Mål C‑439/19

B

(begäran om förhandsavgörande från Latvijas Republikas Satversmes tiesa)

Domstolens dom (stora avdelningen) av den 22 juni 2021

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artiklarna 5, 6 och 10 – Nationell lagstiftning som ger allmänheten tillgång till personuppgifter avseende prickning vid överträdelser av trafikregler – Laglighet – Begreppet ’personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott’ – Utlämnande av information i syfte att förbättra trafiksäkerheten – Allmänhetens rätt att ta del av allmänna handlingar – Informationsfrihet – Sammanjämkning med de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter – Vidareutnyttjande av information – Artikel 267 FEUF – Ett förhandsavgörandes verkningar i tiden – Möjlighet för en författningsdomstol i en medlemsstat att låta rättsverkningarna av nationell lagstiftning som inte är förenlig med unionsrätten bestå – Principen om unionsrättens företräde och rättssäkerhetsprincipen”

1. Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning 2016/679 – Tillämpningsområde – Undantag – Uppgiftsbehandling som ett led i en verksamhet som inte omfattas av unionsrätten – Verksamhet som syftar till att upprätthålla nationell säkerhet eller en verksamhet som kan placeras i samma kategori – Begrepp – Verksamhet som syftar till att förbättra trafiksäkerheten – Omfattas inte

   (Europaparlamentets och rådets förordning 2016/679, skäl 16 och artikel 2.2 a)

   (se punkterna 61–68)

2. Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning 2016/679 – Tillämpningsområde – Undantag – Uppgiftsbehandling som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder – Begreppet behörig myndighet – Krav på koppling till skydd av personuppgifter på området för straffrättsligt samarbete och polissamarbete – Nationell myndighet som till allmänheten lämnar ut personuppgifter om prickning vid överträdelser av trafikregler – Omfattas inte

   (Europaparlamentets och rådets förordning 2016/679, skäl 19 och artikel 2.2 d; Europaparlamentets och rådets direktiv 2016/680, skälen 10 och 11 samt artikel 3.7)

   (se punkterna 69–72)

3. Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning 2016/679 – Behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott – Begreppet uppgifter om lagöverträdelser som innefattar brott – Information om prickning – Omfattas – Begreppet lagöverträdelser som innefattar brott – Straffrättslig karaktär – Bedömningskriterier – Överträdelser av trafikregler som leder till prickning – Omfattas

   (Europaparlamentets och rådets förordning 2016/679, artikel 10; Europaparlamentets och rådets direktiv 2016/680, skäl 13)

   (se punkterna 77–93 samt punkt 1 i domslutet)

4. Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning 2016/679 – Villkor för att behandling av personuppgifter ska vara laglig – Behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning – Nationell lagstiftning som gör det obligatoriskt att till allmänheten lämna ut personuppgifter avseende prickning vid överträdelser av trafikregler och som tillåter utlämnande av dessa uppgifter till ekonomiska aktörer för vidareutnyttjande – Mål av allmänintresse bestående i att förbättra trafiksäkerheten – Behov av denna behandling av personuppgifter föreligger inte – Otillåtlighet – Allmänhetens rätt att ta del av allmänna handlingar och rätt till informationsfrihet – Saknar betydelse – De grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter väger tyngst

   (Europaparlamentets och rådets förordning 2016/679, skälen 39 och 154 samt artiklarna 5.1, 6.1 e, 10, 85 och 86)

   (se punkterna 99, 106, 108–113, 120–122, 126 och 129 samt punkterna 2 och 3 i domslutet)

5. Frågor som har hänskjutits för förhandsavgörande – Tolkning – Rättsverkningar i tiden av förhandsavgöranden – Retroaktiv verkan – Begränsning som förordnas av domstolen – Principen om unionsrättens företräde och rättssäkerhetsprincipen – Möjlighet för en författningsdomstol i en medlemsstat att besluta att rättsverkningarna av en nationell lagstiftning som har befunnits vara oförenlig med unionsrätten ska bestå till dess att författningsdomstolen slutligt avgör målet – Föreligger inte

   (Artikel 267 FEUF)

   (se punkterna 132–137 samt punkt 4 i domslutet)

Resumé

Unionsrättens dataskyddsbestämmelser utgör hinder för den lettiska lagstiftning som gör det obligatoriskt för trafiksäkerhetsmyndigheten att tillhandahålla allmänheten information om prickning av förare vid överträdelser av trafikregler

Det är inte styrkt att denna lagstiftning är nödvändig för att uppnå målet att förbättra trafiksäkerheten

B är en fysisk person som prickats för en eller flera överträdelser av trafikregler. Ceļu satiksmes drošības direkcija (styrelsen för säkerhet i vägtrafiken, Lettland) (nedan kallad trafiksäkerhetsstyrelsen) förde in information om prickningen i det nationella fordons- och förarregistret.

Enligt den lettiska trafiklagstiftningen ( 1 ) ska registrets information om prickning av förare vid överträdelser av trafikregler vara tillgänglig för allmänheten och lämnas ut av trafiksäkerhetsstyrelsen till den som begär det, utan att den som begär ut informationen behöver visa att vederbörande har ett särskilt intresse av att få tillgång till dessa uppgifter, vilket även gäller ekonomiska aktörer som begär ut information för vidareutnyttjande. B ifrågasatte om denna lagstiftning var rättsenlig. Han väckte därför talan vid Latvijas Republikas Satversmes tiesa (Författningsdomstolen, Lettland) och yrkade att det skulle fastställas huruvida lagstiftningen var förenlig med rätten till respekt för privatlivet.

Författningsdomstolen fann att den vid bedömningen av denna grundlagsskyddade rättighet var skyldig att ta hänsyn till den allmänna dataskyddsförordningen (nedan kallad dataskyddsförordningen). ( 2 ) Den begärde sålunda att EU-domstolen skulle klargöra innebörden av ett antal bestämmelser i dataskyddsförordningen i syfte att fastställa huruvida den lettiska trafiklagstiftningen är förenlig med nämnda förordning.

EU-domstolen (stora avdelningen) slår i sin dom fast att dataskyddsförordningen utgör hinder för den lettiska lagstiftningen. Den konstaterar att det inte är styrkt att det är nödvändigt – bland annat med hänsyn till det av den lettiska regeringen åberopade målet att förbättra trafiksäkerheten – att lämna ut personuppgifter om prickning vid överträdelser av trafikregler till allmänheten. Vidare finner EU-domstolen att varken allmänhetens rätt att ta del av allmänna handlingar eller rätten till informationsfrihet motiverar en sådan lagstiftning.

Domstolens bedömning

För det första slår domstolen fast att behandling av personuppgifter avseende prickning av förare vid överträdelser av trafikregler utgör en ”behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott”, ( 3 ) som enligt dataskyddsförordningen ska ges ett utökat skydd på grund av att det rör sig om särskilt känsliga uppgifter.

EU-domstolen konstaterar, i detta sammanhang, inledningsvis att informationen om prickning utgör personuppgifter och att trafiksäkerhetsstyrelsens utlämnande av dessa till utomstående utgör en behandling som ingår i dataskyddsförordningens materiella tillämpningsområde. Detta tillämpningsområde är nämligen mycket vittgående och nämnda behandling är inte hänförlig till något av undantagen från förordningens tillämplighet.

För det första omfattas behandlingen inte av det undantag som innebär att dataskyddsförordningen inte är tillämplig på en behandling som utförs som ett led i en verksamhet som inte omfattas av unionsrätten. ( 4 ) Det undantaget ska anses ha som enda syfte att från förordningens tillämpningsområde utesluta behandling av personuppgifter som utförs av statliga myndigheter som ett led i verksamhet som syftar till att upprätthålla nationell säkerhet eller en verksamhet som kan placeras i samma kategori. Denna verksamhet omfattar bland annat verksamhet som syftar till att skydda statens grundfunktioner och samhällets grundläggande intressen. Verksamhet som rör trafiksäkerhet bedrivs inte i detta syfte och kan följaktligen inte placeras i kategorin verksamhet som syftar till att upprätthålla nationell säkerhet.

För det andra utgör utlämnandet av personuppgifter om prickning vid överträdelser av trafikregler inte heller en sådan behandling som omfattas av det undantag som innebär att dataskyddsförordningen inte är tillämplig på behandling av personuppgifter som utförs av de behöriga myndigheterna inom det straffrättsliga området. ( 5 ) Domstolen konstaterar nämligen att trafiksäkerhetsstyrelsen inte kan betraktas som en sådan ”behörig myndighet” ( 6 ) när den lämnar ut den aktuella informationen.

Vid fastställandet av huruvida utlämnandet av personuppgifter om överträdelser av trafikregler, såsom information om prickning, utgör en behandling av personuppgifter avseende ”lagöverträdelser som innefattar brott”, ( 7 ) för vilka ett utökat skydd gäller, konstaterar domstolen – bland annat med stöd av förberedelsearbetet inför antagandet av dataskyddsförordningen – att detta begrepp uteslutande hänför sig till brott. Den omständigheten att överträdelser av trafikregler i den lettiska rättsordningen kvalificeras som förvaltningsrättsliga överträdelser är dock inte avgörande för bedömningen av huruvida överträdelser av trafikregler omfattas av begreppet ”brott”, eftersom det rör sig om ett självständigt unionsrättsligt begrepp som ska ges en självständig och enhetlig tolkning inom hela unionen. Efter det att domstolen erinrat om de tre relevanta kriterierna för att fastställa huruvida en överträdelse är straffrättslig till sin karaktär – nämligen den rättsliga kvalificeringen av överträdelsen enligt nationell rätt, överträdelsens art och strängheten i den sanktion som åläggs – slår den fast att de överträdelser av trafikreglerna som här är i fråga omfattas av begreppet ”lagöverträdelser som innefattar brott” i den mening som avses i dataskyddsförordningen. När det gäller de två första kriterierna konstaterar domstolen att även om överträdelserna inte kvalificeras som ”straffrättsliga” enligt nationell rätt kan en sådan karaktär följa av överträdelsens art och framför allt av det repressiva syfte hos sanktionen, som överträdelsen kan medföra. I det aktuella fallet kan det konstateras att prickningen av den som bryter mot trafikregler, precis som de andra sanktioner som detta kan leda till, bland annat har ett repressivt syfte. Vad gäller det tredje kriteriet påpekar domstolen att prickning endast sker för de överträdelser av trafikreglerna som är av en viss allvarlighetsgrad och att sådana överträdelser följaktligen kan leda till sanktioner av en viss stränghetsgrad. Dessutom konstateras att prickning i allmänhet är något som tillkommer utöver den sanktion som påförs, och att kumuleringen av dessa prickar får rättsliga följder som till och med kan innebära körförbud.

För det andra finner EU-domstolen att dataskyddsförordningen utgör hinder för den lettiska lagstiftning som innebär att trafiksäkerhetsmyndigheten är skyldig att göra information om prickning av förare vid överträdelser av trafikregler tillgänglig för allmänheten, utan att den som begär att få tillgång till informationen behöver visa att vederbörande har ett särskilt intresse av att erhålla dessa uppgifter.

Domstolen framhåller i detta sammanhang att den förbättrade trafiksäkerhet som eftersträvas genom den lettiska lagstiftningen är ett mål av allmänintresse som erkänns av unionen och att medlemsstaterna således kan beteckna trafiksäkerheten som en ”uppgift av allmänt intresse”. ( 8 ) Det är dock inte styrkt att de lettiska reglerna om utlämnande av personuppgifter om prickning vid överträdelser av trafikregler är nödvändiga för att det eftersträvade målet ska uppnås. För det första förfogar den lettiska lagstiftaren nämligen över många olika handlingsmöjligheter som skulle ha gjort det möjligt att uppnå detta mål genom andra medel som i mindre utsträckning inskränker de berörda personernas grundläggande rättigheter. För det andra ska hänsyn tas till hur känsliga uppgifterna om prickning är och till det faktum att utlämnandet av dessa till allmänheten kan utgöra ett allvarligt ingrepp i rätten till respekt för privatlivet och rätten till skydd för personuppgifter, eftersom det kan leda till avståndstagande från samhällets sida och medföra en stigmatisering av den berörda personen.

Dessutom finner EU-domstolen att det, med beaktande av hur känsliga dessa uppgifter är, och av hur allvarligt ingreppet i dessa två grundläggande rättigheter är, ska anses att dessa rättigheter väger tyngre än såväl allmänhetens intresse av att få tillgång till allmänna handlingar – såsom det nationella fordons- och förarregistret – som rätten till informationsfrihet.

För det tredje, och av samma skäl, finner EU-domstolen att dataskyddsförordningen även utgör hinder för den lettiska lagstiftningen i den mån denna tillåter trafiksäkerhetsmyndigheten att lämna ut information om prickning av förare vid överträdelser av trafikregler till ekonomiska aktörer för att dessa ska kunna vidareutnyttja uppgifterna och lämna ut dem till allmänheten.

För det fjärde preciserar domstolen slutligen att principen om unionsrättens företräde utgör hinder för att den hänskjutande domstolen, som har att pröva ett mål där invändningar har riktats mot lettisk lagstiftning som av EU-domstolen bedöms vara oförenlig med unionsrätten, beslutar att verkningarna av denna lagstiftning ska bestå till dess att den hänskjutande domstolen slutligt avgör målet.

( 1 ) Artikel 141.2 i Ceļu satiksmes likums (vägtrafiklagen) av den 1 oktober 1997 (Latvijas Vēstnesis, 1997, nr 274/276).

( 2 ) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2).

( 3 ) Artikel 10 i dataskyddsförordningen.

( 4 ) Artikel 2.2 a i dataskyddsförordningen.

( 5 ) Artikel 2.2 d i dataskyddsförordningen.

( 6 ) Artikel 3.7 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89).

( 7 ) Artikel 10 i dataskyddsförordningen.

( 8 ) Enligt artikel 6.1 e i dataskyddsförordningen är behandlingen av personuppgifter laglig om den är ”nödvändig för att fullgöra en uppgift av allmänt intresse”.