FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

MACIEJ SZPUNAR

föredraget den 4 mars 2020 ( 1 )

Mål C‑61/19

Orange România SA

mot

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

(begäran om förhandsavgörande från Tribunalul Bucureşti (Regiondomstolen, Bukarest, Rumänien))

”Begäran om förhandsavgörande – Direktiv 95/46/EG – Förordning (EU) 2016/679 – Skydd för enskilda avseende behandling av personuppgifter och den fria rörligheten för sådana uppgifter – Mobila telekommunikationstjänster – Begreppet den registrerades samtycke – Specifik och informerad viljeyttring – Förklaring om samtycke genom kryss i en ruta – Bevisbörda”

1. 

Förevarande begäran om förhandsavgörande från Tribunalul Bucureşti (Regiondomstolen, Bukarest, Rumänien) har sin grund i en tvist mellan en leverantör av telekommunikationstjänster och en nationell dataskyddsmyndighet beträffande den förstnämndes skyldigheter i samband med avtalsförhandlingar med en kund avseende kopiering och lagring av en identitetshandling.

2. 

Den bereder domstolen tillfälle att ytterligare klarlägga begreppet ”samtycke” av den registrerade vilket är ett centralt drag i unionens dataskyddslagstiftning som ytterst grundas på den grundläggande rätten till dataskydd. I detta sammanhang ska domstolen också behandla frågan om vem som har bevisbördan för att samtycke lämnats av den registrerade.

Tillämpliga bestämmelser

Unionsrätt

Direktiv 95/46/EG

3.

I artikel 2 h) i direktiv 95/46/EG ( 2 ) anges att i detta direktiv avses med ”den registrerades samtycke: varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom.”

4.

Kapitel II i detta direktiv innehåller allmänna bestämmelser om när personuppgifter får behandlas.

5.

Artikel 6 i samma direktiv om ”principer om uppgifternas kvalitet” ( 3 ) har följande lydelse:

”1.   Medlemsstaterna skall föreskriva att personuppgifter

a)

skall behandlas på ett korrekt och lagligt sätt,

b)

skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål; senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål skall inte anses oförenlig med dessa ändamål förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder,

c)

skall vara adekvata och relevanta och inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas,

2.   Det åligger den registeransvarige att säkerställa att punkt 1 efterlevs.”

6.

Artikel 7 i direktiv 95/46 behandlar ”principer som gör att uppgiftsbehandling kan tillåtas”. ( 4 ) Denna bestämmelse anger följande:

”Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast om

a)

den registrerade otvetydigt har lämnat sitt samtycke, eller

b)

behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås,

…”

Förordning (EU) 2016/679

7.

I artikel 4.11 i förordning (EU) 2016/679 ( 5 ) anges att i denna förordning avses med ”samtycke av den registrerade varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne”.

8.

Artikel 6.1 a) och b) i denna förordning har följande lydelse:

”Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)

Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b)

Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.”

9.

Artikel 7.1 i samma förordning anger att ”om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.”

Rumänsk rätt

10.

Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (lag nr 677/2001 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan kallad lag nr 677/2001) ( 6 ) anger att den införlivar bestämmelserna i direktiv 95/46 med nationell rätt.

11.

Artikel 32 i den lagen har följande lydelse:

”Behandling av personuppgifter av en registeransvarig eller av en person på dennes uppdrag i strid med bestämmelserna i artiklarna 4 till 10 eller utan vederbörligt beaktande av rättigheterna i artiklarna 12 till 15 eller artikel 17 utgör en administrativ förseelse, såvida den inte utförts under sådana omständigheter att den utgör en brottslig handling och ska bestraffas med böter om mellan 10000000 gamla lei [1000 rumänska lei (RON)] och 250000000 gamla lei [25000 RON].”

De faktiska omständigheterna, förfarandet och tolkningsfrågorna

12.

Orange România SA är leverantör av telekommunikationstjänster på den rumänska marknaden och erbjuder tjänster både enligt PrePay-modellen ( 7 ) och enligt ingånget avtal om tjänster. ( 8 )

13.

Den 28 mars 2018 utfärdade Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (Nationella myndigheten för tillsyn av behandling av personuppgifter, Rumänien, nedan kallad ANSPDCP) en rapport på grund av artikel 32 i lag nr 677/2001 jämförd med artikel 8 i den lagen i vilken Orange România påfördes administrativa böter på den grunden att kopior hade tagits och behållits av dess kunders identitetshandlingar utan deras uttryckliga samtycke.

14.

I detta avseende konstaterade ANSPDCP att Orange România hade ingått pappersbaserade avtal om tillhandahållande av mobila telekommunikationstjänster med enskilda kunder i sina affärslokaler och att kopior av deras identitetshandlingar bilagts dessa avtal. Dessa avtal innehöll bland annat ett påstående att kunden hade informerats om och samtyckt till (Orange Românias) insamling och lagring av dessa kopior och att kundens samtycke hade bekräftats genom ikryssande av rutor i de skriftliga avtalshandingarna.

15.

Det relevanta avsnittet i avtalen i fråga har följande lydelse:

”Kunden intygar att

i)

kunden innan avtalet ingicks erhållit information om den valda prisplanen, tillämpliga priser, minsta längd på avtalet, villkor för uppsägning av [avtalet] och användarvillkor, däribland tjänsternas täckningsområde, i enlighet med artikel 11 i ANCOM:s (den nationella regleringsmyndigheten på telekommunikationsområdet) beslut nr 158/2015 och i enlighet med O.U.G. [nr] 34/2014 (lagdekret nr 34/2104) samt om sin rätt att ensidigt frånträda avtalet enligt artikel 1.17 i de allmänna användarvillkoren.

ii)

Orange România har ställt alla erforderliga uppgifter till kundens förfogande för att kunden korrekt ska kunna ge sitt frivilliga och särskilda samtycke till avtalets ingående och uttryckliga godtagande, däribland all avtalsdokumentation – allmänna användarvillkor och information om priser och tjänster.

iii)

kunden har fått information om och har samtyckt till

att personuppgifter behandlas i enlighet med artikel 1.15 i de allmänna användarvillkoren,

att kopior av handlingar med personuppgifter som kan användas för att identifiera kunden sparas [av Orange],

att personuppgifter (telefonnummer, e-postadress) behandlas i marknadsföringssyfte,

att personuppgifter (telefonnummer, e-postadress) behandlas i marknadsundersökningssyfte,

har tagit del av och uttryckligen samtyckt till att kopior av sådana handlingar med personuppgifter om hälsotillstånd sparas,

att de uppgifter som anges i artikel 1.15 stycke 10 i de allmänna användarvillkoren inte ingår i informationstjänsterna avseende abonnenter och abonnentregister.”

16.

Enligt ANSPDCP har Orange România inte förmått visa att kunderna gjorde ett välgrundat val beträffande insamling och lagring av kopior av deras identitetshandlingar.

17.

Orange România har angripit bötesbeslutet av den 28 mars 2018 vid den hänskjutande domstolen.

18.

Den hänskjutande domstolen konstaterar att det finns avtal i vilka kundens fritt uttalade val beträffande lagring av en kopia av dennes identitetshandling består i införandet av ett kryss i en ruta men även motsatta fall i vilka kunderna har vägrat att uttala sådant godkännande. Det förefaller framgå av Orange Românias ”interna rutiner” för försäljning att Orange România i sistnämnt fall införde erforderliga upplysningar om kundens vägran att låta det behålla en kopia av identitetshandlingen genom ifyllande av ett specifikt formulär i det syftet och sedan ingick avtalet. Trots vad som anges i Orange Românias allmänna användarvillkor vägrade således inte Orange România att ingå abonnemangsavtal med kunderna även när dessa vägrade att samtycka till att kopia av deras identitetshandling behölls.

19.

Den hänskjutande domstolen anser att det under dessa omständigheter är av särskild vikt att domstolen prövar villkoren för huruvida ett samtycke är ”särskilt” och ”informerat” och, om lämpligt, bevisvärdet av undertecknandet av sådana avtal som är i fråga i det nationella målet.

20.

Det är under dessa omständigheter som Tribunalul Bucureşti (Regiondomstolen, Bukarest) genom beslut av den 14 november 2018, som inkom till domstolen den 29 januari 2019, har ställt följande frågor för förhandsavgörande:

”1)

Vilka villkor ska vara uppfyllda för att en viljeyttring ska kunna anses vara särskild och informerad i den mening som avses i artikel 2 h i Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter?

2)

Vilka villkor ska vara uppfyllda för att en viljeyttring ska kunna anses vara frivillig i den mening som avses i artikel 2 h i Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter?”

21.

Skriftliga yttranden har getts in av parterna i förfarandet, de rumänska, italienska, österrikiska och portugisiska regeringarna och Europeiska kommissionen. Orange România, den rumänska regeringen och Europeiska kommissionen företräddes vid förhandlingen som ägde rum den 11 december 2019.

Bedömning

22.

I förevarande mål ombeds domstolen att ange villkoren för när ett samtycke till behandling av personliga uppgifter kan anses vara giltigt.

Inledande synpunkter

Beträffande tillämpliga rättsakter

23.

Förordning 2016/679, som har varit tillämplig sedan den 25 maj 2018, ( 9 ) upphävde direktiv 95/46 med verkan från och med samma dag. ( 10 )

24.

ANSPDCP:s beslut som är i fråga i det nationella målet antogs den 28 mars 2018, som i tiden ligger före den dag från vilken förordning 2016/679 är tillämplig. Men ANSPDCP påförde inte endast Orange România böter utan förpliktade det också att förstöra kopiorna av identitetshandlingarna i fråga. Tvisten i det nationella målet avser också detta sistnämnda föreläggande. Detta föreläggande har verkan för framtiden varför den förordningen förefaller vara tillämplig i tidshänseende (ratione temporis).

25.

Följden härav är att tolkningsfrågorna ska besvaras med beaktande av både direktiv 95/46 och förordning 2016/679. ( 11 ) Dessutom behöver den förordningen beaktas vid bedömningen av bestämmelserna i direktiv 95/46. ( 12 )

Fastställande av omfattningen av tolkningsfrågorna

26.

De två frågor som den hänskjutande domstolen ställt är alltför allmänt och teoretiskt utformade och behöver anpassas något så att de passar omständigheterna i det nationella målet för att kunna ge den hänskjutande domstolen vägledning och ge ett användbart svar på frågorna. För att kunna göra detta anser jag att det är väsentligt att i korthet redogöra för omständigheterna i det nationella målet som de framgår av den hänskjutande domstolens begäran och de uppgifter som lämnats av parterna i målet, främst vid den muntliga förhandlingen vid domstolen.

27.

Den nationella dataskyddsmyndigheten i Rumänien, ANSPDCP, påförde Orange România sanktioner för att ha samlat in och behållit kopior av identitetshandlingar tillhöriga dess kunder utan deras samtycke. Denna myndighet fann att bolaget hade ingått avtal för tillhandahållande av mobila telekommunikationstjänster och att kopior av identitetshandlingar bilades dessa avtal. Dessa avtal påstås ha föreskrivit att kunderna hade informerats och hade samtyckt till insamling och lagring av dessa kopior vilket framgick av att rutor ikryssats i avtalsbestämmelserna. Enligt ANSPDCP har emellertid inte Orange România visat att de berörda kunderna vid tiden för avtalens ingående kunde göra ett välgrundat val beträffande insamling och lagring av dessa kopior.

28.

När den som avser ingå ett avtal med Orange România får upplysningar av en företrädare för detta bolag om villkoren i ett visst avtal utgår företrädaren, vanligtvis med användning av en dator, från en avtalsmall som innehåller en ruta för ifyllande avseende behållande av en identitetshandling. Det verkar som om kunden upplyses om att denna ruta inte behöver fyllas i. Om kunden inte godtar att hans identitetshandling fotokopieras och behålls måste han dokumentera detta på avtalet för hand. Detta sistnämnda krav på handskrift förefaller ha uppkommit i Orange Românias interna försäljningsrutiner. Kunden upplyses vidare om att han kan vägra, men endast muntligen och inte skriftligen.

29.

Mot denna bakgrund uppfattar jag att den hänskjutande domstolen med sina två frågor, som bör prövas tillsammans, begär klarläggande av huruvida en person, som avser ingå ett avtal om tillhandahållande av telekommunikationstjänster med ett företag, lämnar sitt ”särskilda”, ”informerade” och ”frivilliga” samtycke i den mening som avses i artikel 2 h i direktiv 95/46 och artikel 4.11 i förordning nr 2016/679 till detta företag när denna person behöver för hand på ett i övrigt standardiserat avtal ange att han vägrar samtycka till att hans identitetshandlingar fotokopieras och behålls.

30.

I detta sammanhang förefaller den hänskjutande domstolen vara i behov av ett klarläggande avseende bevisbörda och beviskrav för detta företag.

Samtycke som en förutsättning för behandling av personuppgifter

31.

Detta mål rör behandling av personuppgifter vid ingående av ett avtal om tillhandahållande av telekommunikationstjänster.

32.

All behandling av personuppgifter ska vara förenlig ( 13 ) för det första med principerna för uppgifternas kvalitet som anges i artikel 6 i direktiv 95/46 eller i artikel 5 i förordning 2016/679 och för det andra med ett av kriterierna för när uppgiftsbehandling kan tillåtas som anges i artikel 7 i det direktivet eller i artikel 6 i den förordningen. ( 14 ) Som kommissionen framhållit är de sex kriterier som anges i artikel 7 i direktiv 95/46 faktiskt uttryck för en vidare princip som fastställs i artikel 6.1 a i detta direktiv som föreskriver att personuppgifter ska behandlas på ett korrekt och lagligt sätt.

33.

Artikel 7 i direktiv 95/46 innehåller en uttömmande förteckning över de fall i vilka behandling av personuppgifter kan tillåtas. ( 15 ) Behandling av personuppgifter kan endast ske om minst ett av de sex kriterierna för när behandling av personuppgifter kan tillåtas är tillämpligt. Förekomsten av den registrerades otvetydiga samtycke är ett av dessa kriterier.

Begreppet samtycke

34.

Den registrerades samtycke definieras i sin tur i artikel 2 h i direktiv 95/46 som varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom.

35.

Denna ordalydelse motsvarar i stort sett ( 16 ) den som återges i artikel 4.11 i förordning 2016/679 enligt vilken samtycke av den registrerade betyder varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. ( 17 )

36.

Kravet på samtycke är en grundläggande aspekt i unionens dataskyddslagstiftning. ( 18 ) Det återfinns i Europeiska unionens stadga om de grundläggande rättigheterna i vilken det i artikel 8 föreskrivs att uppgifter ska behandlas lagenligt för bestämda ändamål på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Sett i ett större sammanhang innebär begreppet samtycke att den registrerade som berörs själv kan avgöra lagenligheten av inskränkningar i hans rätt till skydd för personuppgifter. ( 19 )

37.

Den grundläggande princip som ligger till grund för unionens dataskyddslagstiftning är en självständig enskild person som kan fatta beslut om användning och behandling av sina uppgifter. ( 20 ) Det är kravet på samtycke som gör det möjligt för honom att fatta detta beslut och som samtidigt skyddar honom i situationer som till sin natur är mycket osymmetriska. ( 21 ) Endast när samtycket är frivilligt, särskilt och informerat klarar det testet i direktiv 95/46 och förordning 2016/679.

38.

Ytterligare tre korta synpunkter ska framföras på detta stadium avseende den tydliga skillnaden i dessa bestämmelsers ordalydelse.

39.

För det första hänvisar artikel 4.11 i förordning 2016/679 till skillnad från artikel 2 h i direktiv 95/46 till en ”otvetydig” viljeyttring. Jag påstår att orsaken till detta är ganska enkel: artikel 7 a i detta direktiv beträffande kriterierna för att tillåta databehandling som redan nämnts ovan kräver att den registrerade ”otvetydigt” ska lämna sitt samtycke medan den motsvarande bestämmelsen i förordning 2016/679 – artikel 6.1 a – inte anger detta. Med andra ord har kriteriet avseende otvetydig viljeyttring endast flyttats till den mer generella bestämmelsen i förordning 2016/679.

40.

För det andra anger artikel 4.11 i förordning 2016/679 att den registrerade ska agera ”genom ett uttalande eller genom en entydig bekräftande handling”. Detta klarläggande är nytt för förordningen och återfinns inte semantiskt i direktiv 95/46.

41.

För det tredje, vad beträffar den ”informerade” karaktären hos den registrerades samtycke, skiljer sig de franska språkversionerna av direktiv 95/46 och förordning 2016/679 från varandra. Medan artikel 2 h i det direktivet hänvisar till en ”manifestation de volonté … informé” talar artikel 4.11 i den förordningen om en ”manifestation de volonté … eclairée”.

42.

Jag påstår att denna ändring i ordalydelsen förbryllar mer än den klarlägger då såvitt jag kan se den franska versionen är den enda eller i vart fall en av ett fåtal språkversioner som gör denna åtskillnad. Ett antal språkversioner, bland dem för övrigt de andra romanska språken, använder endast samma ord i detta sammanhang ( 22 ) medan andra språkversioner kan skilja sig åt på denna punkt men saknar den skillnad som finns i den franska språkversionen. ( 23 )

43.

Jag kommer att återkomma till begreppet ”informerat” samtycke nedan.

Frivilligt samtycke

44.

Kravet på den registrerades ”viljeyttring” pekar tydligt på ett aktivt snarare än passivt beteende ( 24 ) och innebär att de registrerade har en hög grad av självständighet när de fattar beslut om de ska ge sitt samtycke eller inte. ( 25 ) Med avseende på det specifika fallet med en pristävling online på en webbplats har domstolen fastställt att ett samtycke som lämnas genom en på förhand ikryssad ruta innebär inte något aktivt beteende från webbplatsanvändarens sida. ( 26 )

45.

Det är min ståndpunkt att en sådan bedömning är lika giltig i den analoga världen: samtycke som lämnas genom en på förhand ikryssad ruta innebär inte något aktivt beteende från den persons sida som ställs inför ett fysiskt dokument som han till sist undertecknar. I en sådan situation är det omöjligt att veta om den på förhand formulerade texten har lästs och förståtts. Denna situation är inte otvetydig. Texten kan ha lästs eller också inte. ”Läsaren” kan ha låtit bli att läsa den av ren försummelse vilket gör att det inte är möjligt att tydligt fastställa huruvida samtycket är frivilligt. ( 27 )

Informerat samtycke

46.

Det får inte föreligga något som helst utrymmer för någon tvekan om att den registrerade inte var tillräckligt informerad. ( 28 )

47.

Den registrerade ska vara informerad om alla omständigheter kring uppgiftsbehandlingen och dess följder. I synnerhet ska han känna till vilka uppgifter som ska behandlas, varaktigheten av denna behandling och sättet därför och dess specifika syfte. Han ska också känna till vem som behandlar uppgifterna och huruvida uppgifterna avses bli överförda till tredje personer. Det är av avgörande betydelse att han informeras om följderna av att vägra samtycke: är samtycke till uppgiftsbehandling ett villkor för ingående av avtalet eller inte?

Om bevisbördan

48.

Därmed återstår frågan på vem det ankommer att visa att den registrerade var i en sådan situation som gjorde det möjligt att lämna sitt samtycke enligt de nu beskrivna kriterierna. ( 29 )

49.

Artikel 7.1 i förordning 2016/679 är tydlig och lämnar inget utrymmer för tvekan: om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. ( 30 ). Denna bestämmelse utgör en specificering av principen om ansvarsskyldighet som fastställs i artikel 5.2 i förordning 2016/679. Jag vill göra gällande att denna bestämmelses syfte kräver en vid tolkning på det sättet att den personuppgiftsansvarige inte endast ska styrka att den registrerade har lämnat sitt samtycke utan även att samtliga villkor för dess giltighet har uppfyllts. ( 31 )

50.

Vissa författare ställer sig tveksamma till att artikel 7.1 i förordning 2016/679 avser bevisbördan med hänvisning till denna förordnings förarbeten. ( 32 ) Det görs gällande att samtidigt som både kommissionen och parlamentet föreslog en ordalydelse som uttryckligen innehöll orden ”bevisbörda” återfinns inte dessa i den antagna texten och därför inte i den gällande lagstiftningen.

51.

Denna ståndpunkt förtjänar en närmare bedömning.

52.

Det ursprungliga kommissionsförslaget ( 33 ) hänvisar faktiskt till ”bevisbördan” som den registeransvarige ska bära. På samma sätt berörde inte parlamentet vid den första behandlingen ( 34 ) denna formulering. Det var rådet ( 35 ) som ersatte ordet ”bevisbörda” med orden att den personuppgiftsansvarige ”ska kunna visa”. Den slutliga texten antogs sedan med denna formulering.

53.

Jag vill inte fästa alltför stor vikt vid denna ändring i ordalydelsen. ( 36 ) Rådet motiverar inte i skälen i sin ståndpunkt den föreslagna ändringen i ordalydelsen. ( 37 ) Detta tyder på att denna institution endast avsåg att ändra ordalydelsen av den aktuella bestämmelsen utan att ändra dess innebörd. Mot denna bakgrund beskriver orden ”ska kunna visa” faktiskt på ett mer lättillgängligt sätt vad som menas med ”bevisbörda”. ( 38 )

54.

Vi kan därför tryggt utgå från att artikel 7.1 i förordning 2016/679 lägger bevisbördan för den registrerades samtycke till behandling av personuppgifter på den personuppgiftsansvarige. ( 39 ) Tveksamhet angående huruvida den registrerade lämnat sitt samtycke ska undanröjas genom bevisning som ska läggas fram av den personuppgiftsansvarige. ( 40 ) Bevisbördan för att den registrerade försatts i en situation som gjort det möjligt för honom att lämna frivilligt, specifikt och informerat samtycke ligger helt och hållet hos den enhet som genomför behandlingen.

55.

Rättsläget enligt direktiv 95/46 är inte annorlunda i detta avseende.

56.

Även om direktiv 95/46 inte innehöll en särskild bestämmelse jämförbar med artikel 7 i förordning 2016/679 beträffande villkoren för samtycke, kan det konstateras att de flesta villkor som anges i nyss nämnda artikel också fanns i direktiv 95/46. Bevisbörderegeln anges visserligen inte uttryckligen i det direktivet, men det följer åtminstone indirekt av dess formulering ( 41 ) att ”den registrerade otvetydigt har lämnat sitt samtycke”. ( 42 )

Situationen för Orange România

57.

Jag vill nu tillämpa dessa kriterier på detta mål.

58.

Som en inledande kommentar vill jag anföra att frågan huruvida Orange România kan begära att dess kunder samtycker till att deras identitetshandlingar kopieras och lagras ligger utanför ramen för detta mål mot bakgrund av att för detta företag är detta inte en förutsättning för ingåendet av avtalet. Förevarande mål rör med andra ord inte tolkningen av artikel 7 b i direktiv 95/46 och artikel 6.1 b i förordning 2016/679. Men det förefaller mig vara legitimt för ett företag att be kunderna att tillhandahålla vissa personuppgifter och i synnerhet styrka sin identitet i syfte att ingå ett avtal. En begäran att kunden samtycker till kopiering och lagring av identitetshandlingar förefaller emellertid gå längre än vad som krävs för genomförande av avtalet.

59.

På grundval av tillgängliga uppgifter förefaller det mig som att Orange Românias kunder inte ger sitt frivilliga, särskilda och informerade samtycke under de omständigheter som beskrivs av den hänskjutande domstolen.

60.

För det första föreligger inget frivilligt lämnat samtycke. Kravet att en kund ska för hand skriftligen ange att han inte samtycker till kopiering och lagring av sina identitetshandlingar möjliggör inte ett frivilligt lämnat samtycke i den meningen att kunden försätts i en situation i vilken han till synes avviker från ett ordinärt förfarande som leder till ingåendet av ett avtal. Kunder ska inte i detta sammanhang känna att deras vägran att samtycka till kopiering och lagring av deras identitetshandlingar inte är i linje med ett ordinärt förfarande. Jag vill erinra om i detta avseende att domstolen har understrukit betydelsen av ett aktivt beteende från den registrerades sida för att visa sitt samtycke. ( 43 ) Ett positivt handlande av den registrerade krävs därför för att lämna samtycke. Men i förevarande mål förefaller den motsatta situationen föreligga: ett positivt handlande krävs för att vägra samtycke. Med hänvisning än en gång till domen i målet Planet49 ( 44 ), om avmarkering av en på förhand ikryssad ruta på en webbplats anses vara en alltför tung börda för en kund kan en kund av ännu starkare skäl inte rimligen förväntas vägra sitt samtycke i handskrift.

61.

För det andra föreligger inget informerat samtycke. Det har inte gjorts kristallklart för kunden att en vägran att medge kopiering och lagring av hans identitetshandlingar inte omöjliggör ingåendet av ett avtal. En kund gör inte sitt val på ett informerat sätt om han inte är medveten om följderna.

62.

För det tredje finns, endast hypotetiskt sett, ingen som helst antydan om att Orange România har lyckats visa att kunder samtyckte till behandling av deras personuppgifter. I detta avseende bidrar en tydlig brist på klarhet i interna rutiner förvisso inte till bevisning om att samtycke lämnats av kunden. Det står klart att sådan brist på klarhet och motstridiga anvisningar till säljpersonalen inte får vara till nackdel för kunden, i detta fall den registrerade.

Förslag till avgörande

63.

Mot bakgrund av föregående överväganden föreslår jag att domstolen ger följande svar på de frågor som ställts av Tribunalul Bucureşti (Regiondomstolen, Bukarest, Rumänien):

En registrerad som avser ingå ett avtalsförhållande om tillhandahållande av telekommunikationstjänster med ett företag kan inte anses ge sitt ”samtycke”, det vill säga ange sin ”särskilda och informerade” och ”frivilliga” viljeyttring – i den mening som avses i artikel 2 h i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och i artikel 4.11 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) – till detta företag när det krävs att den registrerade skriftligen, för hand, på ett i övrigt standardiserat avtal anger att han eller hon vägrar att samtycka till att hans eller hennes identitetshandlingar fotokopieras och behålls.


( 1 ) Originalspråk: engelska.

( 2 ) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).

( 3 ) Artikel 6 är den enda artikeln i avdelning I i kapitel II i direktiv 95/46.

( 4 ) Artikel 7 är den enda artikeln i avdelning II i kapitel II i direktiv 95/46.

( 5 ) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1).

( 6 ) Monitorul Oficial al României, Partea I No 790 av den 12 december 2001.

( 7 ) I vilket fall mottagaren av tjänsten betalar i förskott för de tjänster som ska tillhandahållas.

( 8 ) I vilket fall kostnaden för de tjänster som tillhandahålls av bolaget betalas av mottagaren av tjänsten efter det att de tillhandahållits på grund av utfärdade fakturor.

( 9 ) Enligt artikel 99.2 i förordning 2016/679.

( 10 ) Se artikel 94.1 i förordning 2016/679.

( 11 ) Se dom av den 1 oktober 2019, Planet49 (C‑673/17, EU:C:2019:801, punkterna 3843) beträffande en liknande inställning i en jämförbar situation och mitt förslag till avgörande i samma mål. (C‑673/17, EU:C:2019:246, punkterna 4449). Se också dom av den 11 december 2018, Weiss m.fl. (C‑493/17, EU:C:2018:1000, punkt 39).

( 12 ) Se dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter) (C‑136/17, EU:C:2019:773, punkt 33).

( 13 ) Uppenbarligen villkorat av de undantag och inskränkningar som föreskrivs i artikel 13 i direktiv 95/46 och artikel 23 i förordning 2016/679.

( 14 ) Se dom av den 16 januari 2019, Deutsche Post (C‑496/17, EU:C:2019:26, punkt 57). Se även dom av den 13 maj 2014, Google Spain och Google (C‑131/12, EU:C:2014:317, punkt 71 och där angiven rättspraxis samt dom av den 11 december 2019, Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, punkt 36).

( 15 ) Se dom av den 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 och C‑469/10, EU:C:2011:777, punkt 30), dom av den 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779, punkt 57) och dom av den 1 oktober 2019, Planet49 (C‑673/17, EU:C:2019:801, punkt 53).

( 16 ) Se även Bygrave, L.A., Tosoni, L., i Chr. Kuner, L.A. Bygrave, Chr. Docksey (red.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, Article 4(11), C.1., på s. 181.

( 17 ) Det är uppenbart att dessa villkor är kumulativa, vilket innebär att tröskeln för vad som ska anses utgöra giltigt samtycke är hög, se Bygrave, L.A., Tosoni, L., i Chr. Kuner, L.A. Bygrave, Chr. Docksey (red.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, Article 4(11), C.1., på s. 181.

( 18 ) Se mitt förslag till avgörande i målet Planet49 (C‑673/17, EU:C:2019:246, punkt 57 och följande punkter). Se också Heckmann, D., Paschke, A., i E. Ehmann, M. Selmayr (red), Datenschutz-Grundverordnung, Kommentar, C.H. Beck, München, 2a uppl., 2018, Artikel 7, punkt 9: ”central hörnsten i dataskyddet”.

( 19 ) Se för ett liknande resonemang Buchner, B., Informationelle Selbstbestimmung im Privatrecht, Mohr Siebeck, Tübingen, 2006, s. 232, som hänvisar till rätten till självbestämmande i fråga om information i detta sammanhang (som utvecklats av den tyska författningsdomstolen sedan dom av den 15 december 1983, 1 BvR 209, 269, 362, 420, 440, 484/83, BVerfG 65,1).

( 20 ) Se också Klement, J.H., i S. Simitis, G. Hornung, I. Spieker gen. Döhmann (red), Datenschutzrecht, Nomos, Baden-Baden, 2019, Artikel 7, punkt 1, som framhåller att i en rättsordning som grundas på och som eftersträvar att främja värdighet, individens frihet och ansvar måste behandling av personuppgifter för dess lagenlighet kräva ett självständigt beslut av den registrerade.

( 21 ) Se vidare skäl 43 i förordning nr 2016/679, som avser fall där det råder ”betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige”.

( 22 ) Se som exempel de spanska (”manifestación de voluntad … informada”), portugisiska (”manifestação de vontade … informada”), rumänska (”manifestare de voință … informată”), danska (”informeret viljetilkendegivelse”), svenska (”informerad viljeyttring”) och maltesiska (”infurmata”) språkversionerna.

( 23 ) Se som exempel de nederländska (”op informatie berustende wilsuiting” i direktivet och ”geïnformeerde wilsuiting” i förordningen), den polska (”świadome … wskazanie” i direktivet och ”świadome … okazanie woli” i förordningen) och den tyska (”Willensbekundung, die … in Kenntnis der Sachlage erfolgt” i direktivet och ”in informierter Weise … abgegebene Willensbekundung” i förordningen) språkversionerna.

( 24 ) Se dom av den 1 oktober 2019, Planet49 (C‑673/17, EU:C:2019:801, punkt 52).

( 25 ) Se Bygrave, L.A., Tosoni, L., i Chr. Kuner, L.A. Bygrave, Chr. Docksey (red.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, Article 4(11), C.1., på s. 182.

( 26 ) Ibidem.

( 27 ) Se analogt mitt förslag till avgörande i målet Planet49 (C‑673/17, EU:C:2019:246, punkt 62). Se också dom av den 1 oktober 2019, Planet49 (C‑673/17, EU:C:2019:801, punkt 55).

( 28 ) I slutändan bygger informerat samtycke på principen om insyn, som kommer till uttryck i artikel 5.1. a i förordning nr 2016/679, se Bygrave, L.A., Tosoni, L., i Chr. Kuner, L.A. Bygrave, Chr. Docksey (red.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, Article 4(11), C.1., på s. 184.

( 29 ) Enligt vissa författare är den informationskatalog som avses i artiklarna 10 och 11 i direktiv 95/46 inte uttömmande, så att den registeransvarige också kan förse den registrerade med annan relevant information om villkoren för personuppgiftsanvändning. Se till exempel Mednis, A., ”Cechy zgody na przetwarzanie danych osobowych w opinii Grupy Roboczej Art. 29 dyrektywy 95/46”, Monitor Prawniczy (dodatek) 2012, nr 7, s. 27.

( 30 ) Enligt denna bestämmelse ska den personuppgiftsansvarige ansvara för och kunna visa att personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

( 31 ) Se för ett liknande resonemang också Stemmer, B., i St. Brink, H.A. Wolff, Beck’scher Onlinekommentar Datenschutzrecht, C.H. Beck, München, 30e uppl., per den 1 november 2019, Artikel 7 DSGVO, punkt 87, och Buchner, J., Kühling, B., i J. Buchner, B. Kühling (red), Datenschutz-Grundverordnung/BDSG, Kommentar, C.H. Beck, München, 2a uppl. 2018, Artikel 7 DS-GVO, punkt 22.

( 32 ) Se Klement, J.H., i S. Simitis, G. Hornung, I. Spieker gen. Döhmann (red), Datenschutzrecht, Nomos, Baden-Baden, 2019, Artikel 7, punkt 46.

( 33 ) I det ursprungliga kommissionsförslaget hade artikel 7.1 följande lydelse: ”Den registeransvarige ska bära bevisbördan när det gäller den registrerades samtycke till behandlingen av hans eller hennes personuppgifter för bestämda ändamål.” Se förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning), COM(2012) 11 final, s. 45.

( 34 ) Parlamentet föreslog inte vid den första behandlingen någon ändring av ordalydelsen i artikel 7.1 beträffande termen ”bevisbörda”. Det nöjde sig endast med att ange att artikel 7.1 rörde en situation i vilken behandlingen grundar sig på samtycke. Se Europaparlamentets lagstiftningsresolution av den 12 mars 2014 om förslaget till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) COM(2012) 11, EUT C 378, 2017, s. 399, på s. 428.

( 35 ) ”Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.” Se rådets ståndpunkt (EU) nr 6/2016 vid första behandlingen inför antagandet av Europaparlamentets och rådets förordning om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), som antagits av rådet den 8 april 2016, EUT C 159, 2016, s. 1, på s. 36.

( 36 ) Se för ett liknande resonemang även Kosta, E., i Chr. Kuner, L.A. Bygrave, Chr. Docksey (red.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, Article 7, C.2, på ss. 349–350

( 37 ) Se i synnerhet skälen 42 och 43 som motiverar artikel 7.

( 38 ) En intressant konceptuell förklaring till varför bevisbördan ligger på den personuppgiftsansvarige framförs av Buchner, B., Informationelle Selbstbestimmung im Privatrecht, Mohr Siebeck, Tübingen, 2006, s. 243–245, som gör en analogi med situationen enligt nationell rätt avseende ansvar för praktiserande läkare där bevisbördan också ligger på dem som genomför en inskränkning i den aktuella rättigheten.

( 39 ) Detta är dessutom den till stor del rådande uppfattningen i juridisk litteratur, se Klabunde, A., i E. Ehmann, M. Selmayr (red), Datenschutz-Grundverordnung, Kommentar, 2a uppl., C.H. Beck, München, 2018, Artikel 4, punkt 52, Stemmer, B., i St. Brink, H.A. Wolff, Beck’scher Onlinekommentar Datenschutzrecht, C.H. Beck, München, 30e uppl., per den 1 november 2019, Artikel 7 DSGVO, punkt 87 och Buchner, J., Kühling, B., i J. Buchner, B. Kühling (red), Datenschutz-Grundverordnung/BDSG, Kommentar, C.H. Beck, München, 2a uppl., 2018, Artikel 7 DS-GVO, punkt 22, och Barta, P., Kawecki, M., i P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, Warsaw 2018, artikel 7 I förordningen, punkt 1.

( 40 ) Se även för ett liknande resonemang Heckmann, D., Paschke, A., i E. Ehmann, M. Selmayr (red), Datenschutz-Grundverordnung, Kommentar, 2a uppl., C.H. Beck, München, 2018, Artikel 7, punkt 72.

( 41 ) Se artikel 7 a i direktiv 95/46. Min kursivering.

( 42 ) Se för ett liknande resonemang även, bland flera, Buchner, J., Kühling, B., i J. Buchner, B. Kühling (red), Datenschutz-Grundverordnung/BDSG, Kommentar, C.H. Beck, München, 2a uppl., 2018, Artikel 7 DS-GVO, punkterna 5 och 22.

( 43 ) Se dom av den 1 oktober 2019, Planet49 (C‑673/17, EU:C:2019:801, punkt 54).

( 44 ) Se dom av den 1 oktober 2019, Planet49 (C‑673/17, EU:C:2019:801).