Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Document 62023CC0394

Förslag till avgörande av generaladvokat M. Szpunar föredraget den 11 juli 2024.


ECLI identifier: ECLI:EU:C:2024:610

Preliminär utgåva

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

MACIEJ SZPUNAR

föredraget den 11 juli 2024(1)

Mål C394/23

Association Mousse

mot

Commission nationale de l’informatique et des libertés (CNIL),

SNCF Connect

(begäran om förhandsavgörande från Conseil d’État (Högsta förvaltningsdomstolen, Frankrike))

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 6.1 – Principen om laglig behandling – Artikel 5.1 c – Principen om uppgiftsminimering – Artighetstitel – Onlineköp av tjänst som avser persontrafik – Artikel 21 – Rätten att göra invändningar”






I.      Inledning

1.        Förordning (EU) 2016/679(2) (nedan kallad dataskyddsförordningen) syftar till att säkerställa en hög skyddsnivå för fysiska personer med avseende på behandlingen av deras personuppgifter. För detta ändamål åläggs enligt förordningen personuppgiftsansvariga att iaktta ett antal principer när de behandlar personuppgifter, bland annat den så kallade principen om ”uppgiftsminimering” och principen om laglig behandling.

2.        Dessa två principer är centrala i förevarande mål, som rör en tvist mellan en förening och en nationell tillsynsmyndighet angående det förhållandet att ett persontrafikföretag behandlar uppgifter om kunders artighetstitel i det angivna syftet att använda uppgifterna i sin kommersiella kommunikation och som således ger domstolen tillfälle att klargöra principernas räckvidd.

II.    Tillämpliga bestämmelser

A.      Unionsrätt

3.        Skälen 4, 10, 39, 40, 44, 47, 69 och 75 i dataskyddsförordningen har följande lydelse:

”(4)      Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i [Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan)], såsom de fastställts i fördragen, särskilt skydd för privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk domstol samt kulturell, religiös och språklig mångfald.

(10)      För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. …

(39)      … Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. … Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. …

(40)      För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från den berörda registrerade eller på någon annan legitim grund som fastställts i lag, antingen i denna förordning eller i annan unionsrätt eller medlemsstaternas nationella rätt enligt denna förordning, vilket inbegriper att … ett avtal i vilket den registrerade är part måste genomföras eller att åtgärder på begäran av den registrerade måste vidtas innan avtalet ingås.

(44)      Behandling bör vara laglig när den är nödvändig i samband med avtal eller när det finns en avsikt att ingå ett avtal.

(47)      En personuppgiftsansvarigs berättigade intressen, inklusive intressena för en personuppgiftsansvarig till vilken personuppgifter får lämnas ut, eller för en tredje part, kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre, med beaktande av de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige. Ett sådant berättigat intresse kan till exempel finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige i sådana situationer som att den registrerade är kund hos … den personuppgiftsansvarige. Ett berättigat intresse kräver under alla omständigheter en noggrann bedömning, som inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med detta rimligen kan förvänta sig att en uppgiftsbehandling för detta ändamål kan komma att ske. … Sådan behandling av personuppgifter som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personuppgiftsansvarig. Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse.

(69)      När personuppgifter lagligen får behandlas, eftersom behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning som utförs av den personuppgiftsansvarige, eller på grund av en personuppgiftsansvarigs eller en tredje parts berättigade intressen, bör alla registrerade ändå ha rätt att göra invändningar mot behandling av personuppgifter som rör de registrerades särskilda situation. Det bör ankomma på den personuppgiftsansvarige att visa att dennes tvingande berättigade intressen väger tyngre än den registrerades intressen eller grundläggande rättigheter och friheter.

(75)      Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering …”

4.        Enligt artikel 2.1 i dataskyddsförordningen ska förordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

5.        I artikel 4 i dataskyddsförordningen, med rubriken ”Definitioner”, föreskrivs följande:

”I denna förordning avses med

1.      personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person …

2.      behandling:      en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering …

7.      personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen …

11.      samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne,

…”

6.        I artikel 5 i dataskyddsförordningen, med rubriken ”Principer för behandling av personuppgifter”, föreskrivs följande:

”1.      Vid behandling av personuppgifter ska följande gälla:

a)      Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

c)      De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

d)      De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).

…”

7.        I artikel 6 i dataskyddsförordningen, med rubriken ”Laglig behandling av personuppgifter”, föreskrivs följande i punkt 1:

”Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)      Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b)      Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)      Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d)      Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e)      Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f)      Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

…”

8.        I artikel 13 i dataskyddsförordningen, med rubriken ”Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade”, föreskrivs följande:

”1.      Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:

d      Om behandlingen är baserad på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.

…”

9.        Artikel 21 i dataskyddsförordningen har rubriken ”Rätt att göra invändningar”. I punkt 1 i denna artikel föreskrivs följande:

”Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.”

10.      Artikel 25 i dataskyddsförordningen har rubriken ”Inbyggt dataskydd och dataskydd som standard”. I artikel 25.2 föreskrivs följande:

”Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. …”

B.      Fransk rätt

11.      I artikel 8 i loi n° 78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés(3) (lag nr 78-17 av den 6 januari 1978 om informationsteknik, register och friheter) föreskrivs följande:

”Commission nationale de l’informatique et des libertés [CNIL] är en oberoende förvaltningsmyndighet. Den är den nationella tillsynsmyndigheten i den mening som avses i och för tillämpningen av [dataskyddsförordningen]. Den har följande uppgifter:

2.      Den ska se till att behandlingen av personuppgifter sker i enlighet med bestämmelserna i denna lag och med andra bestämmelser avseende personuppgiftsskydd som föreskrivs i lag och annan författning, unionsrätt och Frankrikes internationella överenskommelser.

För detta ändamål ska den

d)      behandla klagomål, framställningar och yrkanden från en registrerad eller från ett organ, en organisation eller en sammanslutning, undersöka eller utreda den sakfråga som klagomålet gäller och inom rimlig tid underrätta den enskilde om hur undersökningen fortskrider och om resultatet, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet. …”

III. Bakgrund, förfarandet och tolkningsfrågorna

12.      SNCF Connect är ett bolag som via sin webbplats och sina applikationer saluför färdbevis för järnvägsresor, såsom tågbiljetter, periodkort och rabattkort. Vid köp av dessa färdbevis är detta bolags kunder skyldiga att ange sin artighetstitel genom att kryssa för benämningen ”Monsieur” eller ”Madame”.

13.      Sökanden i det nationella målet, föreningen Mousse (nedan kallad Mousse), ansåg att omständigheterna kring hur kundernas artighetstitel samlades in och registrerades vid köp av färdbevis inte uppfyllde kraven i dataskyddsförordningen och lämnade därför in ett klagomål mot SNCF Connect till CNIL. Mousse gjorde till stöd för sitt klagomål gällande att insamlingen av de aktuella uppgifterna inte var förenlig med den laglighetsprincip som föreskrivs i artikel 5.1 a i förordningen, eftersom den inte grundades på något av de skäl som anges i artikel 6.1 i förordningen. Denna insamling strider dessutom enligt Mousse mot principen om uppgiftsminimering och principen om riktighet, vilka framgår av artikel 5.1 c respektive 5.1 d i förordningen, samt mot de skyldigheter avseende öppenhet och att tillhandahålla information som följer av bland annat artikel 13 i förordningen. Mousse gjorde i detta sammanhang gällande att SNCF Connect inte borde samla in dessa uppgifter eller åtminstone borde erbjuda sina kunder ytterligare alternativ, såsom att ange ”ingetdera” eller ”annat”.

14.      Genom beslut av den 23 mars 2021 avslutade CNIL det klagomål som prövats, med motiveringen att de omständigheter som lagts SNCF Connect till last inte utgjorde överträdelser av de aktuella bestämmelserna i dataskyddsförordningen. CNIL fann att uppgiftsbehandlingen var laglig, enligt artikel 6.1 b i förordningen, eftersom den var nödvändig för att fullgöra avtalet om tillhandahållande av persontrafiktjänster. CNIL påpekade även att en sådan behandling, med hänsyn till dess ändamål, var förenlig med principen om uppgiftsminimering, eftersom det följer sedvänjan i fråga om kommunikation mellan enskilda och kommersiell och administrativ kommunikation att tilltala kunder med användning av deras artighetstitel.

15.      Den 21 maj 2021 överklagade Mousse CNIL:s beslut av den 23 mars 2021 till Conseil d’État (Högsta förvaltningsdomstolen, Frankrike). I sitt överklagande gjorde Mousse bland annat gällande att skyldigheten att välja benämningen ”herr” eller ”fru” vid köp online inte är förenlig med laglighetsprincipen eller principen om uppgiftsminimering som anges i artikel 5.1 a respektive 5.1 c i dataskyddsförordningen, eftersom denna benämning inte är nödvändig för att fullgöra avtalet eller för SNCF Connects berättigade intressen. Den omständigheten att denna benämning används i den kommersiella kommunikationen är enligt Mousse inte tillräckligt för att det ska vara nödvändigt att samla in dessa uppgifter. Slutligen innebär en sådan skyldighet ett intrång i rätten att resa utan att uppge artighetstitel och rätten till respekt för privatlivet, samt i friheten att fritt definiera sitt könsuttryck. När det bland annat gäller medborgare i länder där det finns artighetstitlar för ett ”tredje kön”, överensstämmer denna benämning inte med verkligheten och kan således visa sig strida mot den princip om riktighet som anges i artikel 5.1 d i förordningen, samtidigt som deras rätt till fri rörlighet, som garanteras i unionsrätten, åsidosätts.

16.      CNIL yrkade att överklagandet skulle avslås och gjorde gällande att behandlingen av uppgifter om artighetstitel även skulle kunna anses vara nödvändig för att uppnå de berättigade intressen som SNCF Connect eftersträvar, i den mening som avses i artikel 6.1 f i dataskyddsförordningen, och att de registrerade – beroende på deras särskilda situation – skulle kunna göra gällande den rätt att göra invändningar som garanteras i artikel 21 i förordningen.

17.      Den hänskjutande domstolen vill för det första få klarhet i huruvida det, vid bedömningen av huruvida insamlingen av uppgifter är adekvat, relevant och begränsad till vad som är nödvändigt, samt huruvida det är nödvändigt att behandla uppgifterna, kan tas hänsyn till allmänt vedertagen sedvänja vid kommunikation mellan enskilda samt kommersiell och administrativ kommunikation, så att insamlingen av uppgifter om kundernas artighetstitel, som är begränsad till titlarna ”herr” eller ”fru”, kan anses vara ”laglig och förenlig” med principen om uppgiftsminimering. Den hänskjutande domstolen vill för det andra få klarhet i huruvida det, vid bedömningen av huruvida det är nödvändigt att obligatoriskt samla in och därefter behandla uppgifter om kundernas artighetstitel, och trots att vissa av kunderna anser att de inte omfattas av någon av de två artighetstitlarna, ska beaktas att dessa kunder, efter att ha lämnat dessa uppgifter till den personuppgiftsansvarige för att kunna nyttja den erbjudna tjänsten, skulle kunna utöva sin rätt att invända mot användningen av sådana uppgifter genom att åberopa sin specifika situation, i den mening som avses i artikel 21 i dataskyddsförordningen.

18.      Mot denna bakgrund beslutade Conseil d’État (Högsta förvaltningsdomstolen) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

”1)      Kan allmänt vedertagen praxis i fråga om kommunikation mellan enskilda samt kommersiell och administrativ kommunikation beaktas vid bedömningen av huruvida insamlingen av uppgifter är adekvat, relevant och begränsad till vad som är nödvändigt i den mening som avses i bestämmelserna i artikel 5.1 c i dataskyddsförordningen och huruvida det är nödvändigt att behandla uppgifterna i den mening som avses i artikel 6.1 b och f i denna förordning, och det därför kan anses nödvändigt att samla in uppgifter om kunders artighetstitel, vilket begränsar sig till titlarna ”herr” eller ”fru”, utan att detta strider mot principen om uppgiftsminimering?

2)      Ska det, vid bedömningen av huruvida det är nödvändigt att obligatoriskt samla in och behandla uppgifter om kundernas artighetstitel, trots att vissa kunder anser att de inte omfattas av någon av de två artighetstitlarna och att insamlingen av denna uppgift inte är relevant för dem, beaktas att dessa kunder, efter att ha tillhandahållit den personuppgiftsansvarige denna uppgift för att kunna nyttja den tjänst som erbjuds, skulle kunna utöva sin rätt att invända mot användning och lagring av uppgiften genom att åberopa sin specifika situation, med tillämpning av artikel 21 i dataskyddsförordningen?”

19.      Mousse, SNCF Connect, den franska regeringen och Europeiska kommissionen har inkommit med skriftliga yttranden. Samma parter deltog i förhandlingen den 29 april 2024.

IV.    Bedömning

A.      Den första tolkningsfrågan

20.      Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artiklarna 5.1 c och 6.1 b och 6.1 f i dataskyddsförordningen ska tolkas så, att ett persontrafikföretags behandling av kunders personuppgifter avseende artighetstitel ska anses vara nödvändig för att fullgöra ett avtal eller åtgärder som vidtas innan avtalet ingås eller är nödvändiga för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, när behandlingen syftar till att möjliggöra en personlig kommersiell kommunikation genom att säkerställa att allmänt vedertagen sedvänja i fråga om kommersiell kommunikation iakttas.

21.      Jag måste göra två inledande anmärkningar i detta avseende.

22.      Det ska för det första påpekas att parterna är eniga och att det inte råder något tvivel om att uppgifter om ett persontrafikföretags kunders artighetstitlar utgör personuppgifter i den mening som avses i artikel 4.1 i dataskyddsförordningen och att SNCF Connects insamling och registrering av dessa uppgifter även ska anses utgöra behandling i den mening som avses i artikel 4.2 i denna förordning, varför detta ska prövas mot bakgrund av bestämmelserna i nämnda förordning.

23.      För det andra har SNCF Connect och den franska regeringen gjort gällande att ett nekande svar på den första tolkningsfrågan skulle leda till att dataskyddsförordningen skulle tillämpas i ett annat sammanhang än det avsedda, eftersom lagstiftaren, genom att anta denna förordning, inte hade för avsikt att reglera sedvänja i fråga om kommunikation eller om frågan om kön. Även om jag, i likhet med generaladvokaten Bobek, gärna medger att bestämmelserna om skydd för privatlivet ibland ”används under tämligen förvånande omständigheter”,(4) anser jag emellertid att förevarande situation inte ingår bland dessa. Den omständigheten att det är fråga om uppgifter som rör civilrättslig identitet och att de debatter som pågår i de nationella rättsordningarna om frågan om könsbinaritet därigenom framträder i bakgrunden, kan inte leda till att man bortser från den omständigheten att det i förevarande fall är fråga om ett persontrafikföretags automatiska behandling av sina kunders personuppgifter, som inte bara objektivt sett omfattas av dataskyddsförordningens tillämpningsområde, utan utgör en behandling av uppgifter som unionslagstiftaren hade som mål att reglera.(5)

24.      Jag kommer därför att inleda min bedömning av den första tolkningsfrågan med allmänna anmärkningar vad gäller kravet att behandlingen av uppgifter ska vara laglig, vilket enligt dataskyddsförordningen gäller för personuppgiftsansvariga, innan jag avgör huruvida detta krav, mot bakgrund av de principer som angetts, ska anses vara uppfyllt när det gäller behandling av uppgifter angående artighetstitel för ett persontrafikföretags kunder i syfte att kommunicera med dessa kunder med användning av allmänt vedertagen sedvänja i fråga om kommersiell kommunikation.

1.      Huruvida behandling av personuppgifter är laglig

25.      I artikel 5 i dataskyddsförordningen anges ett antal principer för behandling av personuppgifter. I denna bestämmelse föreskrivs särskilt att sådana uppgifter ”ska behandlas på ett lagligt … sätt”(6) och ”ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas”.(7) Med andra ord ska all behandling av uppgifter vara förenlig bland annat med principen om laglig behandling och principen om uppgiftsminimering.

26.      I artikel 6 i dataskyddsförordningen preciseras räckvidden av principen om laglig behandling av uppgifter. I den mån den medger en begränsning av rätten till skydd av personuppgifter(8) svarar artikel 6.1 i denna förordning mot de krav som anges i artikel 52.1 i stadgan. Den aktuella begränsningen ska nämligen vara föreskriven i lag och vara förenlig med det väsentliga innehållet i denna rättighet. Begränsningen ska dessutom vara nödvändig och svara mot mål ett allmänt samhällsintresse som erkänns av unionen eller mot behovet av skydd för andra människors rättigheter och friheter.(9)

27.      Lagstiftaren har också föreskrivit sex grunder för laglig behandling av uppgifter och preciserar de mål av allmänintresse och de rättigheter och friheter som kräver skydd som kan motivera en begränsning av rätten till skydd av personuppgifter. Artikel 6.1 i dataskyddsförordningen innehåller således ”en uttömmande och begränsande uppräkning av de fall där personuppgiftsbehandling kan anses vara tillåten”.(10)

28.      I artikel 6.1 i dataskyddsförordningen fastställs inte någon strikt hierarki(11) mellan de grunder för vilka behandlingen av uppgifter ska anses vara laglig. Domstolen har därför i sin rättspraxis preciserat förhållandet dem emellan.

29.      Domstolen har erinrat om att enligt artikel 6.1 a i dataskyddsförordningen är ”behandling av personuppgifter laglig om och i den utsträckning som den registrerade har lämnat sitt samtycke till detta för ett eller flera särskilda ändamål”. Domstolen tillade att ”[h]ar något sådant samtycke inte lämnats … är behandlingen trots detta laglig om den uppfyller något av nödvändighetsgrunderna i artikel 6.1 b–f.”(12) Den har även slagit fast att ”[l]aglighetsgrunderna [i fråga] innebär att en behandling av personuppgifter som utförs utan att den registrerade lämnat sitt samtycke blir lagenlig. De måste därför tolkas restriktivt”.(13) De grunder för behandling av personuppgifter som anges i artikel 6.1 i den förordningen är således likvärdiga och ingen av dem ska anses vara subsidiär i förhållande till den andra.

30.      Vidare har domstolen preciserat att de grunder som föreskrivs i artikel 6.1 i dataskyddsförordningen inte är kumulativa. Den har således slagit fast att ”när det går att konstatera att en behandling av personuppgifter är nödvändig enligt någon av laglighetsgrunderna i artikel 6.1 första stycket b–f i GDPR, så finns det inte anledning att pröva huruvida behandlingen även omfattas av någon annan laglighetsgrund”.(14) Med andra ord är, som jag redan har nämnt,(15) behandling av personuppgifter laglig när den är motiverad av ett enda skäl, utan att ett skäl kan betraktas som subsidiärt i förhållande till det andra.

31.      Den princip om laglighet som anges i artikel 6.1 i dataskyddsförordningen kan emellertid inte bedömas isolerat. Domstolen har således konsekvent funnit att detta villkor ”ska prövas tillsammans med principen om ’uppgiftsminimering’ i artikel 5.1 c [i denna förordning]”.(16) Denna princip är enligt domstolens praxis och som jag redan har påpekat(17) ett uttryck för proportionalitetsprincipen(18) som, såsom den franska regeringen gjort gällande i sitt skriftliga yttrande, kräver att de medel som används är ägnade att säkerställa att det mål som eftersträvas uppnås och inte går utöver vad som är nödvändigt för att uppnå det målet.(19)

32.      Med andra ord innebär principen om uppgiftsminimering att det måste kontrolleras att de behandlade uppgifterna är ägnade att uppnå det ändamål som behandlingen avser – i enlighet med de grunder som anges i artikel 6.1 i dataskyddsförordningen – och att de uppgifter som behandlas endast behandlas om ändamålet med behandlingen inte rimligen kan uppnås genom andra medel. Omfattningen av de uppgifter som behandlas, både kvantitativt och materiellt, är inte större än vad som är nödvändigt för att uppnå detta syfte.(20)

33.      Jag skulle vilja göra ytterligare en kommentar i detta avseende. Det ska påpekas att domstolen har tolkat principen om uppgiftsminimering tillsammans med principen om laglig behandling endast i situationer där behandlingen i fråga grundat sig på någon av de grunder som anges i artikel 6.1 b–f i dataskyddsförordningen. Domstolen har med andra ord inte klart angett huruvida principen om uppgiftsminimering även är tillämplig när den registrerade har samtyckt till behandlingen av sina personuppgifter. Det är riktigt att man skulle kunna förespråka tanken att den personuppgiftsansvarige, i den mån personen ger sitt samtycke, kan behandla alla uppgifter utan att principen om minimering utgör hinder för detta.

34.      Jag anser emellertid inte att en sådan tolkning är förenlig med vare sig dataskyddsförordningens syfte att säkerställa en hög skyddsnivå för fysiska personer med avseende på behandling av deras personuppgifter eller med lydelsen av de aktuella bestämmelserna.

35.      Artikel 6.1 a i dataskyddsförordningen föreskriver nämligen att behandling är laglig under förutsättning att den berörda personen ”har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål”.(21) Jag vill här påpeka att samtycket omfattar ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring”.(22) Med andra ord kan det inte röra sig om ett allmänt samtycke till behandling av vilka uppgifter som helst. Den registrerade måste dessutom informeras om det syfte för vilket samtycke ges till behandlingen av uppgifterna. I artikel 5.1 c i denna förordning föreskrivs att de behandlade uppgifterna ska vara ”adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas”.(23) Under dessa omständigheter anser jag att principen om uppgiftsminimering är tillämplig även för det fall behandlingen av dessa uppgifter utförs med den registrerades samtycke och leder till en kontroll av att de aktuella uppgifterna verkligen är begränsade till vad som är nödvändigt för att uppnå det specifika ändamålet med behandlingen.

36.      Det är utifrån dessa överväganden som SNCF Connects behandling av uppgifter om sina kunders artighetstitel ska prövas mot bakgrund av artikel 6.1 b och 6.1 f i dataskyddsförordningen, varvid det ska preciseras att den hänskjutande domstolen uteslutande hänvisar till dessa båda ändamål med behandlingen.

2.      Artikel 6.1 b i dataskyddsförordningen: huruvida behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås

37.      I artikel 6.1 b i dataskyddsförordningen föreskrivs att en behandling av personuppgifter är laglig om den ”är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås”.

38.      Domstolen klargjorde räckvidden av denna bestämmelse i målet Meta Platforms m.fl. Den fann således att ”för att en behandling av personuppgifter ska anses vara nödvändig för att fullgöra ett avtal, i den mening som avses i denna bestämmelse, måste behandlingen vara objektivt oundgänglig för att uppnå ett ändamål som utgör en väsentlig beståndsdel av den tjänst som är avsedd för den registrerade. Den registeransvarige måste således kunna visa på vilket sätt avtalets huvudändamål inte skulle kunna uppnås utan den aktuella behandlingen”.(24)

39.      Parterna var eniga om att det huvudsakliga syftet med avtalet var att tillhandahålla ett färdbevis och, i sista hand, att tillhandahålla persontrafik på järnväg. Det ska således prövas dels huruvida uppgifter om kundens artighetstitel behandlas för att uppnå ett ändamål som utgör en väsentlig beståndsdel av persontrafiktjänsten, dels huruvida denna behandling är objektivt oundgänglig för detta ändamål.

a)      Identifiering av ändamålet med behandlingen

40.      SNCF Connect och den franska regeringen har gjort gällande att fullgörandet av avtalet om persontrafik innefattar kommunikation med kunden, såväl vid bokningstillfället som under och efter den aktuella resan, och innebär att man måste känna till kundens artighetstitel för att kunna kommunicera med kunden på ett personligt sätt och i enlighet med sedvänjan för kommersiell kommunikation.

41.      SNCF Connect har tillagt att det vid fullgörandet av persontrafikavtalet är viktigt att känna till den berörda personens kön för att kunna anpassa förmånen i särskilda fall, såsom assistans till personer med fysiska funktionshinder eller tillgång till vagnar i nattåg där endast kvinnor har tillträde. Det ska påpekas att ett sådant syfte inte i strikt mening är föremål för den första tolkningsfrågan, såsom den formulerats av den hänskjutande domstolen, i vilken det uttryckligen hänvisas till användning av allmänt vedertagen sedvänja i samband med kommersiell kommunikation. Eftersom den hänskjutande domstolen mer allmänt har frågat EU-domstolen om insamlingen av uppgifter om artighetstitel mot bakgrund av principerna om uppgiftsminimering och laglig behandling, kommer jag dock ändå att pröva ett sådant argument.

42.      När det gäller syftet att kommunicera med kunden anser jag att det bör betraktas som en väsentlig beståndsdel av persontrafikavtalet. Ett sådant avtal förutsätter nämligen att ett färdbevis tillhandahålls och, följaktligen, att kontakt tas med kunden för att översända det. Jag anser dessutom att det är fortsatt nödvändigt att kommunicera med kunden under persontrafikens fullgörande, bland annat för att förhindra händelser som påverkar kundens resa och tiden därefter, särskilt vid utbyten med kunden angående denna resa.

43.      Det ska i detta avseende preciseras att den franska regeringens argument att syftet med behandlingen inte endast är kommunikation med kunden, utan närmare bestämt kommunikation med kunden enligt sedvänja i fråga om kommersiell kommunikation, inte kan godtas. För det första förefaller ett på detta sätt definierat syfte inte utgöra en väsentlig del av tillhandahållandet av en persontrafiktjänst: det finns inget som tyder på att detta inte skulle kunna genomföras utan kommunikation enligt allmänt vedertagen sedvänja i fråga om kommersiell kommunikation. För det andra bygger detta argument på ett cirkelresonemang. Syftet med den sålunda definierade behandlingen av uppgifter – att kommunicera i enlighet med allmänt vedertagen sedvänja i fråga om kommersiell kommunikation – sammanfaller nämligen med de medel som används för att uppnå detta syfte – användningen av allmänt vedertagen sedvänja i fråga om kommersiell kommunikation.

44.      När det gäller anpassningen av persontrafiktjänsten till sådana särskilda fall som SNCF Connect har hänvisat till, är det enligt min mening även svårt att bestrida att det utgör en väsentlig del av denna tjänst, eftersom den just syftar till att säkerställa att tjänsten genomförs.

45.      Även om ändamålen med den aktuella behandlingen enligt min mening är en väsentlig del i tillhandahållandet av en persontrafiktjänst och kan tillåtas enligt artikel 6.1 b i dataskyddsförordningen, krävs det emellertid även att behandlingen av personuppgifterna är nödvändig för att uppnå det åberopade ändamålet, såtillvida att avtalets huvudföremål inte kan uppnås utan denna behandling och att det inte finns andra praktiska och mindre ingripande lösningar för att uppnå samma ändamål.

46.      Jag anser att behandlingen av personuppgifter går utöver vad som är nödvändigt för att avtalet ska kunna fullgöras på ett korrekt sätt.

b)      Huruvida behandlingen är nödvändig för att uppnå de angivna ändamålen

47.      För det första, vad gäller kommunikation som syfte, kan ett korrekt fullgörande av persontrafikavtalet inte vara beroende av att persontrafikföretaget använder sig av artighetstitel i kommunikationen med sina kunder, och detta även om den personuppgiftsansvarige avser att kommunicera på ett personligt sätt med sina kunder. Ett persontrafikföretag kan nämligen lätt kommunicera personligt med sina kunder utan att använda deras artighetstitel.

48.      Även om SNCF Connect vid förhandlingen påpekade att det är nödvändigt att bevara en varumärkesimage genom att använda formuleringar som är allmänt vedertagna i den kommersiella kommunikationen, kan andra formuleringar som i detta avseende vittnar om respekt för kunden och som inte är beroende av artighetstitel i lika hög grad göra det möjligt att uppnå detta resultat.

49.      Detta gäller i än högre grad eftersom SNCF Connect, såsom Mousse har gjort gällande och med förbehåll för den hänskjutande domstolens prövning, i praktiken inte systematiskt använder sig av allmänt vedertagen sedvänja i fråga om kommersiell kommunikation som skulle förutsätta att företaget känner till kundernas artighetstitel, utan använder andra mer allmänna formuleringar, såsom ”Tack, trevlig resa” eller ”Hej”. Avsaknaden av systematisk användning av kundernas artighetstitel vid SNCF Connects kommunikation visar enligt min mening tydligt inte bara att behandlingen av dessa uppgifter inte är nödvändig för att fullgöra det aktuella avtalet, utan även, mot bakgrund av principen om uppgiftsminimering, en mer omfattande behandling av uppgifter än vad som är nödvändigt.

50.      I linje med detta vill jag påpeka att SNCF Connect, när bolaget tillfrågades om detta vid förhandlingen, medgav att ett avsiktligt uttalande av en annan artighetstitel än den berörda personens reella artighetstitel i själva verket saknar betydelse för tillhandahållandet av persontrafiktjänsten. Under dessa omständigheter konstaterar jag att avtalets huvudföremål fortfarande kan uppnås utan att de aktuella uppgifterna behandlas.

51.      För det andra anser jag även, när det gäller syftet att anpassa persontrafiktjänsten, att behandlingen av personuppgifter går utöver vad som är nödvändigt för att genomföra tjänsten. Dels anser jag inte att de personuppgifter som är relevanta för en sådan anpassning är uppgifterna om artighetstitel, vilka enligt den franska regeringen inte utgör en del av personernas civilrättsliga ställning, utan uppgifterna om kundernas kön, såsom de anges i folkbokföringsregistret. Dels skulle detta syfte kunna uppnås genom insamling och behandling av dessa uppgifter inte för samtliga beställningar av färdbevis, utan endast för de särskilda fall som kräver det, såsom en beställning av ett färdbevis för att resa i en nattågsvagn som är avsedd för kvinnor eller en begäran om assistans för en person med funktionshinder.

52.      Under dessa omständigheter anser jag att artikel 6.1 b i dataskyddsförordningen, jämförd med artikel 5.1 c i den förordningen, ska tolkas så, att systematisk behandling av uppgifter om artighetstitel inte kan anses vara nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, när denna behandling syftar till att möjliggöra personlig kommersiell kommunikation genom att säkerställa att allmänt vedertagen sedvänja i fråga om kommersiell kommunikation iakttas eller att säkerställa en anpassning av persontrafiktjänsten på grund av den registrerades kön.

3.      Artikel 6.1 f i dataskyddsförordningen: behandlingens nödvändighet för ändamål som rör den personuppgiftsansvarigas eller en tredje parts berättigade intressen

53.      I artikel 6.1 f i dataskyddsförordningen föreskrivs att behandling av personuppgifter är laglig om den är ”nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn”.

54.      Enligt domstolens fasta praxis följer det av denna bestämmelse att tre kumulativa villkor måste vara uppfyllda för att behandlingen av de personuppgifter som den avser ska vara laglig. För det första måste den personuppgiftsansvarige eller en tredje part eftersträva ett berättigat intresse. För det andra ska behandlingen av personuppgifterna vara nödvändig för att uppnå det berättigade intresset. För det tredje ska den registrerades intressen eller grundläggande fri- och rättigheter inte väga tyngre än den personuppgiftsansvariges eller en tredje parts berättigade intressen.(25)

55.      Beträffande det första villkoret, att det ska föreligga ett berättigat intresse, har domstolen i domen Meta Platforms m.fl. preciserat att ”enligt artikel 13.1 d i GDPR ska den personuppgiftsansvarige, i samband med att personuppgifter samlas in från den registrerade, informera denna om vilka berättigade intressen som eftersträvas, när behandlingen baseras på artikel 6.1 f i GDPR.”(26) Domstolen fann således i samma dom att den sistnämnda bestämmelsen ska tolkas så, att behandling av personuppgifter ”endast kan anses vara nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, i den mening som avses i denna bestämmelse, under förutsättning att operatören har informerat de användare från vilka uppgifterna har samlats in om ett berättigat intresse som eftersträvas med behandlingen”.(27)

56.      Med andra ord är rättsföljden av en underlåtenhet att iaktta den informationsskyldighet som föreskrivs i artikel 13.1 d i dataskyddsförordningen att behandlingen av de aktuella personuppgifterna är rättsstridig.

57.      Såsom kommissionen har gjort gällande, och med förbehåll för den hänskjutande domstolens prövning, anser jag att SNCF Connect inte har uppfyllt denna skyldighet.

58.      Såsom kommissionen har påpekat nämner SNCF Connect i sin ”stadga om sekretess”, som finns tillgänglig på dess webbplats, den rättsliga grunden för behandling av uppgifter om artighetstitel som ”det berättigade intresset”. Jag kommer att göra två påpekanden i detta avseende. För det första kan enbart omnämnandet av ett berättigat intresse, utan att det exakt anges vilket som är det berättigade intresset, inte uppfylla den informationsskyldighet som föreskrivs i artikel 13.1 d i dataskyddsförordningen, enligt vilken den personuppgiftsansvarige ska ange det berättigade intresse som eftersträvas. För det andra är det under alla omständigheter inte heller förenligt med artikel 13.1 d i förordningen att på ett allmänt sätt nämna ett berättigat intresse i en ”stadga om sekretess”, som visserligen finns tillgänglig på den personuppgiftsansvariges webbplats men som kunden aktivt måste söka efter. Denna bestämmelse kräver nämligen att den registrerade informeras om det berättigade intresse som eftersträvas vid den tidpunkt då uppgifterna samlas in, vilket enligt min mening förutsätter att kunden ges kännedom om denna information direkt när denne lämnar de aktuella uppgifterna om sig själv.

59.      När SNCF Connect vid förhandlingen tillfrågades om informationsskyldigheten kunde bolaget inte heller ange huruvida kunderna faktiskt informeras om det berättigade intresse som behandlingen eftersträvar vid tidpunkten för insamlingen av uppgifterna om artighetstitel.

60.      Det första villkoret i artikel 6.1 f i dataskyddsförordningen, nämligen att det ska föreligga ett berättigat intresse, tolkat mot bakgrund av den skyldighet att informera om detta intresse som föreskrivs i artikel 13.1 d i dataskyddsförordningen, är således inte uppfyllt. Behandling av uppgifter om artighetstitel i en sådan situation kan således inte anses vara laglig i den mening som avses i denna bestämmelse, och det är inte nödvändigt att pröva huruvida de två andra villkoren i artikel 6.1 f i nämnda förordning är uppfyllda.

a)      Förslag till avgörande avseende tolkningen av artikel 6.1 f i dataskyddsförordningen

61.      Av det ovan anförda följer enligt min mening att artikel 6.1 f i dataskyddsförordningen, jämförd med artikel 5.1 c i samma förordning, ska tolkas så, att behandling av uppgifter om artighetstitel för kunder hos ett persontrafikföretag inte kan anses vara nödvändig för att uppnå de berättigade intressen som eftersträvas av den personuppgiftsansvarige eller av en tredje part, i den mening som avses i bestämmelsen, i den mån företaget inte har informerat de användare från vilka uppgifterna har samlats in om ett berättigat intresse som eftersträvas med behandlingen av dessa uppgifter.

b)      Kompletterande anmärkningar

62.      För fullständighetens skull, och för det fall domstolen skulle komma fram till att det aktuella berättigade intresset har meddelats i enlighet med artikel 13.1 d i dataskyddsförordningen, kommer jag ändå att fortsätta bedömningen av de villkor som ska vara uppfyllda för att en behandling av personuppgifter ska anses vara laglig på grundval av artikel 6.1 f i dataskyddsförordningen.

63.      Vad för det första gäller villkoret att det ska föreligga ett berättigat intresse har SNCF Connect och den franska regeringen gjort gällande att det berättigade intresse som eftersträvas är kommunikationen med kunden.

64.      Det ska påpekas att domstolen, när det gäller begreppet ”berättigat intresse”, har slagit fast att ”… [det] bör … understrykas … att ett brett spektrum av intressen i princip kan anses vara berättigade”.(28)

65.      Det ska i detta avseende erinras om att SNCF Connect är ett företag som erbjuder försäljning online av färdbevis för persontrafik på järnväg. Som jag har påpekat(29) förutsätter denna tjänst kontakt med kunden, åtminstone för att få tillgång till färdbeviset. Jag anser således att syftet att kommunicera med kunden kan utgöra ett berättigat intresse för detta företag i den mening som avses i artikel 6.1 f i dataskyddsförordningen, vilket innebär att det första villkoret, avseende förekomsten av ett sådant berättigat intresse, enligt min mening ska anses vara uppfyllt.

66.      Vad för det andra gäller villkoret att behandlingen av personuppgifter ska vara nödvändig för att uppnå det berättigade intresset, anser jag inte att detta är uppfyllt. Som jag har visat i min bedömning av artikel 6.1 b i dataskyddsförordningen går behandlingen av uppgifter om artighetstitel utöver vad som är nödvändigt för att uppnå syftet avseende kommunikationen med kunden, eftersom denna kommunikation kan ske utan användning av dessa uppgifter.(30)

67.      Beträffande, för det tredje och sista, villkoret om att den registrerades intressen grundläggande fri- och rättigheter inte får väga tyngre än den personuppgiftsansvariges eller en tredje parts berättigade intresse, vill jag påpeka att domstolen har funnit att detta villkor innebär en avvägning mellan de motstående rättigheterna och intressena i fråga vilken i princip beror på de konkreta omständigheterna i det enskilda fallet. Det ankommer därför på den hänskjutande domstolen att bedöma dessa specifika omständigheter.(31) Jag kommer ändå att formulera vissa anmärkningar för att ge den hänskjutande domstolen vägledning för hur denna bedömning ska göras.

68.      Domstolen har slagit fast att ”vid denna avvägning mellan de motstående rättigheter och intressen som är i fråga, det vill säga, å ena sidan, den personuppgiftsansvariges rättigheter och intressen och, och å andra sida, den registrerades rättigheter och intressen, ska det … bland annat tas hänsyn till den registrerades rimliga förväntningar, omfattningen av den aktuella behandlingen och dess inverkan på den registrerade”.(32)

69.      Det följer dessutom av skäl 47 i dataskyddsförordningen att ”[e]tt berättigat intresse kräver under alla omständigheter en noggrann bedömning, som inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med detta rimligen kan förvänta sig att en uppgiftsbehandling för detta ändamål kan komma att ske”.

70.      I detta avseende kan jag inte se i vilken utsträckning kunden hos ett persontrafikföretag rimligen kunde förvänta sig att dennes uppgifter om artighetstitel skulle behandlas av detta företag i syfte att kommunicera i samband med tillhandahållandet av ett köp av ett färdbevis.

71.      Under alla omständigheter tror jag inte att enbart förekomsten av rimliga förväntningar räcker för att säkerställa att den personuppgiftsansvariges berättigade intresse väger tyngre än den registrerades intressen eller grundläggande friheter och rättigheter. Även om en sådan omständighet säkerligen är relevant vid den avvägning som ska göras, kan den däremot inte systematiskt leda till slutsatsen att den personuppgiftsansvariges berättigade intresse har företräde, särskilt inte när behandlingen av personuppgifterna i fråga kan kränka en grundläggande frihet eller rättighet för den registrerade, såsom de garanteras i stadgan.

72.      Såsom Mousse har gjort gällande förefaller detta vara fallet i förevarande mål. Denna förening har nämligen gjort gällande att det finns en risk för diskriminering på grund av kön genom behandlingen av uppgifter om artighetstitel, särskilt när det gäller transpersoner eller personer som är medborgare i en stat som erkänner ett tredje kön.

73.      Under dessa omständigheter, och med förbehåll för den hänskjutande domstolens kontroll, anser jag att det berättigade intresset att kommunicera med kunden inte kan väga tyngre än den registrerades intressen eller grundläggande friheter och rättigheter.

B.      Den andra tolkningsfrågan

74.      Den hänskjutande domstolen har ställt sin andra fråga för att få klarhet i huruvida artikel 6.1 f i dataskyddsförordningen ska tolkas så, att det vid bedömningen av huruvida det är nödvändigt att behandla personuppgifter i den mening som avses i denna bestämmelse ska beaktas att den registrerade eventuellt har rätt att göra invändningar enligt artikel 21.1 i förordningen.

75.      I artikel 21.1 i dataskyddsförordningen föreskrivs att den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ska ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

76.      Enligt fast praxis ska vid tolkningen av en unionsbestämmelse inte bara lydelsen beaktas, utan också sammanhanget och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i.(33)

77.      Vad gäller artikel 21.1 i dataskyddsförordningen vill jag påpeka att unionslagstiftaren understryker att rätten att göra invändningar avser behandling av personuppgifter som bland annat grundar sig på artikel 6.1 f i förordningen. Rätten att göra invändningar förutsätter med andra ord, såsom Mousse och kommissionen har gjort gällande, att behandlingen är laglig, bland annat på grundval av den personuppgiftsansvariges berättigade intresse. Denna rättighet kan således inte utnyttjas förrän den lagliga behandlingen har ägt rum, i syfte att få den att upphöra.

78.      Detta bekräftas, enligt min mening, av den andra delen av artikel 21.1 i dataskyddsförordningen, i vilken det föreskrivs att den personuppgiftsansvarige, vid invändning enligt denna bestämmelse från den registrerades sida, inte längre får behandla de aktuella personuppgifterna.(34) Enligt min mening är det tydligt att denna formulering underförstått innebär att behandlingen av uppgifterna i fråga är laglig enligt de villkor som anges i artikel 6.1 f i förordningen, men att uppgifterna inte längre får behandlas efter det att invändningen har gjorts.

79.      Med andra ord kan artikel 21.1 i dataskyddsförordningen inte tillämpas förrän det har fastställts att behandlingen är laglig.

80.      Det följer således av ordalydelsen i artikel 21.1 i dataskyddsförordningen att förekomsten av en rätt att göra invändningar inte alls är relevant för bedömningen av huruvida en sådan behandling är nödvändig enligt artikel 6.1 f i dataskyddsförordningen, eftersom tillämpningen av artikel 21.1 i förordningen förutsätter att villkoren i artikel 6.1 f i samma förordning redan är uppfyllda.

81.      En sådan bokstavlig tolkning av artikel 21.1 i dataskyddsförordningen bekräftas dessutom av en analys av den mot bakgrund av förordningens sammanhang och syften.

82.      När det gäller tolkningen av denna bestämmelse utifrån det sammanhang den ingår i, vill jag påpeka att de skäl som kan ligga till grund för behandling av personuppgifter anges i artikel 6 i dataskyddsförordningen, som avser principen om laglighet, i kapitel II i denna förordning, som rör principerna för behandling av personuppgifter. Artikel 21 i förordningen ingår i kapitel III, som rör den registrerades rättigheter. Som jag redan har påpekat är dessutom de skäl som anges i artikel 6 i samma förordning enligt fast praxis uttömmande.(35) Under dessa omständigheter fyller de två aktuella bestämmelserna två olika funktioner och det saknas stöd för att artikel 21 i dataskyddsförordningen kan beaktas vid prövningen av huruvida behandlingen är laglig, vilket endast regleras i artikel 6 i förordningen.

83.      Vad gäller den teleologiska tolkningen av artikel 6.1 f och artikel 21 i dataskyddsförordningen skulle ett beaktande av att det föreligger en rätt att göra invändningar vid bedömningen av huruvida en behandling av uppgifter är laglig enligt artikel 6 i förordningen innebära att en behandling av uppgifter skulle anses vara laglig enbart på grund av att det är möjligt att den registrerade senare kan invända mot behandlingen. Detta skulle således leda till att grunderna för behandlingens laglighet utvidgades utöver de fall som anges i artikel 6 i nämnda förordning och att skyddsnivån för de registrerade blev beroende av deras ansträngningar att invända mot behandlingen av deras personuppgifter, varvid denna behandling skulle kunna anses vara laglig om de registrerade inte gjorde invändningar. Jag anser således att en sådan tolkning skulle kunna strida mot målet att säkerställa en hög skyddsnivå för fysiska personer med avseende på behandlingen av deras personuppgifter.

84.      Jag anser därmed att den andra tolkningsfrågan ska besvaras på så sätt att artikel 6.1 f i dataskyddsförordningen ska tolkas så, att den utgör hinder för att det vid bedömningen av huruvida en behandling av personuppgifter är nödvändig i den mening som avses i denna bestämmelse tas hänsyn till huruvida den registrerade eventuellt har rätt att göra invändningar enligt artikel 21.1 i förordningen.

V.      Förslag till avgörande

85.      Mot bakgrund av det ovan anförda föreslår jag att tolkningsfrågorna från Conseil d’État (Högsta förvaltningsdomstolen, Frankrike) ska besvaras enligt följande:

Artiklarna 6.1 b och 5.1 c i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas så,

att systematisk behandling av uppgifter om artighetstitel inte kan anses vara nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, när denna behandling syftar till att möjliggöra personlig kommersiell kommunikation genom att säkerställa att allmänt vedertagen sedvänja i fråga om kommersiell kommunikation iakttas eller att säkerställa en anpassning av persontrafiktjänsten på grund av den registrerades kön.

Artiklarna 6.1 f och 5.1 c i förordning 2016/679

ska tolkas så,

att behandling av uppgifter om artighetstitel för kunder hos ett persontrafikföretag inte kan anses vara nödvändig för att uppnå de berättigade intressen som eftersträvas av den personuppgiftsansvarige eller av en tredje part, i den mening som avses i bestämmelsen, i den mån företaget inte har informerat de användare från vilka uppgifterna har samlats in om ett berättigat intresse som eftersträvas med behandlingen av dessa uppgifter.

Artikel 6.1 f i direktiv 2016/679

ska tolkas så,

att den utgör hinder för att det vid bedömningen av huruvida en behandling av personuppgifter är nödvändig i den mening som avses i denna bestämmelse tas hänsyn till huruvida den registrerade eventuellt har rätt att göra invändningar enligt artikel 21.1 i förordningen.

1      Originalspråk: franska.

2      Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2).

3      JORF av den 7 januari 1978, s. 227, i dess lydelse enligt förordning nr 2018–1125 av den 12 december 2018 (JORF nr 288, av den 13 december 2018).

4      Förslag till avgörande av generaladvokaten Bobek i målet Rīgas satiksme (C‑13/16, EU:C:2017:43, punkt 93).

5      I det mål som gav upphov till domen av den 4 maj 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336), rörde det sig däremot om utlämnande till en fysisk person av personuppgifter om krävdes för att väcka en civilrättslig talan mot den person som påstods ha gjort sig skyldig till en administrativ förseelse.

6      Artikel 5.1 a i dataskyddsförordningen.

7      Artikel 5.1 c i dataskyddsförordningen.

8      I enlighet med artikel 8.1 i stadgan och artikel 16.1 FEUF.

9      När det gäller sambandet mellan artikel 6.1 i dataskyddsförordningen och artikel 52.1 i stadgan, se Kotschy, W., ”Article 6. Lawfulness of Processing”, The EU General Data Protection Regulation (GDPR), A Commentary, Kuner, C., Bygrave, L. A., och Docksey, C., (red.), Oxford University Press, Oxford, 2020, s. 325 och 326.

10      Dom den 22 juni 2021, Latvijas Republikas Saeima (Prickning) (C‑439/19, EU:C:2021:504, punkt 99) och dom av den 4 juli 2023 den 4 juli 2023, Meta Platforms m.fl. , (C‑252/21, (nedan kallad domen Meta Platforms m.fl.) EU:C:2023:537, punkt 90)

11      Se Kotschy, W., ”Article 6. Lawfulness of Processing”, The EU General Data Protection Regulation (GDPR), A Commentary, a.a., s. 329.

12      Domen Meta Platforms m.fl. (punkterna 91 och 92).

13      Domen Meta Platforms m.fl. (punkt 93).

14      Domen Meta Platforms m.fl. (punkt 94).

15      Se mitt förslag till avgörande av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) (C‑439/19, EU:C:2020:1054, punkt 93).

16      Domen Meta Platforms m.fl. (punkt 109) och dom av den 7 december 2023, SCHUFA Holding (Skuldsanering) (C‑26/22 och C‑64/22, EU:C:2023:958, punkt 78).

17      Se mitt förslag till avgörande i målet Latvijas Republikas Saeima (Prickning) (C‑439/19, EU:C:2020:1054, punkt 109).

18      Dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) (C‑439/19, EU:C:2021:504, punkt 98). Se även Lubasz, D., i Lubasz D. (red.), Ochrona danych osobowych, Wolters Kluwer, Warszawa 2020, punkt 202.

19      Se, exempelvis, dom av den 9 november 2010, Volker und Markus Schecke och Eifert (C‑92/09 och C‑93/09, EU:C:2010:662, punkt 74 och där angiven rättspraxis).

20      Se de Terwangne, C., ”Article 5. Principles Relating to Processing of Personal Data”, The EU General Data Protection Regulation (GDPR), A Commentary, a.a., s. 317.

21      Min kursivering.

22      Artikel 4 led 11 i dataskyddsförordningen.

23      Min kursivering.

24      Domen Meta Platforms m.fl. (punkt 98). Min kursivering.

25      Se dom av den 17 juni 2021, C‑106/05, M.I.C.M. (C‑597/19, EU:C:2021:492, punkt 106), och domen Meta Platforms m.fl. (punkt 106).

26      Domen Meta Platforms m.fl. (punkt 107).

27      Domen Meta Platforms m.fl. (punkt 126 och domslutet).

28      Dom av den 7 december 2023, SCHUFA Holding (Skuldsanering) (C‑26/22 och C‑64/22, EU:C:2023:958, punkterna 52 och 76).

29      Se punkt 43 ovan.

30      Se punkt 48 och följande punkter ovan.

31      Domen Meta Platforms m.fl. (punkt 110).

32      Domen Meta Platforms m.fl. (punkt 116).

33      Dom av den 11 maj 2017, Krijgsman (C‑302/16, EU:C:2017:359, punkt 24); dom av den 29 september 2022, LOT (Kompensationsskyldighet åläggs av förvaltningsmyndighet) (C‑597/20, EU:C:2022:735, punkt 21), och dom av den 29 februari 2024, Eventmedia Custciones (C‑11/23, EU:C:2024:194, punkt 24).

34      Se den den tyska språkversionen (”Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr …”), den engelskspråkiga versionen (”The controller shall no longer process the personal data …”), eller den polska språkversionen (”Administratorowi nie wolno już przetwarzać tych danych osobowych …”). Min kursivering.

35      Se punkt 27 ovan. Se även domen Meta Platforms m.fl. (punkt 90).

Top