1.

En taxichaufför stannade sin bil vid vägkanten i Riga. När en trådbuss från Rīgas satiksme (nedan kallad motparten) passerade taxin öppnade en passagerare i taxin plötsligt en av bildörrarna, vilken slog i trådbussen och orsakade skador på bussen. Rīgas satiksme vände sig till polisen (nedan kallad klaganden) med en begäran om att lämna ut passagerarens identitet. Rīgas satiksme önskade väcka talan mot vederbörande vid civildomstol avseende den skada som trådbussen orsakats. Polisen lämnade endast ut passagerarens namn men vägrade att lämna ut identifikationsnummer och adress.

2.

Mot denna bakgrund, har den hänskjutande domstolen önskat få klarhet i huruvida artikel 7 f i direktiv 95/46/EG (nedan kallat direktivet) ( 2 ) medför en skyldighet att lämna ut alla personuppgifter som krävs för att väcka en civilrättslig talan mot den person som påstås ha gjort sig skyldig till en administrativ förseelse. Vidare har den hänskjutande domstolen frågat huruvida svaret på denna fråga påverkas av om nämnda person var minderårig.

3.

I artikel 7 föreskrivs följande: ”Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.”

4.

I artikel 8 föreskrivs följande:

5.

I artikel 16.1 FEUF föreskrivs att ”[v]ar och en har rätt till skydd av de personuppgifter som rör honom eller henne”.

6.

Artikel 2 innehåller ett antal definitioner för direktivet:

…

…”

7.

I artikel 5 i kapitel II, som har rubriken ”Allmänna bestämmelser om när personuppgifter få behandlas” föreskrivs att ”[m]edlemsstaterna ska inom de begränsningar som bestämmelserna i detta kapitel innebär, precisera på vilka villkor behandling av personuppgifter är tillåten”.

8.

Artikel 6.1 har följande lydelse: ”Medlemsstaterna ska föreskriva att personuppgifter

”…

…”

9.

I artikel 7 föreskrivs att: ”Medlemsstaterna ska föreskriva att personuppgifter får behandlas endast om

10.

I artikel 8 föreskrivs ett principiellt förbud mot behandling av särskilda kategorier av uppgifter, såsom personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse. I samma artikel föreskrivs emellertid ett antal undantag.

11.

I synnerhet är förbudet, enligt artikel 8.2 e) inte tillämpligt om ”behandlingen … är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk”.

12.

I artikel 8.5 föreskrivs följande:

”… Medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också ska behandlas under kontroll av en myndighet.”

13.

Enligt artikel 8.7 ska ”[m]edlemsstaterna … bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas”.

14.

I artikel 14 föreskrivs att ”[m]edlemsstaterna ska tillförsäkra den registrerade rätten att

…”

15.

Direktivet har nu upphävts av förordning (EU) 2016/679 (nedan kallad den nya förordningen). ( 3 ) Den trädde i kraft den 24 maj 2016. Den nya förordningen kommer emellertid först att vara tillämplig från och med den 25 maj 2018.

16.

Lydelsen i artikel 7 i Fizisko personu datu aizsardzības likums (lagen om skydd för personuppgifter) liknar lydelsen i artikel 7 i direktivet. I denna bestämmelse föreskrivs att behandlingen av personuppgifter är tillåten, såvida annat inte föreskrivs i lag, endast om åtminstone ett av följande villkor är uppfyllt

17.

I december 2012 inträffade en trafikolycka i Riga. En taxichaufför hade stannat sin bil vid vägkanten. När en trådbuss från ”Rīgas satiksme” passerade taxin öppnade passageraren i baksätet en av taxins bildörrar, vilken slog i trådbussen och orsakade skador på bussen. Olyckan ledde till en utredning angående administrativ förseelse. En rapport upprättades, i vilken det slogs fast att en administrativ förseelse hade begåtts.

18.

Inledningsvis utgick Rīgas satiksme från att taxichauffören var ansvarig för olyckan och begärde ersättning från det försäkringsbolag som täckte det civilrättsliga ansvaret för taxins ägare. Försäkringsbolaget angav dock att ingen ersättning skulle utgå eftersom olyckan berodde på taxins passagerare och inte på taxins förare, och att Rīgas satiksme kunde begära ersättning från denna passagerare på civilrättslig väg.

19.

Rīgas satiksme vände sig till Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvaldes Satiksmes administratīvo pārkāpumu izskatīšanas birojs (Avdelning tillhörande säkerhetspolisen i regionen Riga med ansvar för trafikförseelser) (nedan kallad polisen). Rīgas satiksme begärde att få veta vem som hade hållits ansvarig för olyckan. Närmare bestämt begärde bolaget att få veta passagerarens namn, identifikationsnummer och adress och att få tillgång till kopior av handlingarna med taxichaufförens och passagerarens förklaringar av omständigheterna kring olyckan. Rīgas satiksme bekräftade för polisen att de begärda uppgifterna endast skulle användas för att väcka en civilrättslig talan mot denna person.

20.

Polisen efterkom endast delvis bolagets begäran. Den lämnade bara ut taxipassagerarens namn. Polisen vägrade att lämna ut personens identifikationsnummer och adress. Den lämnade heller inte ut de förklaringar som getts av de personer som var inblandade i olyckan.

21.

Polisen angav i sitt beslut att endast parterna i ett administrativt förfarande kan få tillgång till handlingarna i ärendet. Rīgas satiksme var inte en part. Vidare, vad gäller identifikationsnummer och adress, förbjuder den lettiska dataskyddsmyndigheten (Datu valsts inspekcija) utlämnandet av sådana uppgifter avseende enskilda.

22.

Enligt artikel 261 i lagen om administrativa förseelser (Latvijas Administratīvo pārkāpumu kodekss), kan en person, efter uttrycklig begäran från vederbörande, fastställas vara offer för en olycka, av den myndighet eller tjänsteman som är behörig att utreda ärendet. Rīgas satiksme använde inte sin rätt att vara målsägande i nämnda ärende.

23.

Rīgas satiksme inledde ett administrativt förfarande mot polisens beslut att inte lämna ut taxipassagerarens identifikationsnummer och adress.

24.

I dom av den 16 maj 2014 biföll Administratīvā rajona tiesa (förvaltningsdomstol som dömer i första instans) Rīgas satiksmes överklagande och förpliktade polisen att lämna ut de uppgifter som begärts i ansökan avseende taxipassagerarens identifikationsnummer och adress.

25.

Polisen överklagade den domen till Augstākā tiesa (Högsta domstolen), den hänskjutande domstolen i förevarande mål. Den hänskjutande domstolen inhämtade först ett utlåtande från dataskyddsmyndigheten. Nämnda myndighet angav i sitt utlåtande att uppgifterna inte kunde lämnas ut med stöd av artikel 7.6 i lagen om skydd för personuppgifter, eftersom det i lagen om administrativa förseelser anges till vilka fysiska eller juridiska personer polisen får lämna ut uppgifter beträffande ett ärende. Således får utlämnande av personuppgifter avseende administrativa förfaranden som leder till påföljder endast ske i enlighet med punkterna 3 och 5 i den artikeln. Vidare tvingar inte artikel 7 i den lagen den registeransvarige (i detta fall polisen) att behandla uppgifterna. Den tillåter endast detta.

26.

Den lettiska dataskyddsmyndigheten angav även att Rīgas satiksme hade andra möjligheter att erhålla uppgifterna, antingen genom att lämna in en motiverad ansökan till Iedzīvotāju reģistra likums (folkbokföringsmyndigheten) eller, väcka talan i enlighet med artiklarna 98, 99 och 100 i den lettiska civilprocesslagen (Civilprocesa likums), och yrka att domstolen ska förordna om edition. Respektive domstol kan därefter förelägga den nationella polisen att inkomma med de personuppgifter som Rīgas satiksme behöver för att kunna väcka talan mot den berörda personen.

27.

Den hänskjutande domstolen har uttryckt tvivel angående de alternativa möjligheter att erhålla personuppgifter som dataskyddsmyndigheten hänvisat till. Om en ansökan lämnas till folkbokföringsregistret och endast innehåller taxipassagerarens namn, är det möjligt att flera personer har detta namn. I så fall kan den berörda personen endast identifieras genom ytterligare uppgifter, såsom dem som har begärts i det nationella målet (identifikationsnummer och adress). Vidare har den lettiska dataskyddsmyndigheten hänvisat till bestämmelser i civilprocesslagen avseende edition. I artikel 128 i civilprocesslagen anges att en stämningsansökan måste innehålla svarandens förnamn och efternamn och identifikationsnummer (om detta är känt), svarandens folkbokföringsadress, svarandens adress i deklarationen, eller i brist på detta svarandens delgivningsadress. Följaktligen måste en kärande åtminstone känna till svarandens vistelseadress.

28.

Enligt den hänskjutande domstolen är därför de alternativa sätten för att erhålla de nödvändiga personuppgifterna otydliga eller ineffektiva. För att ta tillvara sina berättigade intressen kan Rīgas satiksmeis följaktligen behöva få ut de begärda personuppgifterna från polisen.

29.

Den hänskjutande domstolen hyser även tvivel beträffande tolkningen av ordet ”nödvändig” i artikel 7 f och anser att den tolkningen är avgörande för utgången av förevarande mål.

30.

Augstākās tiesas Administratīvo lietu departaments (Lettlands högsta domstol, förvaltningsrättsliga avdelningen) har således beslutat att vilandeförklara målet och att till EU-domstolen ställa följande tolkningsfråga:

”Ska uttrycket 'nödvändig för ändamål som rör berättigade intressen hos den eller de tredje män till vilka uppgifterna har lämnats ut’ i artikel 7 f i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter tolkas så, att den nationella polisen är skyldig att till det kommunala bolaget Rīgas satiksmei lämna ut de personuppgifter som sistnämnda begärt ut vilka är nödvändiga för att inleda en civilprocess? Påverkas svaret på denna fråga av omständigheten att, såvitt framgår av handlingarna i målet, taxipassageraren, vars uppgifter Rīgas satiksmei vill ha tillgång till, var minderårig vid tiden för olyckan?”

31.

Skriftliga yttranden har inkommit från Rīgas satiksme, kommissionen, samt den tjeckiska, den spanska, den lettiska, den österrikiska och den portugisiska regeringen. Kommissionen och den lettiska regeringen yttrade sig vid förhandlingen den 24 november 2016.

32.

Den hänskjutande domstolen önskar i princip få klarhet i huruvida det, enligt direktivet, föreligger en skyldighet för den registeransvarige att lämna ut uppgifter som möjliggör en identifiering av en person som påstås ha begått en administrativ förseelse, så att Rīgas satiksme kan inleda en civilprocess.

33.

Mitt kortfattade svar på denna specifika, av den hänskjutande domstolen ställda, fråga är nej. Direktivet i sig innehåller ingen sådan skyldighet. Det föreskriver endast en möjlighet (i meningen tillåtelse eller godkännande) att göra detta, så länge vissa villkor är uppfyllda. Rätten att vidta vissa åtgärder enligt lag är en kategori som är skild från skyldigheten att vidta sådana åtgärder.

34.

Mot bakgrund av omständigheterna i förevarande mål är detta emellertid inte den enda frågan. Domstolen har även delvis, det vill säga avseende de uppgifter som faktiskt har lämnats, ombetts att precisera rekvisiten för tillämpning av artikel 7 f i direktivet samt beskaffenheten och omfattningen av de personuppgifter som den som begär uppgifter kan erhålla med tillämpning av denna bestämmelse.

35.

Detta förslag är därför strukturerat på följande sätt: Inledningsvis anger jag varför det, enligt min uppfattning, inte av direktivet följer någon skyldighet för den enhet som innehar uppgifterna att avslöja dem (avsnitt A). Därefter kommer jag, i syfte att ge den hänskjutande domstolen ett fullständigt och användbart svar i förevarande mål, att föreslå en tolkning av rekvisiten för att tillämpa artikel 7 f i direktivet samt omfattningen av de personuppgifter som får lämnas ut om rekvisiten är uppfyllda (avsnitt B).

36.

Den hänskjutande domstolen har frågat huruvida, med stöd av artikel 7 f i direktivet, personuppgifter måste lämnas ut för ändamålet att inleda en civilprocess. Med andra ord har den hänskjutande domstolen frågat huruvida direktivet i sig medför en skyldighet att lämna ut dessa personuppgifter.

37.

Enligt min uppfattning medför inte direktivet i sig någon sådan skyldighet. Detta följer otvetydigt av texten och systematiken, liksom av själva syftet med direktivet.

38.

Beträffande för det första systematiken och logiken i direktivet, är den huvudregel som direktivet vilar på att personuppgifter, i syfte att säkerställa en hög skyddsnivå när det gäller rätten till privatliv, i allmänhet inte ska behandlas. ( 4 ) Behandling av personuppgifter ska, till sin natur, endast ske undantagsvis.

39.

Artikel 7 ingår i detta system. I denna artikel anges en förteckning över undantag från huvudregeln, genom vilka en behandling är berättigad under vissa specifikt uttalade omständigheter. Således utgör kategorierna i artikel 7 undantagen från huvudregeln.

40.

Mot denna bakgrund bekräftar texten i artikel 7 tydligt att de i förteckningen uppräknade kategorierna endast ska betraktas som en rätt eller möjlighet att behandla personuppgifter, och inte en skyldighet, när de faktiska omständigheterna i den aktuella situationen omfattas av ett av de lagstadgade undantagen. Enligt denna bestämmelse ”[ska m]edlemsstaterna … föreskriva att personuppgifter får behandlas endast om …”. ( 5 ) Denna formulering, vilken även används i de övriga språkversionerna, ( 6 ) visar tydligt att undantagen i artikel 7 verkligen är undantag. De kan inte tolkas som en skyldighet att behandla personuppgifter.

41.

Den omständigheten att åtminstone vissa av undantagen i artikel 7 har direkt effekt ( 7 ) ändrar inte föregående slutsats. De skapar inte i sig någon rätt att erhålla uppgifter för dem som begär det och de skapar inte heller någon skyldighet till följd av detta för den som innehar sådana uppgifter att lämna ut dem. I artikel 7 föreskrivs snarare allmänna bestämmelser för att den registeransvarige ska kunna avgöra när, om, hur och i vilken utsträckning denne får behandla de personuppgifter som den erhållit.

42.

Slutligen är direktivets övergripande syfte att föreskriva för unionen gemensamma gränser för behandling av personuppgifter. Konkreta individuella grunder och skäl för behandling kommer därefter typiskt sett att finnas i den nationella rätten, eller i andra unionsrättsliga instrument. Med andra ord föreskrivs i direktivet gränserna för behandling av personuppgifter och inte en uppmaning till sådan behandling.

43.

Således framgår det tydligt av lydelsen, systematiken, logiken samt direktivets syfte att artikel 7 f i direktivet inte kan tolkas så, att det, i denna artikel i sig, föreskrivs någon skyldighet att lämna ut personuppgifter.

44.

I vidare och mer systematisk mening kan det även, i andra hand, tilläggas att en liknande struktur inte på något sätt är ovanlig på andra områden inom unionsrätten där unionens sekundärrättsliga instrument direkt eller indirekt rör personuppgifter.

45.

Exempelvis innehåller inte heller direktiv (EG) 2002/58 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation, ( 8 ) som kompletterar direktiv 95/46 avseende sektorn för elektronisk kommunikation, någon skyldighet att lämna ut uppgifter. Domstolen slog i domen Promusicae fast att förstnämnda direktiv varken förbjuder eller tvingar medlemsstaterna att föreskriva en skyldighet att lämna ut personuppgifter i samband med civilprocesser. ( 9 ) Det ankommer således på medlemsstaterna att avgöra detta. Det är inte en nödvändig följd av unionsrätten.

46.

Domstolen har på liknande sätt slagit fast att andra direktiv, ( 10 ) som rör personuppgifter men som i huvudsak har till syfte att säkerställa att immateriella rättigheter ges ett effektivt skydd i informationssamhället, ( 11 ) inte heller innebar att medlemsstaterna var skyldiga att föreskriva en skyldighet att lämna ut personuppgifter i ett tvistemål, i syfte att skapa ett effektivt skydd för upphovsrätten. ( 12 )

47.

Som den hänskjutande domstolen har angett erhöll motparten vissa personuppgifter, nämligen den berörda personens förnamn och efternamn. Den resterande delen av begäran avslogs. Detta kan antas har skett på grundval av den nationella rätten.

48.

Således, och med hänsyn till de personuppgifter som faktiskt lämnades ut, är frågan huruvida detta utlämnande var förenligt med artikel 7 i direktivet relevant.

49.

Det ska emellertid påpekas att följande del av detta förslag till avgörande avser rätten att lämna ut personuppgifter i under sådana faktiska omständigheter som dem som är för handen i det nationella målet, under förutsättning att det i den nationella rätten föreskrivs en rättslig grund för ett sådant utlämnande. Med andra ord, vilka gränser fastställs i unionsrätten för utlämnande av personuppgifter i en sådan situation? Om det i den nationella rätten föreskrevs ett utlämnande av personuppgifter i en liknande situation, skulle då ett sådant utlämnande vara förenligt med artikel 7 f i direktivet?

50.

Enligt min uppfattning är det, i en sådan situation som den som är för handen i det nationella målet, fullt förenligt med artikel 7 f att lämna ut personuppgifter i en omfattning och på en nivå som skulle göra det möjligt för en skadelidande part att inleda en civilprocess.

51.

I detta avsnitt undersöker jag således först vilken rättslig grund som är lämplig för behandling av personuppgifter enligt direktivet i en situation med liknande faktiska omständigheter. Därefter föreslår jag en tolkning av rekvisiten för tillämpning av artikel 7 f i direktivet. För det tredje bedömer jag förevarande mål mot bakgrund av dessa rekvisit.

52.

En första fråga, som diskuterats både i de skriftliga och i de muntliga yttrandena, är vilket stycke i artikel 7 i direktivet som ska tillämpas på en sådan faktisk situation som den som är för handen i det nationella målet.

53.

Merparten av parterna och intervenienterna har åberopat artikel 7 f, som den hänskjutande domstolen har hänvisat till. Den österrikiska regeringen angav emellertid i sitt skriftliga yttrande att artikel 7 f i direktivet inte är den korrekta rättsliga grunden, ens för ändamålet att inleda en civilprocess. Detta beror på att den anger en alltför abstrakt och vag grund för behandling av uppgifter. Den kan därför inte berättiga ett sådant ingrepp i rätten till skydd för personuppgifter.

54.

Kommissionen fokuserade i sitt skriftliga yttrande på artikel 7 f. Vid dess muntliga framställning angav den emellertid att sådan behandling av personuppgifter som den som är aktuell i det nationella målet också skulle kunna omfattas av artikel 7 c eller artikel 7 e i direktivet.

55.

I artikel 7 i direktivet anges olika rättsliga grunder för lagenlig behandling av personuppgifter genom att göra åtskillnad mellan sex olika situationer. För att personuppgifter ska kunna behandlas behöver de omfattas av åtminstone en av kategorierna i artikel 7. Det är emellertid uppenbart att dessa bestämmelsers tillämpningsområde och syfte skiljer sig åt.

56.

I bredare och mer abstrakta termer omfattar artikel 7 tre typer av undantag, för vilka behandling av personuppgifter ska vara lagenlig. För det första, när den registrerade har lämnat sitt samtycke (artikel 7 a), för det andra när berättigade intressen hos den registeransvarige eller tredjeman på något sätt förutsätts (artikel 7 b–7 e) och för det tredje när konkurrerande berättigade intressen inte bara behöver styrkas, utan också uppväga den registrerades intressen eller fri- och rättigheter (artikel 7 f).

57.

Således är tillämpningsområdet för artikel 7 f visserligen bredare än tillämpningsområdet för artikel 7 c eller artikel 7 e. Den förstnämnda bestämmelsen är inte bunden till specifika rättsliga eller faktiska omständigheter, utan är formulerad i allmänna termer. Dess tillämpning är emellertid striktare eftersom den är villkorad av att det faktiskt finns ett berättigat intresse hos den registeransvarige eller hos en tredjeman som uppväger den registrerades intressen, vilket inte krävs beträffande artikel 7 c eller artikel 7 e.

58.

Bortsett från den akademiska debatten ska emellertid två punkter understrykas. För det första är inte undantagen i artikel 7 ömsesidigt uteslutande. Således kan två av dem eller eventuellt alla tre vara tillämpliga på en uppsättning av faktiska omständigheter. ( 13 ) För det andra är det sannolikt att, trots en lite annorlunda lydelse, den praktiska skillnaden i tillämpning är ganska försumbar, under förutsättning att det finns ett tydligt uttalat och trovärdigt berättigat intresse.

59.

Med dessa förbehåll i minnet, men med hänsyn till den nationella domstolen – som har full kännedom om de faktiska omständigheterna i målet och nationell rätt såsom den framställts i tolkningsfrågan och har åberopat artikel 7 f i direktivet såsom det tillämpliga undantaget – anser jag att domstolen ska göra sin bedömning på den grunden.

60.

Artikel 7 f innehåller två kumulativa rekvisit. Båda måste vara uppfyllda för att behandlingen av personuppgifter ska vara lagenlig. För det första ska behandlingen av personuppgifterna vara nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut. För det andra får sådana intressen inte uppvägas av den registrerades grundläggande fri- och rättigheter. ( 14 )

61.

Det andra rekvisitet har till syfte avväga de berörda intressena. Det första kan faktiskt, i didaktiskt syfte, delas upp i två delrekvisit, det berättigade intresset i sig å ena sidan och den nödvändiga karaktären av behandlingen, det vill säga en sorts proportionalitet, å andra sidan.

62.

Således måste tre omständigheter föreligga enligt artikel 7 f, att ett berättigat intresse som motiverar behandling föreligger (a), att detta intresse går före den registrerades rättigheter och intressen (avvägning av intressen) (b) och att en behandling är nödvändig för att uppfylla de berättigade intressena (c).

63.

För det första är behandling enligt artikel 7 f i direktivet villkorad av att det föreligger ett berättigat intresse för den registeransvarige eller för en tredjeman.

64.

Direktivet definierar inte berättigade intressen. ( 15 ) Det ankommer således på den registeransvarige eller registerföraren, under nationella domstolars tillsyn, att fastställa huruvida det finns ett legitimt mål som kan berättiga ett intrång i privatlivet.

65.

Domstolen har tidigare slagit fast att insyn ( 16 ) samt skydd för egendom, hälsa och familjeliv ( 17 ) är berättigade intressen. Begreppet berättigade intressen är tillräckligt elastiskt för att omfatta andra typer av överväganden. Jag tvivlar inte på att en tredjemans intresse av att erhålla personuppgifter avseende en person som skadat dennes egendom i syfte att väcka en skadeståndstalan mot denne kan kvalificeras som ett berättigat intresse.

66.

Det andra rekvisitet avser avvägning mellan två uppsättningar av konkurrerande intressen, nämligen den registrerades intressen och rättigheter ( 18 ) och intressena hos den registeransvarige och tredjemän. Det är uppenbart att avvägningskriteriet följer både av artikel 7 f och av direktivets förarbeten. Beträffande lydelsen i de sistnämnda kräver artikel 7 f att den registrerades eget berättigade intresse ska avvägas mot berättigade intressen hos den registeransvarige eller en tredjeman. Förarbetena bekräftar att avvägningen av intressen redan föreskrevs, på lite olika sätt, i kommissionens ursprungliga förslag ( 19 ) och även i dess ändrade förslag efter Europaparlamentets första behandling. ( 20 )

67.

Domstolen har slagit fast att tillämpningen av artikel 7 f förutsätter en avvägning mellan de motstående intressen som är för handen. Vid denna avvägning ska betydelsen av den registrerades rättigheter enligt artiklarna 7 och 8 i stadgan beaktas. ( 21 ) En sådan avvägning måste göras utifrån de konkreta omständigheterna i det enskilda fallet. ( 22 )

68.

Avvägning är nyckeln till en korrekt tillämpning av artikel 7 f. Det är detta moment som särskiljer artikel 7 f från de övriga bestämmelserna i artikel 7. Omständigheterna i det enskilda fallet är avgörande. Det är av dessa skäl som domstolen har angett att medlemsstaterna inte, för vissa typer av personuppgifter, kan ange vad resultatet av avvägningen mellan de motstående rättigheterna och intressena blir, utan att tillåta en annan utgång med hänsyn till de särskilda omständigheterna i det enskilda fallet. ( 23 )

69.

För att göra denna avvägning på ett meningsfullt sätt, ska vederbörlig hänsyn särskilt tas till de begärda uppgifternas art och känslighet, huruvida uppgifterna i fråga redan finns i källor tillgängliga för allmänheten ( 24 ) och till allvaret i den förseelse som begåtts. En av de omständigheter som kan tas med i avvägningen, vilken är relevant i förevarande mål, är den registrerades ålder.

70.

När det gäller nödvändighet eller, på sätt och vis, grundläggande proportionalitet har domstolen i allmänhet funnit att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt. ( 25 ) Således ska inte beskaffenheten och mängden av de uppgifter som får behandlas gå utöver vad som är nödvändigt för det aktuella berättigade intresset.

71.

Proportionalitetsprövningen är en bedömning av förhållandet mellan mål och valda medel. De valda medlen får inte gå utöver vad som är nödvändigt. Detta resonemang gäller emellertid också åt motsatt håll. Medlen måste kunna uppnå det utsatta målet.

72.

I praktiken har den registeransvarige, inför bedömningen av nödvändighet, två alternativ. Antingen avstår denne från att lämna ut några uppgifter, eller så måste vederbörande, om denne beslutar att behandla dessa uppgifter, lämna alla nödvändiga uppgifter i syfte att uppnå det aktuella berättigade intresset. ( 26 )

73.

För det första kräver artikel 6.1 c och skäl 28 i direktivet att personuppgifter ska vara adekvata och relevanta och inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas. ( 27 ) Det följer således av dessa bestämmelser att de uppgifter som lämnas ut även ska vara adekvata och relevanta för uppfyllandet av berättigade intressen.

74.

För det andra talar sunt förnuft för ett rimligt synsätt beträffande vilka uppgifter som faktiskt ska behandlas. De som begär uppgifter ska ges användbara och relevanta uppgifter, som är nödvändiga och tillräckliga för dem för att uppfylla deras egna berättigade intressen, utan att behöva skicka begäran vidare till en annan enhet som också kan inneha dessa uppgifter.

75.

För att uttrycka mig symboliskt, ska tillämpningen av nödvändighetskriteriet inte göra genomförandet av ett berättigat intresse till en Kafkaliknande skattjakt, som starkt påminner om ett avsnitt av Fångarna på fortet, i vilket deltagarna skickas från en sal till en annan för att inhämta olika ledtrådar för att så småningom kunna lista ut vart de förväntas ta vägen.

76.

Slutligen ska det upprepas att den exakta omfattningen av de uppgifter som ska lämnas ut fastställs enligt nationell rätt. Visserligen skulle det också i nationell rätt kunna föreskrivas endast en delvis utlämning, vilken i sig skulle vara otillräcklig. Detta är faktiskt möjligt. Den omständigheten att nationell rätt förefaller ha liten praktisk mening innebär inte med automatik att den är oförenlig med unionsrätten, under förutsättning att denna rätt ingår i medlemsstaternas lagstiftningsområde. Vad jag menar här är endast att artikel 7 f i direktivet inte utgör hinder för ett fullständigt utlämnande av alla nödvändiga uppgifter som krävs för att uppfylla någons berättigade mål så länge de övriga rekvisiten är uppfyllda.

77.

Efter att ha fastställt den övergripande ramen för bedömningen ska jag nu behandla förevarande mål, med förbehållet att det naturligtvis i slutändan ankommer på den nationella domstolen att, mot bakgrund av dess detaljerade kunskap om de faktiska omständigheterna och den nationella rätten, komma fram till ett avgörande.

78.

Rīgas Satiksme begärde att polisen skulle ge dem taxipassagerarens adress och identifikationsnummer i syfte att inleda en civilprocess avseende krav på skadestånd för den förlust det orsakats.

79.

För det första är framställningen av ett rättsligt anspråk, såsom i det nationella målet, såsom den tjeckiska, den spanska och den portugisiska regeringen har anfört, ett berättigat intresse, i den mening som avses i artikel 7 f.

80.

Detta bekräftas även av artikel 8.2 e i direktivet i vilket det föreskrivs en möjlighet till behandling av vissa känsliga uppgifter ”om … behandlingen rör uppgifter som … är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk”. Om framställningen av rättsliga anspråk kan berättiga behandling av känsliga uppgifter enligt artikel 8, kan jag inte se varför det inte av desto större anledning skulle kunna ses som ett berättigat intresse som motiverar behandling av icke-känsliga uppgifter enligt artikel 7 f. Denna tolkning följer också av en pragmatisk tolkning av direktivet mot bakgrund av de övriga sekundärrättsliga (ovannämnda) instrumenten som söker en balans mellan personlig integritet och ett effektivt rättsskydd. ( 28 )

81.

För det andra kan jag, beträffande avvägningen av intressen, i allmänhet inte se något skäl till varför intressena för den registrerades grundläggande rättigheter skulle gå före den skadelidande partens specifika legitima mål att inleda en civilprocess. Det kanske även är värt att i detta sammanhang tillägga att det enda som motparten ber om i själva verket är en möjlighet att väcka talan vid en civilrättslig domstol. Själva utlämnandet av uppgifter skulle således inte ens medföra någon omedelbar förändring av den registrerades rättsliga situation.

82.

Det är emellertid, som den portugisiska regeringen med fog har anfört, just i detta avvägande skede som den registrerades ålder borde beaktas.

83.

Den hänskjutande domstolen har nämligen frågat i vilken utsträckning den omständigheten att taxipassageraren var minderårig vid tidpunkten för olyckan är relevant. Enligt min uppfattning och mot bakgrund av de specifika omständigheterna i målet är den inte relevant.

84.

Generellt är den omständigheten att en registrerad är minderårig en omständighet som ska beaktas vid avvägningen av intressen. De särskilda överväganden och det ökade skydd som gäller för minderåriga ska ha ett direkt samband med den aktuella typen av behandling av uppgifter. Såvida det inte fastställs exakt hur utlämnandet i detta specifika fall skulle kunna innebära en fara för, exempelvis, ett barns fysiska eller mentala utveckling, kan jag inte se varför den omständigheten att skadan orsakats av en minderårig skulle leda till immunitet från skadeståndsansvar.

85.

Slutligen uppkommer, för det fall avvägningen av intressen skulle leda till resultatet att den registrerades intressen inte går före intressena hos den person som begär utlämnande av personuppgifter, den slutgiltiga frågan om nödvändigheten och omfattningen av de uppgifter som ska lämnas ut.

86.

Det ankommer återigen på den hänskjutande domstolen att identifiera den rättsliga grunden i den nationella rätten som garanterar ett sådant utlämnande. När en sådan grund har identifierats utgör ”nödvändighetskriteriet” i artikel 7 f i direktivet enligt min uppfattning inte alls något hinder för ett fullt utlämnande av alla uppgifter som krävs för att inleda en civilprocess enligt lettisk lag.

87.

Den lettiska regeringen har anfört att skyddet för den grundläggande rätten till privatliv enligt fast rättspraxis kräver att undantag från skydd av personuppgifter och begränsningar av detta ska begränsas till vad som är absolut nödvändigt. Även om denna regering har erkänt att alternativa metoder fanns tillgängliga i syfte att erhålla ytterligare uppgifter, har den medgett att förnamn och efternamn troligen var otillräckligt för att göra gällande rättsliga anspråk och därför har den låtit den nationella domstolen göra denna bedömning.

88.

Det ska påpekas att artikel 8.7 i direktivet ger medlemsstaterna ett utrymme för skönsmässig bedömning för att besluta huruvida identifikationsnummer ska lämnas ut. Medlemsstaterna ska därför inte vara skyldiga att behandla identifikationsnummer, såvida det inte är absolut nödvändigt för att inleda en civilprocess.

89.

Oberoende av uppgifternas specifika natur, är det innehavet av alla relevanta uppgifter för att göra gällande rättsliga anspråk som räknas. Om adressen räcker enligt nationell rätt, ska således inga ytterligare uppgifter lämnas ut.

90.

Det ankommer på den nationella domstolen att fastställa vilken mängd personuppgifter som är nödvändig för att Rīgas satiksme faktiskt ska kunna väcka talan vid domstol ( 29 ) enligt lettisk rätt. Det ska påpekas, såsom redan har angetts i punkterna 74–75 i detta förslag till avgörande, att förekomsten av alternativa möjligheter att erhålla de nödvändiga personuppgifterna inte är relevant för tillämpningen av artikel 7 f. Rīgas satiksme ska kunna få all nödvändig information från den registeransvarige till vilken det lämnat sin ansökan.

91.

Detta är ett lite ovanligt mål. Den hänskjutande domstolen har i huvudsak önskat få klarhet i huruvida ett undantag som tillåter behandling av personuppgifter kan tolkas som en skyldighet för den registeransvarige att lämna ut identiteten på en person som orsakat en bilolycka. Det verkar som om det verkliga skälet till att denna fråga ställts är att vägarna för att erhålla sådana uppgifter, på nationell nivå, har försvårats, eller till och med blockerats helt med hänvisning till dataskydd.

92.

En ovetande utomstående skulle, mot bakgrund av händelserna i målet, kunna ställa följande oskyldiga fråga: Bör utgången av en enskilds begäran om en identitetsuppgift avseende en person som skadat dennes egendom och mot vilken vederbörande önskar väcka en skadeståndstalan verkligen vara ett fall där polistjänstemän har en skyldighet att utföra flera avvägningar av intressen och proportionalitet, följda av processande, samt ett utlåtande från den nationella dataskyddsmyndigheten?

93.

Förevarande mål avser ytterligare en situation ( 30 ) i vilken dataskyddslagstiftningen griper in på och används under tämligen förvånande omständigheter. Det medför, inte bara för en ovetande utomstående, ett visst intellektuellt dilemma beträffande rimlig användning och funktionen av bestämmelserna om skydd för personuppgifter. Jag kommer att ta tillvara detta tillfälle för att dra några slutsatser i detta avseende.

94.

Det råder inget tvivel om att skydd för personuppgifter är av avgörande betydelse i den digitala eran. Domstolen har, med fog, legat i framkant vid utvecklingen av rättspraxis på detta område. ( 31 )

95.

De mål som jag har hänvisat till återspeglar verkligen huvudproblemet inom skydd för personuppgifter, för vilket detta ursprungligen har införts och ska skyddas aktivt, nämligen storskalig behandling av personuppgifter genom mekaniska, digitala medel, i alla dess varianter, såsom sammanställning, förvaltning och användning av stora datamängder, överföring av datamängder i andra syften än legitima sådana, insamling och skörd av metadata, etcetera

96.

Liksom på andra rättsområden ska bestämmelser som reglerar en viss verksamhet vara tillräckligt flexibla för att kunna fånga upp alla eventualiteter som kan uppkomma. Detta kan emellertid leda till faran för en alltför bred tolkning och tillämpning av dessa bestämmelser. Dessa kan i slutändan komma att tillämpas på en situation där sambandet med ursprungssyftet är svagt och kan ifrågasättas. En alltför bred tillämpning och en viss ”tolkningsabsolutism” kan i slutändan även leda till att ursprungsidén kommer i dålig dager, trots att den idén i sig var av största betydelse och legitimitet.

97.

Generellt insisterade domstolen, i domen Promusicae, på behovet av att tolka direktiven avseende personuppgifter på ett sådant sätt att en skälig avvägning uppnås mellan de olika grundläggande rättigheter som skyddas genom unionsrätten. ( 32 )

98.

En viss rule of reason kan läggas till detta, vilken bör tillämpas i avvägningsskedet. Detta skulle innebära att det ursprungliga och huvudsakliga (naturligtvis inte det enda, bara det huvudsakliga) syftet med lagstiftningen beaktas, nämligen storskaliga operationer som utförs med mekaniska, automatiska medel, samt användningen och överföringen av uppgifter som erhållits genom denna. Tvärtom påkallas, enligt min blygsamma uppfattning, ett enklare synsätt i situationer där en person begär en enskild uppgift avseende en specifik person i ett konkret förhållande, när det föreligger ett tydligt och fullt legitimt ändamål till följd av det sätt lagen fungerar på.

99.

Sammanfattningsvis är sunt förnuft inte någon rättskälla. Men det bör absolut vägleda tolkningen av rätten. Det skulle vara väldigt olyckligt om skyddet av personuppgifter skulle falla sönder till obstruktion genom personuppgifter.

100.

Mot bakgrund av det ovan anförda föreslår jag att domstolen ska besvara Augstākā tiesas, Administrativo lietu departaments (Lettlands högsta domstol, förvaltningsrättsliga avdelningen) fråga på följande sätt:

Artikel 7 f i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter kan inte tolkas så, att det medför en skyldighet för den registeransvarige att lämna ut de personuppgifter som en tredjeman har begärt i syfte att inleda en civilprocess.

Artikel 7 f i direktivet utgör emellertid inte hinder för ett sådant utlämnande, under förutsättning att det i den nationella rätten föreskrivs ett utlämnande av personuppgifter i sådana situationer som den som är aktuell i det nationella målet. Den omständigheten att den registrerade var minderårig vid tidpunkten för olyckan saknar betydelse i detta sammanhang.