FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
MACIEJ SZPUNAR
föredraget den 17 december 2020 ( 1 )
Mål C‑439/19
B,
ytterligare deltagare i rättegången:
Latvijas Republikas Saeima
(begäran om förhandsavgörande från Satversmes tiesa (Författningsdomstolen, Lettland))
”Begäran om förhandsavgörande – Förordning (EU) 2016/679 – Behandling av personuppgifter – Information om prickar för trafikförseelser – Begreppet behandling av personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott – Nationella bestämmelser med innebörden att sådan information är tillgänglig för allmänheten och får vidareutnyttjas”
I. Inledning
|
1. |
År 1946 kommenterade George Orwell kampanjen ”Håll döden borta från vägarna”, som då bedrevs av en stat som tidigare var medlem i Europeiska unionen, på följande sätt: ”Om man verkligen ville hålla döden borta från vägarna, skulle man behöva planera om hela vägnätet på ett sätt som gjorde kollisioner omöjliga. Redan genom att tänka igenom vad det skulle innebära (exempelvis skulle hela London behöva rivas och byggas upp på nytt) inser man lätt att detta är något som i dagsläget går långt utöver varje lands förmåga. Det enda alternativ som står till buds är då olika lindrande åtgärder, som i allt väsentligt går ut på att göra folk mer försiktiga.” ( 2 ) |
|
2. |
Det mål som är anhängigt vid Satversmes tiesa (Författningsdomstolen, Lettland), som har framställt förevarande begäran om förhandsavgörande till EU‑domstolen, handlar i grunden om sådana ”lindrande åtgärder”. I Lettland försöker man nämligen främja trafiksäkerheten genom att ge fordonsförare ”prickar” för trafikförseelser i syfte att göra dem mer medvetna och mer försiktiga. Denna information kan sedan lämnas ut och överföras för vidareutnyttjande. Den hänskjutande domstolen, som har att pröva en talan om huruvida detta är förenligt med den lettiska grundlagen, behöver avgöra huruvida den berörda nationella lagstiftningen är förenlig med förordning (EU) 2016/679 ( 3 ) (nedan kallad dataskyddsförordningen). |
|
3. |
Detta gör förevarande mål till ett näst intill klassiskt dataskyddsmål i den bemärkelsen att det dels huvudsakligen är att hänföra till den ”ej uppkopplade” världen, dels rör en vertikal relation mellan en stat och en enskild. Därigenom passar detta mål ytterst väl in i den långa rad av mål som EU-domstolen har haft att pröva ända sedan sin banbrytande dom i målet Stauder, ( 4 ) som på goda grunder kan anses ha varit det första målet om dataskydd i vid bemärkelse. ( 5 ) |
|
4. |
Efter en bedömning av hur långtgående ingrepp en medlemsstat får göra i enskildas personliga rättigheter för att främja trafiksäkerheten, kommer jag här att föreslå för EU-domstolen att sådana åtgärder som den ifrågavarande lettiska lagstiftningen inte ska anses stå i rimlig proportion till det syfte som eftersträvas med dem. |
|
5. |
På vägen dit kommer vi emellertid att upptäcka att förevarande mål aktualiserar en hel rad grundläggande och besvärliga frågor som tar oss genom dataskyddsförordningen i halsbrytande hastighet. Glöm inte att ta på bilbältet, så kanske du slipper en eller annan prick. |
II. Tillämpliga bestämmelser
A. Unionsrätt
1. Dataskyddsförordningen
|
6. |
Kapitel I dataskyddsförordningen har rubriken ”Allmänna bestämmelser” och innehåller artiklarna 1–4, vilka behandlar förordningens syfte och dess materiella respektive territoriella tillämpningsområde samt tillämpliga definitioner. |
|
7. |
I artikel 1 i dataskyddsförordningen, vars rubrik lyder ”Syfte”, föreskrivs följande: ”1. I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter. 2. Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. 3. Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.” |
|
8. |
I artikel 2 i dataskyddsförordningen, vars rubrik lyder ”Materiellt tillämpningsområde”, stadgas följande: ”1. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. 2. Denna förordning ska inte tillämpas på behandling av personuppgifter som
…” |
|
9. |
Kapitel II i dataskyddsförordningen, vilket innehåller artiklarna 5–11, uppställer olika principer som gäller inom ramen för nämnda förordning: principer för behandling av personuppgifter, laglig behandling av personuppgifter, villkor för samtycke (inbegripet barns samtycke avseende informationssamhällets tjänster), behandling av särskilda kategorier av personuppgifter, behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott samt behandling som inte kräver identifiering. |
|
10. |
I artikel 5 i dataskyddsförordningen, vars rubrik lyder ”Principer för behandling av personuppgifter”, föreskrivs följande: ”1. Vid behandling av personuppgifter ska följande gälla:
2. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).” |
|
11. |
I artikel 10 i dataskyddsförordningen, vars rubrik lyder ”Behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott”, stadgas följande: ”Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.” |
2. Direktiv 2003/98/EG
|
12. |
I artikel 1 i direktiv 2003/98/EG, ( 6 ) vars rubrik lyder ”Syfte och räckvidd”, föreskrivs följande: ”1. I detta direktiv fastställs en minimiuppsättning regler för vidareutnyttjande av handlingar som finns hos offentliga myndigheter i medlemsstaterna samt för hur detta vidareutnyttjande skall underlättas i praktiken. 2. Detta direktiv skall inte tillämpas på
3. Detta direktiv bygger på och påverkar inte tillämpningen av medlemsstaternas bestämmelser om tillgång. 4. Tillämpningen av detta direktiv skall inte på något sätt påverka skyddsnivån för enskilda personer med avseende på behandling av personuppgifter enligt bestämmelserna i unionslagstiftningen och nationell lagstiftning, och i synnerhet ändras inte genom detta direktiv de skyldigheter och rättigheter som anges i direktiv 95/46/EG.[ ( 7 )] 5. De skyldigheter som åläggs enligt detta direktiv skall endast tillämpas om de är förenliga med bestämmelserna i internationella överenskommelser om skydd av immateriella rättigheter, i synnerhet Bernkonventionen[ ( 8 )] och TRIPs-avtalet[ ( 9 )].” |
|
13. |
I artikel 2 i direktiv 2003/98, vars rubrik lyder ”Definitioner”, stadgas följande: ”I detta direktiv används följande beteckningar med de betydelser som här anges:
|
|
14. |
I artikel 3 i direktiv 2003/98, vars rubrik lyder ”Allmän princip”, föreskrivs följande: ”1. Om inte annat följer av punkt 2 ska medlemsstaterna se till att handlingar som omfattas av detta direktivs tillämpningsområde i enlighet med artikel 1 kan vidareutnyttjas för kommersiella eller icke-kommersiella syften i enlighet med villkoren i kapitlen III och IV. 2. När det gäller handlingar till vilka bibliotek, även universitetsbibliotek, museer och arkiv innehar immateriella rättigheter ska medlemsstaterna, i det fall vidareutnyttjande av sådana handlingar tillåts, se till att dessa handlingar kan vidareutnyttjas för kommersiella eller icke-kommersiella syften i enlighet med villkoren i kapitlen III och IV.” |
B. Lettisk rätt
|
15. |
Artikel 141.2 i Ceļu satiksmes likums (vägtrafiklagen) ( 10 ) har följande lydelse: ”Information om fordon som ägs av en juridisk person, … information om en persons rätt att framföra fordon, information om böter som en person har ålagts för trafikförseelser och som inte har betalats inom lagstadgad tid och annan information som har förts in i det nationella fordons- och förarregistret [(nedan kallat det nationella fordonsregistret)] och i systemet för information om dragfordon och dessas förare ska anses vara information som är tillgänglig för allmänheten.” |
III. Bakgrund, förfarande och tolkningsfrågor
|
16. |
Sökanden i målet vid den nationella domstolen, B, är en fysisk person som har tilldelats prickar för trafikförseelser enligt vägtrafiklagen och en tillämpningsförordning till denna. ( 11 ) Ceļu satiksmes drošības direkcija (den lettiska trafiksäkerhetsstyrelsen) är ett offentligt organ som har lagt in dessa prickar i det nationella fordonsregistret. |
|
17. |
Eftersom information om dessa prickar kan lämnas ut på begäran, och enligt B också har lämnats ut för vidareutnyttjande till ett flertal företag, valde B att väcka talan vid den hänskjutande domstolen. B gör gällande att artikel 141.2 i vägtrafiklagen inte är förenlig med den rätt till privatliv som stadfästs i artikel 96 i Latvijas Republikas Satversme (den lettiska grundlagen). |
|
18. |
I förfarandet vid den hänskjutande domstolen har även deltagit Latvijas Republikas Saeima (det lettiska parlamentet) (nedan kallat Saeima”), som har antagit artikel 141.2 i vägtrafiklagen. Trafiksäkerhetsstyrelsen, som behandlar de ifrågavarande uppgifterna, har också betetts möjlighet att yttra sig. Dessutom har Datu valsts inspekcija (dataskyddsmyndigheten), som i Lettland fungerar som tillsynsmyndighet, i den mening som avses i artikel 51 i dataskyddsförordningen, och ett flertal andra myndigheter och personer inbjudits att yttra sig i egenskap av sakkunniga. |
|
19. |
Saeima har vitsordat att den aktuella bestämmelsen innebär att vem som helst kan få information om någon annans prickar för trafikförseelser, antingen genom att vända sig direkt till trafiksäkerhetsstyrelsen eller genom att begagna sig av tjänster från kommersiella vidareutnyttjare. |
|
20. |
Trots detta anser Saeima att den aktuella bestämmelsen är rättsenlig, eftersom den är motiverad med hänvisning till målet att förbättra trafiksäkerheten, vilket kräver dels att de som har gjort sig skyldiga till trafikförseelser identifieras öppet, dels att förarna avskräcks från att begå trafikförseelser. |
|
21. |
Vidare anser Saeima att rätten att få tillgång till information, som föreskrivs i artikel 100 i den lettiska grundlagen, måste iakttas. I alla händelser sker behandlingen av information om prickar för trafikförseelser under kontroll av en myndighet och i överensstämmelse med lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. |
|
22. |
Därutöver har Saeima förklarat att det i praktiken förhåller sig så, att informationen i det nationella fordonsregistret lämnas ut endast om den som begär ut information anger personnumret för den förare som begäran avser. Förklaringen till detta villkor för utlämnande av information är att en person entydigt utpekas av sitt personnummer men inte av sitt namn. |
|
23. |
Trafiksäkerhetsstyrelsen har för sin del förklarat för den hänskjutande domstolen hur systemet med prickar för trafikförseelser fungerar och därvid bekräftat att den nationella lagstiftningen inte innebär några gränser för allmänhetens tillgång till uppgifter om prickar eller för vidareutnyttjandet av sådana uppgifter. |
|
24. |
Dessutom har trafiksäkerhetsstyrelsen lämnat upplysningar om sina avtal med kommersiella vidareutnyttjare. Därvid har trafiksäkerhetsstyrelsen framhållit att dessa avtal inte innebär att informationen överlåts och påpekat att återutnyttjarna ser till att den information som de överlämnar till sina kunder inte går utöver den information som kan erhållas från trafiksäkerhetsstyrelsen. Slutligen har trafiksäkerhetsstyrelsen uppgett att en av avtalsbestämmelserna innebär ett krav på att den som förvärvar information måste använda denna på de sätt som stadgas i gällande föreskrifter och i överensstämmelse med de ändamål som anges i avtalet. |
|
25. |
Dataskyddsmyndigheten har för sin del uttryckt tvivel om huruvida den aktuella bestämmelsen är förenlig med artikel 96 i den lettiska grundlagen och därvid inte uteslutit att behandlingen av de ifrågavarande uppgifterna skulle kunna vara olämplig eller oproportionerlig. |
|
26. |
Därutöver har dataskyddsmyndigheten påpekat att statistiken över trafikolyckor i Lettland visserligen visar att antalet olyckor har minskat men att det inte finns några bevis för att systemet med prickar för trafikförseelser och allmänhetens tillgång till information från det systemet har bidragit till denna gynnsamma utveckling. |
|
27. |
Satversmes tiesa (Författningsdomstolen) har till att börja med noterat att det mål som den har att pröva inte rör artikel 141.2 i vägtrafiklagen i dess helhet utan endast i den del som den artikeln innebär att uppgifter om de prickar för trafikförseelser som har lagts in i det nationella fordonsregistret blir tillgängliga för allmänheten. |
|
28. |
Vidare har Satversmes tiesa (Författningsdomstolen) slagit fast att uppgifter om sådana prickar utgör personuppgifter, varför behandling av dem måste ske i överensstämmelse med rätten till privatliv. Satversmes tiesa (Författningsdomstolen) har framhållit att det vid bedömningen av räckvidden för artikel 96 i den lettiska grundlagen är nödvändigt att ta hänsyn både till dataskyddsförordningen och till artikel 16 FEUF och artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan). |
|
29. |
Såvitt avser vägtrafiklagens syften har Satversmes tiesa (Författningsdomstolen) uppgett att tanken bakom att uppgifter om fordonsförares lagöverträdelser – vilka i Lettland klassificeras som administrativa förseelser – läggs in i det nationella belastningsregistret och att uppgifter om prickar för trafikförseelser läggs in i det nationella fordonsregistret är att detta ska påverka fordonsförarnas beteende och därigenom minimera riskerna för enskildas liv, hälsa och egendom. |
|
30. |
Det nationella belastningsregistret är enligt Satversmes tiesa (Författningsdomstolen) ett samlat register över uppgifter om fällande domar och meddelade påföljder mot personer som har begått brott eller administrativa förseelser. Syftet med detta register är bland annat att underlätta kontrollen över ålagda påföljder. Syftet med det nationella fordonsregistret är däremot att göra det möjligt att hålla reda på trafikförseelser och vidta åtgärder mot bakgrund av antalet begångna sådana förseelser. Syftet med pricksystemet är att förbättra trafiksäkerheten genom att göra det möjligt att skilja de fordonsförare som systematiskt och med berått mod överträder trafikreglerna från dem som någon gång begår trafikförseelser samt att genom avskräckande åtgärder påverka vägtrafikanternas beteende. |
|
31. |
Satversmes tiesa (Författningsdomstolen) har påpekat att artikel 141.2 i vägtrafiklagen ger var och en rätt att från trafiksäkerhetsstyrelsen begära och erhålla information från det nationella fordonsregistret om de prickar som fordonsförare har tilldelats för trafikförseelser. I praktiken lämnas information om sådana prickar ut till den som anger den berörda förarens personnummer. |
|
32. |
Vidare har Satversmes tiesa (Författningsdomstolen) framhållit att eftersom information om prickar för trafikförseelser klassificeras som tillgänglig för allmänheten, omfattas denna information av lagen om tillgång till information och får därför vidareutnyttjas för andra kommersiella eller icke-kommersiella ändamål än det ursprungliga ändamål för vilket den framställdes. |
|
33. |
För att kunna tolka och tillämpa artikel 96 i den lettiska grundlagen i överensstämmelse med unionsrätten önskar Satversmes tiesa (Författningsdomstolen) för det första få klarhet i huruvida sådana prickar för trafikförseelser som de som föreskrivs i den lettiska lagstiftningen träffas av artikel 10 i dataskyddsförordningen. Satversmes tiesa (Författningsdomstolen) önskar särskilt får klarhet i huruvida artikel 141.2 i vägtrafiklagen strider mot kraven i artikel 10 i dataskyddsförordningen, att behandling av sådana uppgifter som avses i den bestämmelsen får ske endast ”under kontroll av en myndighet” eller om det föreligger ”lämpliga skyddsåtgärder för de registrerades rättigheter och friheter”. |
|
34. |
Därvidlag har Satversmes tiesa (Författningsdomstolen) påpekat att artikel 8.5 i direktiv 95/46, enligt vilken medlemsstaterna själva fick bestämma huruvida de särskilda reglerna för uppgifter om lagöverträdelser innefattande brott och om brottmålsdomar skulle gälla även för uppgifter om administrativa förseelser och sanktioner, införlivades med den lettiska rättsordningen genom artikel 12 i Fizisko personu datu aizsardzības likums (lagen om skydd av fysiska personers personuppgifter), enligt vilken personuppgifter om administrativa förseelser, i likhet med uppgifter om lagöverträdelser innefattande brott och om brottmålsdomar, endast fick behandlas av de personer och i de situationer som föreskrevs i lagen. |
|
35. |
Detta innebär att det i Lettland under mer än ett decennium har tillämpats liknande krav vid behandling av personuppgifter om lagöverträdelser innefattande brott och om brottmålsdomar som vid behandling av personuppgifter om administrativa förseelser. |
|
36. |
Satversmes tiesa (Författningsdomstolen) har därutöver också påpekat att skäl 4 i dataskyddsförordningen innebär att tillämpningsområdet för artikel 10 i den förordningen måste tolkas med hänsyn tagen till de grundläggande rättigheternas funktion i samhället. Därvidlag anser Satversmes tiesa (Författningsdomstolen) att målet att undvika att en persons privat- och yrkesliv påverkas negativt i oskäligt hög grad av att han eller hon är tidigare straffad skulle kunna omfatta både fällande domar i brottmål och administrativa förseelser. |
|
37. |
För det andra undrar Satversmes tiesa (Författningsdomstolen) vilken räckvidd som ska tillmätas artikel 5 i dataskyddsförordningen. Bland annat önskar Satversmes tiesa (Författningsdomstolen) få klarhet i huruvida den lettiska lagstiftaren, mot bakgrund av skäl 39 i den förordningen, har iakttagit skyldigheten enligt artikel 5.1 f i nämnda förordning att säkerställa att personuppgifter behandlas med ”integritet och konfidentialitet”. Därvidlag har Satversmes tiesa (Författningsdomstolen) påpekat att artikel 141.2 i vägtrafiklagen, som genom att den medger tillgång till information om prickar gör det möjligt att slå fast huruvida en viss person har straffats för en trafikförseelse, inte har åtföljts av några särskilda åtgärder avsedda att garantera säkerheten för de berörda uppgifterna. |
|
38. |
För det tredje önskar Satversmes tiesa (Författningsdomstolen) få klarhet i huruvida direktiv 2003/98 är relevant för bedömningen av huruvida artikel 141.2 i vägtrafiklagen är förenlig med artikel 96 i den lettiska grundlagen. Satversmes tiesa (Författningsdomstolen) har härvid påpekat att det följer av det direktivet att vidareutnyttjande av personuppgifter kan tillåtas endast om rätten till privatliv iakttas. |
|
39. |
För det fjärde undrar Satversmes tiesa (Författningsdomstolen), med tanke på att EU-domstolen i sin praxis har slagit fast att dess tolkningar av unionsrätten i domar i mål om förhandsavgörande är allmängiltiga (erga omnes) och ska tillämpas från och med en viss tidpunkt i det förflutna (ex tunc), huruvida Satversmes tiesa (Författningsdomstolen) trots detta, för den händelse att den finner att artikel 141.2 i vägtrafiklagen är oförenlig med artikel 96 i den lettiska grundlagen mot bakgrund av unionsrätten som EU-domstolen har tolkat denna, skulle kunna få låta nämnda artikel 141.2 behålla sin verkan fram till den dag då Satversmes tiesa (Författningsdomstolen) meddelar den dom där den slår fast att den bestämmelsen är grundlagsstridig, med tanke på att ett stort antal rättsförhållanden kommer att påverkas av den domen. |
|
40. |
I detta sammanhang har Satversmes tiesa (Författningsdomstolen) framhållit att lettisk rätt innebär att när en rättsakt förklaras för grundlagsstridig, ska den anses vara ogiltig från och med den dag då Satversmes tiesas dom offentliggörs, såvida inte Satversmes tiesa (Författningsdomstolen) beslutar om något annat. Satversmes tiesa (Författningsdomstolen) har också förklarat hur den brukar försöka uppnå en balans mellan rättssäkerhetsprincipen och de olika berörda parternas grundläggande rättigheter vid fastställande av det datum då en bestämmelse som har befunnits vara grundlagsstridig inte längre ska vara i kraft. |
|
41. |
Mot bakgrund av ovanstående har Satversmes tiesa (Författningsdomstolen), genom beslut av den 4 juni 2019 som inkom till EU-domstolen den 11 juni 2019, hänskjutit följande tolkningsfrågor för förhandsavgörande:
|
|
42. |
Skriftliga yttranden har inkommit från den lettiska, den nederländska, den österrikiska och den portugisiska regeringen samt från Europeiska kommissionen. |
|
43. |
Mot bakgrund av spridningen av viruset SARS‑CoV‑2 beslutade domstolen att ställa in den muntliga förhandling som den 11 maj 2020 skulle ha hållits i målet. Som en undantagsmässig åtgärd för processledning beslutade domstolen att ersätta den förhandlingen med frågor att besvaras skriftligen. De frågor som domstolen ställde besvarades av den lettiska och den svenska regeringen samt av kommissionen. |
IV. Bedömning
|
44. |
Förevarande begäran om förhandsavgörande aktualiserar ett antal grundläggande frågor som rör dataskyddsförordningen. Det bör emellertid noteras att alla dessa frågor förutsätter att den förordningen faktiskt är tillämplig på det nationella målet. ( 12 ) Att jag tar upp detta beror på att Europeiska unionen inte har antagit någon lagstiftning på området prickning för trafikförseelser. |
A. Det materiella tillämpningsområdet för dataskyddsförordningen – artikel 2.2 a
|
45. |
Enligt artikel 2.2 a i dataskyddsförordningen ska denna inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. I artikel 2.1 i dataskyddsförordningen anges uttryckligen vad som omfattas av den förordningen, ( 13 ) medan det i artikel 2.2 i samma förordning anges fyra typer av verksamhet som faller utanför dess tillämpningsområde. Artikel 2.2 i dataskyddsförordningen är alltså ett undantag från en generell regel och måste därför tolkas restriktivt. ( 14 ) |
|
46. |
Unionslagstiftaren har valt att använda en förordning som rättsligt instrument för att få till stånd en större enhetlighet i dataskyddslagstiftningen inom unionen, i synnerhet för att kunna garantera att (de ekonomiska) aktörerna på den inre marknaden verkar på lika villkor oavsett var de är etablerade. ( 15 ) |
|
47. |
Artikel 16 FEUF utgör inte endast rättslig grund för antagandet av rättsakter såsom dataskyddsförordningen, utan den artikeln är dessutom – på grund av att den återfinns i första delen avdelning II i EUF-fördraget ( 16 ) – på ett mer allmänt plan att anse som en horisontell bestämmelse av konstitutionell karaktär som måste beaktas vid utövandet av samtliga unionsbefogenheter. |
|
48. |
Dataskyddsförordningen syftar – i likhet med sin föregångare, direktiv 95/46 – till att säkerställa en hög skyddsnivå för enskildas grundläggande fri- och rättigheter, i synnerhet deras rätt till privatliv, i samband med behandling av personuppgifter. ( 17 ) |
|
49. |
Lydelsen av artikel 2.2 a i dataskyddsförordningen avspeglar i allt väsentligt lydelsen av artikel 16.2 FEUF, ( 18 ) som utgör den rättsliga grunden för den förordningen enligt primärrätten. Enligt artikel 16.2 FEUF ska unionslagstiftaren fastställa bestämmelser om skydd för fysiska personer i samband med behandling av personuppgifter i medlemsstaterna, när dessa ”utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt [bestämmelser] om den fria rörligheten för sådana uppgifter”. ( 19 ) Denna bestämmelse är således av deklaratorisk art. Min bedömning i det följande är tillämplig i lika hög grad på artikel 2.2 a i dataskyddsförordningen som på artikel 16.2 FEUF. |
|
50. |
En första omständighet som härvidlag kan noteras är att formuleringen i artikel 2.2 a i dataskyddsförordningen, ”en verksamhet som inte omfattas av unionsrätten”, skiljer sig från den som används i artikel 51.1 i stadgan, ( 20 ) enligt vilken ”[b]estämmelserna i [stadgan] riktar sig … till medlemsstaterna endast när dessa tillämpar unionsrätten”. ( 21 ) |
|
51. |
Detta skulle kunna tas till intäkt för att artikel 2.2 a i dataskyddsförordningen ska anses vara mer allmänt formulerad än artikel 51.1 i stadgan, ( 22 ) men med tanke på att domstolen har tolkat innebörden av artikel 51.1 i stadgan så, att stadgan är tillämplig ”när en nationell lagstiftning omfattas av unionsrättens tillämpningsområde”, ( 23 ) finns det ändå inte någon väsentlig skillnad i lydelse mellan dessa båda bestämmelser såsom de har tolkats av domstolen. ( 24 ) |
|
52. |
Jag tror emellertid inte att det är lämpligt att dra analogier till domstolens praxis rörande stadgans tillämpningsområde. ( 25 ) Att göra så skulle bli alltför restriktivt och strida mot det syfte som eftersträvas genom artikel 16 FEUF och genom dataskyddsförordningen. Stadgans inneboende logik är nämligen en helt annan än dataskyddsförordningens. Syftet med stadgan är att lägga en hämsko på unionsinstitutionernas och medlemsstaternas maktutövning när dessa bedriver verksamhet som omfattas av unionsrättens tillämpningsområde och att se till att enskilda förfogar över verktyg för att göra gällande de rättigheter som de har i det sammanhanget. Skydd av personuppgifter är emellertid inte endast en fråga om en grundläggande rättighet. Som framgår av artikel 16 FEUF ( 26 ) utgör dataskydd som sådant ett av unionens politikområden. Själva syftet med dataskyddsförordningen är att den ska vara tillämplig på medlemsstater och enskilda när dessa behandlar personuppgifter. En restriktiv tolkning av artikel 2.2 a i dataskyddsförordningen skulle fullständigt undergräva detta syfte och riskera att förvandla vad som var tänkt att bli en rytande tiger i dataskyddets tjänst till en tam liten kattunge. |
|
53. |
Att dataskyddsförordningen över huvud taget innehåller en sådan bestämmelse som artikel 10 (en artikel som jag kommer att tolka mer ingående nedan i samband med min bedömning av den hänskjutande domstolens första tolkningsfråga) är en god illustration till detta. Om dataskyddsförordningen faktiskt reglerar ”[b]ehandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 [i dataskyddsförordningen]” ( 27 ) vid en tidpunkt då fällande domar i brottmål och lagöverträdelser som innefattar brott är något som i stort sett enbart regleras i nationell rätt snarare än i unionsrätten, kan den förordningen inte gärna ha en sådan komplementfunktion som stadgan har – åtminstone inte om artikel 10 i dataskyddsförordningen ska anses vara giltig. |
|
54. |
Detsamma gäller såvitt avser artikel 87 i dataskyddsförordningen, enligt vilken medlemsstaterna närmare får bestämma på vilka särskilda villkor nationella identifikationsnummer såsom personnummer får behandlas. ( 28 ) |
|
55. |
Därutöver bör hänsyn tas även till skäl 16 i dataskyddsförordningen, som avspeglar artikel 2 i den förordningen. Det skälet är nämligen belysande trots att det ingår i den icke-preskriptiva delen av förordningen. Där nämns nationell säkerhet som exempel på ett område som inte omfattas av unionsrätten. Även förklaringen till artikel 16 i EUF-fördraget ( 29 ) – som inte heller den är tvingande – är relevant i det aktuella sammanhanget. Där anges att ”varje gång sådana regler om skydd av personuppgifter som kan få direkta konsekvenser för den nationella säkerheten ska antas på grundval av artikel 16 [FEUF], måste vederbörlig hänsyn tas till detta”, och det erinras om att ”särskilt direktiv [95/46] … föreskriver särskilda undantag i detta avseende”. ( 30 ) |
|
56. |
Detta uttryckliga fokus på nationell säkerhet är en tydlig indikation på vad både upphovsmännen till EUF-fördraget (artikel 16 FEUF) och unionslagstiftaren (artikel 2.2 a i dataskyddsförordningen) har avsett med sitt val av respektive formulering. |
|
57. |
Vidare har unionslagstiftaren klargjort – på annan plats, men också på tal om dataskydd – att ”nationell säkerhet” i det aktuella sammanhanget ska förstås som ”statens säkerhet”. ( 31 ) |
|
58. |
Därvidlag bör artikel 2.2 a i dataskyddsförordningen betraktas mot bakgrund av artikel 4.2 FEU, där det slås fast att unionen ska respektera medlemsstaternas väsentliga statliga funktioner ( 32 ) och där det i detta sammanhang exemplifieras med att ”den nationella säkerheten också i fortsättningen [ska] vara varje medlemsstats eget ansvar”. Artikel 2.2 a i dataskyddsförordningen innebär endast en upprepning av detta fördragsenliga krav angående vad som måste föreligga för att en stat ska kunna fungera. ( 33 ) |
|
59. |
Mot bakgrund av det ovan anförda finner jag inte någon anledning att dra slutsatsen att det i artikel 2.2 a i dataskyddsförordningen slås fast strikta rekvisit som måste vara uppfyllda för att den förordningen ska vara tillämplig eller att unionslagstiftarens avsikt har varit att ställa upp sådana rekvisit. |
|
60. |
Slutligen får min bedömning enligt ovan också stöd i de tre återstående undantagen såvitt avser det materiella tillämpningsområdet för dataskyddsförordningen, vilka anges i artikel 2.2 b–d i den förordningen. dataskyddsförordningen ska enligt dessa tre undantag inte tillämpas på behandling av personuppgifter som medlemsstaterna utför när de bedriver verksamhet som omfattas av unionens gemensamma utrikes- och säkerhetspolitik, ( 34 ) behandling av personuppgifter som en fysisk person utför som ett led i verksamhet som är av rent privat natur eller som har samband med hans eller hennes hushåll ( 35 ) eller behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. ( 36 ) |
|
61. |
Att den fortfarande till största delen mellanstatliga gemensamma utrikes- och säkerhetspolitiken undantas är helt logiskt. ( 37 ) Fysiska personers verksamhet som är av rent privat natur eller har samband med deras hushåll omfattas under alla omständigheter inte av unionsrätten i så måtto att sådan verksamhet inte regleras i primär- eller sekundärrätten. Detsamma gäller i princip såvitt avser förebyggande, förhindrande, utredande, avslöjande eller lagföring av brott samt verkställighet av straffrättsliga påföljder, även om detta beror på att unionen har antagit – för övrigt samma dag som dataskyddsförordningen antogs – ett särskilt direktiv som reglerar dessa frågor. ( 38 ) Till yttermera visso är det mot bakgrund av artikel 23.1 d i Dataskyddsförordningen uppenbart att behandling av personuppgifter för sådana straffrättsrelaterade ändamål omfattas av Dataskyddsförordningen om den utförs av enskilda. ( 39 ) |
|
62. |
Om de båda sista undantagen ska kunna tillmätas någon som helst normativ rättslig betydelse, är det således omöjligt att anse att sådan behandling som dessa undantag åsyftar ”inte omfattas av unionsrätten”, i den mening som avses i artikel 2.2 a i dataskyddsförordningen. |
|
63. |
Slutligen bör det påpekas att det inte finns någonting som tyder på att EU‑domstolen av principiella skäl skulle tillämpa strikta rekvisit såvitt avser tillämpningsområdet för dataskyddsförordningen och direktiv 95/46 med stöd av artikel 2 i dataskyddsförordningen respektive artikel 3 i direktiv 95/46. ( 40 ) Tvärtom brukar domstolen framhålla att ”tillämpligheten av direktiv 95/46 [inte beror] på huruvida det i de konkreta situationer som är i fråga i målen vid de nationella domstolarna finns ett tillräckligt samband med utövandet av de grundläggande friheter som garanteras i fördraget”. ( 41 ) |
|
64. |
Denna inledande del av min bedömning utmynnar således i slutsatsen att artikel 2.2 a i dataskyddsförordningen ska tolkas så, att den förordningen är tillämplig på behandling av personuppgifter som utförs i eller av en medlemsstat, såvida inte denna behandling sker inom ett område där unionen saknar behörighet. |
|
65. |
Dataskyddsförordningen är följaktligen tillämplig på det nationella målet och måste därför beaktas av den hänskjutande domstolen när denna prövar den nationella lagstiftningens giltighet. |
B. Artikel 86 i dataskyddsförordningen
|
66. |
För fullständighetens skull vill jag också kortfattat ta upp artikel 86 i dataskyddsförordningen mot bakgrund av det nationella målet. |
|
67. |
Enligt den artikeln får personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ, eller av ett privat organ för utförande av en uppgift av allmänt intresse, lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller organet omfattas av, så att allmänhetens rätt att få tillgång till allmänna handlingar kan jämkas samman med rätten till skydd av personuppgifter i enlighet med dataskyddsförordningen. |
|
68. |
Denna bestämmelse innebär uteslutande att det slås fast att det är viktigt att allmänheten kan få tillgång till allmänna handlingar. Som kommissionen på goda grunder har påpekat, ges det i nämnda bestämmelse inte någon närmare vägledning om hur allmänhetens tillgång till allmänna handlingar konkret ska jämkas samman med dataskyddsreglerna. ( 42 ) Det handlar snarast om en bestämmelse av deklaratorisk art som egentligen påminner mer om ett skäl i en rättsakts ingress än om en tvingande föreskrift i en rättsakts artikeldel. ( 43 ) Därför anser jag att den ”narrativa norm” som kommer till uttryck i artikel 86 i dataskyddsförordningen inte bör påverka min bedömning i det följande. |
C. Den första tolkningsfrågan: prickar för trafikförseelser mot bakgrund av artikel 10 i dataskyddsförordningen
|
69. |
Den hänskjutande domstolen har ställt sin första tolkningsfråga för att få klarhet i huruvida artikel 10 i dataskyddsförordningen ska tolkas så, att den omfattar en situation där behandling utförs av information avseende prickar som förare i enlighet med nationell lagstiftning har tilldelats för trafikförseelser. |
|
70. |
Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 i samma förordning ( 44 ) utföras endast under kontroll av en myndighet, ( 45 ) och fullständiga register över fällande domar i brottmål får föras endast under kontroll av en myndighet. |
|
71. |
Med tanke på att trafiksäkerhetsstyrelsen förefaller vara en myndighet åtminstone i den bemärkelsen att den tillhör det allmänna, kan man ifrågasätta den första tolkningsfrågans relevans och undra huruvida den är hypotetisk i den mening som avses i domstolens praxis rörande möjligheterna att uppta tolkningsfrågor till sakprövning. Den ståndpunkten vill jag emellertid bemöta genom att framhålla att förevarande mål avser både trafiksäkerhetsstyrelsens utlämnande av information om prickar och andra organs vidareutnyttjande av sådan information. I den mån som den första tolkningsfrågan avser sådana andra organ, kan den enligt min åsikt upptas till sakprövning. |
1. Personuppgifter
|
72. |
I artikel 4.1 i dataskyddsförordningen stadgas att ”personuppgifter” innefattar varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad registrerad); en ”identifierbar fysisk person” är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
|
73. |
Det saknas anledning att betvivla att information om prickar som förare har tilldelats för trafikförseelser utgör personuppgifter, i den mening som avses i artikel 4.1 i dataskyddsförordningen. |
2. … som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder
|
74. |
Såvitt avser de ”lagöverträdelser” som nämns i artikel 10 i dataskyddsförordningen, bör det noteras att det inte i samtliga språkversioner av denna bestämmelse går att utläsa huruvida den uteslutande åsyftar straffrättsliga lagöverträdelser, det vill säga brott, eller huruvida även administrativa lagöverträdelser eller förseelser inbegrips. Den mest naturliga och intuitivt rimliga tolkningen av den engelska versionen är att adjektivet ”criminal” (”straffrättslig”) så att säga har placerats utanför parentesen, och därmed hänvisar till både ”convictions” (”fällande domar”) och ”offences” (”lagöverträdelser”). Vissa språkversioner ( 46 ) lämnar inte något utrymme för tvivel på den här punkten utan ger entydigt vid handen att ”lagöverträdelser”, i den mening som avses i artikel 10 i dataskyddsförordningen, ska anses innefatta enbart straffrättsliga sådana. Andra språkversioner ( 47 ) är tvetydiga i så måtto att de kan tolkas på flera sätt. En av dessa tvetydiga språkversioner är den lettiska (”saistītiem drošības pasākumiem”), som är den version som den hänskjutande domstolen kan antas vara bäst bekant med. I den versionen är det inte endast ospecificerat huruvida ”lagöverträdelserna” (”pārkāpumi”) är att anse som uteslutande straffrättsliga sådana, utan det lämnas också öppet huruvida de ”fällande domarna” (”sodāmība”) måste vara av straffrättslig art. ( 48 ) |
|
75. |
Även om de olika språkversionerna kan framstå som lite väl varierade, så går det ändå att dra vissa slutsatser redan i detta skede. |
|
76. |
Unionens samtliga officiella språk är nämligen giltiga språk för de rättsakter som är avfattade på dessa språk, vilket innebär att samtliga språkversioner av en unionsrättsakt principiellt ska tillerkännas samma värde. ( 49 ) En tolkning av en unionsbestämmelse kräver följaktligen en jämförelse av de olika språkversionerna. ( 50 ) Dessutom måste de olika språkversionerna av en unionsbestämmelse ges en enhetlig tolkning. ( 51 ) |
|
77. |
Under dessa omständigheter måste den innebörd som framgår av de mer ”precisa” språkversionerna anses vara den riktiga, särskilt med tanke på denna mer precisa innebörd även är en av de möjliga tolkningarna av de mindre precisa språkversionerna, med avseende på vilka det är möjligt att hävda att en tolkningsmöjlighet är att ”lagöverträdelserna” uteslutande är av straffrättslig art. Därför kan jag i detta skede av mitt resonemang dra den provisoriska slutsatsen att en jämförelse av de olika språkversionerna av artikel 10 i dataskyddsförordningen ger vid handen att adjektivet ”criminal” (”straffrättslig”) i den engelska versionen ska anses åsyfta både ”convictions” (”fällande domar”) och ”offences” (”lagöverträdelser”), varför de lagöverträdelser som avses i den bestämmelsen alltså uteslutande är av straffrättslig art. ( 52 ) |
|
78. |
Till yttermera visso innebär denna föreslagna tolkning av artikel 10 i dataskyddsförordningen också att den åtskillnad som gjordes i dess föregångare, artikel 8.5 i direktiv 95/46, kan behållas ograverad. Enligt den föregående bestämmelsen krävdes myndighetskontroll avseende databehandling rörande lagöverträdelser (innefattande brott) och brottmålsdomar, ( 53 ) medan det såvitt avsåg administrativa sanktioner fanns en möjlighet att kräva myndighetskontroll för att tillåta databehandling. ( 54 ) Om ordet ”offences” (”lagöverträdelser”) i artikel 8.5 i direktiv 95/46 hade tolkats så, att det innefattade administrativa förseelser, så skulle den andra delen av nämnda bestämmelse ha varit överflödig. |
|
79. |
Denna tolkning innebär emellertid inte att det slås fast exakt vad begreppet ”lagöverträdelser som innefattar brott” ska anses omfatta. |
|
80. |
Den första fråga som uppkommer i detta sammanhang är huruvida det begreppet är ett självständigt unionsrättsligt begrepp eller huruvida dess tolkning ska överlåtas på medlemsstaterna. |
|
81. |
Enligt domstolens fasta praxis följer det såväl av kravet på en enhetlig tillämpning av unionsrätten som av likhetsprincipen, att ordalydelsen i en unionsbestämmelse som inte innehåller någon uttrycklig hänvisning till medlemsstaternas rättsordningar för fastställandet av bestämmelsens innebörd och tillämpningsområde, i regel ska ges en självständig och enhetlig tolkning inom hela Europeiska unionen. ( 55 ) Denna tolkning ska göras med beaktande av den berörda bestämmelsens lydelse, ändamål och sammanhang samt unionsrätten som helhet. Även förarbetena till en unionsrättsbestämmelse kan ge relevanta upplysningar om tolkningen av densamma. ( 56 ) |
|
82. |
I det aktuella fallet står det klart att straffrätt och straffprocessrätt är områden som i princip omfattas av medlemsstaternas behörighet. ( 57 ) Således är det medlemsstaterna som kan avgöra vad som är att betrakta som brott. ( 58 ) |
|
83. |
När unionslagstiftaren har valt att anta en förordning i stället för ett direktiv, bör regeln emellertid enligt min uppfattning vara att begreppen i förordningen ska ges en enhetlig tolkning inom hela unionen, så att det i överensstämmelse med artikel 288.2 FEUF kan garanteras att förordningen har allmän giltighet och är direkt tillämplig i varje medlemsstat. |
|
84. |
Det finns också vissa tecken på att unionslagstiftaren inte önskade hänvisa till de nationella rättsordningarna såvitt avsåg tolkningen av begreppet ”brott”. I skäl 13 i direktiv 2016/680 ( 59 ) anges nämligen att ”brott”, i den mening som avses i det direktivet, bör utgöra ett självständigt begrepp i unionsrätten, såsom domstolen tolkar denna. Jag menar – med stöd av ett resonemang av typen a maiore ad minus (vad som gäller i det stora gäller också i det lilla) – att detsamma måste anses vara fallet för dataskyddsförordningen, vilken som sagt i egenskap av förordning automatiskt uppvisar en högre grad av integrering och centralisering. |
|
85. |
Den andra fråga som uppkommer i detta sammanhang är svårare att besvara; den avser huruvida de i det nationella målet aktuella personuppgifterna verkligen rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder, i den mening som avses i artikel 10 i dataskyddsförordningen. |
|
86. |
Domstolen har redan tidigare haft anledning att uttala sig om definitionen av ”brott” på tal om principen ne bis in idem ( 60 ) mot bakgrund av artikel 50 i stadgan. ( 61 ) |
|
87. |
Därvid har domstolen utgått från praxis från Europadomstolen ( 62 ) enligt vilken det finns tre kriterier som är relevanta när man definierar begreppet ”brottmålsrättegång”: den rättsliga kvalificeringen av den berörda lagöverträdelsen i nationell rätt, själva lagöverträdelsens art och arten av och strängheten i den sanktion som den berörde kan åläggas. ( 63 ) |
|
88. |
Som jag ser saken, kan de trafikförseelser som enligt den aktuella nationella lagstiftningen kan föranleda prickning inte mot bakgrund av dessa tre kriterier anses utgöra brott i den mening som avses i nämnda rättspraxis. I synnerhet är prickarna inte särskilt stränga till sin art. ( 64 ) |
|
89. |
Avslutningsvis skulle jag vilja framhålla att min bedömning medför att det saknas behov av att se närmare på avgränsningen mellan artikel 10 i dataskyddsförordningen och bestämmelserna i direktiv 2016/680, eftersom nämnda direktiv inte är tillämpligt i det nationella målet. |
3. Förslag till svar
|
90. |
Jag föreslår därför att den första tolkningsfrågan ska besvaras med att artikel 10 i dataskyddsförordningen ska tolkas så, att den inte omfattar en situation där behandling utförs av information avseende prickar som förare har tilldelats för trafikförseelser i enlighet med en sådan nationell lagstiftning som artikel 141.2 i vägtrafiklagen. |
D. Den andra tolkningsfrågan: utlämnande av information om prickar för trafikförseelser
|
91. |
Den hänskjutande domstolen har i allt väsentligt ställt sin andra tolkningsfråga för att få klarhet i huruvida bestämmelserna i dataskyddsförordningen hindrar en medlemsstat från att behandla och lämna ut information om prickar som förare har tilldelats för trafikförseelser. |
|
92. |
Trots att den hänskjutande domstolen som exempel har angett den princip om integritet och konfidentialitet som föreskrivs i artikel 5.1 f i dataskyddsförordningen, ( 65 ) är tolkningsfrågan synnerligen allmänt formulerad med tanke på att den innehåller en hänvisning till samtliga bestämmelser i den förordningen. ( 66 ) I min bedömning nedan kommer jag därför att behöva ta upp andra bestämmelser i dataskyddsförordningen än den som den hänskjutande domstolen har nämnt i sin fråga. |
|
93. |
All behandling av personuppgifter måste ske i överensstämmelse dels med de principer i fråga om uppgiftskvalitet som anges i artikel 5 i dataskyddsförordningen, dels med ett av de kriterier för behandlingens lagenlighet som anges i artikel 6 i samma förordning. ( 67 ) Dessa båda bestämmelsers lydelse ger nämligen vid handen att principerna i artikel 5 är kumulativa ( 68 ) medan kriterierna i artikel 6 är alternativa. ( 69 ) |
|
94. |
Den andra tolkningsfrågan rör principerna för uppgiftskvalitet. Den hänskjutande domstolen förefaller – på goda grunder – förutsätta att trafiksäkerhetsstyrelsen faktiskt ägnar sig åt behandling av uppgifter och den ifrågasätter är inte själva registreringen av prickar för trafikförseelser utan den omständigheten att information om sådana prickar kan lämnas ut på begäran |
|
95. |
Det torde nämligen inte kunna förnekas att trafiksäkerhetsstyrelsen är ”personuppgiftsansvarig” i den mening som avses i artikel 4.7 i dataskyddsförordningen och behandlar personuppgifter, i den mening som avses i artikel 4.2 i den förordningen, genom att registrera prickar för trafikförseelser i det nationella fordonsregistret. |
|
96. |
Därvidlag torde det vara tillräckligt att påpeka att domstolen på tal om ett offentligägt ”bolagsregister” har funnit att den myndighet som ansvarade för det registret, genom att den förde in och förvarade uppgifter i registret och genom att den i förekommande fall, på begäran av tredje man, lämnade ut dessa uppgifter, genomförde en ”behandling av personuppgifter” för vilken den var ”registeransvarig” (det vill säga vad som med väsentligen samma definition kallas för ”personuppgiftsansvarig” i dataskyddsförordningen) i den mening som (såvitt avser båda begreppen) avsågs i direktiv 95/46, ( 70 ) vilka utgör föregångare till definitionerna i artikel 4.2 respektive 4.7 i dataskyddsförordningen. ( 71 ) |
1. Artikel 5.1 f i dataskyddsförordningen: integritet och konfidentialitet
|
97. |
Detta aktualiserar frågan om iakttagandet av de principer om integritet och konfidentialitet som anges i artikel 5.1 f i dataskyddsförordningen, vilken är en bestämmelse som den hänskjutande domstolen själv har nämnt i sin tolkningsfråga. |
|
98. |
Enligt artikel 5.1 f i dataskyddsförordningen ska personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för dem, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder. |
|
99. |
Såsom framgår av denna bestämmelses lydelse rör den säkerhet samt tekniska och organisatoriska åtgärder i samband med behandling av personuppgifter. ( 72 ) Det handlar om allmänna formella krav i fråga om uppgiftssäkerhet. ( 73 ) |
|
100. |
Vad den hänskjutande domstolen önskar är däremot vägledning på en mer grundläggande nivå om de rättsliga möjligheterna att utföra sådan behandling. Med andra ord önskar den hänskjutande domstolen vägledning om när behandling av personuppgifter får ske medan artikel 5.1 f i dataskyddsförordningen handlar om hur behandling av personuppgifter ska utföras. Artikel 5.1 f i dataskyddsförordningen är således utan betydelse för det nationella målet. |
2. Artikel 5.1 a i dataskyddsförordningen: laglighet, korrekthet och öppenhet
|
101. |
Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. |
|
102. |
Noteras bör att ordet ”laglig” förekommer både i artikel 5.1 a och i artikel 6 i dataskyddsförordningen. Rent lagstiftningstekniskt vore det emellertid föga rimligt att kräva att de detaljerade laglighetskrav som anges i artikel 6 skulle anses ingå även i artikel 5. |
|
103. |
I stället är det rimligare att ”laglighet”, i den mening som avses i artikel 5.1 a i dataskyddsförordningen, ska tolkas mot bakgrund av skäl 40 i samma förordning, ( 74 ) varvid alltså en behandling kan anses vara laglig antingen med hänvisning till samtycke eller på någon annan lagstadgad rättslig grund. ( 75 ) |
|
104. |
Med en sådan tolkning (det föreligger ingen rättslig grund enligt nationell lagstiftning) ser jag ingen anledning att ifrågasätta lagligheten av den behandling som är i fråga i det nationella målet. ( 76 ) |
|
105. |
I linje med vad den österrikiska regeringen har gjort gällande, ( 77 ) anser jag därför att laglighetsprincipen saknar relevans för de faktiska omständigheterna i det nationella målet. |
3. Artikel 5.1 b i dataskyddsförordningen: ändamålsbegränsning
|
106. |
I artikel 5.1 b i dataskyddsförordningen slås fast att en princip om ”ändamålsbegränsning” ska gälla i så måtto att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. ( 78 ) |
|
107. |
Den hänskjutande domstolen har förklarat att syftet med den aktuella bestämmelsen – artikel 141.2 i vägtrafiklagen – är att främja god trafiksäkerhet genom att avslöja förare som bryter mot trafikreglerna. Utlämnande av information om prickar för trafikförseelser framstår mot bakgrund av detta som ett särskilt, uttryckligt angivet och berättigat ändamål. Behandlingen av personuppgifterna förefaller inte heller vara oförenlig med detta ändamål. |
4. Artikel 5.1 c i dataskyddsförordningen: uppgiftsminimering
|
108. |
Enligt artikel 5.1 c i dataskyddsförordningen innebär principen om uppgiftsminimering att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. I skäl 39 i dataskyddsförordningen anges i linje med detta att personuppgifter bör behandlas endast om syftet med behandlingen inte rimligen kan uppnås genom andra medel. |
|
109. |
Som jag förstår saken, kan den principen – liksom de övriga principer som stadfästs i artikel 5.1 i dataskyddsförordningen – ses som en avspegling av proportionalitetsprincipen. ( 79 ) Av det skälet kommer jag i min fortsatta bedömning att se närmare på huruvida den ifrågavarande nationella lagstiftningen står i rimlig proportion till det mål som eftersträvas med den. |
|
110. |
Enligt fast rättspraxis medför proportionalitetsprincipen, som ingår bland de allmänna principerna i unionsrätten, ett krav på att de medel som föreskrivs i en unionsrättsakt dels ska vara ägnade att säkerställa att det mål som eftersträvas med den rättsakten uppnås, dels inte får gå utöver vad som är nödvändigt för att uppnå det målet. ( 80 ) |
|
111. |
Artikel 141.2 i vägtrafiklagen behöver alltså vara lämplig och nödvändig för förverkligandet av det mål som den bestämmelsen uppges ha, nämligen att förbättra trafiksäkerheten. |
a) Lämplighet
|
112. |
Det första syftet med den nationella lagstiftningen är enligt uppgift att göra det möjligt att hitta de fordonsförare som systematiskt bryter mot trafikreglerna. Det är uppenbart att möjligheterna att hitta personer som bryter mot trafikreglerna inte på något sätt är beroende av att informationen om de prickar som har tilldelats sådana lagöverträdare är offentlig (allmänt tillgänglig). Det är uteslutande ett ansvar för en myndighet att på ett korrekt sätt identifiera sådana lagöverträdare och föra ett register över de prickar som de har tilldelats, så att lämpliga rättsliga konsekvenser följer och relevanta sanktioner kan tillämpas på dem. |
|
113. |
Det andra syftet med den nationella bestämmelsen, vilken alltså medger att de berörda personuppgifterna lämnas ut, är enligt Saeima att den ska påverka vägtrafikanternas beteende, så att potentiella lagöverträdare avskräcks från att begå ytterligare förseelser. Härvidlag är det rimligt att anta att om var och en ges möjlighet att få reda på vem som har brutit mot trafikreglerna, så medför detta en viss avskräckande effekt. Många förare skulle invända mot att allmänheten får ta del av sådan information om dem, eftersom detta skulle kunna leda till att de stämplas som lagbrytare. |
|
114. |
Detta syfte anges också tydligt i artikel 431 i vägtrafiklagen såsom det mål som eftersträvas genom införandet av systemet med prickar för trafikförseelser. Det är tämligen uppenbart att offentliggörandet av sådana prickar i någon mån kan utgöra en ytterligare avskräckande faktor. Således skulle den aktuella bestämmelsen i princip kunna anses vara förenlig med det mål av allmänintresse som eftersträvas genom den, nämligen att främja trafiksäkerhet och undvika trafikolyckor. |
|
115. |
Om de ifrågavarande personuppgifterna lämnas ut endast på begäran och den som begär att få information utlämnad uppger personnumret för den berörda personen, aktualiserar detta emellertid också frågan hur svårt det är att få kännedom om någon annans personnummer. Ju svårare det är att få tillgång till personuppgifter av det berörda slaget, desto mindre lär ju den avskräckande verkan av systemet med utlämnande bli, med tanke på att graden av tillgänglighet för allmänheten då i större utsträckning beror på andra, svårförutsägbara faktorer. |
|
116. |
Det är just av det skälet som jag hyser allvarliga tvivel om den berörda nationella lagstiftningens lämplighet. |
|
117. |
Det ankommer på den hänskjutande domstolen att mot bakgrund av samtliga omständigheter i målet avgöra huruvida artikel 141.2 i vägtrafiklagen verkligen är ägnad att möjliggöra förverkligandet av det legitima målet att förbättra trafiksäkerheten. |
b) Nödvändighet
|
118. |
När det gäller den ifrågavarande åtgärdens nödvändighet, det vill säga kravet att den aktuella åtgärden inte får gå utöver vad som är nödvändigt för förverkligandet av det mål som eftersträvas genom den, förefaller situationen enklare att bedöma. |
|
119. |
Även här ankommer det på den hänskjutande domstolen att mot bakgrund av samtliga omständigheter i målet avgöra huruvida den aktuella bestämmelsen verkligen är nödvändig, men mot bakgrund av de upplysningar som jag har tillgång till kan jag inte se hur den bestämmelsen på något sätt skulle kunna betraktas som nödvändig. |
|
120. |
Målet att främja trafiksäkerheten är förvisso viktigt, men det behöver ändå göras en lämplig avvägning mellan de olika berörda intressena. Således ankommer det på den nationella lagstiftaren att bedöma huruvida utlämnandet av de ifrågavarande personuppgifterna inte går utöver vad som är nödvändigt för förverkligandet av de legitima mål som eftersträvas, särskilt om man beaktar det åsidosättande av grundläggande rättigheter som ett sådant offentliggörande medför. |
|
121. |
Det framgår inte av begäran om förhandsavgörande huruvida Saeima före antagandet av den aktuella bestämmelsen övervägde andra sätt att uppnå målet att främja trafiksäkerheten som i lägre grad skulle påverka enskildas rätt till dataskydd. Därutöver måste lagstiftaren också kunna visa att de aktuella undantagen från och begränsningarna av dataskyddet är strikt förenliga med de gränser som har slagits fast. En noggrann dataskyddskonsekvensbedömning bör göras innan en uppsättning uppgifter görs offentliga (eller innan det antas en lag enligt vilken sådana uppgifter måste offentliggöras), och därvid bör även möjligheterna till vidareutnyttjande och de potentiella konsekvenserna av vidareutnyttjande bedömas. |
|
122. |
Tillgång till sådan information, som dessutom måste vara korrekt, är en förutsättning för att det ska kunna avgöras huruvida målen att förbättra trafiksäkerheten och att förebygga olyckor kan uppnås genom åtgärder som får en mindre negativ inverkan på de berörda personernas rättigheter och således gör det möjligt att undvika att det skydd som stadfästs i artikel 8 i stadgan åsidosätts, eller åtminstone att se till att ett sådant åsidosättande blir mindre omfattande. |
|
123. |
Det intrång i privatlivet som blir följden när uppgifter om lagöverträdelser och straff offentliggörs är i sig ytterst allvarligt, eftersom det innebär att allmänheten får tillgång till information om de lagöverträdelser som en enskild har begått. Vidare kan det inte heller uteslutas att den uppgiftsbehandling som ett sådant offentliggörande i sig innebär kan leda till att lagöverträdare stigmatiseras och drabbas av andra negativa konsekvenser. Av det skälet måste sådana ”svarta listor” regleras strikt. |
|
124. |
Att den aktuella bestämmelsen är förebyggande till sin natur och att det finns statistik som visar på en gynnsam utveckling i form av en minskning av antalet trafikolyckor kan slutligen – som dataskyddsmyndigheten också har framhållit – inte läggas till grund för slutsatsen att den minskningen har samband med själva införandet av systemet med prickar för trafikförseelser eller med den omständigheten att information om registrerade prickar är tillgänglig för allmänheten. |
5. Förslag till svar
|
125. |
Således föreslår jag att domstolen ska besvara den andra tolkningsfrågan med att en sådan nationell lagstiftning som artikel 141.2 i vägtrafiklagen, vilken medger behandling och utlämnande av information om prickar som förare har tilldelats för trafikförseelser, strider mot artikel 5.1 c i dataskyddsförordningen. |
E. Den tredje tolkningsfrågan: vidareutnyttjande av personuppgifter
1. Direktiv 2003/98
|
126. |
Genom direktiv 2003/98 fastställs, såsom anges i artikel 1.1 i det direktivet, en minimiuppsättning regler för vidareutnyttjande av handlingar som finns hos offentliga myndigheter i medlemsstaterna samt regler för hur detta vidareutnyttjande ska underlättas i praktiken. |
|
127. |
Det torde kunna antas att prickar för trafikförseelser i Lettland registreras i handlingar, att dessa handlingar finns hos dataskyddsmyndigheten och att denna är en offentlig myndighet, i den mening som avses i nämnda bestämmelse. |
|
128. |
Däremot faller de ifrågavarande omständigheterna utanför tillämpningsområdet för direktiv 2003/98, med tanke på att det i artikel 1.2 cc i det direktivet anges att detta inte ska tillämpas på handlingar som med hänsyn till skyddet av personuppgifter är undantagna från tillgång. ( 81 ) Dessutom följer det av artikel 1.4 i direktiv 2003/98 att tillämpningen av det direktivet inte på något sätt ska påverka skyddsnivån för enskilda personer med avseende på behandling av personuppgifter enligt bestämmelserna i unionslagstiftningen och i nationell lagstiftning; i synnerhet framhålls där att de skyldigheter och rättigheter som anges i dataskyddsförordningen ( 82 ) inte ska ändras genom direktiv 2003/98. |
|
129. |
Av dessa bestämmelser följer att behandlingen av de ifrågavarande personuppgifterna måste bedömas mot bakgrund av unionens dataskyddsregler, närmare bestämt dataskyddsförordningen, och inte mot bakgrund av direktiv 2003/98. ( 83 ) |
2. Vidareutnyttjande
|
130. |
Om information rörande prickar som förare har tilldelats för trafikförseelser kan lämnas ut till vem som helst, inbegripet till aktörer som ägnar sig åt vidareutnyttjande, innebär detta – som den hänskjutande domstolen på goda grunder har påpekat – att det inte går att fastställa de ändamål för vilka den ytterligare behandlingen av uppgifterna utförs eller att bedöma huruvida personuppgifter behandlas på ett sätt som är oförenligt med dessa ändamål. |
|
131. |
Mot bakgrund av detta är det resonemang som jag har fört ovan på tal om den andra tolkningsfrågan helt och hållet giltigt även här. Nödvändiga ändringar behöver naturligtvis göras, men det resonemanget är faktiskt i än högre grad tillämpligt såvitt avser vidareutnyttjande. Privata företag kan nämligen frestas att utnyttja personuppgifterna för kommersiella ändamål, det vill säga ändamål som är oförenliga med det syfte som eftersträvas genom behandlingen, alltså att öka trafiksäkerheten. |
|
132. |
Till yttermera visso strider möjligheten för tredje part att vidarebehandla personuppgifterna klart och tydligt mot den princip om ändamålsbegränsning som slås fast i artikel 5.1 b i dataskyddsförordningen. |
3. Förslag till svar
|
133. |
Jag föreslår följaktligen att den tredje tolkningsfrågan ska besvaras med att en sådan nationell bestämmelse som artikel 141.2 i vägtrafiklagen, som medger behandling och utlämnande, inbegripet för vidareutnyttjande, av information om prickar som förare har tilldelats för trafikförseelser, inte omfattas av bestämmelserna i direktiv 2003/98 men att en sådan bestämmelse strider mot artikel 5.1 c i dataskyddsförordningen. |
F. Den fjärde tolkningsfrågan
|
134. |
Den hänskjutande domstolen har ställt sin fjärde tolkningsfråga för att få klarhet i huruvida – för den händelse att den ifrågavarande nationella lagstiftningen anses strida mot unionsrätten – det vore möjligt att tillämpa den aktuella bestämmelsen och låta dess rättsverkningar bestå fram till dess att det slutliga avgörande som den hänskjutande domstolen kommer att meddela vinner laga kraft. |
|
135. |
Med andra ord har den hänskjutande domstolen begärt att den aktuella bestämmelsen ska få ha kvar sina rättsverkningar tills ett lagakraftvunnet avgörande från nämnda domstol föreligger. |
|
136. |
Av fast rättspraxis framgår att den tolkning som domstolen, vid utövandet av sin behörighet enligt artikel 267 FEUF, gör av en unionsbestämmelse klargör och preciserar innebörden och räckvidden av denna bestämmelse, såsom den ska eller skulle ha tolkats och tillämpats från och med sitt ikraftträdande. ( 84 ) Av detta följer att den på detta sätt tolkade bestämmelsen kan och ska tillämpas av nationella domstolar även på rättsförhållanden som har uppstått och etablerats före den dom som meddelas avseende begäran om tolkning, om villkoren för att föra talan angående tillämpningen av nämnda bestämmelse vid de behöriga domstolarna är uppfyllda. ( 85 ) Det är endast i undantagsfall som domstolen, med tillämpning av den allmänna rättssäkerhetsprincip som ingår i unionens rättsordning, kan se sig föranledd att begränsa berörda personers möjlighet att åberopa en av domstolen tolkad bestämmelse i syfte att ifrågasätta rättsförhållanden som har tillkommit i god tro. ( 86 ) |
|
137. |
I alla händelser är det endast domstolen själv som kan slå fast villkoren för ett sådant senareläggande av verkningarna av dess tolkning. ( 87 ) Det finns goda skäl till att så är fallet. Annars skulle nämligen en nationell domstol kunna senarelägga verkan av domstolens dom, och det skulle kunna påverka den domens allmängiltighet (dess tillämplighet erga omnes), vars primära syfte är att garantera att unionsrätten tolkas enhetligt i samtliga unionsmedlemsstater, så att rättssäkerhet råder och så att villkoren blir desamma för samtliga medlemsstater, medborgare och ekonomiska aktörer. Därför kan inga bestämmelser i nationell lagstiftning, inte ens om de har rang av grundlag, få undergräva unionsrättens enhetlighet och effektivitet. ( 88 ) |
|
138. |
För att en sådan begränsning ska kunna komma i fråga, måste två väsentliga kriterier vara uppfyllda, nämligen att de berörda har handlat i god tro och att det föreligger en risk för allvarliga störningar. ( 89 ) |
|
139. |
Tilläggas ska att domstolen endast i undantagsfall ( 90 ) har valt en sådan lösning, och då endast när vissa klart preciserade omständigheter har varit för handen. Närmare bestämt har det rört sig om fall där det har förelegat fara för allvarliga ekonomiska återverkningar, som i synnerhet har berott på det stora antalet rättsförhållanden som i god tro har upprättats på grundval av de bestämmelser som har antagits vara gällande, och där det har framgått att enskilda och nationella myndigheter har förmåtts att handla på ett sätt som strider mot unionsbestämmelserna på grund av att det har förelegat en objektiv och betydande osäkerhet beträffande de unionsrättsliga bestämmelsernas tillämpningsområde, en osäkerhet som andra medlemsstaters eller kommissionens beteenden kan ha bidragit till. ( 91 ) |
|
140. |
I förevarande fall torde den information som har redovisats i begäran om förhandsavgörande inte kunna läggas till grund för slutsatsen att ett stort antal i god tro upprättade rättsförhållanden som grundar sig på den omtvistade bestämmelsen skulle komma att påverkas och att det därför vore särskilt svårt att säkerställa efterlevnad från och med en viss tidpunkt i det förflutna (ex tunc) av en av domstolen meddelad dom om förhandsavgörande där den bestämmelsen förklaras vara oförenlig med unionsrätten. |
|
141. |
Således behöver det inte förordnas om att rättsverkningarna av domstolens dom i förevarande mål ska begränsas i tiden. |
|
142. |
Jag föreslår därför att den fjärde tolkningsfrågan ska besvaras med att det inte är möjligt att tillämpa den ifrågavarande bestämmelsen och låta dess rättsverkningar bestå till dess att det slutliga avgörande som Satversmes tiesa (Författningsdomstolen) meddelar vinner laga kraft. |
V. Förslag till avgörande
|
143. |
Mot bakgrund av det ovan anförda föreslår jag att EU-domstolen ska besvara tolkningsfrågorna från Satversmes tiesa (Författningsdomstolen, Lettland) enligt följande:
|
( 1 ) Originalspråk: engelska.
( 2 ) Se Tribune, 8 november 1946.
( 3 ) Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2).
( 4 ) Se dom av den 12 november 1969 (29/69, EU:C:1969:57, punkt 7).
( 5 ) Åtminstone var det tvivelsutan det första målet om grundläggande rättigheter inom ramen för unionens rättsordning.
( 6 ) Europaparlamentets och rådets direktiv av den 17 november 2003 om vidareutnyttjande av information från den offentliga sektorn (EUT L 345, 2003, s. 90), i dess lydelse enligt Europaparlamentets och rådets direktiv 2013/37/EU av den 26 juni 2013 (EUT L 175, 2013, s. 1).
( 7 ) Europaparlamentets och rådets direktiv av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).
( 8 ) Bernkonventionen för skydd av litterära och konstnärliga verk, Parisakten av den 24 juli 1971 i dess ändrade lydelse av den 28 september 1979.
( 9 ) TRIPs-avtalet (Avtalet om handelsrelaterade immateriella rättigheter) utgör bilaga 1C till Avtalet om upprättandet av Världshandelsorganisationen (WTO‑avtalet), som godkändes på gemenskapens vägnar, vad beträffar frågor som omfattas av dess behörighet, genom rådets beslut 94/800/EG av den 22 december 1994 (EGT L 336, 1994, s. 1; svensk specialutgåva, område 1, volym 38, s. 3).
( 10 ) I den ändrade version som trädde i kraft den 10 maj 2018.
( 11 ) Ministru kabineta 2004. gada 21. jūnija noteikumi Nr.551 ”Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi” (Regeringsförordning nr 551 av den 21 juni 2004, ”Regler för tillämpning av poängsystemet”).
( 12 ) Kontraintuitivt nog är uttrycket ”omfattas av unionsrätten” i artikel 2.2 a i dataskyddsförordningen inte alls tydligt i det sammanhang där den förordningen återfinns; se Wolff, H.A., i M. Pechstein, C. Nowak & U. Häde (red.), Frankfurter Kommentar zu EUV, GRC und AEUV, Band II, Mohr Siebeck, Tübingen, 2017, Art. 16 AEUV, punkt 19.
( 13 ) Nämligen sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
( 14 ) Såvitt avser artikel 3.2 i direktiv 95/46 har domstolen konsekvent intagit den hållningen; se dom av den 10 juli 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, punkt 37 och där angiven rättspraxis). Se även Sobotta, C., i E. Grabitz, M. Hilf & M. Nettesheim, Das Recht der Europäischen Union, 71. EL., uppdaterad i augusti 2020, C.H. Beck, München, Art. 16 AEUV, punkt 22, där det framhålls att unionens dataskyddsordning har ett synnerligen vidsträckt materiellt tillämpningsområde.
( 15 ) Se även, för ett liknande resonemang, Hatje, A., i J. Schwarze, U. Becker, A. Hatje & J. Schoo (red.), EU-Kommentar, 4 uppl., Nomos, Baden-Baden, 2019, Art. 16, punkt 10, och Brühann, U., i H. von der Groeben, H.J. Schwarze & A. Hatje (red.), Europäisches Unionsrecht (Kommentar), Band 1, 7 uppl., Nomos, Baden-Baden, 2015, Art. 16 AEUV, punkt 130.
( 16 ) Med avdelningsrubriken ”Allmänna bestämmelser”.
( 17 ) Se, till exempel, såvitt avser direktiv 95/46, dom av den 13 maj 2014, Google Spain och Google (C‑131/12, EU:C:2014:317, punkt 66), och dom av den 10 juli 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, punkt 35).
( 18 ) Den ursprungliga tanken bakom att unionen skulle reglera dataskydd, som hade ett nära samband med den inre marknaden, finns fortfarande kvar vid sidan av dataskyddet i dess egen rätt. Som avspeglas redan i titeln, och som slås fast i artikel 1, har dataskyddsförordningen ett tudelat syfte, nämligen att fastställa bestämmelser dels om skydd för fysiska personer med avseende på behandling av personuppgifter, dels om det fria flödet av personuppgifter. Till yttermera visso anges det i skäl 13 i dataskyddsförordningen att avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden bör undvikas och att en förutsättning för att den inre marknaden ska fungera väl är att det fria flödet av personuppgifter inom unionen inte begränsas eller förbjuds av skäl som har anknytning till skydd för fysiska personer med avseende på behandling av personuppgifter.
( 19 ) Min kursivering.
( 20 ) I den bestämmelsen fastställs stadgans tillämpningsområde.
( 21 ) Min kursivering.
( 22 ) Se, exempelvis, Zerdick, T., i E. Ehmann & M. Selmayr (red.), Datenschutz-Grundverordnung, Kommentar, C.H. Beck, München, 2 uppl., 2018, Art. 2, punkt 5.
( 23 ) Detta har varit fast rättspraxis sedan domen av den 26 februari 2013, Åkerberg Fransson (C‑617/10, EU:C:2013:105, punkt 21). Se även dom av den 21 december 2016, AGET Iraklis (C‑201/15, EU:C:2016:972, punkt 62), dom av den 21 maj 2019, kommissionen/Ungern (Nyttjanderätter till jordbruksmark) (C‑235/17, EU:C:2019:432, punkt 63), och dom av den 24 september 2020, NK (Tjänstepension till högre tjänstemän) (C‑223/19, EU:C:2020:753, punkt 78).
( 24 ) Jag anser likväl att lydelsen av artikel 2.2 a i dataskyddsförordningen inte kan läggas till grund för några helt säkra slutsatser. Enligt domstolens fasta praxis ska en unionsbestämmelse tolkas inte bara med beaktande av dess lydelse, utan också med beaktande av sammanhanget och de mål som eftersträvas med de föreskrifter som den ingår i, och särskilt med beaktande av föreskrifternas förarbeten; se, exempelvis, dom av den 17 april 2018, Egenberger (C‑414/16, EU:C:2018:257, punkt 44 och där angiven rättspraxis).
( 25 ) Se även, för ett liknande resonemang, Lubasz, D., i D. Lubasz (red.), Ochrona danych osobowych, Wolters Kluwer, Warszawa 2020, punkt 92.
( 26 ) Och som tidigare i lika hög grad gällde artikel 114 FEUF.
( 27 ) Se artikel 10 i dataskyddsförordningen.
( 28 ) I synnerhet om man betänker att sådana nationella identifikationsnummer i allmänhet tilldelas i samband med den officiella registreringen av en födsel, vilket är en angelägenhet som inte brukar vara knuten till någon behörighet för unionens del.
( 29 ) Se förklaring nr 20 till slutakten från den regeringskonferens som antog Lissabonfördraget, vilket undertecknades den 13 december 2007.
( 30 ) I kraft av artikel 94.2 i dataskyddsförordningen ska hänvisningar till direktiv 95/46 anses som hänvisningar till dataskyddsförordningen.
( 31 ) Se artikel 15.1 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37). Se, såvitt avser den bestämmelsen, dom av den 29 januari 2008, Promusicae (C‑275/06, EU:C:2008:54, punkt 49).
( 32 ) Särskilt funktioner vilkas syfte är att hävda territoriell integritet, upprätthålla lag och ordning och skydda nationell säkerhet.
( 33 ) Se, såvitt avser begreppet ”statsfunktionsgaranti”, Franzius, C., i M. Pechstein, C. Nowak & U. Häde (red.), Frankfurter Kommentar zu EUV, GRC und AEUV, Band I, Mohr Siebeck, Tübingen, 2017, Art. 4 EUV, punkt 50: ”Staatsfunktionengarantie”.
( 34 ) Se artikel 2.2 b i dataskyddsförordningen.
( 35 ) Se artikel 2.2 c i dataskyddsförordningen.
( 36 ) Se artikel 2.2 d i dataskyddsförordningen.
( 37 ) Artikel 39 FEU innehåller dessutom en särskild laglig grund för databehandling av personuppgifter som medlemsstaterna utför i samband med den gemensamma utrikes- och säkerhetspolitiken. ”Pelaruppdelningen” har således upprätthållits i Lissabonfördraget i detta avseende, se Lynskey, O., The Foundations of EU Data Protection Law, OUP, Oxford, 2015, s. 18.
( 38 ) Se Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89).
( 39 ) Se även dom av den 6 oktober 2020, La Quadrature du Net m.fl. (C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 102).
( 40 ) Ett exempel bland många möjliga på detta är att domstolen har avstått från att aktivt pröva huruvida ideell och religiös verksamhet omfattas av unionsrätten (se dom av den 6 november 2003, Lindqvist,C‑101/01, EU:C:2003:596, punkt 48).
( 41 ) Se dom av den 20 maj 2003, Österreichischer Rundfunk m.fl. (C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294, punkt 42).
( 42 ) Se dessutom, såvitt avser doktrinen, Kranenborg, H., i C. Kuner, L.A. Bygrave & C. Docksey (red.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, Art. 86, A., s. 1214. Se även Pauly, D.A., i B.S. Paal & D.A. Pauly, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, C.H. Beck, München 2018, Art. 86 DS-GVO, punkt 9.
( 43 ) Se även, för ett liknande resonemang, Kranenborg, H., a.a., Art. 86, C.1., s. 1217, inbegripet fotnot 14. Kranenborg påpekar för övrigt med gott fog att vad som fanns i kommissionens ursprungliga förslag på tal om allmänhetens tillgång till allmänna handlingar faktiskt endast var ett skäl, inte någon bestämmelse i artikeldelen.
( 44 ) Om den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål, är behandling av dessa personuppgifter enligt artikel 6.1 i dataskyddsförordningen laglig inom räckvidden för det samtycket.
( 45 ) Eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, i vilken lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.
( 46 ) Exempelvis den spanska (”condenas e infracciones penales”), den tyska (”strafrechtliche Verurteilungen und Straftaten”), den italienska (”condanne penali e … reati”), den litauiska (”apkaltinamuosius nuosprendžius ir nusikalstamas veikas”), den maltesiska (”kundanni kriminali u reati”) och den nederländska (”strafrechtelijke veroordelingen en strafbare feiten”).
( 47 ) Exempelvis den franska (”condamnations pénales et … infractions”), den polska (”wyroków skazujących oraz naruszeń prawa”), den portugisiska (”condenações penais e infrações”) och den rumänska (”condamnări penale și infracțiuni”).
( 48 ) Noga räknat skulle nämligen lydelsen faktiskt kunna tolkas så, att till och med de ”fällande domarna” rent teoretiskt skulle kunna vara av administrativ art.
( 49 ) Se, exempelvis, dom av den 25 juni 2020, A m.fl. (Vindkraftverk i Aalter och Nevele) (C‑24/19, EU:C:2020:503, punkt 39 och där angiven rättspraxis).
( 50 ) Se dom av den 6 oktober 1982, Cilfit m.fl. (283/81, EU:C:1982:335, punkt 18).
( 51 ) Se, exempelvis, dom av den 30 maj 2013, Genil 48 och Comercial Hostelera de Grandes Vinos (C‑604/11, EU:C:2013:344, punkt 38 och där angiven rättspraxis), och dom av den 6 september 2012, parlamentet/rådet (C‑490/10, EU:C:2012:525, punkt 68).
( 52 ) Se även, för ett liknande resonemang, Kawecki, M., & Barta, P, i S. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, Warszawa 2018, artikel 10, punkt 3.
( 53 ) ”Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet … ”. Min kursivering.
( 54 ) ”Medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet”. Min kursivering.
( 55 ) Se, exempelvis, dom av den 1 oktober 2019, Planet49 (C‑673/17, EU:C:2019:801, punkt 47 och där angiven rättspraxis).
( 56 ) Ibidem.
( 57 ) Se dom av den 17 september 2020, JZ (Fängelse i händelse av brott mot inreseförbud) (C‑806/18, EU:C:2020:724, punkt 26 och där angiven rättspraxis).
( 58 ) Se även, för ett liknande resonemang, Georgieva, L., The EU General Data Protection Regulation (GDPR), a.a., Art. 10, C.1., s. 388, och Schiff, A., Datenschutz-Grundverordnung, Kommentar, a.a., Art. 10, punkt 4.
( 59 ) Direktiv 2016/680 antogs för övrigt samma dag som dataskyddsförordningen.
( 60 ) Det vill säga rätten att inte två gånger kunna bli föremål för rättslig prövning och bestraffning för ett och samma brott inom ramen för brottmålsrättegångar.
( 61 ) Se även generaladvokaten Kokotts upplysande förslag till avgörande i målet Bonda (C‑489/10, EU:C:2011:845, punkt 32 och följande punkter).
( 62 ) Se Europadomstolens dom av den 8 juni 1976, Engel m.fl. mot Nederländerna (CE:ECHR:1976:0608JUD000510071, §§ 80–82), och Europadomstolens dom av den 10 februari 2009, Sergey Zolotukhin mot Ryssland (CE:ECHR:2009:0210JUD001493903, §§ 52–53).
( 63 ) Se dom av den 5 juni 2012, Bonda (C‑489/10, EU:C:2012:319, punkt 37).
( 64 ) Med tanke på att vad som är i fråga är prickar, vilka alltså inte är stränga till sin art, påverkas min bedömning inte av domstolens slutsatser i domen av den 14 november 2013, Baláž (C‑60/12, EU:C:2013:733), som rörde den bredare och mer allmänna frågan om ”särskild behörighet i brottmål” såvitt avser trafikförseelser i allmänhet, och alltså inte enbart med avseende på prickning, mot bakgrund av rådets rambeslut 2005/214/RIF av den 24 februari 2005 om tillämpning av principen om ömsesidigt erkännande på bötesstraff (EUT L 76, 2005, s. 16).
( 65 ) En princip som emellertid inte är tillämplig i det nationella målet, något som kommer att framgå nedan.
( 66 ) Mot denna bakgrund är det fullt rimligt att ifrågasätta huruvida kraven enligt artikel 94 c i domstolens rättegångsregler är uppfyllda; om dessa krav inte är uppfyllda, kan tolkningsfrågan inte upptas till sakprövning.
( 67 ) Se dom av den 16 januari 2019, Deutsche Post (C‑496/17, EU:C:2019:26, punkt 57 och där angiven rättspraxis).
( 68 ) Artikel 5 i dataskyddsförordningen har en bjudande formulering (”ska följande gälla”), och de olika principerna räknas upp i var sitt stycke som avslutas med punkt, vilket torde vara att tolka som ”och” snarare än ”eller”.
( 69 ) I artikel 6 i dataskyddsförordningen hänvisas till ”åtminstone ett av följande villkor”.
( 70 ) Se dom av den 9 mars 2017, Manni (C‑398/15, EU:C:2017:197, punkt 35).
( 71 ) Artikel 2 b och 2 d i direktiv 95/46.
( 72 ) Denna princip utvecklas vidare i kapitel IV avsnitt 2 i dataskyddsförordningen (artiklarna 32–34).
( 73 ) Se även, för ett liknande resonemang, Pötters, S., i P. Gola (red.), Datenschutz-Grundverordnung VO (EU) 2016/679, Kommentar, C.H. Beck, München, 2 uppl., 2018, Art. 5, punkt 29.
( 74 ) I det skälet anges att behandling bör betraktas som laglig endast när personuppgifter behandlas efter samtycke från den berörde registrerade eller på någon annan legitim grund som har fastställts i lag, antingen i dataskyddsförordningen eller i annan unionsrätt eller medlemsstaternas nationella rätt enligt denna förordning, vilket inbegriper att de rättsliga skyldigheter som åligger den personuppgiftsansvarige måste fullgöras eller att ett avtal i vilket den registrerade är part måste genomföras eller att åtgärder på begäran av den registrerade måste vidtas innan avtalet ingås.
( 75 ) Se även, för ett liknande resonemang, Herbst, T., i J. Buchner & B. Kühling (red.), Datenschutz-Grundverordnung/BDSG, Kommentar, 2 uppl., C.H. Beck, München, 2018, Art. 5 DS-GVO, punkt 11, och Pötters, S., a.a., Art. 5, punkt 6. För en bredare tolkning av ”laglighet” som förenlighet med samtliga bestämmelser i förordningen, se Lubasz, D., i D. Lubasz (red.), Ochrona danych osobowych, Wolters Kluwer, Warszawa 2020, punkt 186.
( 76 ) För den händelse att det befanns vara nödvändigt att inom ramen för artikel 5 i dataskyddsförordningen undersöka huruvida kraven enligt artikel 6 i den förordningen är uppfyllda, skulle jag för övrigt göra bedömningen att den aktuella behandlingen är laglig även i den mening som avses i artikel 6.1 c i dataskyddsförordningen, närmare bestämt i egenskap av en behandling som är nödvändig för fullgörandet av en rättslig förpliktelse som åvilar den personuppgiftsansvarige. När trafiksäkerhetsstyrelsen lämnar ut information om prickar för trafikförseelser till allmänheten, fullgör den nämligen en rättslig förpliktelse som åligger den enligt nationell lagstiftning.
( 77 ) Däremot är jag mindre övertygad om det relevanta i att, som den österrikiska regeringen har gjort, i detta sammanhang hänvisa till den dom som Bundesverfassungsgericht (Federala författningsdomstolen, Tyskland) meddelade den 27 februari 2008 (1 BvR 370/07 och 1 BvR 595/07 (ECLI:DE:BVerfG:2008:rs20080227.1bvr037007), BVerfGE 120, punkt 274 och följande punkter, s. 314; tillgänglig på adressen http://www.bverfg.de/e/rs20080227_1bvr037007en.html). Den domen rör nämligen en materiell fråga knuten till grundläggande rättigheter, medan artikel 5.1 f i dataskyddsförordningen rör formella krav, såsom jag har slagit fast i de föregående punkterna i detta förslag till avgörande.
( 78 ) I denna bestämmelse anges därefter också att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen inte ska anses vara oförenlig med de ursprungliga ändamålen.
( 79 ) Se, för ett liknande resonemang, Lubasz, D., i D. Lubasz (red.), Ochrona danych osobowych, Wolters Kluwer, Warszawa 2020, punkt 202.
( 80 ) Se, exempelvis, dom av den 9 november 2010, Volker und Markus Schecke och Eifert (C‑92/09 och C‑93/09, EU:C:2010:662, punkt 74 och där angiven rättspraxis).
( 81 ) Denna bestämmelse infördes i direktiv 2003/98 år 2013; se artikel 1.1 a iii i Europaparlamentets och rådets direktiv 2013/37/EU av den 26 juni 2013 om ändring av direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn (EUT L 175, 2013, s. 1–8).
( 82 ) I artikel 1.4 i direktiv 2003/98 hänvisas härvidlag till direktiv 95/46.
( 83 ) Såvitt avser Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn (EUT L 172, 2019, s. 56), vars artikel 19 innebär att direktiv 2003/98 upphör att gälla med verkan från och med den 17 juli 2021, se artikel 1.2 f i direktiv 2019/1024.
( 84 ) Detta uttrycks ofta som att förhandsavgöranden meddelade med stöd av artikel 267 FEUF har verkan från och med en viss tidpunkt i det förflutna (ex tunc).
( 85 ) Se, exempelvis, dom av den 29 september 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, punkt 44), och dom av den 28 oktober 2020, Bundesrepublik Deutschland (Fastställande av vägtullsatser för användningen av motorvägar) (C‑321/19, EU:C:2020:866, punkt 54).
( 86 ) Se, exempelvis, dom av den 29 september 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, punkt 45), och dom av den 28 oktober 2020, Bundesrepublik Deutschland (Fastställande av vägtullsatser för användningen av motorvägar) (C‑321/19, EU:C:2020:866, punkt 55).
( 87 ) Se dom av den 8 september 2010, Winner Wetten (C‑409/06, EU:C:2010:503, punkt 67), och dom av den 19 november 2009, Filipiak (C‑314/08, EU:C:2009:719, punkt 84). Se även dom av den 6 mars 2007, Meilicke m.fl. (C‑292/04, EU:C:2007:132, punkt 36 och där angiven rättspraxis).
( 88 ) Se dom av den 17 december 1970, Internationale Handelsgesellschaft (11/70, EU:C:1970:114, punkt 3), och dom av den 8 september 2010, Winner Wetten (C‑409/06, EU:C:2010:503, punkt 61).
( 89 ) Se, exempelvis, dom av den 29 september 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, punkt 45), och dom av den 28 oktober 2020, Bundesrepublik Deutschland (Fastställande av vägtullsatser för användningen av motorvägar) (C‑321/19, EU:C:2020:866, punkt 55).
( 90 ) Se även Lenaerts, K., Maselis, I., & Gutman, K., EU Procedural Law, Oxford University Press, Oxford, 2014, punkt 6.34, s. 247.
( 91 ) Se, exempelvis, dom av den 16 september 2020, Romenergo och Aris Capital (C‑339/19, EU:C:2020:709, punkt 49 och där angiven rättspraxis).