse, och således omfattas av de uppgifter som nämns i artikel 6.1 andra stycket i denna förordning, utesluter artikel 6.1 första stycket led e i dataskyddsförordningen och artikel 6.1 första stycket led f i denna förordning varandra.

86

Innan frågan om tillämpningen av artikel 6.1 första stycket led f i dataskyddsförordningen prövas är det således nödvändigt att fastställa huruvida den behandling av personuppgifter, vilka ursprungligen samlats in för ett eller flera av de ändamål som anges i artikel 1.1 i direktiv 2016/680, som åklagarmyndigheten i en medlemsstat utför, för att tillvarata statens eller ett offentligt organs försvar, i samband med en skadeståndstalan som avser ersättning för skada som vållats genom att staten eller ett offentligt organ begått fel vid utförandet av sina uppgifter, är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i åklagarmyndighetens myndighetsutövning, i den mening som avses i artikel 6.1 första stycket led e i nämnda förordning.

87

När det ankommer på åklagarmyndigheten att tillvarata statens rättsliga och ekonomiska intressen i samband med en skadeståndstalan som riktas mot denna myndighets handlande eller beteende inom ramen för de uppgifter av allmänt intresse som den anförtrotts på det straffrättsliga området, kan, såsom generaladvokaten påpekade, i punkterna 94 och 100 i sitt förslag till avgörande försvaret, försvaret av dessa intressen enligt nationell rätt utgöra en uppgift av allmänt intresse, i den mening som avses i artikel 6.1 första stycket led e i förordningen.

88

För det första säkerställer nämnda myndighet nämligen, genom att utöva de processuella rättigheter som den har i egenskap av motpart, rättssäkerheten för de åtgärder som vidtagits och de beslut som antagits i det allmännas intresse, vilka klaganden har ifrågasatt. Åklagarmyndighetens ställningstaganden till klagandens grunder och argument kan i förekommande fall undvika risken för att de senare äventyrar den faktiska tillämpningen av de regler som åligger myndigheten inom ramen för dess uppgifter, vilka, enligt vad som hävdats, myndigheten skulle ha utfört på ett felaktigt sätt.

89

För det andra kan samma myndighet, genom sina grunder och argument till sitt försvar, när så är fallet, göra gällande att klagandens ersättningsyrkanden eventuellt är ogrundade eller överdrivna, bland annat för att undvika att fullgörandet av de uppdrag av allmänt intresse som ifrågasätts i samband med skadeståndstalan hindras av att skadeståndstalan kan komma att väckas i framtiden, när dessa uppdrag kan skada enskildas intressen.

90

Det saknar härvid betydelse att åklagarmyndigheten, i samband med en skadeståndstalan mot staten, agerar i egenskap av motpart på samma villkor som övriga parter och inte utövar myndighetsutövning, vilket är fallet när åklagarmyndigheten utför sina uppgifter på det straffrättsliga området.

91

I förevarande fall framgår det av beslutet om hänskjutande och av de förtydliganden som den bulgariska regeringen har gjort som svar på domstolens frågor att skadeståndstalan, som delvis ligger till grund för det nationella målet, grundar sig på lagen om statens och kommunernas skadeståndsansvar, vilken nämns i punkt 26 ovan, genom vilken det inrättas ett system för statens skadeståndsansvar för de skador som vållas genom åsidosättande av rätten att få saken prövad och avgjord inom skälig tid, och att det, enligt artikel 7 i denna lag, är den myndighet vars olagliga åtgärder, handlingar eller underlåtenhet har vållat skadan som är part i målet och som därför träder i statens ställe i processuellt hänseende.

92

Den roll som den myndighet som har vållat den påstådda skadan har i samband med en sådan skadeståndstalan skiljer sig således från den roll som svaranden har vid statens regresstalan mot en offentlig tjänsteman som ådragit sig personligt ansvar på grund av de åsidosättanden som vederbörande begått i sin tjänsteutövning, eftersom rollen i det senare fallet syftar till att tillvarata privata intressen (se, för ett liknande resonemang, dom av den 18 maj 2021, Asociaţia Forumul Judecătorilor din România m.fl., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 och C‑397/19, EU:C:2021:393, punkt 225).

93

Mot bakgrund av det ovan anförda finner EU-domstolen följaktligen att den behandling som åklagarmyndigheten i en medlemsstat utför av personuppgifter, vilka ursprungligen samlats in och behandlats för ett eller flera av de ändamål som anges i artikel 1.1 i direktiv 2016/680, i syfte att tillvarata statens försvar i samband med en skadeståndstalan som avser ersättning för skada som vållats genom att åklagarmyndigheten begått fel vid utförandet av sina uppgifter, i princip inte omfattas av tillämpningsområdet för artikel 6.1 första stycket led f i dataskyddsförordningen, utan snarare av tillämpningsområdet för artikel 6.1 första stycket led e i dataskyddsförordningen.

94

Det kan inte heller uteslutas att den åtgärd genom vilken åklagarmyndigheten i en medlemsstat, i syfte att tillvarata statens försvar i samband med en skadeståndstalan, på den behöriga domstolens begäran överför personuppgifter till den domstolen, även kan omfattas av tillämpningsområdet för artikel 6.1 första stycket led c i dataskyddsförordningen, när åklagarmyndigheten enligt tillämplig nationell rätt är skyldig att efterkomma en sådan begäran.

95

Under dessa omständigheter ankommer det på den hänskjutande domstolen, för att fastställa att sådan behandling av personuppgifter som den som är aktuell i det nationella målet omfattas av tillämpningsområdet för artikel 6.1 första stycket i dataskyddsförordningen, att kontrollera att det i nationell rätt, i enlighet med artikel 6.3 i denna förordning, fastställs dels vilken grunden för sådan behandling är, dels vilka ändamålen med behandlingen är eller, vad gäller artikel 6.1 första stycket led e, att nämnda behandling är nödvändig för att åklagarmyndigheten ska utföra en uppgift av allmänt intresse.

96

Det ankommer dessutom på den hänskjutande domstolen att avgöra huruvida den omständigheten att åklagarmyndigheten lämnar ut uppgifter om den som har väckt skadeståndstalan, vilka förekommer i akter som upprättats i andra ärenden än det som ligger till grund för denna talan, uppfyller de övriga krav som föreskrivs i dataskyddsförordningen, och i synnerhet principen om ”uppgiftsminimering”, som avses i artikel 5.1 c i denna förordning. Denna princip innebär att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas och den är ett uttryck för proportionalitetsprincipen (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 98). Vidare ankommer det på den hänskjutande domstolen att kontrollera att behandlingen av personuppgifter har utförts med iakttagande av lämpliga skyddsåtgärder, i synnerhet möjligheten att på ett effektivt sätt kommentera de upplysningar och den bevisning som åklagarmyndigheten har tillhandahållit i detta sammanhang, men även, enligt artikel 21.1 i dataskyddsförordningen, att göra invändningar mot att dessa upplysningar och denna bevisning lämnas ut till den behöriga domstolen, med förbehåll för de begränsningar av rätten att göra invändningar som föreskrivs i nationell lagstiftning, i enlighet med artikel 23.1 i denna förordning.

97

Mot bakgrund av det ovan anförda ska den andra frågan besvaras enligt följande.

98

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (femte avdelningen) följande: